Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

IPv6 en France : c’est toujours le grand bazar chez les FAI

Les premiers sont aussi les derniers

IPv6 en France : c’est toujours le grand bazar chez les FAI

Dans son rapport sur l’état de l’Internet en France, l’Arcep ne se penche pas uniquement sur l’interconnexion et la neutralité du Net. L’autorité en profite également pour faire le point sur le déploiement de l’IPv6 en France (la fin de la transition est prévue pour 2030) et sur les perspectives.

Le 04 juillet à 09h26

L’Arcep se félicite que la France obtienne la médaille de bronze en termes d’utilisation d’IPv6, parmi les 100 pays au monde avec le plus d’internautes : « Mi-2023, 81 % des clients fixe grand public (FttH, câble, ADSL) avaient de l’IPv6 activé, contre 66 % sur le réseau mobile ». Un an auparavant, il était respectivement question de 72 et 60 %. Mais attention, ces chiffres cachent de grandes disparités entre les FAI.

Fin de migration prévue pour 2030

L’Arcep estime que la fin de la transition arrivera aux alentours de 2030. La période coïncidera avec la fermeture du réseau cuivre pour une raison simple : « certains opérateurs ont choisi de ne pas faire migrer des infrastructures en fin de vie vers le protocole IPv6 ».

C’est un peu la même situation que Free Mobile qui joue la montre sur la 2G. L’opérateur n’a finalement déployé que quelques sites depuis son lancement, pour les fermer quelques mois plus tard. Free et Orange ont pour rappel prolongé leur accord d’itinérance en 2G et 3G jusqu’en 2025, au grand dam des deux autres opérateurs nationaux.

IPv6 sur le fixe : demandez le programme

L’Arcep dresse le bilan des quatre opérateurs nationaux pour le réseau fixe grand public :

  • Bouygues Telecom : IPv6 activée pour tous ses clients FttH, ADSL, VDSL, 4G et 5G box équipés, avec une box compatible et connectés sur le réseau en propre de Bouygues. Il n’y a pas d’IPv6 pour les clients connectés sur un DSLAM Orange.
  • Free : IPv6 activé pour tous ses clients FttH, ADSL, VDSL sur son réseau en propre. Pas d’IPv6 pour les clients non dégroupés, ni pour ceux avec une box 4G+.
  • Orange : IPv6 activée pour tous ses clients FttH, ADSL, VDSL, 4G et 5G Home avec une box compatible et sur un réseau qui attribue les adresses par DHCP. L’IPv6 n’est pas proposé pour quelques clients ADSL grand public (adresses attribuées via PPP).
  • SFR : le renouvellement des équipements incompatibles avec l’IPv6 sur le réseau FttH se termine, explique l’Arcep. L’IPv6 n’est pas systématiquement activé, c’est au client de le faire, ce qui explique le taux bien plus bas que les autres opérateurs.

Avec la fermeture du cuivre en ligne de mire, SFR a décidé de « supprimer en 2023 le support de l’IPv6 sur les offres ADSL/VDSL. L’IPv6 (encapsulé dans l’IPv4) était auparavant disponible sur les offres ADSL et VDSL, mais non activé par défaut (à fin juin 2022, 1 % des clients ADSL et VDSL avaient activé cette option) ». Pas d’IPv6 sur le réseau câble.

Pour les pros… ce n'est pas mieux

Un mot sur les clients Pro. La situation est la même que pour le grand public chez Bouygues et Free. Mais elle est différente chez Orange et SFR, largement majoritaires sur ce marché (surtout le premier).

Chez Orange, IPv6 n’est pas disponible en ADSL ou VDSL Pro. Chez SFR, IPv6 n’est disponible que sur les offres 4G et 5G fixe, pas pour les offres Pro en FttH, ADSL, VDSL ou câble. Il existe aussi de nombreux opérateurs alternatifs sur le marché pro, avec IPv6 par défaut.

Comme le rappelle l’Arcep, « le retard de développement d’IPv6 entraîne le risque d’une scission en deux d’internet, avec IPv4 d’un côté et IPv6 de l’autre. À titre d'illustration, quand un site web ou une application est hébergée en "IPv6-only", elle n’est alors pas accessible aux utilisateurs qui n’ont qu’une adresse IPv4 ».

Or, nous sommes en période de pénurie d’IPv4 depuis plusieurs années.

Allez, on passe au mobile (spoiler : c’est pire que le fixe)

Sur le mobile, c’est encore plus compliqué : « Si les principaux opérateurs proposent tous de l’IPv6, la différence se fait sur l’activation » et sur le système d’exploitation.

Sur Android, « Bouygues Telecom, Orange et SFR activent par défaut l’IPv6 sur les mobiles Android dont la date de commercialisation est postérieure à 2018 (Bouygues), 2020 (Orange) et 2021 (SFR). Free n’active pas l’IPv6 par défaut », il faut donc le faire manuellement depuis son espace client et sur son smartphone.

Passons aux iPhone : « Bouygues Telecom, Orange et SFR activent par défaut IPv6 sur les iPhone dont la version iOS est au minimum iOS 12.2 (Bouygues), iOS 13.0 (Orange pour iPhone 7 et plus récent), iOS 14.3 (SFR), iOS 15.4 (Orange pour iPhone 6S et SE) ». Pourquoi faire simple quand on peut faire compliqué.

Là encore, il faut manuellement activer IPv6 chez Free et avoir au moins iOS 15.4. Free, en tête de l’IPv6 sur le fixe, est bon dernier sur le mobile, faute d’activer cette fonctionnalité par défaut chez ses clients.

