questions en l'air sur l'ipv6

questions en l'air sur l'ipv6 - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-05-2003 à 12:30:54    

je sais pas grand chose sur l'ipv6 (juste de la culture générale), mais quelques questions me trottent dans la tête:
si je configure mon routeur en ipv6, ainsi que mes postes de travail, il n'y a plus besoin de faire du NAT? Est-il alors possible de surfer sur le net en ipv6 ou seulement sur certains sites? Est-ce une méthode pour parer les incompatibilités avec certains protocoles comme upnp (certes y a igd). Voilà en fait surtout des questions d'ordre pratique... [:xfalken]


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 12:30:54   

Reply

Marsh Posté le 10-05-2003 à 12:51:02    

Je vais essayer ;)
*Plus besoin de nat dans le sens ou chaque machine a une ip publique (ton fai (nerim par exemple le propose en natif ) te fourni un /48 , a ta charge de le configurer comme tu l'entends mais avec  2^80 ips tu as de quoi faire :p )
*Il y a un certain nombre de sites/ftp/serveurs irc ipv6 compliantes mais il est vrai que 99,99% est ipv4 ~.~
*Y a pas trop de rapport avec l'ipv6 la en fait  
un _tres_ bon site www.olympus-zone.net  ;)

Reply

Marsh Posté le 10-05-2003 à 12:52:39    

Tu es obligé de garder l'IPv4 de toute façon pour le moment et tu aura en complément l'IPv6 avec tous les avantages de l'IPv6 sur les connexion IPv6 -- IPv6 :
- plus de nat donc pas d'upnp
- autoconf ...
 
Mais tu ne peux joindre que des hotes IPv6 donc pour surfer tu ne peux surfer en Ipv6 que sur des sites IPv6 : http://www.ipv6.jeanb-net.com :) pareil pour les ftp etc...

Reply

Marsh Posté le 10-05-2003 à 13:02:45    

donc pour l'instant il n'y a aucun intéret pour l'ipv6 (sauf éventuellement pour le WIFI).
Y a un truc que je comprends pas d'ailleurs, c'est que ipv6 est sensé être plus sécurisé et plus "anonyme". Pourtant on a une IP fixe.  :heink:


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 13:04:38    


 
j'ai déjà été sur ce site mais un peu trop technique (ou j'ai pas trouvé les bonnes pages. Je cherche plutôt l'aspect "pratique"


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 13:18:53    

Parce que posseder une  ip 'statique' est sensé etre moins sécurisé qu'une ip 'dynamique' ?
(d'ailleurs en quoi une ip dynamique serait anonyme ? )

Reply

Marsh Posté le 10-05-2003 à 13:19:59    

l'aspect pratique, hum ...
tu fais tout comme en v4 déja .
je vois pas ce que je pourrais te dire de plus ~.~

Reply

Marsh Posté le 10-05-2003 à 13:29:48    

j'ai pas dit qu'une ip dynamique était anonyme. J'ai seulement dit que que j'avais compris que ipv6 était plus secure et plus anonyme (mais je sais pas comment).
 
une ip dynamique me sembl par ailleurs plus sûre en terme de client (c'est à dire le contraire de seveur web, ftp...). Donc pour simplement se connecter au net, le dynamique est mieux, à mon sens, au niveau secu.
 
Pour l'aspect pratique, effectivement, j'ai un peu plus éplucher le site. Il y a beaucoup de choses, mais il manque une FAQ  
 [:xfalken]  
 
Mais bon d'après ce que je comprends :
- on peut faire de l'ipv6 en réseau local et faire du mapping pour aller sur le net (en ipv4)
- on peut faire du net en ipv6 mais seulement pour éccéder à une infime partie du net
 
on peut faire des tunnels (pour aller sur le net) mais là je comprends rien.


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 13:30:55    

Bobor a écrit :

donc pour l'instant il n'y a aucun intéret pour l'ipv6 (sauf éventuellement pour le WIFI).
Y a un truc que je comprends pas d'ailleurs, c'est que ipv6 est sensé être plus sécurisé et plus "anonyme". Pourtant on a une IP fixe.  :heink:  


 
sécurisé à cause de l'intégration d'ipsec déjà
Après plus anonyme car tu as 2 IP : une basée sur la mac qui sert qd tu fait "serveur" d'un service et une anonyme qui se génère au hasard et qui change tous les xx h.

