je sais pas grand chose sur l'ipv6 (juste de la culture générale), mais quelques questions me trottent dans la tête:
si je configure mon routeur en ipv6, ainsi que mes postes de travail, il n'y a plus besoin de faire du NAT? Est-il alors possible de surfer sur le net en ipv6 ou seulement sur certains sites? Est-ce une méthode pour parer les incompatibilités avec certains protocoles comme upnp (certes y a igd). Voilà en fait surtout des questions d'ordre pratique...

Je vais essayer
*Plus besoin de nat dans le sens ou chaque machine a une ip publique (ton fai (nerim par exemple le propose en natif ) te fourni un /48 , a ta charge de le configurer comme tu l'entends mais avec  2^80 ips tu as de quoi faire )
*Il y a un certain nombre de sites/ftp/serveurs irc ipv6 compliantes mais il est vrai que 99,99% est ipv4 ~.~
*Y a pas trop de rapport avec l'ipv6 la en fait  
un _tres_ bon site www.olympus-zone.net  

Tu es obligé de garder l'IPv4 de toute façon pour le moment et tu aura en complément l'IPv6 avec tous les avantages de l'IPv6 sur les connexion IPv6 -- IPv6 :
- plus de nat donc pas d'upnp
- autoconf ...
 
Mais tu ne peux joindre que des hotes IPv6 donc pour surfer tu ne peux surfer en Ipv6 que sur des sites IPv6 : http://www.ipv6.jeanb-net.com pareil pour les ftp etc...

donc pour l'instant il n'y a aucun intéret pour l'ipv6 (sauf éventuellement pour le WIFI).
Y a un truc que je comprends pas d'ailleurs, c'est que ipv6 est sensé être plus sécurisé et plus "anonyme". Pourtant on a une IP fixe.  

 
j'ai déjà été sur ce site mais un peu trop technique (ou j'ai pas trouvé les bonnes pages. Je cherche plutôt l'aspect "pratique"

Parce que posseder une  ip 'statique' est sensé etre moins sécurisé qu'une ip 'dynamique' ?
(d'ailleurs en quoi une ip dynamique serait anonyme ? )

l'aspect pratique, hum ...
tu fais tout comme en v4 déja .
je vois pas ce que je pourrais te dire de plus ~.~

j'ai pas dit qu'une ip dynamique était anonyme. J'ai seulement dit que que j'avais compris que ipv6 était plus secure et plus anonyme (mais je sais pas comment).
 
une ip dynamique me sembl par ailleurs plus sûre en terme de client (c'est à dire le contraire de seveur web, ftp...). Donc pour simplement se connecter au net, le dynamique est mieux, à mon sens, au niveau secu.
 
Pour l'aspect pratique, effectivement, j'ai un peu plus éplucher le site. Il y a beaucoup de choses, mais il manque une FAQ  
   
 
Mais bon d'après ce que je comprends :
- on peut faire de l'ipv6 en réseau local et faire du mapping pour aller sur le net (en ipv4)
- on peut faire du net en ipv6 mais seulement pour éccéder à une infime partie du net
 
on peut faire des tunnels (pour aller sur le net) mais là je comprends rien.

 
sécurisé à cause de l'intégration d'ipsec déjà
Après plus anonyme car tu as 2 IP : une basée sur la mac qui sert qd tu fait "serveur" d'un service et une anonyme qui se génère au hasard et qui change tous les xx h.

 
Soit tu fais du 6to4, soit du 6over4 (tunnel) soit du 6 natif

s'il gère ipsec, comment met-on en oeuvre (jsute le concept  ) les échanges de clés privées/publiques? Ou alors on utilise ipsec que quand on veut restreindre l'accès au serveur à certains clients. Pour un site web public, je vois pas trop comment c'est mis en oeuvre...
 
pour les ip aléatoires (anonymat), c'est quand même connu du FAI, non?

si je comprends bien:
- 6to4: réseau local ipv6 et accès au net en ipv4 (mappng)
- 6over4: connection au net en ipv4, et tunnel pour accéder aux sites ipv6 ou pour faire des vpn ipv6
- 6 natif: accès seulement aux sites ipv6
 
j'ai tout bon?  