Pas de grande différence chez les pros sur le mobile

Sur les offres Pro, les conditions sont les mêmes chez Bouygues Telecom, Orange et SFR. Chez Free Pro, il n’y a pas encore d’IPv6.

Hébergements, emails : des maillons encore fortement à la traine

Pour accéder à un site ou un service en IPv6, il faut non seulement avoir un opérateur et un smartphone compatibles (et avec l’option activée), mais aussi que l’ensemble des maillons d’Internet prennent en charge IPv6. Ce dernier existe pour rappel depuis plus de 20 ans.

« En octobre 2023, les hébergeurs de sites web représentent l’un des maillons de la chaîne d’internet les plus en retard dans la migration vers l’IPv6. En effet, seuls 31,2 % des sites web sont accessibles en IPv6 ». La situation s’améliore néanmoins avec plus de sites activés en IPv6 ces deux dernières années comparés à la période 2015 à 2021.

Au-delà du chiffre global de 31,2 %, il y a de fortes disparités chez les hébergeurs. Ionos est largement en tête, suivi par LWS, Infomaniak et Cloudflare. D’autres sont encore loin de la moyenne : 6,3 % pour Amazon AWS, 5 % pour Google Cloud, 4,6 % pour Gandi, 9,8 % pour Scaleway…

Mais, il y a pire : « La transition des hébergeurs e-mail connaît également un fort retard : seuls 18,8 % des serveurs e-mail sont à ce jour adressés en IPv6. Néanmoins, on note cette année une forte progression par rapport à 2022 : le taux d’IPv6 a plus que doublé en 12 mois, passant de 8 à 19 % ».

Dans les deux cas, il reste encore beaucoup de travail.

Commentaires (83)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Quand on voit comme ils sont réticents à y passer dans ma boîte, alors qu'elle fait de l'ébergement et du développement...
On a l'impression de parler d'un truc abscond et dangereux et surtout, d'absolument pas vitale et qui peut bien attendre encore longtemps.
votre avatar
Les entreprises sont globalement très en retard. Si les petites sociétés qui ont juste une box opérateur ont de plus en plus IPv6 (sans rien faire, c'est leur opérateur qui l'active pour ces PME), dés que l'entreprise à ses propres équipements routeurs / nat, IPv6 est rarement présent.

Ce qui fait bouger les entreprises, on le voit dans des pays plus avancés comme l'Inde, c'est quand des sites web ou services importants ne sont plus disponibles en IPv4 (L'inde est en avance sur la transition IPv6 et en // a beaucoup moins d'IPv4 qu'en France).
votre avatar
J'ai toujours le mauvais exemple des .gouv.fr qui n'ont pas d'adresse ipv6
votre avatar
C'est que changer tout en réseau en IPV6 si tu as des tonnes de serveurs, VLAN, etc... c'est un gros merdier... Et hybride ipv6/4 c'est juste de la torture mentale :p

Rajouté à cela l'enfer de mémoriser ou simplement lire une IPv6, ben ça aide pas au changements :transpi:
votre avatar
Certes, mais il y a le dns pour ça et toujours reculer l'inéluctable fera que le saut sera plus difficile, sauf si on a mis quelques étapes en place avant et qu'il ne reste plus que du mineur.
Les routeurs et les OS sont prêts, les admins coincent, juste par confort.
votre avatar
Il semble y avoir quelques soubresauts IPv6 sur le fixe/fibre chez Sosh (donc aussi probablement Orange) depuis quelques jours. En effet, j'avais mis en place un script qui surveille mes adresses v4 et v6 et m'envoie un mail si ça change (en pratique, c'est désormais de l'IP fixe même si pas vendu comme tel)... et au moins 2x/jour, je n'ai désormais plus d'adressage IPv6 fonctionnel.

Pour la petite histoire, j'avais mis cela en place après m'être un jour retrouvé sur un réseau de loc de vacances aux durées de baux DHCP mal calibrées et qui manquait donc le plus souvent d'IPv4 à allouer (et filtrait tout ce qui n'était pas alloué par le DHCP si on tentait l'infaillible méthode d'allocation par ping muet!). Mais l'adressage IPv6 en allocation automagique fonctionnait, le seul pb étant que no-ip ne gère pas l'update d'adresses IPv6 et que je ne pouvais donc me connecter à ma barraque/domotique faute de connaitre son IPv6!

Sinon, SFR/Free en IPv4 semblant en être rendu à faire du NAT au delà de la box (partageant une IP entre plusieurs utilisateurs), ils rendent IPv6 incontournable dès que l'on héberge qqchose... Alors il y a intérêt à ce que ce soit dispo.
votre avatar
Il me semble de Free propose une option pour obtenir une IPv4 dédiée si besoin, il suffit de cocher une case et de redémarrer sa box.
votre avatar
oui, c'est le full stack, chez SFR il y a le roll back, mais c'est beaucoup plus difficile à obtenir et de plus, ils ont un parefeu ipv6 actif par défaut (comme Orange d'ailleurs) qui bloque toute connexion entrante par défaut, il faut vraiment maitriser pour héberger un service aujourd'hui.
votre avatar
Le seul pare-feu IPv6 chez Orange, c'est celui intégré à la box. Il reste donc sous le contrôle de l'utilisateur: Aucun pb pour accéder à des trucs auto-hébergés en v4 comme en v6.

Le seul gag que j'ai pu avoir, c'est au passage v6 ou ils semblaient "traduire" les règles NAT v4 existantes en règles FW v6. Et là je sais pas qui avait fait le truc, mais il avait pas bien testé le garçon!

