Sujet intéressant pour moi , qui n’est pas très fort en réseau
Merci
Quelle conversation ?
Non. Elle se contente d’annoncer le préfixe IPv6 sur le réseau local et les postes s’en servent pour construire leur(s) adresse(s) IPv6. La box route tout le préfixe, le FAI se fiche pas mal de savoir quelle machine a quelle adresse sur le réseau local.
Non. L’IPv6 peut être utilisé pour les deux.
Ce qui signifie ?[/quote]
Qu’il s’est fait avoir. J’ai eu mon paquet d’adresses IPv6 gratuitement avec ma connexion internet.
Non. Voir ci-dessus.
Ce n’est pas plus intrinsèque à IPv6 qu’à IPv4. Chaque machine a toujours eu sa propre adresse IP, v4 ou v6. Et en IPv6, chaque interface a typiquement plusieurs adresses : une adresse link local, une ou plusieurs adresses globales dans un ou plusieurs préfixes, permanente basée sur son adresse MAC ou temporaire…
[quote=“vohu”]Le but de l’ipV6 est que chaque appareil ait sa propre IP (FIXE)
Si chaque appareil à sa propre IP, quel interet de passer par le routeur de ta box ?[/quote]
Encore une fois et comme beaucoup de gens, tu confonds routage et NAT. L’absence de NAT ne change strictement rien à la nécessité de router.
D’autre chaque machine a sa propre adresse IP. Certaines ont juste des adresses IP privées. Tu confonds adresse IP et adresse publique.
Non. La box agit en routeur IPv6. Sans NAT. Les seuls modems réellement en bridge ne s’occupent ni d’IPv4 ni d’IPv6, et en pratique la machine située derrière doit se connecter au FAI avec PPPoE. Les FAI qui connectent directement leurs abonnés à un même LAN n’existent plus ou sont devenus très rares. Si une machine derrière une box a directement une adresse IP sur son interface ethernet ou wifi, alors la box n’est pas un bridge.
Cette discussion montre qu’il y a encore beaucoup d’idées reçues sur IPv4 et IPv6. Pour la majorité des usages, il sont en fait très similaires. La différence majeure et la taille des adresses qui passe de 32 à 128 bits, et l’augmentation considérable de la taille de l’espace d’adressage qui en résulte. A l’origine, chaque machine connectée à l’internet avait une adresse IPv4 publique. C’est lorsqu’on a commencé à se rendre compte qu’il n’y aurait pas assez pour tout le monde qu’on a commencé à restreindre leur allocation et les FAI grand public ont distribué une seule adresse IPv4 publique par abonné (sauf à quelques privilégiés comme moi). Pour “connecter” plusieurs machines à internet avec une seule adresse IP publique, il fallait faire du NAT. Mais le NAT impose des restrictions, la connectivité est incomplète et certains protocoles ne fonctionnent pas bien. Comme le NAT était réalisé par des équipements appelés “routeurs”, le grand public a confondu routage, routeur et NAT. En IPv6, il y a assez d’adresses globables pour affecter tout un préfixe à chaque abonné sans risquer de manquer. Mais NAT ou pas NAT, le routage, qui est à la base d’internet, reste toujours indispensable en IPv4 comme en IPv6.
Quelle conversation ?[/quote]
Woups, ma faute, j’ai découpé un sujet depuis SD pour créer celui-ci, et si j’ai pensé à donner un lien dans un sens, je ne l’ai pas fait de celui-ci vers le sujet original. Je vais corriger ça.