Reply

Marsh Posté le 10-05-2003 à 13:33:14    

Bobor a écrit :


Mais bon d'après ce que je comprends :
- on peut faire de l'ipv6 en réseau local et faire du mapping pour aller sur le net (en ipv4)
- on peut faire du net en ipv6 mais seulement pour éccéder à une infime partie du net
 
on peut faire des tunnels (pour aller sur le net) mais là je comprends rien.


 
Soit tu fais du 6to4, soit du 6over4 (tunnel) soit du 6 natif

Reply

Marsh Posté le 10-05-2003 à 13:33:14   

Reply

Marsh Posté le 10-05-2003 à 13:36:59    

Je@nb a écrit :


 
sécurisé à cause de l'intégration d'ipsec déjà
Après plus anonyme car tu as 2 IP : une basée sur la mac qui sert qd tu fait "serveur" d'un service et une anonyme qui se génère au hasard et qui change tous les xx h.


s'il gère ipsec, comment met-on en oeuvre (jsute le concept  [:lex]) les échanges de clés privées/publiques? Ou alors on utilise ipsec que quand on veut restreindre l'accès au serveur à certains clients. Pour un site web public, je vois pas trop comment c'est mis en oeuvre...
 
pour les ip aléatoires (anonymat), c'est quand même connu du FAI, non?


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 13:39:06    

Je@nb a écrit :


 
Soit tu fais du 6to4, soit du 6over4 (tunnel) soit du 6 natif


si je comprends bien:
- 6to4: réseau local ipv6 et accès au net en ipv4 (mappng)
- 6over4: connection au net en ipv4, et tunnel pour accéder aux sites ipv6 ou pour faire des vpn ipv6
- 6 natif: accès seulement aux sites ipv6
 
j'ai tout bon?  [:lex]


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 13:48:19    

Bobor a écrit :


s'il gère ipsec, comment met-on en oeuvre (jsute le concept  [:lex]) les échanges de clés privées/publiques? Ou alors on utilise ipsec que quand on veut restreindre l'accès au serveur à certains clients. Pour un site web public, je vois pas trop comment c'est mis en oeuvre...
 
pour les ip aléatoires (anonymat), c'est quand même connu du FAI, non?


 
Pour l'IPsec, je ne c pas, g jamais testé, pour l'anonimat c pas connu du FAI, celui ci te donne ton bloc d'ip et après tes machines pioches parmis 2^64 (à qqch près) choix une IP anonyme

Reply

Marsh Posté le 10-05-2003 à 13:54:27    

y a des P2P en ipv6?  [:bigsmilev]  
 
question subsidaire: faire du mapping (6to4) revient à faire du nat? il faut donc des patchs iptables ftp, h323, irc...en ipv6. C'est bien ça? (sauf évidemment si on attaque en ipv6 direct)
 
Par ailleurs si je passe mon réseau local en ipv6 (pour "voir"  
 :) ), il faut que les applis fonctionnent en ipv6 et pas seulement le routage. avec un prxy sur la passerelle, il devrait pas y avoir de problème pour le net, un client ftp doit facilement se trouver, mais pour le reste, il faut que ce soit compatible... le fait d'avoir un routage ipv6 au niveau de l'os n'est pas suffisant.


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 13:58:37    

Bobor a écrit :


pour les ip aléatoires (anonymat), c'est quand même connu du FAI, non?


elles sont aléatoires dans le bloc que tu as , bloc que connais le FAI évidemment .
Apres si tu pouvais m'expliquer en quoi une ip dynamique est plus sécure , car perso je ne vois aucun avantage , ou si la sensation de pouvoir changer d'ip a la déco ~.~ mais c'est a mettre en parrallele avec la fausse impression que des michants hackers parcourent le net a la recherche de notre ip pour nous la mettre profond ;)
Bref c'est (a mon avis hein ) une fausse idée de sécurité ( tout comme tout utilisateur de windows se sent a l'abris derriere son zone alarm 56.3 & ira clicker comme un imbécile sur le premier executable recu par mail dans son Outlook Express ... )
Bref depuis bientot deux ans que j'ai une ip fixe , j'ai pas eu de problemes de hacking , mon ftp ouvert en écriture en anonyme n'a été taggué qu'une fois ~.~ (en plus j'ai récupéré qu'une merde ~.~).
Il est vrai que d'un autre coté je ne cherche pas a provoquer les Jean Kevin du net .
(c'était mon opinion sur la pseudo sécurité des ips dynamique :p )
 