Sur les anciennes Play, il semblait aussi y avoir un gag si on voulait retirer les règles NAT v4 afin de ne plus acceder à ses services autohébergés qu'en v6: Plus aucun des deux ne fonctionnait! Orange semble avoir inventé le FW IPv6 qui a besoin de règles NAT (concept purement IPv4) pour "tomber en marche"!
votre avatar
ça n'est pas impossible effectivement qu'ils aient juste fait une copie du fonctionnement ipv4 à ipv6, alors que non, il n'y a normalement ni nat, ni transfert de ports.
votre avatar
Page 35 du baromètre IPv6 ( https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/Arcep_Barometre_2024_de_la_transition_vers_IPv6.pdf#page=35 ) vous trouverez les informations opérateur par opérateur concernant le partage d'IPv4 (IPv4 dédiée ou mutualisée).

Chez Orange les IP ne sont pas tout à fait dynamiques, car on garde son IP pendant 300 jours, mais elle n'est pas fixe comme Free, SFR ou Bouygues ou les seuls changements interviennent lors de modification de réseau (environ tous les 10 ans).
votre avatar
Ca c'est la théorie, pcq dans la pratique ca change bcp plus que ca, mais en effet c'est assez irrégulier. Je dirais minimum 5/6 fois par an
votre avatar
oui, il faudrait vraiment que l'on accompagne le déploiement ipv6 par un dns dynamique automatique pour ceux qui le désirent car il est pénible voire impossible de mémoriser les adresses, et la fonction privacy qui les fait changer chaque jour n'arrange rien.
votre avatar
J'ai essayé de chercher (rapidement) sur internet mais je ne trouve pas cette fonction "privacy" (enfin, j'ai trouvé des trucs mais rien qui parle directement de cette fonction)

Avec ton message j'ai l'impression que le but de cette fonction est de changer d'ipv6 automatiquement tous les jours pour protéger la vie privée, c'est bien ça ?

Il y a autre chose d'intéressant à savoir sur cette fonction ? Par exemple : elle est activée par défaut ? Le délai de changement d'adresse ipv6 est toujours de 1 jour par défaut ?etc.
votre avatar
C'est ça oui, changer l'IP tous les jours, enfin du moins la deuxième moitié. Parce que pour ma part, je trouve que ça ne sert pas à grand chose en connexion fixe car le préfixe lui n'est pas censé changer, donc on peut toujours tracker en fonction du préfixe et non de l'IP complète. Certes on ne connaît pas forcément sa taille exacte mais il y a finalement assez peu de valeurs possibles, et on peut imaginer avoir des tables de taille de préfixe très probables en fonction du réseau où il se trouve (genre, c'est le réseau de tel FAI donc le préfixe fait telle taille).

En connexion mobile en effet ça évite aussi le tracking car si le préfixe change, la deuxième moitié de l'IP resterait toujours la même sans cette fonction.

Par contre en connexion fixe ça évite qu'un attaquant se constitue une base d'IP existantes en espionnant par exemple toutes les IP qui se connectent à un service dans le but d'attaquer plus tard les machine qui sont derrière, vu qu'en IPv6 toutes les machines sont accessibles de l'extérieur s'il n'y a pas de firewall. Il peut toujours attaquer de suite mais ça limite les risques.
votre avatar
Merci 👍
votre avatar
RFC4941, précisément.
explication
c'est activé par défaut sur tous les systèmes que je connais un peu, windows 10/11 en particulier.
En gros l'adresse est tirée au sort parmi 16 milliards de milliards chaque jour, dans la partie identifiant /64 seule la partie réseau (/64 aussi) est fixe, c'est dommage que cette plage de 64 bits soit fixe, mais bon c'est la SLAAC qui est définie comme ça.
votre avatar
Merci 👍
votre avatar
À la maison avec Sosh fibre, quasi 50% de mes requêtes DNS se font en IPv6, ça progresse.

Par contre au boulot, la ligne internet n'a pas d'IPv6, ça pose parfois des problèmes d'accès VPN quand on a quelqu'un à l’extérieur avec une connectivité IPv6 only, pas de VPN.
Ça pose aussi un soucis pour tester nos appli web en IPv6, je ne peu pas vérifier depuis le bureau que la configuration des serveurs web en IPv6 est bien fonctionnelle, du coup, ce n'est pas fait.
votre avatar
En espérant que tous ne font pas comme Free en fournissant une box avec le parefeu ipv6 open bar par défaut...
votre avatar
Ce point du firewall IPv6 est détaillé dans l'annexe du baromètre publié par l'Arcep ce jour (dans les dernières pages)
⇒ https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/Arcep_Barometre_2024_de_la_transition_vers_IPv6.pdf

@Next : L'Arcep met à disposition des schémas du Baromètre annuel de la transition vers IPv6 en France :
Archive au format .zip (3 Mo) : https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/arcep_barometre_ipv6_2024_schemas.zip

Vous y trouverez un graphique fixe de la même taille que le graphique mobile.

Vivien.
votre avatar
Merci je change :)
votre avatar
Le problème des box, c'est surtout qu'elles sont obligatoires.

A l'époque du RTC, il n'y avait pas de box.

A l'époque de l'ADSL, il y avait des box, facultatives et remplaçables par du matériel générique. On pouvait prendre un forfait ADSL nu et y mettre notre modem.

Et à notre époque de la fibre, les box sont maintenant obligatoires. Les remplacer nécessite de se faire passer pour une box officielle avec la complexité lié. Et il est parfois même impossible de les remplacer.
votre avatar
Fais comme moi : OVH. C'est grosso modo le prix de chez Orange mais tu peux ne pas prendre le routeur chez eux. Les IP sont fixes (IPv4 comme IPv6) vu que c'est un service pour les pro à l'origine (mais accessible aux particuliers).