[quote=“PascalHambourg”]
Non. La box agit en routeur IPv6. Sans NAT. Les seuls modems réellement en bridge ne s’occupent ni d’IPv4 ni d’IPv6, et en pratique la machine située derrière doit se connecter au FAI avec PPPoE. Les FAI qui connectent directement leurs abonnés à un même LAN n’existent plus ou sont devenus très rares. Si une machine derrière une box a directement une adresse IP sur son interface ethernet ou wifi, alors la box n’est pas un bridge.[/quote]
Le routage chez moi est
francois@cerbere:~$ ip -6 route show
2a01:123:456:789a::/64 dev br0 proto kernel metric 256 expires 86355sec mtu 1480 advmss 1420 hoplimit 4294967295
fe80::/64 dev eth0 proto kernel metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
fe80::/64 dev br0 proto kernel metric 256 mtu 1480 advmss 1420 hoplimit 4294967295
fe80::/64 dev eth1 proto kernel metric 256 mtu 1480 advmss 1420 hoplimit 4294967295
fe80::/64 dev tap1 proto kernel metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
default via fe80::207:cbff:fe48:3855 dev br0 proto kernel metric 1024 expires 1750sec mtu 1480 advmss 1420 hoplimit 64
cerbere:/home/francois# sur une autre machine
francois@hercule:~$ ip -6 route show
2a01:123:456:789a::/64 dev br0 proto kernel metric 256 expires 86259sec
fe80::/64 dev eth0 proto kernel metric 256
fe80::/64 dev br0 proto kernel metric 256
default via fe80::207:cbff:fe48:3855 dev br0 proto kernel metric 1024 expires 1648secet un traceroute donne
francois@hercule:~$ traceroute6 google.com
traceroute vers google.com (2a00:1450:400c:c09::65) de 2a01:123:456:789a:201:c0ff:fe07:6d62, port 33434, du port 34500, 30 sauts max, 60 octet/paquet
1 2a01:123:456:789a::1 (2a01:123:456:789a::1) 0.833 ms 0.750 ms 0.689 ms
2 2a01:e00:1b::1 (2a01:e00:1b::1) 21.828 ms 23.107 ms 22.704 ms
3 * bzn-crs16-2-be1002.intf.routers.proxad.net (2a01:e00:17::1) 22.130 ms 23.685 ms
4 2a01:e00:17:2::6 (2a01:e00:17:2::6) 23.833 ms 23.427 ms 21.162 ms
5 google-pni-3.intf.routers.proxad.net (2a01:e00:4:5::2) 27.333 ms 26.472 ms 25.343 ms
6 2001:4860::1:0:4a3a (2001:4860::1:0:4a3a) 22.957 ms 22.612 ms 21.736 ms
7 2001:4860::8:0:5e18 (2001:4860::8:0:5e18) 23.874 ms 23.092 ms 21.630 ms
8 2001:4860::8:0:6e84 (2001:4860::8:0:6e84) 27.951 ms 27.643 ms 26.412 ms
[...]et
francois@cerbere:~$ traceroute6 google.comtraceroute vers google.com (2a00:1450:400c:c09::66) de 2a01:123:456:789a:201:c0ff:fe04:11f6, port 33434, du port 57537, 30 sauts max, 60 octet/paquet
1 2a01:123:456:789a::1 (2a01:123:456:789a::1) 5.024 ms 0.523 ms 0.606 ms
2 * * 2a01:e00:1b::1 (2a01:e00:1b::1) 23.057 ms
3 bzn-crs16-2-be1002.intf.routers.proxad.net (2a01:e00:17::1) 24.544 ms 23.604 ms 21.692 ms
4 2a01:e00:17:2::6 (2a01:e00:17:2::6) 24.273 ms 22.286 ms 21.535 ms
5 2001:4860:1:1:0:3022:: (2001:4860:1:1:0:3022::) 24.728 ms 24.807 ms 24.920 ms
6 2001:4860::1:0:4a3a (2001:4860::1:0:4a3a) 23.272 ms 28.227 ms 22.163 ms
7 2001:4860::8:0:5e19 (2001:4860::8:0:5e19) 24.356 ms 22.957 ms 23.280 ms
8 2001:4860::8:0:507c (2001:4860::8:0:507c) 27.848 ms 27.634 ms 26.364 ms
[...]Je pensais que 2a01:123:456:789a::1 était l’équivalent de 82.66.248.254 (mon routeur IPV4) et que la freebox se contentait de fournir cette passerelle. Tu sembles dire que 2a01:123:456:789a::1 serait l’adresse IPV6 de la freebox elle même.
En IPV4, j’obtiens
francois@cerbere:~$ traceroute google.com
traceroute to google.com (64.233.166.102), 30 hops max, 40 byte packets
1 alfortville-5-82-66-248-254.fbx.proxad.net (82.66.248.254) 20.333 ms 20.538 ms 21.884 ms
2 stmaurice-6k-1-a5.routers.proxad.net (213.228.14.254) 22.726 ms 22.696 ms 23.720 ms
3 bzn-crs16-2-be1008.intf.routers.proxad.net (194.149.160.125) 28.863 ms 28.870 ms 29.173 ms
le ping vers 82.66.248.254 est de 20ms, celui vers 2a01:123:456:789a::1 est de 0,5 à 1ms donc cette machine est locale et correspond effectivement à la freebox. Ça correspondrait donc à mafreebox.free.fr en IPV4 avec la différence que l’adresse 2a01:123:456:789a::1 (donc la freebox) est accessible de l’extérieur (je viens de le vérifier). Il faudrait voir si quelqu’un peut prendre le flux video de la freebox via l’IPV6 (je ne l’ai pas, je ne suis pas abonné à la télé) ou exploiter par ce biais une éventuelle faille dans le système freebox… Ça ouvre des possibilités ça.
