L’Arcep publie un guide pour les entreprises : « pourquoi passer à IPv6 »
Le 04 décembre 2020 à 08h58
1 min
Internet
Internet
Le régulateur vient de mettre en ligne son observatoire de la transition nécessaire vers IPv6, avec de fortes disparités entre les fournisseurs d'accès à Internet et les divers services.
L’Autorité publie aussi un document réalisé par la Task Force IPv6 (Arcep et Internet Society France). Il s’adresse aussi bien aux PME qu’aux grandes entreprises, avec des retours d’expériences.
Le gendarme précise que « ce document ne représente pas une prise de position de l’Arcep mais reflète les travaux des participants à la Task Force ».
Le 04 décembre 2020 à 08h58
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/12/2020 à 11h42
J’ai toujours un peu de mal avec l’aspect réseau local (notamment pour les règles de firewall avec UFW) donc pour l’instant je garde l’IPv4 pour mon réseau local pour les trucs internes pour la communication (autorisation dans le firewall du dialogue sur un port spécifique en fonction du service sur le 192.168.1.0/24) mais ça sort en IPv6 pour le reste ainsi que certains services (qui sont accessibles du coup en IPv6 only).
Pour l’instant j’ai gardé l’équivalent de l’IPv4 au niveau protection: sortant autorisé, entrant non autorisé sauf besoin particulier. Le problème c’est que je dois faire la conf sur la machine directement vu que pour l’instant la Freebox Delta S fait du tout ou rien pour l’ensemble des périphériques en IPv6 (et j’ai pas envie de me prendre la tête à configurer un firewall 10Gbps actuellement, mais ça pourrait être une solution si Free ne se met pas à jour).
En tout cas intéressant ce guide.
Le 04/12/2020 à 13h24
En fait ce que tu vois comme ton réseau local (les plages de la RDC 1918), pour les plages d’IP “safe” sur ton firewall sera désormais tout ce qui vient de “ton” préfixe (le /64 que ton ISP t’attribue).
Concernant le NATing (qui est juste un bout de sparadrap devenu la norme), dans tous les cas tous les flux passerons par ta box, donc si tu veux contrôler ce qu’il se passe sur ton réseau, il faut mettre un firewall entre ta box et le reste de ton réseau local.
Le 05/12/2020 à 11h03
En fait c’est pour autoriser des flux en LAN et pas en WAN. Si j’ai bien compris j’ai l’adresse IPv6 “publique” et celle “local” (en fe80::). Le but c’est d’ouvrir des flux uniquement en local comme je faisans en IPv4 (par exemple, accès SSH port 22 depuis le 192.168.1.0/24).
Le but c’est d’avoir des services qui ne sont pas joignable depuis l’extérieur. Par exemple mon Pi-Hole, il peut “sortir” pour faire sa requête DNS mais il n’est joignable que sur mon réseau local pour le reste donc un ordinateur de mon réseau local peut accéder à l’interface web sur le port 80 (faut que je me penche sur la question du certif TLS) et sur le port 53 pour faire une requête DNS.
J’utilise UFW (Uncomplicated Firewall), je sais comment autoriser un port précis en entrant depuis mon 192.168.1.0/24 mais je sais pas comment je param ça en IPv6 ?
J’ai un peu fouillé sur le web et j’ai vu la notation en fe80::/64 pour UFW (donc
sudo ufw allow from fe80::/64 to any port 22) mais est-ce correct ?Je précise que je n’ai aucunement de formation réseau, j’apprends sur le tas parce que j’aime bien tester des trucs et je pratique l’auto-hébergement, du coup j’ai des années de pratique du fonctionnement IPv4 des boxs salement ancré et j’aimerais faire les choses un minimum correctement vu que l’IPv6 m’intéresse justement pour héberger plusieurs services en utilisant les ports par défaut (avec une seul IPv4, c’est tendu
)
Le 04/12/2020 à 12h36
Le 04/12/2020 à 14h31
IPv6 c’est encore plus simple ipv4 pour l’hébergement.
IPv4 > règle de NAT + règle du firewall
IPv6 > Règle du firewall
Je comprend pas que plus de gens n’aient pas fait la transition surtout que des solutions gratuites existent si on a que de l’IPv4 chez soi.