Seul défaut (mais on peut faire autrement), pas de TV.
votre avatar
Chez OVH, tu es toujours libre de brancher ton propre routeur au cul de l'ONT.
Pour une telle fonctionnalité, il ne faut rien espérer des FAIs grand public.
votre avatar
Tu peux mettre un firewall derrière la box, et faire une dmz de ta box --> firewall (si la box prend pas en charge le mode bridge)
votre avatar
Justement tu peux pas, car la box ne délègue qu'un unique /64, qui n'est même pas fixe qui plus est.
votre avatar
C'est quoi le problème d'avoir qu'un /64 ? Et pour ma part il a toujours été fixe, du moins sur la durée de mes abonnements.
votre avatar
En IPv6, un /64, ça correspond un 1 réseau de machine.

Si tu veux créer plusieurs réseaux séparés: privée, invité, IoT, hébergement, lab, etc... il faut un /64 par réseau.

Chez Orange, le prefix IPv6 alloué est dynamique, ca veut dire que si tu héberges des services chez toi en IPv6, alors il faut modifier l'IPv6 fixe de chacun de tes serveurs quand le prefix change. Super...

Autre problème aussi, les IPv6 ont une durée de vie de 3 semaines ou 1 mois (de tête). Une machine qui reste allumé longtemps, quand le prefix change, les machines ont 2 IPv6 de deux prefix différent, dont une qui ne fonctionne plus...
votre avatar
Tu peux toujours rediviser ton préfixe /64 derrière avec un routeur en utilisant DHCPv6. De toute façon, pour toute utilisation un peu avancée, un routeur est obligatoire derrière une box pour se prémunir de tous les bugs et changements intempestifs d'implémentation.

Je trouve idiot dans la norme IPv6 de ne pas pouvoir utiliser SLAAC avec un préfixe plus long que /64, car l'adresse MAC faisant 48 bits, il est possible de calculer une adresse IPv6 à partir de l'adresse MAC avec un préfixe jusqu'à /80. Mais bon, il a été décidé qu'un sous-réseau avait une taille fixe à /64, pour je ne sais quelle raison alors qu'en pratique il y a des sous-réseaux de toutes les tailles. Et ça ne me choque pas qu'un FAI ne donne qu'un seul sous-réseau à un particulier, le problème vient surtout de la norme qui ne permet pas de le rediviser avec SLAAC.

Globalement je n'aime pas le plan d'adressage IPv6, je trouve que tout est fait de manière bien trop généreuse qui laisse transparaître comme une grosse frustration venue du manque d'adresses sur IPv4, du style "plus jamais ça". Rien que le principe de SLAAC, où on prend une adresse MAC déjà censée être unique dans le monde, pour l'ajouter à un préfixe lui aussi unique dans le monde, ça fait déjà unique au carré et il reste encore pas mal de bits non utilisés.

Au final on a une adresse excessivement longue dans laquelle on alloue des préfixes plutôt courts à tout le monde y compris aux particuliers ou à des serveurs uniques, jusqu'à du /48, ce qui fait que la partie qui adresse un "lieu" ne fait plus que 48 bits, soit seulement 16 bits de plus qu'en IPv4 où on n'avait qu'une seule adresse pour le même "lieu", tout en laissant un nombre de bits totalement overkill pour l'éventuel sous-réseau qu'il pourrait y avoir derrière. Certes ces 16 bits ajoutent beaucoup de combinaisons, mais au final on se demande surtout à quoi servent les 80 autres, y a un peu un goût de "tout ça pour ça".

Pour le préfixe dynamique, je n'ai jamais été en IPv6 chez Orange, du coup pas eu ce problème qui est effectivement bien débile et à mon sens bien plus problématique que de n'avoir qu'un seul /64.
votre avatar
Non, je ne rediviserai pas l'unique /64, ce n'est pas comme ça qu'à été prévu IPv6. Et accessoirement, ça casse slaac, donc plus aucun intérêt si je dois mettre des IPv6 fixe sur chacun de mes PC, téléphones, etc...

Orange ne respecte pas la RFC6177 qui défini le subnetting ("sous-réseautage" en français?) en IPv6 (https://datatracker.ietf.org/doc/html/rfc6177).

La box chez Orange étant obligatoire (sinon, plus de TV et téléphone), pas moyen de contourner sans perdre de service. Orange fourni ce que j'appelle du "WEBv6", en aucun cas de l'IPv6.

Tu ne peux pas dire que tu possèdes une Ferrari si t'as juste une roue. Bah la c'est pareil, tu ne peux pas dire qu'Orange fourni de l'IPv6 en ne laissant qu'un /64 à l'utilisateur.

Quant aux prefix IPv6 dynamique, c'est juste la honte. Soit disant pour des raisons légales? c'est juste du pipo, comment font les autres? Je pense surtout que la technique sert de paillasson au marketing. C'est surtout une question de segmentation de marché. Il faudrait pas qu'on puisse faire de l'hébergement sur une offre grand publique, il y a OBS pour ca.

Résultat, l'implémentation dans la livebox a été faite avec les pieds (https://communaute.orange.fr/t5/La-Fibre-%C3%A0-Lyon/Livebox-pro-les-changements-du-prefixe-IPv6-56-allou%C3%A9-par-orange/m-p/3153024).
IPv6 a été pensé par des gens qui réfléchissent, pour au final, simplifier le réseau (plus de nat, des millions d'IP au m²). Mais le marketing Orange est plus intelligent que ça. Résultat, les dev de la livebox doivent imaginer un firewall entrant avec des prefix qui changent. Personne ne fait ca, car il ne faut pas faire ca! bah sauf chez Orange.