Reply

Marsh Posté le 10-05-2003 à 14:01:37    

Mikala a écrit :


elles sont aléatoires dans le bloc que tu as , bloc que connais le FAI évidemment .
Apres si tu pouvais m'expliquer en quoi une ip dynamique est plus sécure , car perso je ne vois aucun avantage , ou si la sensation de pouvoir changer d'ip a la déco ~.~ mais c'est a mettre en parrallele avec la fausse impression que des michants hackers parcourent le net a la recherche de notre ip pour nous la mettre profond ;)
Bref c'est (a mon avis hein ) une fausse idée de sécurité ( tout comme tout utilisateur de windows se sent a l'abris derriere son zone alarm 56.3 & ira clicker comme un imbécile sur le premier executable recu par mail dans son Outlook Express ... )
Bref depuis bientot deux ans que j'ai une ip fixe , j'ai pas eu de problemes de hacking , mon ftp ouvert en écriture en anonyme n'a été taggué qu'une fois ~.~ (en plus j'ai récupéré qu'une merde ~.~).
Il est vrai que d'un autre coté je ne cherche pas a provoquer les Jean Kevin du net .
(c'était mon opinion sur la pseudo sécurité des ips dynamique :p )
 
 


 
je ne sais pas comment les michants hacker choisissent leurs ip victimes  [:lex] mais l'ip dynamique protège contre la vengeance  [:xfalken]


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 14:02:13    

Bobor a écrit :


si je comprends bien:
- 6to4: réseau local ipv6 et accès au net en ipv4 (mappng)
- 6over4: connection au net en ipv4, et tunnel pour accéder aux sites ipv6 ou pour faire des vpn ipv6
- 6 natif: accès seulement aux sites ipv6
 
j'ai tout bon?  [:lex]  


 
Non, se sont tous des mécanismes permettant d'accéder aux sites IPv6 :
 
en 6to4 tu as ton bloc d'ipv6 qui est généré en fn de ton IPv4 de la forme 2002:... et après les machines du lan sont configuré avec ce bloc. Tu as un serveur 6to au quel tu envoies tes paquets ipv6 sur l'ipv4 et lui va chercher les info IPv6
 
en 6over4 tu as un tunnel point à point en IPv6 où tu encapsule les données IPv6 dans le paquet IPv4 entre 2 interfaces de tunnels. Les machines LAN sont adressées grace à une plage d'IP que route le fournisseur de tunnel sur l'endpoint de ton tunnel
 
En IPv6 natif tu prend ta configuration IPv4 et tu changes le 4 par 6. Sauf que au lieu de te donner une IP on t'en donne pleins.
 
Par exemple, moi Nerim me fourni l'IPv6 de manière native, donc j'ai pas de tunnel, je passe direct en IPv6 sur les liens et je fourni à des potes et à des serveurs un tunnel IPv6 avec chez un une /64 pour qu'il adresse ses machines. Dans ce cas, les paquets qu'il émet ou qu'il reçoit passent par machine et sont encapsulés pour aller chez lui par le réseau IPv4 et une fois chez lui elles sont décapsulées et il voit des paquets IPv6

Reply

Marsh Posté le 10-05-2003 à 14:04:44    

Bobor a écrit :

y a des P2P en ipv6?  [:bigsmilev]  
 
question subsidaire: faire du mapping (6to4) revient à faire du nat? il faut donc des patchs iptables ftp, h323, irc...en ipv6. C'est bien ça? (sauf évidemment si on attaque en ipv6 direct)
 
Par ailleurs si je passe mon réseau local en ipv6 (pour "voir"  
 :) ), il faut que les applis fonctionnent en ipv6 et pas seulement le routage. avec un prxy sur la passerelle, il devrait pas y avoir de problème pour le net, un client ftp doit facilement se trouver, mais pour le reste, il faut que ce soit compatible... le fait d'avoir un routage ipv6 au niveau de l'os n'est pas suffisant.