PS: J’ai modifié le prefixe IPV6 affiché dans ce message
Tu veux dire le routeur de Free auquel tu es directement connecté. Ce n’est pas “ton” routeur.
Oui. En tant que routeur de ton préfixe 2a01:123:456:789a::/64 elle répond aussi à l’adresse 2a01:123:456:789a:: qui est l’adresse anycast de ce préfixe. Ainsi qu’à son adresse link-local fe80::207:cbff:fe48:3855 qu’on peut voir dans la route par défaut, provenant des annonces de routeur (RA) qu’elle émet sur ton réseau local.
Comme toute machine IPv6 de ton réseau local, si tu n’as pas de filtrage. L’IPv6 n’a rien de révolutionnaire sur ce point, c’est plutôt un retour aux sources de l’internet des origines quand le NAT et les adresses privées n’existaient pas.
Bof, si ça n’a pas changé chez Free le préfixe IPv6 est dérivé de l’adresse IPv4 par le mécanisme 6rd, et on sait dans quel /24 celle-ci se situe grâce à l’adresse de passerelle IPv4 que tu as indiquée. Donc si on veut trouver, ce n’est pas bien difficile.
Tu veux dire le routeur de Free auquel tu es directement connecté. Ce n’est pas “ton” routeur.[/quote]Certes.[quote]
Comme toute machine IPv6 de ton réseau local, si tu n’as pas de filtrage. L’IPv6 n’a rien de révolutionnaire sur ce point, c’est plutôt un retour aux sources de l’internet des origines quand le NAT et les adresses privées n’existaient pas.
[/quote]Oui, mais en activant l’IPV6, on rend donc accessible de l’extérieur la freebox. Ça change la situation même si c’est normal.
[quote]
Bof, si ça n’a pas changé chez Free le préfixe IPv6 est dérivé de l’adresse IPv4 par le mécanisme 6rd, et on sait dans quel /24 celle-ci se situe grâce à l’adresse de passerelle IPv4 que tu as indiquée. Donc si on veut trouver, ce n’est pas bien difficile.[/quote]
Je me doutais d’un truc de ce genre (on se doute que les IPV6 ne sont pas donnés «à la main» aux machines ayant déjà une IPV4 au fur et à mesure des demandes), et de toute façon je l’avais déjà donné en clair dans d’autres messages. Accès de parano on va dire…
Comme toute machine IPv6 de ton réseau local, si tu n’as pas de filtrage. L’IPv6 n’a rien de révolutionnaire sur ce point, c’est plutôt un retour aux sources de l’internet des origines quand le NAT et les adresses privées n’existaient pas.
[/quote]Oui, mais en activant l’IPV6, on rend donc accessible de l’extérieur la freebox. Ça change la situation même si c’est normal.[/quote]
Le routeur (machinBox ou non) est accessible de l’extérieur en IPv4 comme en IPv6, c’est même le seul à l’être en IPv4…
À moins que je t’ai mal compris ?
Rajout: En fait non puisque ça ne commence pas par 2002, en fait Free semble faire
2a01:e3 (spécifique à Free) suivi de la partie significative de l’IPV4, enfin il y a un 89c0 qui doit s’expliquer
Rajout à quoi ?
6rd != 6to4, pas le même préfixe de base précédent l’adresse IPv4.
89c est la fin de l’adresse IPv4 (en hexa) et 0 est le numéro de préfixe /64. Free alloue un /60 à l’abonné mais seul le premier /64 (terminant par 0) est annoncé et routé derrière la box. J’ai lu des rumeurs selon lesquelles les dernières versions de V6 permettaient de changer de préfixe voire de router un autre /64 vers un routeur perso, mais n’en ayant pas sous la main je ne peux pas vérifier.