Il y a personne technique chez Orange pour mettre une grosse claque à ces débiles du marketing?

Alors que ca serait tellement plus simple pour tout le monde de mettre des prefix fixes.

L'IPv6 chez Orange, c'est du bricolage. Ils sont par tier 1 les gars? franchement la honte.
votre avatar
J'ai jamais dit d'utiliser des IP fixes, mais d'utiliser DHCPv6, qui est tout à fait prévu dans la norme. Et je doute fort que la norme IPv6 oblige un FAI à fournir plus d'un sous-réseau, c'est donc bien conforme à la norme du moment où tu en as au moins un. Après si tu préfères ne pas utiliser IPv6 à cause de ça en attendant une hypothétique évolution, je trouve que c'est extrême mais tu fais comme tu veux.

Quant à ton histoire de Ferrari, si tu penses qu'Orange, ou même n'importe quel FAI pour particuliers, c'est la Ferrari de l'accès Internet, je crains que tu ne te sois trompé d'adresse. Si tu veux plein de préfixes ca peut avoir un coût aussi, tout comme en IPv4 quand on veux plusieurs adresses. Et il y a toujours eu des différences entre FAI sur la gestion des adresses, va voir chez les autres ce qui se fait.

Par contre je te rejoins sur le reste, les préfixes dynamiques et buggués c'est vraiment n'importe quoi, même pour des particuliers. Et je viens de voir ton message sur le fait que même le /56 n'est pas fixe, effectivement on peut difficilement qualifier ça d'IPv6, plutôt une déclinaison Minitel de l'IPv6. Après si Orange fait n'importe quoi, de nouveau tu peux aller voir ailleurs et peut-être avoir les /64 fixes que tu demandes.
votre avatar
DHCP en IPv6, c'est surtout pour faire de la délégation de préfixes. Pour la configuration des terminaux, c'est slaac qui est la norme. Par exemple, les mobiles ne savent pas faire de DHCPv6.

Ensuite, en réseau, rien n'oblige qui que ce soit (personne physique ou moral) à suivre tel ou tel recommandation. Cependant, pour que ça fonctionne et que chacun puisse communiquer avec les autres, les opérateurs et équipementiers se mettent d'accord pour suivre certaines RFC universellement reconnues.

RFC3177, section 3 (https://www.rfc-editor.org/rfc/rfc3177#section-3)

*Address Delegation Recommendations

The IESG and the IAB recommend the allocations for the boundary
between the public and the private topology to follow those general
rules:

- /48 in the general case, except for very large subscribers.
- /64 when it is known that one and only one subnet is needed by
design.
- /128 when it is absolutely known that one and only one device
is connecting.

In particular, we recommend:

- Home network subscribers, connecting through on-demand or
always-on connections should receive a /48.*

Pour l'histoire de la Ferrari, toute analogie à ses limites, mais je peux t'en faire une autre plus parlante si tu veux. T'achètes une voiture 5 places, mais seule la place conducteur est équipé d'une ceinture. Alors tu peux en installer d'autres toi même, mais ça n'est pas supporté ni par le constructeur, ni par les assurances. Et ton bricolage de ceinture custom, elle peut ne plus fonctionner du jour au lendemain.

Orange fourni un /56, mais qui n'est pas utilisable avec la Livebox. Et si tu mets un routeur perso, tu pourras en profiter, mais ça n'est n'est pas supporté par Orange, et tu perds les fonctions TV et téléphone au passage. Et la configuration custom peut ne plus marcher au bon vouloir d'Orange du jour au lendemain.

Concernant le coté dynamique, on est d'accord.

Et malheureusement, pour des raisons que je n'expliquerai pas ici car ce n'est pas le sujet, je ne peux pas changer d'opérateur.
votre avatar
DHCPv6 est tout à fait à même d'attribuer des adresses aux terminaux, c'est une des deux manières de le faire avec SLAAC, et c'est la seule si tu as un préfixe plus long que /64. Quant aux mobiles, sur iOS ça marche, c'est sur Android que ça ne marche pas alors que c'est demandé depuis des lustres. Entre le non respect de la norme par Orange ou par Google, choisis ton combat.

Bon de toute façon, je crois que ton problème principal c'est que le préfixe change, sans ça il y aurait toujours moyen de se débrouiller. D'ailleurs en DHCPv6, au moins pour les serveurs tu devais pouvoir mettre un bail beaucoup plus court pour minimiser le problème au moment du changement de préfixe et nettoyer les anciennes adresses. Mais bon normalement même en SLAAC le nouveau RA doit ajouter immédiatement une nouvelle adresse et rendre ton serveur de nouveau accessible sur le nouveau préfixe. Le problème est alors le temps de mise à jour du DNS.

Pour la taille des préfixes, je ne connais aucun FAI qui attribue un /48 comme recommandé, et selon le document de l'ARCEP que quelqu'un a cité plus bas, il n'y en a que 4 petits qui le font, connus pour avancer le respect des normes comme avantage principal (ce qui est tout à leur honneur). Il faudrait peut-être se demander pourquoi et si cette recommandation ne serait pas un peu exagérée (et du coup suivie par personne qui font alors tous à leur sauce, sans forcément tomber dans l'extrême du /64 unique), surtout quand on voit que les "very large subscriber" n'ont qu'un bit de plus de recommandé.
votre avatar
Non, la box Orange n'est pas obligatoire (même pour avoir le service TV ou téléphone). Tu peux contourner et garder le service.
votre avatar
Tu joues avec les mots mon ami.