 
Le P2P de M$ est IPv6 ready je sais  :whistle:  
 
Sinon le 6to4 c pas ce que tu dis :)
 
Sinon oui il faut des applis IPv6 ready, sous linux c'est facile à trouver, sous win c chiand. Pour les clients FTP IPv6 ready sous win il i a le ftp.exe de win et ncftp patché IPv6

Reply

Marsh Posté le 10-05-2003 à 14:06:59    

Bobor a écrit :

y a des P2P en ipv6?  [:bigsmilev]  
 
question subsidaire: faire du mapping (6to4) revient à faire du nat? il faut donc des patchs iptables ftp, h323, irc...en ipv6. C'est bien ça? (sauf évidemment si on attaque en ipv6 direct)
 
Par ailleurs si je passe mon réseau local en ipv6 (pour "voir"  
 :) ), il faut que les applis fonctionnent en ipv6 et pas seulement le routage. avec un prxy sur la passerelle, il devrait pas y avoir de problème pour le net, un client ftp doit facilement se trouver, mais pour le reste, il faut que ce soit compatible... le fait d'avoir un routage ipv6 au niveau de l'os n'est pas suffisant.


sur ton lan pas besoin de faire du tunnel , tu le mets en natif simplement ;)
apres un _pur_ lan ipv6 (donc ou il n'y aurait pas un brin d'ipv4 ) il faudra effectivement un tunnel sur le serveur  
En ce qui concerne les clients :
lftp,ncfp sont ipv6 complians
bitchx,irssi,xchat,kvirc de meme
courier est ipv6 natif, sendmail aussi si je ne m'abuse , il faut un patch pour postfix 1.x , le support étant natif dans la 2.x je crois bien , & un patch pour le truc non libre qmail .
au niveau des navigateurs , mozilla est v6 compliant :)
y a des patchs v6 tetrinet etc etc
il faut regarder sur ce site www.kame.net pour une idée des applis disponibles ;)
ip6tables est déja dispo (option compil du kernail )
en ce qui concerne les *BSD ils sont bcp plus avancés ( a part open qui a l'air de suckser des ours séveres pour l'ipv6 natif :D )
fait du mapping 6to4 n'est pas vraiment faire du nat , tu encapsules les packets v6 en fait pour les faire passer dans du v4 c'est pas du NAT quoi ;)

Reply

Marsh Posté le 10-05-2003 à 14:09:35    

Bobor a écrit :


 
je ne sais pas comment les michants hacker choisissent leurs ip victimes  [:lex] mais l'ip dynamique protège contre la vengeance  [:xfalken]  


si c'est un sauvage il se contentera de scanner le bloc sur lequel tu es & effectueras une vengeance a l'aveugle :D

Reply

Marsh Posté le 10-05-2003 à 14:21:17    

Je@nb a écrit :

en 6to4 tu as ton bloc d'ipv6 qui est généré en fn de ton IPv4 de la forme 2002:... et après les machines du lan sont configuré avec ce bloc. Tu as un serveur 6to au quel tu envoies tes paquets ipv6 sur l'ipv4 et lui va chercher les info IPv6
 
en 6over4 tu as un tunnel point à point en IPv6 où tu encapsule les données IPv6 dans le paquet IPv4 entre 2 interfaces de tunnels. Les machines LAN sont adressées grace à une plage d'IP que route le fournisseur de tunnel sur l'endpoint de ton tunnel
 
En IPv6 natif tu prend ta configuration IPv4 et tu changes le 4 par 6. Sauf que au lieu de te donner une IP on t'en donne pleins.
 
Par exemple, moi Nerim me fourni l'IPv6 de manière native, donc j'ai pas de tunnel, je passe direct en IPv6 sur les liens et je fourni à des potes et à des serveurs un tunnel IPv6 avec chez un une /64 pour qu'il adresse ses machines. Dans ce cas, les paquets qu'il émet ou qu'il reçoit passent par machine et sont encapsulés pour aller chez lui par le réseau IPv4 et une fois chez lui elles sont décapsulées et il voit des paquets IPv6


 
Sur nerim en natif (je suis mamadou pour ma part), tu te connectes donc "2 fois": une fois en ipv4 pour aller sur le net, et une fois en ipv6 pour attaquer les tunnels de tes potes. (je sens que j'ai encore rien compris  [:lex] )
 
Si je mets en place un réseau local pur ipv6, il faut donc un tunnel sur le serveur pour permettre au réseau local d'accéder eu net ipv4. iptables ipv6 ne perlet pas de faire une sorte de nat pour transformer les ipv6 en ipv4?
 