Personnellement je suis chez Orange (qui propose de l’IPv6) et je n’ai pas d’autres choix que de passer par HE car la Livebox n’autorise pas la délégation du prefix (soft en carton).
Le 04/12/2020 à 16h45
Parce que différencier une IPv6 d’une autre, c’est ultra compliqué, moi c’est pour ça que je passe pas, et aussi parce que configurer le routeur OpenWRT avec la Freebox Delta, c’est compliqué aussi, ça sert à rien de me donner des liens, j’ai déjà tout essayé. ^^
Le 05/12/2020 à 10h32
Oui, chez Orange faut enlever la livebox et mettre ton propre retour à la place pour pouvoir le gérer correctement, mais tu risques de perdre des services si tu les utilisent (genre la TV).
Le 04/12/2020 à 17h52
Dans mon cas j’ai déjà effectué la migration totale, le seul point ou je butte c’est l’absence de réel VPN efficace qui te propose de l’ipv6 natif, sinon pour le reste l’ipv4 il peut s’arreté demain je m’en bas les steaks.
Au final c’est plus simple ipv6, car le NAT c’est de la merde, autant tous gérer depuis le firewall et basta xD
Le 04/12/2020 à 17h55
Dire moi je fais ipv6 que en sortie c’est pas possible, si ta machine n’a pas d’ipv6 d’attribuer pas moyen de contacté en site ipv6 (sauf dns 64 et autre salo…. solution de transition du style).
Serait temps que les ISP se sorte les doigt du … et fasse leur transition car supporté deux protocole coute plus chère (en maintenance et en argent) que de passé en ipv6 et stop progressivement le 4
Le 05/12/2020 à 13h47
Les dernières livebox sont parfaites pour l’ipv6, et leur parefeu y est adapté.
Softether, Openvpn, Wireguard. En fait, tous les VPNs L2 sont compatibles IPv6. Wireguard lui est natif IPv6 (mais n’est pas L2).
Bref, l’ipv6 en entreprise, ça ne sert à rien: un routeur qui fait du NAT avec une connectivité IPv6, c’est très bien. Un proxy, c’est encore mieux. Et ça évite de se faire cartographier le réseau connement.
Par contre oui, si on a un réseau vierge, autant le faire en full IPv6, comme ça au moins, c’est vite vu :)
Le 05/12/2020 à 18h37
Quand tu dis “adapté”, c’est à la sauce Free en “tout ou rien pour l’ensemble des périphériques” ou c’est un truc vraiment adapté par devices ?
Le 05/12/2020 à 14h55
Tutututu, j’ai la dernière livebox et dans la section IPv6, impossible d’attribuer un prefix à une machine du réseau ou même de faire du DHCPv6 (et c’est le minimum requis pour pouvoir affirmer ce que tu dis)
Pour faire de l’IPv6 en tant que client SLAAC, oui ça fonctionne (mais je doute que ça soit l’utilité première des gens qui postent sur ce thread)
Le 05/12/2020 à 17h08
Qu’est-ce que tu en as à faire du DHCPv6 ?
)
La partie DNS de la livebox permet de mettre des noms à des machines IPv6 only, la partie parefeu permet d’ouvrir les ports vers une destination avec une source particulière ou non.
Les geeks n’ont pas besoin de plus. Les autres mettent un vrai DHCPv6/DNS sur leur réseau (genre moi, c’est en cours
Le 05/12/2020 à 20h00
Pour les services internes à la maison, tout passe en IPv6 only avec des adresses ULA. Même si mon wifi se fait craquer, il reste difficile de trouver mon préfixe.
En entreprise, il est tout à fait possible de n’attribuer que des adresses ULA et de faire transiter le web via les proxy.
Chez les particuliers, j’arrive à comprendre la méconnaissance du sujet. En entreprise, dès lors qu’il y un dsi, ne pas passer à IPv6 est vraiment crétin. C’est le cas dans ma boîte (en plus de l’obligation dutiliser ie et interdiction pour edge).
Le 05/12/2020 à 20h23
périphérique de destination, port, type de port, IPv6 sources possibles ou open bar.