Rajout à un message qui est passé à la trappe on dirait. Je vais au cinéma et j’essaye de le retrouver [à suivre]
Rajout à mon message discussion-technique-autour-d-ipv6-t49700-25.html#p496140 en fait. Pour le 89c0, tu as raison, je me suis planté dans ma conversion (betement à la main). Par contre la RFC est pas très claire et il y a sans arrêt des références à 6to4 dans les autres documents. Il faudrait la lire soigneusement…
Sinon, lorsqu’on fait l’adresse mafreebox.free.fr, elle n’atteint la freebox (elle même) qu’à partir du LAN:
francois@portos:~$ ping mafreebox.free.fr
PING freeplayer.freebox.fr (212.27.38.253) 56(84) bytes of data.
64 bytes from freeplayer.freebox.fr (212.27.38.253): icmp_req=1 ttl=63 time=2.21 ms
64 bytes from freeplayer.freebox.fr (212.27.38.253): icmp_req=2 ttl=63 time=2.05 ms
(c’est donc bien la freebox elle même qu’on atteint. De l’exterieur, cette IP ne répond. L’IPV6 de la freebox répond de l’extérieur (au ping en tout cas).
Cette adresse IPv4 est particulière : toutes les freebox ont la même. On peut donc la considérer vaguement comme une adresse anycast. De l’extérieur, elle n’est routée vers aucune freebox, car elle ne spécifie pas à laquelle on veut s’adresser.
Bonjour à tous,
Après avoir lu pas mal de choses sur ce thread, et pas mal en diagonale, je me permets de réagir sur l’ipv6.
J’ai fais une formation de deux jours IpV6 auprès du RIPE (organisme qui gère les IPs des opérateurs (LIR).
Tout d’abord l’IPV6 a été créé dans un besoin d’avoir plus d’ips publics. Plus ça va, plus nous avons besoin d’appareils qui se connectent à internet, et dans certains cas ayant besoin d’ips public (service/applications).
la différence entre l’ipv4 et l’ipv6 est déjà dans sa taille et sa forme :
ipv4 : exemple 8.8.8.8 (dns google)
ipv6 : 2001:0db8:0000:85a3:0000:0000:ac1f:8001 (8 blocs hexadécimal)
Cela permet d’attribuer plus d’ip. pour l’ipv4 on distinguera les réseaux lan(privé)/wan(public), et pour l’ipv6, juste un réseau (et si l’on veut on peut créer des sous réseaux).
L’ipv6 fournir pour tout le monde beaucoup d’ips, en ipv6 un particulier qui a une adresse ipv6 va avoir un /64 pour l’ensemble des machines qui sont chez lui(soit l’équivalent des adresses ipv4 de l’internet public mondial juste pour lui, plus ou moins 4 milliards). La box/routeur fourni un début d’adresse, et l’appareil fournira la fin de l’adresse. Donc en clair tout appareils en ipv6 derrière une box(donc routeur dans le cas présent puisque la box fournira le chemin pour de “l’interieur” vers internet, mais dans l’autr sens aussi) sera en frontal directement sur internet. Depuis le bureau je peux faire un ping sur ma télé/ps3/pc …
Donc l’ipv6 permet d’avoir plus d’ips publics, et de connecter facilement les appareils/ordinateurs directement sur internet.
Mais il y a de gros inconvénients. Déjà nous allons nous retrouver comme il y a 14 ans à avoir des attaques directement sur nos appareils. Donc multiplication des FW antivirus sur les pc/tele/smartphone/et futur appareils connectés. Mme Dupon ne connaissant rien à internet aura beaucoup plus de chances de se faire pirater que derrière une box en mode router (vole de données/ordi zombies/spam…?).
De plus les opérateur refont l’erreur qui a été commise au début, à savoir donner beaucoup trop d’adresses à tout le monde. C’est pas grave on en a trop, on en a pas besoin d’autant … 15/20 ans plus tard …mince on aurai pas du …
Voila grosso modo, j’espère avoir été clair, malgres l’heure …
Courage l’ipv6 arrive … 
Refais tes calculs. 2^64, c’est légèrement plus que ~4 milliards (2^32).
Argument spécieux. Il suffit d’avoir un pare-feu à état qui ne laisse passer que les connexions sortantes sur le routeur. Quant au risque de piratage, sur les postes clients il provient beaucoup plus des failles applicatives des logiciels clients (navigateur, mail…) que des attaques réseau.
Arrive ? J’ai l’IPv6 depuis 10 ans…
Pour les 4 milliards d’adresses, je répète grosso modo, j’ai pas fait le calcul exact ( et ça m’importe assez peu, ce qui important c’est que ça fait beaucoup). Mais bref je me fiche un peu de la valeur exact, ce qui est ridicule c’est de refaire les mêmes erreurs.
