International Network Engenieering v10 Task Force : IPv4>6 + 6>4

Tags: #<Tag:0x00007f509fa00900>

Par exemple ; depuis un réseau IPv4 si je souhaite accèder à un serveur IPv6 ; Est-ce que je pourais utiliser un serveur Teredo (à la place d’un reverse proxy) pour changer les adresses IPv4 des clients/internautes en adresses IPv6 !?

C’est peut-être une bonne direction vers la solution :confused: A essayer :slight_smile:

//–

Un client Teredo est un hôte qui dispose d’une connectivité IPv4 à l’Internet derrière un NAT et utilise le protocole de tunneling Teredo pour accéder à l’Internet IPv6. Les clients Teredo reçoivent une adresse IPv6 qui commence par le préfixe Teredo 2001:0000::/32

//–

Le protocole Teredo, “Tunneling IPv6 over UDP through NAT”
LinuxTrack.net : [Tuto]Pinguer une adresse ipv6 avec miredo
Da Linux French Page : Windows 7 fait des tunnels IPV6 automatiques oO ?

Cordialement,
Romain

Pour moi, non… c’est un plâtre sur une jambe de bois pour fainéant qui se cherche des excuses à ne pas s’y mettre !
Maintenant, ATTENTION, je ne dis pas que c’est ce que tu es - c’est un constat que je dresse et je ne suis pas le seul !

Se former à IPv6 n’est pas si compliqué - bien qu’il soit vrai, c’est différent d’IPv4, sous certains aspects : je ne parle pas bien sûr de l’adressage IPv6 qui lui-même est en 128 bits, mais de la logique et dans la gestion.
Je suis loin d’avoir tout compris, loin s’en faut, néanmoins tu peux sans trop de soucis, t’y mettre réellement déjà !

Pour démarrer avec un adressage IPv6, tu peux te servir du service gratuit de HE.net, à savoir http://tunnelbroker.net/ - cela te permettra de créer un tunnel et d’obtenir ainsi un adressage IPv6 fonctionnel assurément…
Dans le même laps de temps, tu cherches à apprendre ce qu’est IPv6 et ensuite à le comprendre, qu’il y a différents réseaux possibles, certains communiquant seulement sur un réseau privé, d’autres vers l’extérieur, etc… - oui, tu peux avoir de l’adressage IPv6 totalement “invisible” du grand réseau !
Je te promets ce n’est pas compliqué, parfois “frustrant” car cela te fait revoir les bases réseaux, et t’oblige à penser différemment d’IPv4.
Notre apprentissage - à la dur" - nous a bien fait comprendre qu’IPv6 est vraiment soumis à ICMPv6, il en est très dépendant - et quand tu veux faire mumuse avec, au-travers d’une pare-feu, soit en amont, soit en local… tu comprends très vite son interdépendance, et combien il faut être “très fin”. Je dis notre parce qu’entre @thuban, @22decembre, et moi-même, on s’est “posé beaucoup de questions” pour y arriver - et @22decembre a été très patient avec moi-même… :stuck_out_tongue:

Au final, une fois que tu auras commencé à maîtriser - j’ai bien écrit “commencé” - tu pourras même passer les certifications d’HE. http://ipv6.he.net/certification - qui bien sûr ne communique que sur IPv6, et à-propos d’IPv6 ! :wink:

Voilà, pourquoi je dis et j’écris ce que j’ai écris en première ligne et qui fera certainement hurler plus d’un faignéant et autres “je m’en-foutisme”, sans oublier tous ceux qui cherchent toutes les raisons possibles et inimaginables pour ne pas y passer ! :XD

2 J'aime

Des tutoriels que j’ai écris : http://www.zw3b.fr/internet-protocol-v6-deploiement-ips

Mais comment ? par exemple :

Si j’ai le réseau (prefixe IPv6 - compte client) : 2001:bc8:25bb::/48
J’ai mon bloc online.net d’adresses IPv6 pour mes serveurs : 2001:bc8:25bb:ff00:/56
(ff00 adresse multicast qui peut appeler un fc ou fd ou un fe liens local 8 de l’organisation (prefixe client), 5 du site, 0 global)

  1. par exemple le serveur 1 : 2001:bc8:25bb:ff01:/64
  2. par exemple le serveur 2 : 2001:bc8:25bb:ff02:/64

Avec chacun leurs réseaux (vlan) et leurs liens locaux fe80::/64

Je me dirais par exemple l’adresse IPv6 2001:bc8:25bb:fd01::/64 pour le réseau local 1 (par exemple représentant le batiment1 et tous ses sous-réseaux).