J’ai été étonné qu’ils aient foutus ça, et ça me convient parfaitement.
Ca donne ça: https://ibb.co/N1S9pZF
Le 06/12/2020 à 10h45
Ah bien. Je comprends pas le côté Free, ils empêchent la désactivation d’IPv6 qui est une bonne chose pour accélération la migration, mais de l’autre côté ils ne fournissent pas de firewall (au départ) et quand ils en fournissent un, il est médiocre.
Il serait temps qu’ils corrigent ça chez Free.
Le 05/12/2020 à 20h29
C’est le problème quand les entreprises considèrent encore l’IT comme un vulgaire centre de coût et que leur DSI est un contrôleur de gestion.
Ces boites n’arrivent généralement à rien et se bougent une fois au pied du mur…
Le 05/12/2020 à 22h09
Les gens normaux n’ont pas besoin de plus (merci de ne pas confondre geek de clubic et geek), le principe des geek c’est qu’ils veulent pouvoir gérer leurs réseaux de A à Z.
Ensuite, ce que j’en ai a faire du DHCPv6, c’est simple, c’est bien plus simple d’avoir des adresses courtes et facilement mémorisables plutôt que des trucs à rallonges du genre de ce que tu obtiens avec SLAAC (je te met au défi de te rappeler par cœur de tes adresses assignées via SLAAC, alors qu’avec DHCPv6 c’est facile)
Tu pourrais aussi me dire de configurer chacun de mes serveurs à la mano mais j’aime bien avoir un endroit ou d’un coup d’oeil, je vois les adresses disponibles)
Par contre tu te contredis dans ton commentaire
Humm, ensuite, le principale de ce que je reproche à la Livebox :
Comment tu fais quand tu montes une instance Wireguard qui a besoin de son préfix pour pouvoir allouer des adresses ipv6 aux clients
Je te laisse me répondre, je découvrirais peut-être des fonctions cachées dans la livebox
Le 06/12/2020 à 15h49
Je n’ai pas été clair, en disant VPN je ne parlais pas de la technologie mais plus d’un fournisseur VPN, les 3⁄4 dans leur docs font juste du blocage ipv6 pour évité un leak et les deux rare a le supporté sont lent ou hors de prix.
Le 06/12/2020 à 16h13
(désolé pour les réponses courtes mais le F5 qui m’a niqué mes réponses m’a soulé)
Crée ton propre VPN avec un serveur VPS. Au moins tu auras confiance en ton VPN
Je crois que leur coeur de réseau est full IPv6.
Je suis geek+pro. Je me dois de comprendre certains trucs pour chez mes clients (puis chez moi+ovh, j’ai décrété que mes serveurs étaient full IPv6).
Dans la livebox, zone Réseau puis DNS, tu peux attribuer un nom de domaine à chaque périphérique qui s’est servi une fois de la livebox, même ceux IPv6 only. C’est beaucoup plus pratique que les adresses et ça fonctionne très bien, du coup je m’en fous de la proximité des adresses :)
Ensuite, je t’invite à mettre un parefeu IPv6 derrière ta livebox. Pas un routeur: ainsi tu auras le préfixe de ta box avec le filtrage de ton routeur. Je sais que nous avons l’habitude d’avoir un routeur/parefeu, mais ce sont deux jobs séparés ! En plus, grâce à ton parefeu, tu peux bannir intégralement IPv4 (ce que je te déconseille ceci soit dit ^^ )
Le 06/12/2020 à 18h53
Perso mon réseau est déjà parfaitement sécurisé et le VPN est simplement pour augmenté un peu la vie privée de mon réseau.
Du coup créer mon propre VPN ne me servirait a rien (si ce n’est m’exposé a une potentielle erreur de configuration qui réduirais la sécurité de mon réseau).
Le 07/12/2020 à 07h20
Pourquoi le passage à ipv6 est lent Il suffit de lire les commentaires, je n’y comprends pas grand chose. Et comme tout le monde, j’allume ma box, elle se connecte à internet, mon pc en wifi sur la box, ipv4 ou v6, osef du moment que ça fonctionne.