La méthode la plus simple (d'après encore une fois ce que j'ai compris de vos nombreuses et précises explications  :jap: ) est de faire du 6to4. Le réseau local adresse de l'ipv6 sur une base ipv4 donc c'est compatible avec les 2 protocoles. Si l'appli n'est pas compatible ipv6, elle utilisera de manière transparente l'ipv4. Dans le cas inverse l'ipv6 est utilisée.
 
Merci encore pour toutes ces explications :jap:


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 14:22:10    

Mikala a écrit :


si c'est un sauvage il se contentera de scanner le bloc sur lequel tu es & effectueras une vengeance a l'aveugle :D
 


 
c'est un peu furieux de scanner toute une ville pour une ch'tite vengeance  :pt1cable:


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 14:34:47    

Bobor a écrit :


 
Sur nerim en natif (je suis mamadou pour ma part), tu te connectes donc "2 fois": une fois en ipv4 pour aller sur le net, et une fois en ipv6 pour attaquer les tunnels de tes potes. (je sens que j'ai encore rien compris  [:lex] )


 
Non, sur mon interface PPP, j'ai 2 IP : une IPv4 et une IPv6 (pas globale par contre, juste un lien local entre le LNS et moi :


May  9 22:17:30 jeanb-net pppd[222]: local  LL address fe80::715b:67a4:4037:d0af
May  9 22:17:30 jeanb-net pppd[222]: remote LL address fe80::0208:e2ff:fe6a:5c00
May  9 22:17:30 jeanb-net pppd[222]: local  IP address 62.212.115.116
May  9 22:17:30 jeanb-net pppd[222]: remote IP address 62.4.16.253


 
Et après j'ai des interfaces de tunnels vers mes "clients" :
 

tbv6-gnt  Link encap:IPv6-in-IPv4
          inet6 addr: fe80::3ed4:7374/128 Scope:Link
          inet6 addr: 2001:7a8:3774:a6:1::1/126 Scope:Global
          UP POINTOPOINT RUNNING NOARP  MTU:1480  Metric:1
          RX packets:71997 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68169 errors:3 dropped:0 overruns:0 carrier:3
          collisions:0 txqueuelen:0
          RX bytes:34404034 (32.8 MiB)  TX bytes:10481618 (9.9 MiB)


Là c de mon coté et de l'autre :

ipv6-jeanb Lien encap:IPv6-dans-IPv4
          adr inet6: fe80::a01:10a/128 Scope:Lien
          adr inet6: 2001:7a8:3774:a6:1::2/126 Scope:Global
          UP POINTOPOINT RUNNING NOARP  MTU:1472  Metric:1
          RX packets:60699 errors:0 dropped:0 overruns:0 frame:0
          TX packets:63418 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:7502315 (7.1 MiB)  TX bytes:27663755 (26.3 MiB)


 
 

Bobor a écrit :


Si je mets en place un réseau local pur ipv6, il faut donc un tunnel sur le serveur pour permettre au réseau local d'accéder eu net ipv4. iptables ipv6 ne perlet pas de faire une sorte de nat pour transformer les ipv6 en ipv4?


 
Non, il te faut un tunnel over IPv4 pour accéder aux sites IPv6. L'ipv4 tu l'as (multihoming)

Bobor a écrit :


La méthode la plus simple (d'après encore une fois ce que j'ai compris de vos nombreuses et précises explications  :jap: ) est de faire du 6to4. Le réseau local adresse de l'ipv6 sur une base ipv4 donc c'est compatible avec les 2 protocoles. Si l'appli n'est pas compatible ipv6, elle utilisera de manière transparente l'ipv4. Dans le cas inverse l'ipv6 est utilisée.
 
Merci encore pour toutes ces explications :jap:  


Le mieux est à mon gout le 6over4
Sinon, si tu transforme les adresses IPv6 en IPv4 comment tu fais pour accéder aux serveur IPv6 puisque il voit de l'ipv4 ?
 
Et il te faut les applis. Par défaut les appli essaient de se connecter en v6 sur un dns qui renvoie v6 et v4 et si il i arrive pas il passe en v4.