En fait, je cherche une solution native à l’Operating System pour accéder aux sites non dual-stack : site pile IPv6 venant d’un réseau IPv4 et réseau IPv6 voulant accéder à un site IPv4 (seulement).

Logiquement pour accéder à tous les routeurs du compte client.
ping6 -n 2001:bc8:25bb:ff01:0:0:0:2
All Routers Address of Adresses Node-Local Scope Multicast

Et logiquement pour accèder aux DHCPd du site local.
ping6 -n 2001:bc8:25bb:ff05:0:0:1:3
All-dhcp-servers of Adresses Site-Local Scope Multicast

Cf : https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml

Ai-je bien compris !?

À-priori, non - mais je peux me tromper - il me semble que tu confonds le type d’adressage.

tu discuteras avec tes routeurs, soit, sur :

  • un lien de type noeud local en multicast, directement par l’adressage FF01:0:0:0:0:0:0:2 ou son abrégé ff01::2
  • ou par un lien de type lien local en multicast, directement par l’adressage FF02:0:0:0:0:0:0:2, ou son abrégé ff02::2
  • voire par un lien de type site local en multicast, directement par l’adressage FF05:0:0:0:0:0:0:2, ou son abrégé ff05::2

Quand tu écris cela : 2001:bc8:25bb:ff01:0:0:0:2 - j’ai le sentiment, et là, je peux assurément me tromper, tu fais un mélange inadéquate entre lien global et lien local ; je ne pense pas que cela fonctionne.

En reprenant ton préfixe /48, à savoir 2001:bc8:25bb::/48 :

  • est-ce que c’est toi qui a fixé ce bloc 2001:bc8:25bb:ff00:/56 ou est-ce un impératif fixé par online ?

Restons dans ce bloc /56…

  1. ton premier serveur : 2001:bc8:25bb:ff00::1/64
  2. ton second serveur : 2001:bc8:25bb:ff00::2/64

Car à moins que je ne me trompe mais 2001:bc8:25bb:ff01:/64 et 2001:bc8:25bb:ff02:/64, tu es hors plage !
Une calculatrice IPv6 peut t’aider à la comprendre, puisque - si je comprends bien 2001:bc8:25bb:ff00:/56 est la dernière plage permise dans le préfixe /56.

Ton premier bloc réseau peut être, tout simplement : 2001:bc8:25bb::/64

voili, voilou. En espérant avoir tout bon :smiley:

À-priori, ça n’existe pas, du moins pas nativement !
Si tu n’a pas une passerelle NAT, de ce que j’ai compris exactement, tu ne pourras pas “traduire” et discuter… Teredo semble être ce que tu recherches, sans être natif bien-sûr…


PS : en passant, corrige ton lien vers mon site : https://blog.stephane-huc.net/securite/firewall/linux-firewall-icmpv6 :wink:

C’est online qui l’a fixé.

Oui pardon … ce serait plutot une route slash 56 pour accèder à tout les serveurs :

  1. par exemple le serveur 1 : 2001:bc8:25bb:ff01::/64
  2. par exemple le serveur 2 : 2001:bc8:25bb:ff02::/64

Si par exemple j’envoie un ip -6 address add 2001:bc8:25bb:ff01:/56 dev vmbr0
je vois la route qui s’ajoute : 2001:bc8:25bb:ff00:/56 dev vmbr0 comme ceci ; me signilant que je peut accèder à tous les réseaux commencant par 2001:bc8:25bb:ff:: me semble t’il.
C’est pour çà que je pensais, par ex, sur une carte
avec comme adresse IPv6 :
2001:bc8:25bb:ff00:1ab:3b:1ac0:1/56
je pourais atttraper le serveur :
2001:bc8:25bb:ff01:1ab:3a:1ac1:2/56 logiquement.