Pour les attaques, cela dépend de ce qui sera développé plus tard … Aujourd’hui on est “protégé” par la box. Mais il y a 15 ans je rappelle que 3 minutes après l’install (avec un cd officiel) avec un windows 2000/xp on avait un arrêt de la machine au bout de 60 secondes, dû a un vers installé uniquement via les port netbios ouvert.
Et pour le pare-feu à l’état nianiania, il faut expliquer ça aux personnes qui n’y connaisse rien … pas aux experts. Je suppose que nous nous sommes capable de nous protéger, mais nous sommes qu’une infime partie des utilisateurs finaux.
Quand je dis que l’ipV6 arrive c’est à dire qu’elle apparait pour les utilisateurs lambda smartphone/tele/tablette/Os/box/… , et qu’il y ai un vrai forcing sur les institution (Ripe, Lir, …) à pousser les professionnels à utiliser les ipv6. Sinon Internet mais c’est démocratisé pour tout le monde depuis 92, enfin moi je l’utilise depuis cette date …
[quote=“tof”]Pour les 4 milliards d’adresses, je répète grosso modo, j’ai pas fait le calcul exact ( et ça m’importe assez peu, ce qui important c’est que ça fait beaucoup). [/quote]Ça n’est pas beaucoup, c’est de l’ordre de deux milliards d’IP possibles par personne. Cela fait sans doute plusieurs centaine de milliers d’IP qu’il y aura d’hommes vivants maintenant et dans le futur. Je pense donc que c’est suffisant.[quote]Mais bref je me fiche un peu de la valeur exact, ce qui est ridicule c’est de refaire les mêmes erreurs.
[/quote]Ben sur ce plan là, c’est bon. Le nombre d’IP est… mettons suffisant désormais.[quote]
Pour les attaques, cela dépend de ce qui sera développé plus tard … Aujourd’hui on est “protégé” par la box. Mais il y a 15 ans je rappelle que 3 minutes après l’install (avec un cd officiel) avec un windows 2000/xp on avait un arrêt de la machine au bout de 60 secondes, dû a un vers installé uniquement via les port netbios ouvert.
Et pour le pare-feu à l’état nianiania, il faut expliquer ça aux personnes qui n’y connaisse rien … pas aux experts. Je suppose que nous nous sommes capable de nous protéger, mais nous sommes qu’une infime partie des utilisateurs finaux.[/quote]Parfait. Le Windows 2000 XP était dans un contexte qui n’est plus le même maintenant. Tu ne stresses pas pour ton téléphone sur lequel tu ne peux rien installer et qui ne dépend que de l’installation d’origine?
Ils devaient se dire exactement pareil quand l’ip V4 a été écrit.
Errare humanum est, perseverare diabolicum
les téléphones ont été prévu pour avoir soit un accès via wifi (donc depuis un lan), soit depuis le réseau telephonnique ou dans ce cas on sort via ip:port designé par l’operateur (donc les services réseaux tres difficilement accessible). mais les autres appareils prévu pour être chez soi avec les services bonjour, upnp et autre ne sont pas fait pour être exposé.
Ils devaient se dire exactement pareil quand l’ip V4 a été écrit.
Errare humanum est, perseverare diabolicum
[/quote]Bon, on va prendre le problème autrement.Combien il en faudrait selon toi? Commence par faire le calcul au lieu de faire le predicateur obtus. Ren à rajouter sur le reste. Si tu penses détenir la vérité, va le dire aux concepteurs, ils te remercieront de leur ouvrir les yeux.
Ce qui m’inquiète le plus, ce ne sont ni les ordis, ni les tablettes, ni les smartphones. Ils sont “relativement” sécurisé, car développé par des gens qui ont au moins vaguement entendu parler de failles de sécurité.
Non,le problème ce sont tout les “appareils connectés”, comme les réfrigérateurs ou les cafetières (voire les vêtements). Ils sont développés par des sociétés dont le métier n’est pas l’informatique (j’en sais quelque chose …), et la sécurité n’est absolument pas la priorité.
Si ces appareils sont connectés un jour en frontal sur internet, je crains le pire pendant au moins une décennie …
Entre autres ce sont/seront de nouveaux (grave problèmes).
Et pour les ip, peut etre que dans peut de temps, nos appareils seront capablme de gérer 1, 2, 3, …, 10, … plus Ips en même temps pour des besoins X ou Y, et à partir de là les ip vont se multiplier…