Reply

Marsh Posté le 10-05-2003 à 14:43:10    

Bobor a écrit :


 
Sur nerim en natif (je suis mamadou pour ma part), tu te connectes donc "2 fois": une fois en ipv4 pour aller sur le net, et une fois en ipv6 pour attaquer les tunnels de tes potes. (je sens que j'ai encore rien compris  [:lex] )
 
Si je mets en place un réseau local pur ipv6, il faut donc un tunnel sur le serveur pour permettre au réseau local d'accéder eu net ipv4. iptables ipv6 ne perlet pas de faire une sorte de nat pour transformer les ipv6 en ipv4?
 
La méthode la plus simple (d'après encore une fois ce que j'ai compris de vos nombreuses et précises explications  :jap: ) est de faire du 6to4. Le réseau local adresse de l'ipv6 sur une base ipv4 donc c'est compatible avec les 2 protocoles. Si l'appli n'est pas compatible ipv6, elle utilisera de manière transparente l'ipv4. Dans le cas inverse l'ipv6 est utilisée.
 
Merci encore pour toutes ces explications :jap:  


*tu n'es connecté qu'une fois  
tu as simplement une ipv4 & une ipv6 'locale' qui te sont attribués sur ton lien ppp .

mikala@emmanuelle:~$ ip addr show ppp0
4403: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1492 qdisc htb qlen 3
    link/ppp
    inet 80.65.224.163 peer 62.4.16.242/32 scope global ppp0
    inet6 fe80::38b6:d15:30aa:7010/10 scope link


Il te faut apres ( car tout n'est pas encore parfait ) attribué une ipv6 a une de tes interfaces style eth1 ou eth0 ( ou les deux  :D ) & tu annonces ( si tu te sers de radvd pour l'autoconf du réseau ) un /64 tiré du /48 fourni sur ton réseau ( l'ip attribué a une interface devant logiquement a partir au /64 annoncé :D , les /64 annoncés étant différents sur chaque interface).
Ensuite les machines derrieres se configuront tout seules obtenant deux ips , une fixe basé sur la mac de la carte réseau recevant l'ip & une variable généré aléatoirement .
Il faut aussi annoncer la route car ca marche pas encore :D
(mais vu que tu ne conf ton truc qu'une seule fois tu t'en fous un peu  :p )
 
 
 
*il te faudra un tunnel si ton réseau est _pur_ v6 ( donc aucune des cartes du  réseau n'ayant d'ipv4 )
ip6tables ne le permet pas a ma connaissance (mais vu ce que je connais [:cupra]
 
* la plus simple est le natif  ;)
ensuite les applis compatibles font d'abord la requete en v6 avant de passer en v4 efffectivement ;)
 
edit : grillé :/


Message édité par mikala le 10-05-2003 à 14:44:46
Reply

Marsh Posté le 10-05-2003 à 15:01:35    

Récapitulons:
- 6over4:

machine ipv6 (ips fournies par tunnel broker)  
->tunnel (nerim dans ton cas sinon tunnel broker) et accès en ipv4 (les ipv6 sont encapsulées)
->tunnel destinataire avec transport en ipv6
->destinataire ipv6


Le tunnel est en quelque sorte un "FAI ipv6" (au niveau ip pas connection en dure). Les applis ipv6 utilisent ce "FAI3, les autres le FAI standard.
 
 
-6to4: c'est pas très clair. C'est grosso modo transparent. Si le destinataire et le client comprennent l'ipv6, ils l'utilisent sinon c'est en ipv4. le "serveur 6to4" est un tunnel à l'instar des tunnels broker? Mais dans ce cas, je ne comprends pas trop son rôle.
 
- 6natif, le plus simple  [:xfalken] mais accès qu'aux sites ipv6  :sweat: et il faut quand même passer par un tunnel broker pour avoir un bloc d'ips v6 publiques.


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 15:06:17    

je viens de dire une bêtise en relisant, en ipv6 natif, j'ai accès aux sites ipv4 par multihomming ( :heink: ). Il faut quand même un tunnel (chez un broker) pour accéder aux sites ipv6.


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 15:14:37    

En IPv6 natif, tu n'a pas de correspondance avec la pile IPv4
Les 2 sont indépendants
 
En 6over4 il y a comme g dit encapsulation des paquets IPv6 dans l'IPv4 ça c entre les 2 points du tunnel :
 
Machine A [paquet IPv6] -- encapsulation [[paquet IPv6]IPv4] -- diffusion sur le réseau IPv4 -- [[paquet IPv6]IPv4] -- décapsulation -- [paquet IPv6] Machine B
 
Après par éxemple si la machine A est sur un LAN en IPv6 natif tu rajoute avant la machine A : Machine A2 [paquet IPv6] -- Machine A [paquet IPv6]

Reply

Marsh Posté le 10-05-2003 à 15:28:36    

Je@nb a écrit :

Non, il te faut un tunnel over IPv4 pour accéder aux sites IPv6. L'ipv4 tu l'as (multihoming)


 
 

En IPv6 natif, tu n'a pas de correspondance avec la pile IPv4
Les 2 sont indépendants

 
 
là, dans ma tête, il y a comme un paradoxe.  
 