OKay pour ton lien. J’ai changé mes liens.

Tu veut pas faire un rewrite (de toutes tes pages :/) çà m’arrangerait :slight_smile: ^^ Je t’ai linké sur plusieurs docs.
Quelque chose comme cela (pas exactement çà) :

RewriteRule ^\?post/Linux-firewall-ICMPv6(.*) /securite/firewall/linux-firewall-icmpv6 [R=301,L]

C’est exactement cela qu’j’pense. Donc 2001:bc8:25bb:ffff:ffff:ffff:ffff/64 peut accéder à 2001:bc8:25bb:fe80:ffff:ffff:ffff/64 pour une adresse de routeur/relay/node scope - organisation-sites ? 2001:bc8:25bb:fe85:ffff:ffff:ffff/64 local-sites ?

Pour les liens SWAN (Secure Wide Area Network) inter-sites :slight_smile: du même réseau, de la même organisation.

Est-ce cela !? si çà peut aider :slight_smile:

Merci.

Je sais bien - mais Dokuwiki n’en veut pas - même si je sais la paramétrer pour nginx !


Le reste me semble un peu trop complexe à mon goût - celui qui pourrait te répondre à coup sûr, normalement, c’est @clochette, voire mieux @PascalHambourg !

1 J'aime

Qui ose invoquer Mon nom et troubler Mon repos ?

Ce draft me semble être une vaste farce. Pourtant d’après sa date de publication ce n’est pas une des fameuses “RFC du 1e avril”.

Alors pourquoi le vois-je encore dans Support Debian et pas dans Pause café ?

Teredo est un mécanisme de tunnel (encapsulation IPv6 dans IPv4). Il ne change pas les adresses IPv4 des clients, il leur attribue des adresses IPv6. Ça ne remplace pas un reverse proxy, c’est aux clients d’utiliser Teredo.

Pas forcément derrière un NAT.

Tu parles de l’IPv10 ou de Teredo ?

Non. Cf. la réponse de @PengouinPdt.

  1. Cette notation n’est pas une adresse IPv6 valide. Il manque la fin de l’adresse ou :.
  2. On utilise généralement des préfixes /64 sur les LAN car ce sont les seuls qui fonctionnent avec l’autoconfiguration sans état.

Quel reste ?

Oups - juste un oubli ! :smiley:
(d’ailleurs, réparé)

(rahhh, j’arrive pas à faire une copie correcte du message)
IPv10 , et/ou se chercher des excuses pour ne pas se mettre sérieusement à IPv6 - que ce soit IPv10 ou autre chose du même acabit, voire rien du tout à la place d’IPv4 !

Sa réponse précédente à ton message - bien sûr, pas la partie concernant l’URL Rewriting qu’il me propose, mais celle où il essaye de s’appliquer à comprendre… l’adressage de routeur, noeud, voire les liens SWAN - ce dernier, c’est même la première fois que j’en entends parler, désolé.
Donc, je m’abstiens de répondre plus - et me doutes que tu dois être plus à même de lui, nous expliquer plus avant, non ?!

J’ai le sentiment qu’il mélange deux formes d’adressages IPv6, non ?!
C’est pas faute d’avoir essayé de lui expliquer certaines choses - je dois mal m’y prendre. ???

@PascalHambourg Merci ^^ de comuniquer.
@PengouinPdt … faut suivre :confused:
Pour le plaisir … fait un LAC (xL2TP Access Concentrator), des ports autour du lac ^^, les LNS (xL2TP Network Servers) et pleins de dockers (Virtual Machine ; toi !?) qui y travaillent ^^ en IPSec v6 ^^

Howto VPN serveur : IPSec + XL2TP (Site IPv6 only) http://howto.zw3b.net/linux/securite/howto-vpn-serveur-ipsec-xl2tp pour faire son réseau extranet, inter-connexions sécurisées entre sites (entités) de sociétés/organisations. Accès au réseau d’entreprise, possible, en mode personnel (nomade) depuis un smarthphone ou un ordinateur personnel.

Routes IPv6 :

13:35:52 root@zwb:~ $ ip -6 r show
local ::1 dev lo  proto kernel  metric 256  pref medium
2001:bc8:25bb:ff00:1ab3:3a:10c:0/112 dev ppp0  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3a:c10d:0/112 dev ppp0  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3a::/96 dev ppp0  proto kernel  metric 256  pref medium
2001:bc8:25bb:ff00:1ab3:3a::/96 dev ppp0  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3b:1ac0:0/112 dev vmbr1  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3b::/96 dev vmbr1  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3e:1ac1:0/112 dev ppp1  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3e::/96 dev ppp1  proto kernel  metric 256  pref medium
2001:bc8:25bb:ff00:1ab3:3e::/96 dev ppp1  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3::/88 dev vmbr0  metric 1024  pref medium
2001:bc8:25bb:ff00:1ab3:3c01::/96 dev vmbr2  proto kernel  metric 256 linkdown  pref medium
2001:bc8:25bb:ff00::/56 dev vmbr0  proto kernel  metric 256  pref medium
2001:bc8:25bb:ff00::/56 dev vmbr1  proto kernel  metric 256  pref medium
2001:bc8:25bb::/48 dev vmbr0  metric 1024  pref medium
fe80::/64 dev vmbr0  proto kernel  metric 256  pref medium
fe80::/64 dev vmbr1  proto kernel  metric 256  pref medium
default via fe80::281:c4ff:fe5f:c91d dev vmbr0  proto ra  metric 1024  expires 10sec hoplimit 64 pref medium

PS : Chez online.net j’ai une passerelle en fe80::/64 c’est bizarre cela non ? Avez-vous la même gateway !?

Routes IPv4 :

14:09:45 root@zwb:~ $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         62.210.205.1    0.0.0.0         UG    0      0        0 vmbr0
10.6.0.0        0.0.0.0         255.255.255.0   U     0      0        0 ppp1
10.6.42.0       0.0.0.0         255.255.255.0   U     0      0        0 ppp0
10.59.199.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr1
10.106.0.0      0.0.0.0         255.255.255.0   U     0      0        0 ppp1
10.106.42.0     0.0.0.0         255.255.255.0   U     0      0        0 ppp0
62.210.205.0    0.0.0.0         255.255.255.0   U     0      0        0 vmbr0
172.16.5.143    0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
172.16.5.253    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ppp1
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 ppp0

IPSecurity Accosiations :

13:47:56 root@zwb:~ $ ipsec status
Security Associations (2 up, 0 connecting):
L2TP-PSK-NAT[29]: ESTABLISHED 27 hours ago, 62.210.205.199[zw3b.fr]...83.XX.XX.XX[nice.lab3w.fr]
L2TP-PSK-NAT{124}:  INSTALLED, TRANSPORT, ESP in UDP SPIs: ca446ae8_i c5c4588d_o
L2TP-PSK-NAT{124}:   62.210.205.199/32[udp/l2f] === 83.XX.XX.XX/32[udp/l2f] 
L2TP-PSK-NAT[14]: ESTABLISHED 5 days ago, 62.210.205.199[zw3b.fr]...86.XX.XX.XX[dc.lab3w.fr]
L2TP-PSK-NAT{65}:  INSTALLED, TRANSPORT, ESP in UDP SPIs: c9c6737d_i cc5043e2_o
L2TP-PSK-NAT{65}:   62.210.205.199/32[udp/l2f] === 86.XX.XX.XX/32[udp/l2f]

Les routes IPv4/v6 entres les différents sites… IPSec + xL2TP

J’Aime comprendre … pour maîtriser le sujet :slight_smile:

Deux routes global unicast en conflit.

Tu veux dire que l’adresse de routeur de la route par défaut est de type link-local ?
C’est normal, surtout quand elle est apprise par autoconfiguration sans état à partir des annonces de routeur (RA).

PS : on ne s’éloignerait pas du sujet de départ qui est l’IPv10 ?

@PascalHambourg tu travailles chez online.net ?
iL faut que j’install un Proxy NDP pour faire des liens fe80::/64 vers les autres passerelles/routeurs pour mes neighbours (voisins). Est-cela !?

Il faut bien un réseau IPv6 pour tatoner sur l’Ipv10

Cà me semble très bizarre, surtourt qu’en jessaie d’attraper les nodes ou dhcp ou routeur de mon organisation… ff01::2ff05::2 je tombe sur le réseau d’online.net me semble t’il !

Je ne comprends pas ce que tu veux faire, mais la réponse est probablement non.
fe80::/64 est un préfixe non routable présent sur tous les liens, donc je ne vois pas ce qu’un proxy NDP viendrait faire là-dedans.

Non. IPv10 n’est pas IPv6.

Si tu montrais plutôt les commandes et les réponses ?

Tu as bu !? https://tools.ietf.org/html/draft-omar-ipv10-01#section-3

IPv10 :
- IPv6 hosts to IPv4 hosts (6 to 4).
- IPv4 hosts to IPv6 hosts (4 to 6).
- IPv6 hosts to IPv6 hosts (6 to 6).
- IPv4 hosts to IPv4 hosts (4 to 4).

The recent solutions for IPv4 and IPv6 coexistence are:

  • IPv4/IPv6 Dual Stacks.
  • Tunneling.
  • NAT-PT and NAT64.

Où est-il écrit dans ce paragraphe que IPv10 est IPv6 ?
Si c’était le cas, ce serait IPv6 et cette RFC ridicule serait sans objet.

Certes … je pensais bien que tu allais me dire cela ; ce qui est vrai. Comme je te disais il faut bien un réseau IPv4 et un autre IPv6 pour voir si les connexions 4 to 6 communique et vice versas 6 to 4. J’ai dejà mes VHOSTs en dual-stack… J’essaie l’IPv10 - J’ai desactivé la pile IPv4 sur le VHost net.zw3b.fr que j’essaie d’accèder depuis un réseau IPv4.

Sinon l’histoire de IPv6 Teredo en tunneling… si j’ai bien compris… si un client/internaute depuis une adresse IPv4, veut accèder à un site IPv6 … il faut que l’hébergeur dispose d’une adresse IPv4 (comme normalement) et ait un serveur Teredo… pour envoyer l’adresse IPv6 au client pour qu’il puisse accèder à la ressource accessible seulement en IPv6.

Et non. L’absurdité de cette RFC est que son application impose de remplacer tous les réseaux et équipements IPv4 et IPv6 par des réseaux et équipements IPv10 !

Non, pas forcément l’hébergeur. Il faut juste qu’un serveur et un relais Teredo soient accessibles depuis le client IPv4.

Bon… J’vais bossé ^^ :slight_smile:
Sinon c’est quoi le nom du routeur d’online.net celui-ci fe80::281:c4ff:fe5f:c91d ou celui-ci 62.210.205.1 que je lise les spécifications techniques :confused:

Bon c’est un Cisco Nexus 7000 switch (NX-OS 6.0) … aLors : https://www.cisco.com/c/en/us/support/switches/nexus-7000-series-switches/products-release-notes-list.html

Vu qu’il y a un plus grand nombre d’adresses IPv6, on peut configurer à certains endroits des équipement IPv6 et fournir par exemple par rapport à certaines MACAddress sur des relay/DSLAM équipés IPv4, simplement, un DHCPdV6 pour les clients/boxes FAI.

Comme je fais avec un VPN Point-2-Point connecté entre IPv4.
NdMoi ^^ perso, j’n’ai qu’une seule sortie GFibre ou 2 ^^ :slight_smile: pour être Fournisseur d’Accés ^^ Libre.
lL faudrait qu’essaie de faire plusieurs route pour sortir / avec une IPv6 construite selon l’IPv4 #trucs-2-g33k #IPv10

OLSRv6 çà existe ?! ^^ j’sais qu’non à ce moment :s ;p

IPv6 router_ra 1 ou 2 : http://www.bortzmeyer.org/8106.html

Cordialement,
Romain