 
Pour l'IPsec, je ne c pas, g jamais testé, pour l'anonimat c pas connu du FAI, celui ci te donne ton bloc d'ip et après tes machines pioches parmis 2^64 (à qqch près) choix une IP anonyme

y a des P2P en ipv6?    
 
question subsidaire: faire du mapping (6to4) revient à faire du nat? il faut donc des patchs iptables ftp, h323, irc...en ipv6. C'est bien ça? (sauf évidemment si on attaque en ipv6 direct)
 
Par ailleurs si je passe mon réseau local en ipv6 (pour "voir"  
  ), il faut que les applis fonctionnent en ipv6 et pas seulement le routage. avec un prxy sur la passerelle, il devrait pas y avoir de problème pour le net, un client ftp doit facilement se trouver, mais pour le reste, il faut que ce soit compatible... le fait d'avoir un routage ipv6 au niveau de l'os n'est pas suffisant.

elles sont aléatoires dans le bloc que tu as , bloc que connais le FAI évidemment .
Apres si tu pouvais m'expliquer en quoi une ip dynamique est plus sécure , car perso je ne vois aucun avantage , ou si la sensation de pouvoir changer d'ip a la déco ~.~ mais c'est a mettre en parrallele avec la fausse impression que des michants hackers parcourent le net a la recherche de notre ip pour nous la mettre profond
Bref c'est (a mon avis hein ) une fausse idée de sécurité ( tout comme tout utilisateur de windows se sent a l'abris derriere son zone alarm 56.3 & ira clicker comme un imbécile sur le premier executable recu par mail dans son Outlook Express ... )
Bref depuis bientot deux ans que j'ai une ip fixe , j'ai pas eu de problemes de hacking , mon ftp ouvert en écriture en anonyme n'a été taggué qu'une fois ~.~ (en plus j'ai récupéré qu'une merde ~.~).
Il est vrai que d'un autre coté je ne cherche pas a provoquer les Jean Kevin du net .
(c'était mon opinion sur la pseudo sécurité des ips dynamique )
 

 
je ne sais pas comment les michants hacker choisissent leurs ip victimes   mais l'ip dynamique protège contre la vengeance  

 
Non, se sont tous des mécanismes permettant d'accéder aux sites IPv6 :
 
en 6to4 tu as ton bloc d'ipv6 qui est généré en fn de ton IPv4 de la forme 2002:... et après les machines du lan sont configuré avec ce bloc. Tu as un serveur 6to au quel tu envoies tes paquets ipv6 sur l'ipv4 et lui va chercher les info IPv6
 
en 6over4 tu as un tunnel point à point en IPv6 où tu encapsule les données IPv6 dans le paquet IPv4 entre 2 interfaces de tunnels. Les machines LAN sont adressées grace à une plage d'IP que route le fournisseur de tunnel sur l'endpoint de ton tunnel
 
En IPv6 natif tu prend ta configuration IPv4 et tu changes le 4 par 6. Sauf que au lieu de te donner une IP on t'en donne pleins.
 
Par exemple, moi Nerim me fourni l'IPv6 de manière native, donc j'ai pas de tunnel, je passe direct en IPv6 sur les liens et je fourni à des potes et à des serveurs un tunnel IPv6 avec chez un une /64 pour qu'il adresse ses machines. Dans ce cas, les paquets qu'il émet ou qu'il reçoit passent par machine et sont encapsulés pour aller chez lui par le réseau IPv4 et une fois chez lui elles sont décapsulées et il voit des paquets IPv6

 
Le P2P de M$ est IPv6 ready je sais    
 
Sinon le 6to4 c pas ce que tu dis
 
Sinon oui il faut des applis IPv6 ready, sous linux c'est facile à trouver, sous win c chiand. Pour les clients FTP IPv6 ready sous win il i a le ftp.exe de win et ncftp patché IPv6

sur ton lan pas besoin de faire du tunnel , tu le mets en natif simplement
apres un _pur_ lan ipv6 (donc ou il n'y aurait pas un brin d'ipv4 ) il faudra effectivement un tunnel sur le serveur  
En ce qui concerne les clients :
lftp,ncfp sont ipv6 complians
bitchx,irssi,xchat,kvirc de meme
courier est ipv6 natif, sendmail aussi si je ne m'abuse , il faut un patch pour postfix 1.x , le support étant natif dans la 2.x je crois bien , & un patch pour le truc non libre qmail .
au niveau des navigateurs , mozilla est v6 compliant
y a des patchs v6 tetrinet etc etc
il faut regarder sur ce site www.kame.net pour une idée des applis disponibles
ip6tables est déja dispo (option compil du kernail )
en ce qui concerne les *BSD ils sont bcp plus avancés ( a part open qui a l'air de suckser des ours séveres pour l'ipv6 natif )
fait du mapping 6to4 n'est pas vraiment faire du nat , tu encapsules les packets v6 en fait pour les faire passer dans du v4 c'est pas du NAT quoi

si c'est un sauvage il se contentera de scanner le bloc sur lequel tu es & effectueras une vengeance a l'aveugle

 
Sur nerim en natif (je suis mamadou pour ma part), tu te connectes donc "2 fois": une fois en ipv4 pour aller sur le net, et une fois en ipv6 pour attaquer les tunnels de tes potes. (je sens que j'ai encore rien compris   )
 
Si je mets en place un réseau local pur ipv6, il faut donc un tunnel sur le serveur pour permettre au réseau local d'accéder eu net ipv4. iptables ipv6 ne perlet pas de faire une sorte de nat pour transformer les ipv6 en ipv4?
 
La méthode la plus simple (d'après encore une fois ce que j'ai compris de vos nombreuses et précises explications   ) est de faire du 6to4. Le réseau local adresse de l'ipv6 sur une base ipv4 donc c'est compatible avec les 2 protocoles. Si l'appli n'est pas compatible ipv6, elle utilisera de manière transparente l'ipv4. Dans le cas inverse l'ipv6 est utilisée.
 
Merci encore pour toutes ces explications

 
c'est un peu furieux de scanner toute une ville pour une ch'tite vengeance  

 
Non, sur mon interface PPP, j'ai 2 IP : une IPv4 et une IPv6 (pas globale par contre, juste un lien local entre le LNS et moi :

 
Et après j'ai des interfaces de tunnels vers mes "clients" :
 

Là c de mon coté et de l'autre :

 
Non, il te faut un tunnel over IPv4 pour accéder aux sites IPv6. L'ipv4 tu l'as (multihoming)

Le mieux est à mon gout le 6over4
Sinon, si tu transforme les adresses IPv6 en IPv4 comment tu fais pour accéder aux serveur IPv6 puisque il voit de l'ipv4 ?
 
Et il te faut les applis. Par défaut les appli essaient de se connecter en v6 sur un dns qui renvoie v6 et v4 et si il i arrive pas il passe en v4.

*tu n'es connecté qu'une fois  
tu as simplement une ipv4 & une ipv6 'locale' qui te sont attribués sur ton lien ppp .

Il te faut apres ( car tout n'est pas encore parfait ) attribué une ipv6 a une de tes interfaces style eth1 ou eth0 ( ou les deux   ) & tu annonces ( si tu te sers de radvd pour l'autoconf du réseau ) un /64 tiré du /48 fourni sur ton réseau ( l'ip attribué a une interface devant logiquement a partir au /64 annoncé , les /64 annoncés étant différents sur chaque interface).
Ensuite les machines derrieres se configuront tout seules obtenant deux ips , une fixe basé sur la mac de la carte réseau recevant l'ip & une variable généré aléatoirement .
Il faut aussi annoncer la route car ca marche pas encore
(mais vu que tu ne conf ton truc qu'une seule fois tu t'en fous un peu   )
 
 
 
*il te faudra un tunnel si ton réseau est _pur_ v6 ( donc aucune des cartes du  réseau n'ayant d'ipv4 )
ip6tables ne le permet pas a ma connaissance (mais vu ce que je connais
 
* la plus simple est le natif  
ensuite les applis compatibles font d'abord la requete en v6 avant de passer en v4 efffectivement
 
edit : grillé

Récapitulons:
- 6over4:

Le tunnel est en quelque sorte un "FAI ipv6" (au niveau ip pas connection en dure). Les applis ipv6 utilisent ce "FAI3, les autres le FAI standard.
 
 
-6to4: c'est pas très clair. C'est grosso modo transparent. Si le destinataire et le client comprennent l'ipv6, ils l'utilisent sinon c'est en ipv4. le "serveur 6to4" est un tunnel à l'instar des tunnels broker? Mais dans ce cas, je ne comprends pas trop son rôle.
 
- 6natif, le plus simple   mais accès qu'aux sites ipv6   et il faut quand même passer par un tunnel broker pour avoir un bloc d'ips v6 publiques.

je viens de dire une bêtise en relisant, en ipv6 natif, j'ai accès aux sites ipv4 par multihomming ( ). Il faut quand même un tunnel (chez un broker) pour accéder aux sites ipv6.

En IPv6 natif, tu n'a pas de correspondance avec la pile IPv4
Les 2 sont indépendants
 
En 6over4 il y a comme g dit encapsulation des paquets IPv6 dans l'IPv4 ça c entre les 2 points du tunnel :
 
Machine A [paquet IPv6] -- encapsulation [[paquet IPv6]IPv4] -- diffusion sur le réseau IPv4 -- [[paquet IPv6]IPv4] -- décapsulation -- [paquet IPv6] Machine B
 
Après par éxemple si la machine A est sur un LAN en IPv6 natif tu rajoute avant la machine A : Machine A2 [paquet IPv6] -- Machine A [paquet IPv6]

 
 
là, dans ma tête, il y a comme un paradoxe.  
 
Si tout le réseau est ipv6 natif ET ipv4, j'accède à tout, mais si le réseau est ipv6 pur, il faut un tunnel "6to4" (je suis pas sûr du vocabulaire) sur le serveur pour accéder aux sites ipv4.

Oui c'est presque ça.
Si ta un réseau IPv6 natif et que tu n'as pas en // un réseau IPv4 tu n'a accès qu'à l'IPv6. Sinon pour accéder aux site IPv4 depuis une machine IPv6 il te faut un tunnel 4over6 pour faire passer de l'ipv4 sur l'ipv6

 
Tu peux avoir 2^80 IP v6 gratos, et tu peux avoir une /29 IPv4 mais payante

 
pour le 6over4, maintenant c'est clair. L'encapsulation c'est entre les tunnels. Enfin presque. Tu attaques en ipv6 le tunnel 1 (pouyr l'encapsulation). le transport est en ipv4 vers le second tunnel avec les ipv6 encapsulées (je fais sûrement de l'abus de language avec le terme tunnel). Pourquoi ne pas attaquer directement le second tunnel? Les 2 tunnels sont théoriquement connus du monde ipv6! C'est pour cela que je pensais que les paquets encapsulés étaient en transit entre la machine et le tunnel, et que les tunnels discutaient entre eux en ipv6.
 

et sous linux, quel soft permet de faire du 4over6?

Non, tu as que 1 tunnel, mais un tunnel ça a une entrée et une sortie (endpoints).
Chaque tunnel a :
une IPv6 et une IPv4
Les paquets arrivent sur l'interface IPv6 de la première machine, sont encap pour aller sur l'interface IPv4 de la première, ils se baladent dans le monde IPv4, arrivé à l'autre bout, ils arrivent sur l'interface IPv4 de la 2ème machine, désencapsulation, ils arrivent à l'if IPv6 de la machine 2 et ils vont vers le destinataire.

 
Ca je ne sais pas. Je c que on peut faire du 6over6 avec le patch USAGI, tu 6ver4, du 4over4 mais pour le 4over6 je ne sais pas. Peutetre que c'est uniquement sous BSD avec la pile Kame  

 
8 - 2 vu qu'il y a l'IP du réseau et l'ip de broadcast en général

Pour le terme tunnel, effectivement je suis conscient de mon abus de language. Je parlerai dorénavant d'entrée et de sortie.
 
Sinon, c'est la logique que je comprends pas. Si je peux accéder à l'entrée en ipv6 depuis la machine 1. Pourquoi ne pas attaquer directement la "sortie", puisque cette dernière appartient au monde ipv6 (et de ses DNS associés), et que moi-même également (puisque je sais attaquer en ipv6 l'entrée).  
 
Et le corrolaire: si l'entrée et la sortie appartiennent au monde ipv6, pourquoi ne discutent-elles pas entre elles directement en ipv6?
 
le tunnel, je le comprendrais si l'encapsulation était entre ma machine et "l'entrée" afin de pénétrer le monde ipv6.

d'un autre coté je pense pas qu'on cherche a t'emmerder en ipv6 pour l'instant .( Bon oki y a eu _un_ flood en ipv6 y a 5-6 mois mais bon on va pas généraliser non plus ;o) )
a pres la syntaxe  est // a iptables donc il suffit de transposer ( il y a je crois quand meme quelques options en moins dans le netfilter mais c'est en regardant / a la conf du kernel )
pour ton login tu changes le net1.nerim.nerim en net1.dual.nerim
le changement est temporaire le temps de migrer tous les lns de la net1 (pour l'instant y a que 50 % qui sont compatibles , le dual forcant le login sur ces lns )
il te faut aussi mailer xavier  ( a ipv6@nerim.net) pour demander l'activation de ton login dual ( a moins que tu ne possedes déja un tunnel car dans ce cas la manip a déja était faite ( mail le quand meme pour rendre ton tunnel ) )
Voila
(ah si profites pour parcourir nerim.comp.ipv6 il est plein de renseignements tres interressants )

bah 8 quand meme si tu fais du tunnel
(cf manip de teraii sur son site )
(bon c'est quand que le prochain /30 passe au tirage au sort )

c pour ça que g dit en général  

 
 
tout simplement parce que le FAI ne gère pas l'IPv6 sur ces routeurs