Si tout le réseau est ipv6 natif ET ipv4, j'accède à tout, mais si le réseau est ipv6 pur, il faut un tunnel "6to4" (je suis pas sûr du vocabulaire) sur le serveur pour accéder aux sites ipv4.


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 15:31:19    

Oui c'est presque ça.
Si ta un réseau IPv6 natif et que tu n'as pas en // un réseau IPv4 tu n'a accès qu'à l'IPv6. Sinon pour accéder aux site IPv4 depuis une machine IPv6 il te faut un tunnel 4over6 pour faire passer de l'ipv4 sur l'ipv6

Reply

Marsh Posté le 10-05-2003 à 15:33:43    

JoWiLe a écrit :

étant chez nerim, je peux déjà avoir plusieurs IP publiques ? :love:
 
 
 
par contre ip6tables :/


 
Tu peux avoir 2^80 IP v6 gratos, et tu peux avoir une /29 IPv4 mais payante :)

Reply

Marsh Posté le 10-05-2003 à 15:35:23    

Je@nb a écrit :


Machine A [paquet IPv6] -- encapsulation [[paquet IPv6]IPv4] -- diffusion sur le réseau IPv4 -- [[paquet IPv6]IPv4] -- décapsulation -- [paquet IPv6] Machine B
 
Après par éxemple si la machine A est sur un LAN en IPv6 natif tu rajoute avant la machine A : Machine A2 [paquet IPv6] -- Machine A [paquet IPv6]


 
pour le 6over4, maintenant c'est clair. L'encapsulation c'est entre les tunnels. Enfin presque. Tu attaques en ipv6 le tunnel 1 (pouyr l'encapsulation). le transport est en ipv4 vers le second tunnel avec les ipv6 encapsulées (je fais sûrement de l'abus de language avec le terme tunnel). Pourquoi ne pas attaquer directement le second tunnel? Les 2 tunnels sont théoriquement connus du monde ipv6! C'est pour cela que je pensais que les paquets encapsulés étaient en transit entre la machine et le tunnel, et que les tunnels discutaient entre eux en ipv6.
 


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 15:38:18    

Je@nb a écrit :

Oui c'est presque ça.
Si ta un réseau IPv6 natif et que tu n'as pas en // un réseau IPv4 tu n'a accès qu'à l'IPv6. Sinon pour accéder aux site IPv4 depuis une machine IPv6 il te faut un tunnel 4over6 pour faire passer de l'ipv4 sur l'ipv6


et sous linux, quel soft permet de faire du 4over6?


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 15:40:54    

Non, tu as que 1 tunnel, mais un tunnel ça a une entrée et une sortie (endpoints).
Chaque tunnel a :
une IPv6 et une IPv4
Les paquets arrivent sur l'interface IPv6 de la première machine, sont encap pour aller sur l'interface IPv4 de la première, ils se baladent dans le monde IPv4, arrivé à l'autre bout, ils arrivent sur l'interface IPv4 de la 2ème machine, désencapsulation, ils arrivent à l'if IPv6 de la machine 2 et ils vont vers le destinataire.

Reply

Marsh Posté le 10-05-2003 à 15:41:48    

Bobor a écrit :


et sous linux, quel soft permet de faire du 4over6?


 
Ca je ne sais pas. Je c que on peut faire du 6over6 avec le patch USAGI, tu 6ver4, du 4over4 mais pour le 4over6 je ne sais pas. Peutetre que c'est uniquement sous BSD avec la pile Kame  :??:

Reply

Marsh Posté le 10-05-2003 à 15:44:04    

JoWiLe a écrit :


 
donc 8 ip publiques?
 
c pas trop mal... :)


 
8 - 2 vu qu'il y a l'IP du réseau et l'ip de broadcast en général :)

Reply

Marsh Posté le 10-05-2003 à 15:48:25    

Je@nb a écrit :

Non, tu as que 1 tunnel, mais un tunnel ça a une entrée et une sortie (endpoints).
Chaque tunnel a :
une IPv6 et une IPv4
Les paquets arrivent sur l'interface IPv6 de la première machine, sont encap pour aller sur l'interface IPv4 de la première, ils se baladent dans le monde IPv4, arrivé à l'autre bout, ils arrivent sur l'interface IPv4 de la 2ème machine, désencapsulation, ils arrivent à l'if IPv6 de la machine 2 et ils vont vers le destinataire.