L'informatique, c'est que des 0 et des 1. Avec la bonne suite de 0 et de 1, tu peux hacker la NSA. Donc, évidement qu'il est possible de remplacer la Livebox par autre chose.

Maintenant, elle est où la documentation officielle? Quelle garantie que demain, ton bricolage fonctionnera encore?
Il n'y a aucun support officiel de la part d'Orange. Et pour cause, la livebox permet de corriger les problèmes qu'ils ont eux même créé en ne respectant pas les RFC (ex sur IPv6) et protocoles standard (ex avec SIP).

Avec un modem/routeur ADSL, un peu de conf standard et les bon identifiants, il était possible de remplacer les box opérateurs par quasiment n'importe quel modem/routeur du marché.

L'état aujourd'hui, tu le dis toi même, c'est de devoir "contourner". Il n'est pas possible de juste utiliser un routeur quelconque.
votre avatar
Quand un préfixe n'est plus annoncé, il finit par disparaitre et les machines purgent les adresses construites dessus.
votre avatar
Avec un lease de 24h...
votre avatar
Attention aux généralités car la réalité est très variable selon l'opérateur.

Chez free, le préfixe IPv6 est fixe. Chaque abonné dispose d'un préfixe 60 bits et de 8 préfixes déléguables.

Chez Orange, la délégation est plus complexe mais it tu as 256 préfixes disponibles.
votre avatar
De mémoire quand j'étais chez Free, c'était 1 préfixe derrière la box + 7 préfixes routables.

Orange: 256 préfixes dynamiques... super pratique, une fois que t'as mis tous tes services dans des vlans différents mis des IPs à chacun de tes projets, et hop y a tout qui change. Les préfixes dynamiques empêchent aussi d'héberger des serveurs DNS de ton nom de domaine, de monter des tunnels IPIP ou GRE sans devoir passer par le support du fournisseur du tunnel...

Et concernant les délégation de préfixe, Orange donne systématiquement un TTL à 3 semaines sur les préfix délégués.

Sincèrement, l'IPv6 chez Free avec 7 ou 8 subnet fixe est bien plus utile.
votre avatar
Un espoir à long terme : https://fsfe.org/news/2024/news-20240709-01.html

https://fsfe.org/activities/routers/routers.en.html

c pas gagné quand même en France...

(Moi j'ai choisi bouygues & j'ai pu relativement facilement virer la box & remplacer l'ONT par un SFP dans un pc, ce fut la raison de mon choix d'opérateur. Il en reste pas beaucoup :
- Free permet pas de le faire
- SFR bon, on en parle pas
- Orange c'est faisable mais assez complexe (même si stable si tes scripts sont solide)
votre avatar
Vive la Belgique.

Pour mettre un peu de nuance dans mes propos, je comprends tous les avantages à avoir des box.
- Support opérateur simplifié au maximum
- Sécurisation par défaut de la connexion Internet de M. Michu
- Mise à jour (patch de sécu) garantie

Et c'est parfait pour 99% des gens. Ce qui ne me va pas, c'est que la box ait été rendue obligatoire.
votre avatar
Non, il y a tout un tas d'articles bien détaillés pour virer la box opérateur en gardant les services sur le forum de la fibre. Alors oui ce n'est pas à portée de mr tout le monde mais c'est pas 'obligatoire'
votre avatar
Dans un système de concurrence libre, ces informations seraient publiques et bien documentées. Les vendeurs de routeurs pourraient intégrer des fonction de paramétrages en fonction de l'opérateur.
votre avatar
Avec ta logique, tout le monde peut aller sur la Lune, il suffit de se construire une fusée...

Aussi, tu me donnes les paramètres SIP à mettre dans un PAP2T ou un téléphone SIP?

Et non, faire tourner un PC 24/7 avec un Asterisk et un morceau de code custom trouvé sur github n'est pas une solution acceptable. (fusée, toussa)

A l'époque de l'ADSL où le modem USB était la norme, j'ai simplement acheté un modem/routeur d'une marque random (BeWan pour être précis), entré mes identifiants et je pouvais ensuite partager ma connexion simplement pour 2 PC en RJ45. Simple et standard.

Aujourd'hui, seule une liste très restreinte (1 constructeur à ma connaissance) permet de se faire passer pour une LB, ou alors un PC qui tourne h24. Et encore, c'est sous réserve d'avoir un ONT externe ou SFP. Sinon, il faut aussi passer par un ONT dont on peut le faire passer pour un ONT Orange.
votre avatar
Il y a quand même peu d'attaques en ipv6 pour l'instant et les scans de plages ipv6 sont quasi impossibles, il n'y a guère que les AAAA qui peuvent être attaqués.
votre avatar
et pourtant, je me fait scanner en IPv6. Il n'y a pas de sécurité par la quantité.
Pour information, les scans viennent de plusieurs gros acteurs genre amazon c2
votre avatar
Tu penses que c'est vraiment des scans ou est-ce que ton IP a été récupérée quand tu t'es connecté quelque part et ajoutée à une base de données d'IP à attaquer ?

Tu vois passer des tentatives de connexions vers des IP qui n'existent pas sur tes préfixes ou ça reste plutôt ciblé sur des IP qui existent ?
votre avatar
Je me fais scanner à minima sur des adresses qui existent vu que je le constate sur les logs de nginx. Et je reçois tout un tas de tentatives d'exploitation de failles connues diverses.

Ce qui fais chier est qu'il n'est pas possible de faire envoyer une erreur 444 à la place de l'erreur 400 car cela donne déjà trop d'information.

Pour éviter d'être pollué, j'ai banni pas mal de plages IPv4 et IPv6. Concernant IPv6, je bloque des préfixes 32 bits majoritairement et même un 25.

Je pense qu'ils partent des adresses connues de type www.mondomaine.ext et tentent des séries autour pour trouver les serveurs.

Le fait est que pas mal de serveurs ont des adresses très simple pour en simplifier l'administration comme ::56 pour les dns, mais ce n'est pas mon cas.
votre avatar
Donc ton problème n'a rien à voir avec IPv4 ou IPv6. Tu te fais scan tes services publics, comme tout ceux qui hébergent des services publics.
votre avatar
Semi publiques au sens où les noms des services ne sont pas super répandus. Depuis que les DNS bien configurés ne répondent plus quand on leur demande tous les enregistrement d'un domaine, il est possible d'être relativement tranquille de ce côté là.

Cela est confirmé par le fait que les tentatives d'accès ne le sont pas via un FQDN mais une adresse IPv6 brute.

Après, c'est peut-être le fruit de l'enregistrement d'adresses contenus dans les entêtes de paquets sur un point de connexion.
votre avatar
Quand même scanner 16 milliards de milliards (un /64) ça n'est pas comme scanner un /16 ipv4 (65 536 adresses), c'est plus chronophage à la base.
votre avatar
C'est techniquement impossible de scanner en IPv6.

Admettons même qu'une Livebox soit capable de router 1MPPS, ce dont je doute fortement, il faudrait 18000000000000 secondes pour scanner un /64 entier.
votre avatar
Il me semblait qu'Apple et Google imposaient que les applications sur leur magasins soient en compatible IPv6.

Trouvé pour Apple:
developer.apple.com Apple
Pas pour Google.

Sinon, dommage que le courriel ne soit pas plus IPv6, mais c'est comme DKIM et SPF, tant qu'il n'y aura pas un petit coup de pression des instances de régulation/politique, ça n'avancera pas.
votre avatar
Je suis désolé, mais considéré que chez Orange, l'IPv6 est déployé est un mensonge. A moins de considérer que d'annoncer un /64 dynamique et un /64 délégué est le best practice en terme d'IPv6.

Ça serait bien que leur box moisi puisse faire de la vrai délégation de prefix (pas juste un pauvre /64), et de pouvoir modifier les serveurs DNS annoncé SLAAC.

Je sais que ca concerne peu de gens, mais c'est le minimum obligatoire si on veut avoir des réseaux séparé pour ce qui est privée, guest, IoT, et les services dispo sur Internet.

Bref, chez Orange, c'est pas de l'IPv6, mais du WebV6... nuance.

Ensuite, on pourra parler de la délégation de zone RDNS des prefix délégués.
votre avatar
Chez SFR c'est pareil: on te file un /56 aussi, mais tu ne peux utiliser qu'un ou deux /64, vraiment idiot comme système, certes peu de gens ont besoin de plusieurs /64 mais bon, pourquoi des /56 alors ?
votre avatar
Le /56 sera intéressant dans le futur, notamment quand l'IPv4 sera éteint sur internet.
Pour donner un exemple tu auras probablement un Wi-Fi invité sur un /64 différent de celui pour toi.
Les objets connectés pourraient être mis dans un même /64.
votre avatar
La taille des préfixes IPv6 est détaillée page 36 du baromètre IPv6 : https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/Arcep_Barometre_2024_de_la_transition_vers_IPv6.pdf#page=36

Orange attribue bien un /56 à chaque client, mais la Livebox ne l'exploite pas. Si vous remplacez la Livebox par votre propre routeur, vous pouvez l'utiliser.
votre avatar
Je sais bien, c'est ce que je fais chez moi. Mais:
- le /56 n'est pas fixe.
- en dehors de la LB4 avec l'ONT externe ou au format SFP, c'est vraiment pas à la porté de tout le monde de remplacer une LB, même pour certain motivé.

J'en profite d'avoir ton écoute, ça serait sincèrement une grosse avancé si les box n'était pas "obligatoire", comme Free fait en Italie (pour dire que c'est possible).
votre avatar
LE truc que je réclame depuis des lustres pour pouvoir remettre la box. Là j'ai encore la "chance" d'être en ADSL et de pouvoir me passer de la box. Mais le jour où je passe en fibre, je sais pas si j'aurais le courage de me coltiner un ONT custom.

Il faudrait vraiment qu'on oblige les FAI à garder des ONT externes... Sinon il faudra encore se coltiner des montages dégueulasses avec un routeur au cul, du double NAT, du DHCPv6 pour découper le préfixe avec tout ce que ça entraîne comme contraintes.

À croire que cette limitation est faite exprès (ce qui semble bien être le cas)... Quand c'est pour faire des trucs propriétaires sur le SIP ou complexifier à mort le DHCP, là par contre aucun problème, y'a du monde pour dev le tout. Et comme par hasard ils ne sont pas capables de pondre une délégation de préfixe fonctionnelle...
votre avatar
Sur le SIP Orange, franchement, je plussoie: Pouvoir utiliser sa ligne fixe de partout ou on a un réseau, ce serait bien utile à beaucoup... sans évoquer d'autres cas plus ciblés: Quand je pense que je suis obligé de recycler un vieux modem-voix 56k USB de l'ère pré-ADSL afin de récupérer le n° appelant et faire du filtrage de spammers téléphoniques (d'un décroché/raccroché, avec la triple tonalité de ligne non attribuée au milieu pour se faire barrer son numéro par les robots pas trop cons) alors qu'il serait possible avec un SIP standard de le faire sans matos ajouté!

Sans compter que je peux encore faire ainsi car ma LB4 a encore la base DECT intégrée ce qui fait que je n'utilise pas le RJ11 pour y connecter une base, le laissant libre pour le modem. Les dernières LB ont viré le DECT hélas...
votre avatar
Moi c'est encore plus simple : j'ai débranché mon fixe et je ne le donne plus. Tout passe par le portable avec un bloqueur. Sinon, mais ça coute quelques sous c'est de faire de la redirection d'appels vers une ligne SIP normale avec tout le filtrage qu'on veut derrière.

J'ai une ligne OVH qui me sert pour des tests et j'ai mis en place un code à taper avant de faire sonner: aucun démarchage. Après, il est vrai qu'en regardant les appels entrants, je vois aucun appel de démarchage, donc si ça se trouve ma protection ne sert à rien^^
votre avatar
Prends une ligne SIP séparée de ton abonnement Internet chez un fournisseur SIP, en faisant porter ton numéro, et tu n'auras plus ces limitations.

Attention cependant à la réaction du FAI à la demande de portabilité, pour certains ça implique la résiliation de l'abonnement complet. Se renseigner avant.
votre avatar
Je vous trouve bien sévères : certes, ce n'est pas encore complet ; certes, c'est encore un peu la foire. Mais quand on regarde les courbes sur la période 2020-2024, c'est quand même impressionnant la vitesse de déploiement, après 20 ans de calme plat.
votre avatar
👍

Surtout que la France est no1 en déploiement de l'IPv6 dans le monde:
google.com Google
votre avatar
Pour être honnête, prendre uniquement les données de Google peut être trompeur.
L'Arcep publie un comparatif, basés sur la médiane de 4 sources, c'est plus fiable : https://carteipv6.arcep.fr/

La France est en 3ᵉ position.
votre avatar
Je suis surpris de pas voir Azure dans le graph du Taux de Site Web IPV6
votre avatar
Microsoft n'est pas dans le top10 pour l'hébergement de sites web en .fr

Les données au-delà du top10 sont disponibles sur https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/arcep_barometre_ipv6_2024_hebergeurs.pdf
votre avatar
Je suis repassé en ipv4 car des IP coréennes commençaient à attaquer mon nas. Pour pouvoir mettre des règles plus facilement n'étant pas ingé réseau.
votre avatar
Il y a clairement un problème de formation aussi, c'est sûr, j'espère que tu étudies en parallèle une méthode pour revenir en arrière, mais bon ip6tables, c'est pareil que iptables dans la philosophie.
votre avatar
Certe, mais je vois pas trop l'avantage de l'ipv6 sachant que je télécharge en P2P qui reste en ipv4. Je ne connais pas la racine des adresses de mon FAI. Les règles en IPv6 sont compliquées. Par exemple, j'ai pas compris les racines avec les ::
votre avatar
Le P2P fonctionne très bien en ipv6. Là je regarde à l'instant, la moitié de mes peers sont en ipv6.
votre avatar
Ça dépend du client je pense. Sur le Synology, je n'ai jamais vu d'ipv6.
votre avatar
Tout dépend de ce qu'il y a avant et après les ::, parce que à la base, ça signifie juste un certain nombre de bits à 0 (entre 16 et 128, par multiples de 16), exemple 2000::/3 qui représente tout l'internet unicast, et ::1/128 c'est uniquement localhost, mais c'est sûr qu'il faut bien maitriser le binaire à côté, ça aide.
votre avatar
Faut dire que ça ne sert à rien actuellement vu que ce n'est pas utilisé seul. Dans l'utilisation actuelle c'est juste une seconde façon d'adresser les choses. Le format des IPv6 étant trop complexe les gens préfèrent la version v4.
votre avatar
C'est vrai pour les IP locales (10. ou 192.168.). Mais on n'utilise que très rarement des ipv4 publiques à la main…
votre avatar
L'autohébergement de services fonctionne sans trop de problème avec free et ce même en ipv6.
Seul problème, free permet bien de configurer un reverse DNS en ipv4 mais pas en ipv6.
votre avatar
Après le reverse c'est un peu secondaire, il faut d'abord avoir le direct pour valider le reverse, en principe, mais c'est vrai que bien qu'ayant AAAA de la box en direct, on ne peut pas le mettre en reverse.
Mais bon, en ipv4, c'est le/la nat qui s'applique donc l'adresse de la box elle même, ce qui n'est pas du tout le cas en ipv6 où l'on va avoir l'adresse du serveur directement.
votre avatar
Quelqu'un client SFR mobile a trouvé l'endroit où activer l'IPv6 ? C'est bien activé sur mon smartphone (un Xperia 1 II) mais il ne reçoit encore que de l'IPv4 ...
votre avatar
Peut-etre le choix de l'AP des données mobiles ?
votre avatar
Si je comprends bien l'article, c'est dans notre espace client. Mais où ?

C'est tout à fait possible que ça vienne du fait que c'est un appareil que j'ai acheté fin décembre 2020 ?
votre avatar
ça se configure dans les paramètres du mobile données mobiles
votre avatar
Sur mon moblle, c'est déjà fait. J'avais compris qu'il fallait le faire à deux endroits : sur le mobile ET dans notre espace client.

IPv6 en France : c’est toujours le grand bazar chez les FAI

  • Fin de migration prévue pour 2030

  • IPv6 sur le fixe : demandez le programme

  • Pour les pros… ce n'est pas mieux

  • Allez, on passe au mobile (spoiler : c’est pire que le fixe)

  • Pas de grande différence chez les pros sur le mobile

  • Hébergements, emails : des maillons encore fortement à la traine

Fermer