Pour le terme tunnel, effectivement je suis conscient de mon abus de language. Je parlerai dorénavant d'entrée et de sortie.
 
Sinon, c'est la logique que je comprends pas. Si je peux accéder à l'entrée en ipv6 depuis la machine 1. Pourquoi ne pas attaquer directement la "sortie", puisque cette dernière appartient au monde ipv6 (et de ses DNS associés), et que moi-même également (puisque je sais attaquer en ipv6 l'entrée).  
 
Et le corrolaire: si l'entrée et la sortie appartiennent au monde ipv6, pourquoi ne discutent-elles pas entre elles directement en ipv6?
 
le tunnel, je le comprendrais si l'encapsulation était entre ma machine et "l'entrée" afin de pénétrer le monde ipv6.


---------------
Gitan des temps modernes
Reply

Marsh Posté le 10-05-2003 à 15:49:13    

JoWiLe a écrit :

étant chez nerim, je peux déjà avoir plusieurs IP publiques ? :love:
 
 
 
par contre ip6tables :/


d'un autre coté je pense pas qu'on cherche a t'emmerder en ipv6 pour l'instant ;).( Bon oki y a eu _un_ flood en ipv6 y a 5-6 mois mais bon on va pas généraliser non plus ;o) )
a pres la syntaxe  est // a iptables donc il suffit de transposer ( il y a je crois quand meme quelques options en moins dans le netfilter mais c'est en regardant / a la conf du kernel )
pour ton login tu changes le net1.nerim.nerim en net1.dual.nerim
le changement est temporaire le temps de migrer tous les lns de la net1 (pour l'instant y a que 50 % qui sont compatibles , le dual forcant le login sur ces lns )
il te faut aussi mailer xavier  ( a ipv6@nerim.net) pour demander l'activation de ton login dual ( a moins que tu ne possedes déja un tunnel car dans ce cas la manip a déja était faite ( mail le quand meme pour rendre ton tunnel ) )
Voila ;)
(ah si profites pour parcourir nerim.comp.ipv6 il est plein de renseignements tres interressants :D )


---------------
Intermittent du GNU
Reply

Marsh Posté le 10-05-2003 à 15:50:30    

Je@nb a écrit :


 
8 - 2 vu qu'il y a l'IP du réseau et l'ip de broadcast en général :)


bah 8 quand meme si tu fais du tunnel :D
(cf manip de teraii sur son site :p )
(bon c'est quand que le prochain /30 passe au tirage au sort :D )


---------------
Intermittent du GNU
Reply

Marsh Posté le 10-05-2003 à 16:00:21    

Mikala a écrit :


bah 8 quand meme si tu fais du tunnel :D
(cf manip de teraii sur son site :p )
(bon c'est quand que le prochain /30 passe au tirage au sort :D )


c pour ça que g dit en général  :D

Reply

Marsh Posté le 10-05-2003 à 16:01:06    

Bobor a écrit :


Pour le terme tunnel, effectivement je suis conscient de mon abus de language. Je parlerai dorénavant d'entrée et de sortie.
 
Sinon, c'est la logique que je comprends pas. Si je peux accéder à l'entrée en ipv6 depuis la machine 1. Pourquoi ne pas attaquer directement la "sortie", puisque cette dernière appartient au monde ipv6 (et de ses DNS associés), et que moi-même également (puisque je sais attaquer en ipv6 l'entrée).  
 
Et le corrolaire: si l'entrée et la sortie appartiennent au monde ipv6, pourquoi ne discutent-elles pas entre elles directement en ipv6?
 
le tunnel, je le comprendrais si l'encapsulation était entre ma machine et "l'entrée" afin de pénétrer le monde ipv6.  


 
 
tout simplement parce que le FAI ne gère pas l'IPv6 sur ces routeurs :)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed