Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

IPv6 : 33 à 35 % d’utilisation chez Free et Orange, Bouygues et SFR à moins de 1 %

Activer n'est pas jouer

IPv6 : 33 à 35 % d'utilisation chez Free et Orange, Bouygues et SFR à moins de 1 %

Le 18 décembre 2017 à 16h49

Évoqué depuis des années, IPv6 est encore loin d'être une réalité pour de nombreux internautes français. Son taux d'utilisation reste assez faible chez les fournisseurs d'accès à Internet. L'Arcep fait le point à travers son observatoire de la transition IPv6 pour l'année 2017.

Depuis le début de l'année dernière, l'Arcep s'intéresse de près au déploiement d'IPv6, un sujet sur lequel la France n'est pas vraiment en avance, alors que la pénurie d'adresse IPv4 se fait chaque jour un peu plus pressante. Ainsi, « les quatre principaux opérateurs français (Bouygues Telecom, Free, Orange, SFR) ont déjà affecté entre environ 85% et 99% des adresses IPv4 qu’ils possèdent » indique le régulateur en guise d'introduction.

Après un premier observatoire en septembre (nous nous étions alors entretenus avec Sébastien Soriano), suivi d'un second en décembre (mis à jour en avril), le gendarme des télécoms publie celui de la transition vers IPv6 pour l'année 2017. Les différences sont très marquées avec d'un côté Free et Orange, de l'autre Bouygues Telecom et SFR.

L'Arcep en profite également pour recueillir des prévisions auprès des fournisseurs d'accès à Internet concernant l'activation d'IPv6 sur les box de leurs clients pour les trois années à venir. Là encore, les disparités sont grandes : Free envisage d'activer l'ensemble de son parc, quand SFR ne compte même pas dépasser les 10 %.

Utilisation IPv6 : Free et Orange en tête avec 35 et 33 %

Le régulateur commence par distribuer les bons points : « sur les réseaux fixes, une grande partie des clients des quatre principaux opérateurs dispose de box compatibles avec IPv6 (ou "IPv6-ready") ». Mais attention, avoir une box est une chose, activer IPv6 en est une autre : « Parmi ces clients compatibles, le taux de clients activés en IPv6, c’est-à-dire qui émettent et reçoivent effectivement du trafic IPv6, reste très variable en fonction des fournisseurs d’accès ».

Ces facteurs ont une incidence évidente sur le taux d’utilisation d’IPv6, « c’est-à-dire le taux de trafic basé sur le protocole IPv6 tel qu’effectivement perçu par les serveurs hébergeant les contenus en bout de chaîne ». Entre le client, le FAI, la box, les intermédiaires et le serveur en bout de chaine, il existe de nombreux maillons et il suffit que l'un d'entre eux (n'importe lequel) ne soit pas compatible IPv6 pour retomber en IPv4.

Ainsi, chez les clients disposant à la fois d'IPv4et IPV6, c'est-à-dire en « dual-stack », les opérateurs estiment ainsi que seuls « 30 % à 50 % de leurs échanges sur internet » exploitent le protocole le plus récent.  Aujourd'hui, il est question de la mesure globale du taux d'utilisation d'IPv6 chez les principaux FAI (il faut donc que l'ensemble des maillons soit IPv6-ready). Free est cette fois encore en tête avec 35 %, suivi par Orange avec 33 % selon les calculs du régulateur.

Pour rappel, il était question de respectivement 28,5 % et 16,5 % en mars 2017, contre 24 % et 16 % en décembre 2016. L'agrume fait ainsi un bond de 17 points en l'espace d'un an, contre 11 points pour le trublion des télécoms.

Arcep IPv6 décembre 2017Arcep IPv6 décembre 2017

...Bouygues Telecom et SFR loin derrière, à moins de 1 %

De leur côté, Bouygues Telecom et SFR étaient à moins de 1 % d'utilisation d'IPv6 en décembre 2016, encore sous cette limite en mars de cette année et... ils ne font pas mieux aujourd'hui. Ils sont donc largement en retard sur les deux premiers du classement et n'ont quasiment pas évolué en l'espace d'un an.

Le gendarme des télécoms explique que, 39% des clients Orange sont IPv6-ready – « et la plupart sont activés » –, contre 100 % d'IPv6-ready pour Free, mais « pas encore tous activés ». Si Bouygues Telecom et SFR revendiquent un taux d'IPv6-ready compris entre 65 et 68 %, ils n'ont activé ce protocole que « sur une petite partie » de leur parc, ce qui explique en grande partie des scores aussi faibles. 

20,4 % d'utilisation d'IPv6 en France : mieux que l'Espagne, moins bien que l'Allemagne

Le régulateur reprend aussi les chiffres de Cisco - 6Lab sur le taux d'utilisation d'IPv6 observé par Google au niveau national. Avec 20,4 %, la France fait moins bien que plusieurs de ses voisins européens : 49,7 % pour la Belgique, 33,60 % pour l'Allemagne et 28,40 % pour le Luxembourg. Nous nous en sortons par contre largement mieux que l'Espagne et l'Italie qui obtiennent 2,3 et 1,25 % seulement.

Arcep IPv6 décembre 2017

Activation IPv6 fin 2020 : SFR vise 10 à 20 % contre au moins 70 % pour les 3 autres

Le régulateur publie ensuite une prévision pour fin 2018 et fin 2020 en se basant sur les données transmises par les FAI. Pour la première échéance, Free « envisage d’activer IPv6 sur l’intégralité de son parc », quand Orange viserait entre 50 et 60 %. Bouygues Telecom ne serait qu'entre 25 et 35 %, tandis que SFR resterait bon dernier sous la barre des 10 %.

Deux ans plus tard, fin 2020, Bouygues Telecom espère visiblement prendre de justesse la deuxième marche du podium avec 75 à 85 % de clients activés en IPv6, contre 70 à 80 % pour Orange. La marque au carré rouge reste toujours en dernière position avec seulement 10 à 20 % de clients activés en IPv6 en 2020... soit moins que Free et Orange actuellement.

Attention, il s'agit bien de clients activés en IPv6, c'est-à-dire ayant la possibilité d'exploiter ce protocole, le taux d'utilisation sera évidemment inférieur comme nous l'avons déjà expliqué. Il s'agit néanmoins d'une étape importante pour généraliser IPv6. 

Arcep IPv6 décembre 2017

Et sur le mobile ?

IPv6 n'est pas une exclusivité du fixe, on peut également profiter de ce protocole sur mobile. En 2016, le régulateur expliquait que, « sur les réseaux mobiles en revanche, aucun opérateur national n'a à ce jour entamé la transition ». Le même constat était fait début 2017. 

En cette fin d'année, enfin un peu de changement : « Sur les réseaux mobiles, la plupart des opérateurs ont indiqué avoir commencé à effectuer des tests pour migrer en IPv6. Quant aux acteurs MVNO, EI Telecom et LycaMobile notamment, ils dépendent de la politique de transition des MNO ».

Visiblement optimiste, l'Arcep nous ressort la même conclusion que celle du début d'année, avec un simple « + 1 » : « Une accélération des déploiements, aussi bien pour les réseaux fixes que mobiles, devrait être observée en 2018 ».

Commentaires (98)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Cela dépend aussi de l’équipement en face de toi dans le réseau. En ADSL y’a a des pas compatible IPv6.

Et là y’a rien à faire à part espérer la fibre vite (ou le VDSL)

votre avatar







Beuark a écrit :



Grâce au NAT de l’IPv4, ma Freebox m’offre une relative protection de mon réseau interne.



Quand j’ai voulu activé l’IPv6, je me suis rendu compte que mes adresses internes en IPv6 étaient joignables depuis Internet.



Je n’ai pas trouvé de fonction de filtrage des adresses IPv6 sur ma box, et c’est pour cela que je reste en IPv4.



Mais si quelqu’un a des idées (en dehors de l’achat d’un firewall, bien sûr) …



Le NAT n’est pas et n’a jamais été une protection… Le NAT, ce n’est pas un pare-feu, c’est une verrue.

(Et au passage, il y a déjà un pare-feu intégré dans les box et un pare-feu logiciel dans Windows et Linux.)


votre avatar

vu qu’ils perdent des clients, ils sont loin d’être en pénurie <img data-src=" />

votre avatar







Beuark a écrit :



Grâce au NAT de l’IPv4, ma Freebox m’offre une relative protection de mon réseau interne.



Quand j’ai voulu activé l’IPv6, je me suis rendu compte que mes adresses internes en IPv6 étaient joignables depuis Internet.



Je n’ai pas trouvé de fonction de filtrage des adresses IPv6 sur ma box, et c’est pour cela que je reste en IPv4.



Mais si quelqu’un a des idées (en dehors de l’achat d’un firewall, bien sûr) …









C’est normal que tu n’en ais pas trouvé sur ta freebox : elle n’a pas de vrai pare-feu.



C’est le seul “point noir” de IPv6 : il est relativement plus facile pour un bricoleur amateur d’exposer plus que prévu son réseau, là où avec les limitations importantes de IPv4 la casse est, accidentellement, limitée.


votre avatar







Patch a écrit :



il y a déjà un pare-feu intégré dans les box







Ah bon ? Où ça ?


votre avatar

Le NAT n’est absolument pas une mesure de sécurité, attention à ce faux sentiment de sécurité !

votre avatar







Pazns a écrit :



C’est normal que tu n’en ais pas trouvé sur ta freebox : elle n’a pas de vrai pare-feu.



C’est le seul “point noir” de IPv6 : il est relativement plus facile pour un bricoleur amateur d’exposer plus que prévu son réseau, là où avec les limitations importantes de IPv4 la casse est, accidentellement, limitée.



Vu le nombre d’IP qu’on possède en V6, faut vraiment pas avoir de chance si qqu’un tombe dessus… Et reste toujours le parefeu de l’OS.







Pazns a écrit :



Ah bon ? Où ça ?



Je viens de regarder, en effet elle n’en a pas… j’étais persuadé qu’elle en avait un. La box la plus avancée du marché qui n’en a pas, ca fait tache :/


votre avatar

Non, tes adresses internes (ULA, non routables vers internet) n’étaient pas joignables. Les adresses globales étaient visibles, c’est volontaire. Si tu as des services sur tes machines, et que tu ne veux pas qu’ils soient accessibles depuis l’extérieur, le plus simple est de les configurer pour n’interagir qu’avec les adresses locales. Si tu n’as pas de services ouverts sur l’extérieur, il n’y a rien à craindre à être visible depuis l’extérieur. IPv6 ne change rien à ce niveau, la seule différence c’est que chaque machine accède au net avec sa propre adresse (ce qui rend le NAT inutile), mais les adresses locales et loopback continuent à exister.

votre avatar

Avant d’activer l’IPV6 il faut s’assurer que le VPN utilisé le prenne en compte correctement. <img data-src=" />

Faudrait pas se retrouver avec le cul à l’air en cette saison. <img data-src=" />

votre avatar

J’ai tenté par deux fois d’activer l’IPv6 sur ma freebox… Je suis revenu en arrière au bout de 2 ou 3 semaines de tests à chaque fois.



Ma box plantait souvent (j’ai une V4) et j’ai noté une baisse de débit plus forte autour de 20h qu’à l’accoutumé chez Free.



Du coup, j’ai plus vraiment envie d’essayer.

votre avatar







Obidoub a écrit :



Ben voilà l’ipv6 s’installe petit à petit et ça n’a pas cassé internet malgré tout le FUD qu’on a pu lire.







Le FUD est des deux cotés avec la pénurie d’IPv4 annoncée régulièrement depuis 2010.



De mon point de vue, un réseau IPv4 only fonctionne très bien.

De mon point de vue, un réseau IPv6 only fonctionne également très bien… encore faut-il avoir tous ses appareils/software qui supportent IPv6.



Par contre, dés qu’on mélange les deux (dual stack, 6to4/Teredo, …) c’est le bordel. On se sait jamais trop si la connexion est ipv6 ou ipv4 (cf premier commentaire de la news). On n’est jamais certain d’avoir configuré correctement son firewall (est-ce qu’on peut contourner la règle v4 en v6, et réciproquement). On cherche pendant des plombes pourquoi la machine X ne voit pas la machine Y, ou pourquoi c’est lent, etc.



Bref, j’activerai IPv6 le jour ou je pourrais être en IPv6 only. Tant que mes appareils IPv4 only (camera ip, routeur customisés…) continueront à être fonctionnels, je resterai en IPv4 only.


votre avatar

1920 de mon coté !!!



Test IPv6 Synclinal

votre avatar

<img data-src=" />

votre avatar

Ah, si l’IPv6 était généralisé, je pourrais jouer en multi-joueur avec ma Switch, parce que plus de problème de NAT. Parce que là, la recommandation officielle de Nintendo est de faire suivre toutes les communications entrantes sur la box/le routeur vers la Switch.

votre avatar

Chez Orange comme Free, avec mes clients souvent l’IPv6 déconne (sites très lents, selon les périodes), donc maintenance je le désactive au minimum dans les cartes réseaux, et si possible dans les Box.



IPv6 testé pleinement, ça serait mieux… et avec un pare-feu bien fermé par défaut dans la Box, pour éviter les connexions depuis l’extérieur.

votre avatar







Patch a écrit :



Je viens de regarder, en effet elle n’en a pas… j’étais persuadé qu’elle en avait un. La box la plus avancée du marché qui n’en a pas, ca fait tache :/







C’est bien la seule chose qu’elle n’a pas <img data-src=" />



On peut espérer que la V7 en aura un.


votre avatar

Free ferai bien de mettre en place un vrai bon IPv6 natif au lieu d’annoncer un tel taux d’adoption. Si ce n’est pas le cas d’ici mon déménagement de cet été, j’opterai pour Orange comme nouveau FAI en plus d’avoir la fibre que Free ne propose pas…



C’est clairement plus ce que c’était, fini l’image Geek et novatrice, on n’est plus que dans du marketing et low-cost, j’ai mon propre routeur et je veux gérer toute ma domotique en IPv6, du vrai, pas le foireux 6rd en /64 utilisé par Free.

votre avatar

Tu as juste mis un routeur derrière la freebox ou c’est un modem/routeur qui a pris place de ta freebox ?

votre avatar

tu as mis un routeur derrière la freebox ou c’est un modem/routeur ?

votre avatar

Pour moi le but de l’IPv6 c’est justement d’avoir une ip (fixe) par matériel.



Avoir une IP dynamique fait perdre de l’intérêt.



Tu aurais des sources/exemples de ce que tu avances ?

votre avatar

Si tu met une adresse privé, quel est l’adresse publique du matériel ?

votre avatar

Routeur, la freebox est en bridge pour l’IPv4, et c’était assez chiant à configurer pour que ce soit mon routeur qui route l’IPv6.

votre avatar

ok dommage. Je cherche une personne qui aurait réussi à installer un modem/routeur pour remplacer la freebox, c’est apparemment impossible chez Free.

votre avatar

de mémoire la config suivante avait un très mauvais score de compatibilité ip v6 : LB4 (ip v6 activé) -&gt; Routeur Asus sur la DMZ de la livebox, ip v6 activé (merci orange de ne toujours pas fournir de mode bridge sur ces box en carton et non merci aux configs partielles de vlan où l’on perd la téléphonie ip etc) -&gt; pc windows&nbsp;

votre avatar







Obidoub a écrit :



Sur ce point je suis quand même partagé. C’est toujours facile d’obtenir une ip4 publique. Par exemple quand tu loue un scaleway à 3€, tu as une ip4. Pour l’instant on ne sent pas la pénurie. Les hébergeurs et opérateurs ont du en provisionner un maximum et ont une réserve tellement confortable qu’il n’y a pas encore de rareté…



En Occident. Parce qu’à la base on avait réservé beaucoup trop d’IP, et énormément restent inutilisées (surtout aux USA, d’ailleurs).

En Afrique, il y a énormément de NAT par le FAI car ils n’en ont pas assez.


votre avatar

C’est bien relou d’ailleurs de ne plus proposer d’offre classique avec juste internet, je serai prêt à payer le même prix sans les options mais pour avoir un vrai réseau IPv6 de qualité. Je ne regarde pas la TV et le Freebox Server&nbsp; ne sert à rien comme il est en bridge, et puis j’ai un NAS dans mon réseau qui fait beaucoup mieux…

votre avatar

<img data-src=" />



(ce pseudo déjà pris par mon double démoniaque)

votre avatar

Et tu n’as pas d’accès distant sur ta box ?

Soit l’accès à l’interface depuis l’extérieur, soit un serveur VPN activé ?

votre avatar

Il me semble que l’adresse Mac de la Box fait office d’identifiant auprès du réseau, donc effectivement si tu la remplaces la connexion doit être refusée par Free…

votre avatar

Presque tous les modems/routeurs actuels permettent de cloner les adresses MAC.

Chez Free, rien à faire, j’ai cloné l’adresse MAC de la freebox sur mon modem/routeur, la console d’administration m’indique bien que je suis connecté à internet mais impossible d’utiliser cet accès.

Sur certain forum j’ai lu que Free empêchait toute connexion chez eux si le matériel utilisé n’est pas une freebox, mais impossible de savoir si c’est vrai ou pas.

votre avatar

Ne peut on faire de «MAC spoofing» en ce cas ?

votre avatar

J’ai mis un routeur derrière la freebox.



Je me suis renseigné pour carrément virer la freebox, donc la remplacer par un routeur avec un SFP, mais ça a l’air un peu complexe il y a différents VLANs selon les services et ce n’est pas très clair (Free n’encourage pas ça).

votre avatar

on parle bien d’un pare-feu sur la box, sans DPI?

votre avatar

Pour une petite centaine d’euros, tu peux trouver un routeur avec switch configurable, ce qui te permet de l’adapter à toute sorte de scénarios (multi-wan, lan multizone…)

Tu auras pour un cout raisonnable un firewall bien plus complet (en général une interface web vers iptables) que sur une box. On en trouve même avec un port SFP, ce qui permet de virer la box fibre pour certains opérateurs.

votre avatar

J’ai beau tourner le concept dans tous les sens, je ne vois pas de quelle menace concrète Mme Michu est protégée par le NAT de la box. Une menace extérieure qui va venir attaquer des services destinés au LAN mal configurés (peut-être plus répandus que je ne l’imagine) ? Un malware local qui serait suffisamment stupide pour écouter passivement au lieu d’initier lui-même la connexion ?

votre avatar

Pourtant il y a pléthore de cas ou des appareils disponibles en grande surface peuvent se retrouver chez Mme Michu et qui, avec une IP publique, seraient accessibles sans trop de mal afin de générer la pagaille (Pas de mots de passe ou mot de passe par défaut ou admin/admin):





  • Imprimantes (interface WEB+SMB): Ça va coûter cher en impression de photo de fesses…

  • Caméra de surveillance: “j’say qui T, j’te r’garde an çmomen”

  • Baby phone: #pervers

  • lave-vaisselle: C’est combien la facture d’eau ce mois-ci ?

  • réfrigérateur: Vous reprendrez bien un peu de SPAM ?

  • Failles 0 day Windows: Avec un accès direct c’est encore plus simple qu’avec du fishing

  • Accès à toutes les photos du NAS (en lecture/écriture sans sauvegardes bien sûr)

  • Domotique: Chérie, c’est toi qui ouvre et qui ferme les volets ? Et les lumières ?





  • Au siècle dernier, avant le déploiement massif du NAT et l’absence d’un intérêt réelle d’un réseau de données mondial, ce type de problèmes étaient inexistants mais aujourd’hui où le moindre article tech, le moindre commercial, le moindre jeune vante le tout connecté, les menaces pour Mme Michu sont bien réelles (On ne parle que du NAT là. C’est dans le cas où il n’y a pas de pare feux hein, c’est évident).

votre avatar

Oui c’est certainement ça. Je suis vraiment bête de ne pas y avoir pensé <img data-src=" />.

votre avatar

Je sais que c’est une question (le changement de préfix) récurrent chez les opérateurs.

Y’a plusieurs stratégies constatées en IPv6 :




  • pas de changement, pas de rebrassage réseau

  • pas de changement mobilité du préfix (théorique,&nbsp; j’ai jamais vu)

  • changement à chaque reconnexion

  • changement en cas de demande client

  • changement en cas de rebrassage réseau

    Les deux derniers n’étant pas incompatible l’un avec l’autre.

    Sachant que le premier en cas de saturation de ton équipement (ou de l’un des équipements sur ta chaine) tu vois ton débit s’écrouler en heure chargée.

    Le deuxième, j’ai jamais vu en GP.

    Le troisième est bof (sur plein de raison) et est en train de disparaitre (même chez l’agrume, y’a eu des vas et viens qui montrent qu’ils veulent abandonner ce mode)

    A mon avis les deux derniers sont la cibles. Mais ils impliquent d’avoir un DynDNS ou autre (cela serait bien par l’opérateur ??) pour couvrir de manière fluide les cas indépendant du client.

votre avatar

sur OVH télécom, le préfixe est attribué au client ( /56) et il me semble qu’il peut être changé sur demande du client uniquement. et encore, j’ai un gros doute. ça doit pas se faire juste en appuyant sur un bouton mais en contactant le service client.

votre avatar

Si tu veux changer la box de merde par du vrai matos, normalement sur lafibre.info tu as plein de tuto pour les FAIs. J’ai pas Free, mais chez Orange en offre Fibre j’ai l’ONT et un routeur Ubiquiti derrière qui tourne du feu de dieu. Par encore config l’ipV6 par contre.



Après ça dépends, plus tu as de “services” plus ce sera compliquer pour remplacer entièrement. Moi j’ai que le forfait fibre seul sans TV et le téléphone que je n’utilise pas, donc j’ai viré ça sans problème.

votre avatar

Je l’ai activé dans ma Freebox mais je sais pas si je l’utilise réellement, comment etre sur de ca ?

votre avatar

sfr ils sont plus occupé à faire des montages financiés pour economiser la TVA qu’à faire des plans de migration IP ?



Nan parce que 10% en 2 ans c’est minable.

votre avatar







balifred_alias fred a écrit :



Je l’ai activé dans ma Freebox mais je sais pas si je l’utilise réellement, comment etre sur de ca ?





http://ipv6-test.com/



&nbsp;Après bien sûr ca va dépendre des sites (et de beaucoup d’autres choses), mais globalement ce lien te dira déjà si de ton côté (+ ton FAI) tout roule <img data-src=" />


votre avatar

ça serait bien que free bloque par défaut les connexions entrantes en IPv6 comme le fiat orange sur la LB4.



&nbsp;Marrant de voir que l’ordre ne correspond pas du tout à autre sujet d’actualité chez les opérateurs : le déploiement de la VoLTE

votre avatar

J’ai la LB4 sur ADSL (pas vdsl) et pas d’ipv6 activable … Malgré plusieurs appels au service technique : certains ne savent pas ce que c’est …

votre avatar

Ben voilà l’ipv6 s’installe petit à petit et ça n’a pas cassé internet malgré tout le FUD qu’on a pu lire.

votre avatar

Grâce au NAT de l’IPv4, ma Freebox m’offre une relative protection de mon réseau interne.



Quand j’ai voulu activé l’IPv6, je me suis rendu compte que mes adresses internes en IPv6 étaient joignables depuis Internet.



Je n’ai pas trouvé de fonction de filtrage des adresses IPv6 sur ma box, et c’est pour cela que je reste en IPv4.



Mais si quelqu’un a des idées (en dehors de l’achat d’un firewall, bien sûr) …

votre avatar

J’aimerai bien que l’IPv6 soit enfin banalisée. Là, j’ai merdé une redirection de ports, et mon NAS est inaccessible en dehors de chez moi.



Ce quie me ferait quand même une belle jambe, mon portable est branché sur mon smartphone, et tintin pour l’IPv6 avec Sosh (test fait à l’instant même).



Cela dit en passant, ma box chez moi prend l’IPv6, et mon ordi portable m’indique une adresse en IPv6… Faudra que je fasse des tests plus poussés…

votre avatar

le test de débit fait planter la page de NXI et la page du lien <img data-src=" />

sinon ça me sort 1620





sinon je suis passé à l’IPV6 en passant à la fibre chez Orange, c’était activé et j’ai laissé du coup… (question débits ils rigolent pas chez Orange <img data-src=" /> )

votre avatar

420 chez Red en cable \o/

votre avatar

Ben le fait qu’avec le nombre d’adresse IP disponible, le FAI pourrait décider d’allouer un million (ou milliard) d’adresse IP pour chaque client, et de faire une rotation journalière…



Je sais pas si quelqu’un fait de l’adresse IPV6 non fixe, mais c’est possible

votre avatar

Le problème principal est que la majorité des VPN ne gère pas l’IPV6 ….

votre avatar







Poppu78 a écrit :



Et tu n’as pas d’accès distant sur ta box ?

Soit l’accès à l’interface depuis l’extérieur, soit un serveur VPN activé ?







J’ai désactivé l’accès distant à ma box par sécurité… <img data-src=" />



En plus, je passe par un redirecteur d’adresse pour accéder à mon NAS (le synology.me).



Pour le VPN, prévu sous peu.


votre avatar

J’ai réussi a le faire mais uniquement en IPV4.&nbsp; Avec un routeur de chez TPLINK (je n’ai plus la ref exacte en tête) en VDSL2. Un peu galère il faut récupérer l’adresse MAC, mais pas&nbsp; celle de la freebox.



Je peux retrouver les infos si vous voulez. (MP)

votre avatar

forcément, il y a eu des transfert d’IP de ce continent vers l’occident justement.

et ils en sont même a utiliser des plages réservé normalement aux réseau privé.



bon, je suis content, j’ai réussi à remettre l’ipv6 sur ovh adsl. <img data-src=" />

votre avatar

heu si, enfin un préfixe fixe.

le principe de l’IPv6 c’est qu’on t’attribue un préfixe et tu pioche dedans les adresses publiques que tu veux. (t’en a au moins autant sur ton préfixe que la totalité des ipv4)

donc effectivement tu peux paramétrer pour avoir une adresse ipv6 fixe qui change régulièrement mais toujours sur le même préfixe. mais c’est pas spécialement pratique ( <img data-src=" /> ) si tu héberges des services dont tu veux avoir l’accès à l’extérieur de ton réseau…

votre avatar







Patch a écrit :



Le NAT n’est pas et n’a jamais été une protection… Le NAT, ce n’est pas un pare-feu, c’est une verrue.

(Et au passage, il y a déjà un pare-feu intégré dans les box et un pare-feu logiciel dans Windows et Linux.)









H4rvester a écrit :



Le NAT n’est absolument pas une mesure de sécurité, attention à ce faux sentiment de sécurité !





Dans l’absolut vous n’avez pas tord mais le NAT apporte bel et bien une sécurité au réseau puisque ce même réseau ne possède aucune route pour atteindre les machines de l’extérieur. Les failles ne peuvent venir que de l’intérieur (ou d’une porte dérobé sur le routeur de bordure).

&nbsp;

Faites le test. Montez vous un petit réseau privé avec un NAT séparant un deuxième réseau privé (simulant le réseau public) et tentez d’attaquer les machines derrière ce NAT depuis le réseau public (réseau public -&gt; [NAT] -&gt; réseau privé). Je vous assure que vous aurez tout le mal du monde à faire quoi que ce soit.

Ça n’a l’air de rien comme ça mais pour prendre mon cas personnel je fait pas mal de test sur mon LAB interne (derrière un NAT donc) et mes machines virtuelles sont accessibles via VNC ou SPICE sans mot de passe ni chiffrement via des IP privées pour simplifier l’usage (et uniquement depuis ce réseau - pas de redirection de ports). Avec IPv6, je prendrai le risque d’avoir un petit malin qui vient tout me bousiller alors qu’avec IPv4, l’absence de fonctionnalité induite par le NAT (table de routage) rend tout ceci impossible.



L’idée du pare feux sur les systèmes d’exploitations peuplant le réseau est louable mais du coup, il faut être confiant sur ce point là -&gt; le pare feux de votre iPhone est-il fiable ? Celui de votre caméra de surveillance chinoise ? Votre Frigo en a-t-il même un ? Y a-t-il les bonnes règles dans ces pare feux (sous la majorité des distributions Linux IPtables n’a pas de règles par défaut donc on est à poil) ? Quid de ceux qui sont son Windows XP (son pare feux a déjà prouvé ses nombreuses limites) ? etc…



La solution clé en main pour le grand publique sera d’avoir un pare feux qui tien la route au niveau des boites Internet mais pour les clients expérimentés (ou les PME) qui trouvent leurs usages limités par ces machines et qui mettent leur propre matériel à la place, il va falloir plus de rigueur et une monté en compétence sans quoi l’absence de NAT engendrera irrémédiablement des failles de sécurité béantes.


votre avatar

Va dire ça à Orange… Le préfixe change à chaque reboot de la box…

Et l’IPv4 change de temps en temps (une fois par mois ?). Obligé d’avoir un outil qui pousse l’IP sur mon DynDNS OVH régulièrement chez moi.

votre avatar

Faut que le matos le supporte, mais @lololastiscot semble dire que c’est possible mais que ça ne suffit pas :(

votre avatar

Bah c’est qu’on doit passer d’une impossibilité technique à une sécurité par des configuration par défault adaptés (interdiction des connexions entrante IPV6 par défaut sur les routeurs, écoute par défaut des protocole VNC et SPICE uniquement sur les addresse IPV6 publique).



Bref, normalement l’utilisateur n’a strictement rien à faire.

Et le NAT ça paraît sympa comme ça, mais c’est juste l’horreur pour un tas d’usages…

votre avatar

oui je suis intéressé ! :)

J’ai suivi de nombreux tutoriels mais jamais réussi à obtenir l’accès au net.


votre avatar

Chez Orange en fibre l’ipv6 est effectivement activé par défaut mais j’ai fini par le désactivé, comme indiqué plus haut il y avait de gros soucis de peering, en soirée on se serait cru sur une ligne free, impossible d’accéder correctement à youtube ou facebook.

votre avatar







hurd a écrit :



Et le NAT ça paraît sympa comme ça, mais c’est juste l’horreur pour un tas d’usages…





Je suis tout à fait d’accord avec ça. Je suis un fervent partisan d’IPv6 (même si c’était peut-être imperceptible dans mon précédent commentaire). Ne serai-ce que pour auto-héberger de la TOIP chez soit, avec le NAT c’est absolument impossible, ne parlons même pas d’XMPP qui est inopérant dés que l’on sort du cadre “chat texte”.

IPv6 me permettrai d’arrêter de tirer des VPN pour un oui, pour un non dés qu’un truc “chelou” ce produit (ne tentez même pas de faire un cluster Galera derrière un NAT malheureux).

&nbsp;

Je ne peux que me réjouir de l’avancer du déploiement de ce protocole mais je souligne par la même que le NAT a su répondre à un besoin de sécurité dans la majorité des cas. Imaginez un jeune qui a envi d’apprendre l’informatique, en plus des divers concepts de bases pour le fonctionnement d’un réseau, il devra en plus s’encombrer des divers contraintes de sécurités liés à la structure du VRAI Internet (car en IPv4, c’est pas vraiment de l’Internet) dés le début de ses premiers pas, ce qui peut s’avérer découragent vu comment la sécurité est traité sur les divers tutos… Si au moins on apprenais ça à l’école (BTS info) mais c’est encore trop timide de ce coté pour former les admins de demain sur le sujet malheureusement.


votre avatar

J’ai l’impression que ça c’est largement amélioré sur ce point. J’avais aussi des faiblesses sur Youtube (avec le classique de la vidéo 4K qui charge mieux que le 480p). Mais ça fait un moment que je n’ai plus eu ce problème.

votre avatar

Je ne possède pas de Freebox v6 mais c’est typiquement le genre de truc que j’aimerai faire si j’en avais une.



&nbsp;Pour interagir un peu avec de la fibre optique dans mon travail, veillez à ce que le module SFP soit compatible avec le type de fibre utilisé (mono ou multi mode), de plus, les modules SFP sont incapables de gérer l’auto-négociation et le MDI/MDX (auto croisement des paires) donc assurez vous que les fibres soient correctement croisées et que le module d’en face soit en Fast Ethernet ou Gigabit Ethernet en fonction du matériel que vous possédez (les caractéristiques doivent êtres identiques des deux cotés). Ça c’est juste pour la couche 1 OSI, pour le reste, il doit y avoir moyen de déduire les VLAN utilisés en faisant un petit snif réseau en man in the middle avec du port mirroring si vous avez un commutateur compatible. Le mieux étant étant, bien sûr, un tuto bien fait qui explique tout correctement mais quand on a pas, on se débrouille <img data-src=" />.

votre avatar

Je suis chez Orange et je suis obligé de désactiver l’IPv6 lorsque je télécharge des applications via le Play Store. Sinon, les téléchargements sont longs, voir ne se réalisent pas. Je ne sais pas d’où vient exactement le problème mais c’est lié à l’IPv6.

votre avatar







Etre_Libre a écrit :



Chez Orange comme Free, avec mes clients souvent l’IPv6 déconne (sites très lents, selon les périodes), donc maintenance je le désactive au minimum dans les cartes réseaux, et si possible dans les Box.



IPv6 testé pleinement, ça serait mieux… et avec un pare-feu bien fermé par défaut dans la Box, pour éviter les connexions depuis l’extérieur.





Je confirme, la LB4 reboote fréquemment avec l’adresse IPV6 activée. Conseil du service client, “désactivez l’IPV6”


votre avatar







127.0.0.1 a écrit :



Le FUD est des deux cotés avec la pénurie d’IPv4 annoncée régulièrement depuis 2010.



En fait, c’est déjà le cas, on utilise des artifices pour pouvoir le maintenir sans foutre le bordel, comme les IP dynamiques et le NAT au niveau des FAI…









Pazns a écrit :



C’est bien la seule chose qu’elle n’a pas <img data-src=" />



On peut espérer que la V7 en aura un.



Erreur : elle ne fait pas le café non plus <img data-src=" /> <img data-src=" />


votre avatar

Oui, sauf qu’on as de plus en plus souvent avoir des devices ( iot, android, frigo, télé, etc etc ) non mis à jours, blindés de failles de sécurités et accessible directement depuis internet.



Probablement que la probabilité de tomber sur une ip d’un device pas sécurisé au hazard est faible, mais pourquoi prendre ce risque ?


votre avatar







127.0.0.1 a écrit :



Par contre, dés qu’on mélange les deux (dual stack, 6to4/Teredo, …) c’est le bordel. On se sait jamais trop si la connexion est ipv6 ou ipv4 (cf premier commentaire de la news). On n’est jamais certain d’avoir configuré correctement son firewall (est-ce qu’on peut contourner la règle v4 en v6, et réciproquement). On cherche pendant des plombes pourquoi la machine X ne voit pas la machine Y, ou pourquoi c’est lent, etc.





Tu es en ipv6 si dispo… sinon ipv4. Perso jamais eu de problèmes.



Bon je me plaint de la freebox qui n’a pas de parefeu ipv6(signalé sur le bug tracker depuis des années, régulièrement uppé par les utilisateurs, aucune réponse de Free) et qui ne permet pas de changer les DNS donc moi j’ai mis mon propre routeur







Patch a écrit :



En fait, c’est déjà le cas, on utilise des artifices pour pouvoir le maintenir sans foutre le bordel, comme les IP dynamiques et le NAT au niveau des FAI…





Sur ce point je suis quand même partagé. C’est toujours facile d’obtenir une ip4 publique. Par exemple quand tu loue un scaleway à 3€, tu as une ip4. Pour l’instant on ne sent pas la pénurie. Les hébergeurs et opérateurs ont du en provisionner un maximum et ont une réserve tellement confortable qu’il n’y a pas encore de rareté…


votre avatar

Mais l’ipv6 ce n’est pas du pain béni pour les annonceurs ? Plus besoin de cookies quand on peut suivre avec précision ton PC qu’importe le navigateur ou le mode privé. Il y a beaucoup moins de doute. Non ?

votre avatar







H4rvester a écrit :



Le NAT n’est absolument pas une mesure de sécurité, attention à ce faux sentiment de sécurité !







C’est même une purge. J’ai oublié de configurer l’accès à mon NAS avant de partir en vacances, je l’ai maitenant dans le culte, si j’ose dire…







Quiproquo a écrit :



Non, tes adresses internes (ULA, non routables vers internet) n’étaient pas joignables. Les adresses globales étaient visibles, c’est volontaire. Si tu as des services sur tes machines, et que tu ne veux pas qu’ils soient accessibles depuis l’extérieur, le plus simple est de les configurer pour n’interagir qu’avec les adresses locales. Si tu n’as pas de services ouverts sur l’extérieur, il n’y a rien à craindre à être visible depuis l’extérieur. IPv6 ne change rien à ce niveau, la seule différence c’est que chaque machine accède au net avec sa propre adresse (ce qui rend le NAT inutile), mais les adresses locales et loopback continuent à exister.







La partie NAT inutile avec l’IPv6, j’en veux !



Je teste ça dès que je rentre chez moi.


votre avatar



Si Bouygues Telecom et SFR revendiquent un taux d’IPv6-ready compris entre 65 et 68 %, ils n’ont activé ce protocole que « sur une petite partie » de leur parc, ce qui explique en grande partie des scores aussi faibles



Ce qui serait intéressant pour SFR, c’est de connaître la proportion des lignes qui ont accès à l’IPv6 natif.

Je pense que pour la majorité des lignes xDSL/FTTH il s’agit toujours du tunnel, qui est désactivé par défaut (et heureusement, car la NB6V sature son CPU à 30Mbps). Pour le câble il n’y a pas d’IPv6.

votre avatar

Yep en effet, je n’ai pas la possibilité de l’activer sur ma Boite datant de la fin de l’ère NC.









Commentaire_supprime a écrit :



C’est même une purge. J’ai oublié de configurer l’accès à mon NAS avant de partir en vacances, je l’ai maitenant dans le culte, si j’ose dire…







Moi ce qui est marrant pour mon serveur perso, c’est que je me prend la bonne vieille “déco des 24h” sans en être une depuis quelques temps. Quand je l’ai mis en place il y a plus d’un an, ça allait comme sur des roulettes pendant plusieurs mois. Et depuis quelques temps, sans perdre la connexion Internet, j’ai la perte d’accès aux services que j’héberge. Le seul moyen de rétablir l’accès est de reboot la partie modem de la Boite.

Et cette déco intervient quasi pile poile à 24h d’intervalle, au point que j’ai pris l’habitude de la reboot le matin.



Je pense que NC/SFR a du véroler un truc lors d’une mise à jour… Ou alors elle sature avec l’abondant trafic que je lui force à faire pour mon usage de “cloud personnel”… A savoir quasi rien (synchro des sms, contacts, une fois par jour + quelques petits fichiers tels qu’un keepass, oskouuuurs) sauf lors de l’init. <img data-src=" />


votre avatar

C’est pas parcequ’il y a une IP v6 qu’il y a obligatoirement une IP fixe

votre avatar

Dans ma boite nous sommes chez ovh qui nous a passé d’autorité en ipv6…retour en ipv4 fiza car google n’arrêtait pas de nous sortir un message avec captcha nous disant que notre connexion était suspecte et nous étions assimilés à un bot. Depuis le retour en 4 plus aucun soucis.

Donc ipv6 pourquoi pas, mais quand ça fonctionnera.

votre avatar

En plus faudrait que tu changes de nom pour ::1&nbsp;<img data-src=" />

votre avatar

<img data-src=" />

votre avatar

Je viens de passer en v6 chez Free, RAS.

votre avatar

je NE comprends pas trop leurs attitudes ??

on nous parle d’un manque futur d’IP v4 (mini cata.)

et eux,, rechignent à faire la transition !




  • “qu’est-ce-que c’est que ce cirque” ? <img data-src=" />

votre avatar







Beuark a écrit :



Quand j’ai voulu activé l’IPv6, je me suis rendu compte que mes adresses internes en IPv6 étaient joignables depuis Internet.



Je n’ai pas trouvé de fonction de filtrage des adresses IPv6 sur ma box, et c’est pour cela que je reste en IPv4.



Mais si quelqu’un a des idées (en dehors de l’achat d’un firewall, bien sûr) …





En fait, en IPv4 et IPv6, il y a une plage privé:




  • En IPv4: les 192.168.x.x

  • En IPv6 : ce qui commence par “fd”, par exemple&nbsp;fd56:6c46:a9df:ba69:xxxx:xxxx:xxxx:xxxxDonc si ce sont des machines à ne pas exposer sur le net, il faut leur mettre des adresses privés, comme ce qui doit être fait chez toi en IPv4 je suppose.&nbsp;&nbsp;


votre avatar

Tout dépend du site que tu consultes, s’il est en IPv4, tu utiliseras de toute façon l’IPv4…

Sinon tu peux faire le test ici :http://test-ipv6.com/

votre avatar

Sur mobile je suis passé en ipv6 sur le réseau de Bouygues il y a deja au moins 2mois.

J’avais lu une news sur lafibre.info je crois

Et un des employés de BT sur le même site indiquait que sur le fixe ca allait commencé en 2018 sur le FTTH il me semble

votre avatar







NSACloudBackup a écrit :



Dans l’absolut vous n’avez pas tord mais le NAT apporte bel et bien une sécurité au réseau



Au même titre que le filtrage par adresse MAC, oui : tout spécialiste de la sécurité réseau te confirmera que ca ne vaut rien. Et suffit qu’un seul port soit ouvert pour tout y laisser passer.


votre avatar

Oui, au même titre qu’un pare feux donc.

votre avatar







NSACloudBackup a écrit :



Oui, au même titre qu’un pare feux donc.



Non.

Si ton pare-feu laisse tout passer, c’est soit qu’il est désactivé, soit que tu l’as configuré comme une merde. Et donc que le problème se situe dans l’interface chaise-clavier.


votre avatar







NSACloudBackup a écrit :



Oui, au même titre qu’un pare feux donc.











Patch a écrit :



Non.

Si ton pare-feu laisse tout passer, c’est soit qu’il est désactivé, soit que tu l’as configuré comme une merde. Et donc que le problème se situe dans l’interface chaise-clavier.







À ce sujet, un pare-feu matériel, comme les jolies boîtes de chez Zyxel à 300/700€ pièce pour les premiers prix, est-il un plus en matière de sécurité pour un geek comme moi ?


votre avatar







Patch a écrit :



Non.

Si ton pare-feu laisse tout passer, c’est soit qu’il est désactivé, soit que tu l’as configuré comme une merde. Et donc que le problème se situe dans l’interface chaise-clavier.





Non pas nécessairement, tu as parlé d’un seul port ouvert pour tout y laisser passer. Déjà, parler de port “ouvert” pour du NAT est un abus de langage puisque il s’agit uniquement de redirections de ports entrées obligatoirement à la main (donc on sait quelles ports sont accessibles de l’extérieure). Ne pas configurer cette redirection induit obligatoirement l’impossibilité technique de contacter les machines du réseau privé (donc aucune compétences chaise-clavier requises). Ensuite, cette propriété de tout laisser passer est justement le fait d’un pare feux non configuré correctement (comme une merde donc). Si tu configure mal un NAT -&gt; rien ne fonctionne; si tu configure mal un pare feux -&gt; fausse impression de sécurité.



Je suis d’accord que le NAT n’a jamais été pensé pour faire de la sécu et qu’un pare feux bien configuré est infiniment plus adapté mais je voulais insisté sur le fait que le premier ne requière pas de compétences particulière pour empêcher Mme Michu de se faire avoir tandis que le second impose des compétences dans le domaines (au moins coté opérateur qui configure ça sans failles). Avoir uniquement un NAT, en fonction du publique visé, n’est pas nécessairement synonyme d’absence de sécurité alors que n’avoir uniquement qu’un pare feux, mal configuré, peut engendrer des problèmes d’intrusions dans le réseau bien pire que ce que peu faire Microsoft en ses potes.


votre avatar







Commentaire_supprime a écrit :



À ce sujet, un pare-feu matériel, comme les jolies boîtes de chez Zyxel à 300/700€ pièce pour les premiers prix, est-il un plus en matière de sécurité pour un geek comme moi ?



A moins que tu aies des éléments sensibles chez toi, pas vraiment d’intérêt, à moins que tu ne veuilles t’amuser avec <img data-src=" />







NSACloudBackup a écrit :



Non pas nécessairement, tu as parlé d’un seul port ouvert pour tout y laisser passer. Déjà, parler de port “ouvert” pour du NAT est un abus de langage puisque il s’agit uniquement de redirections de ports entrées obligatoirement à la main (donc on sait quelles ports sont accessibles de l’extérieure).



Et le rediriger ca ouvre le port, laissant passer tout ce qui le demande. CQFD.


votre avatar







Patch a écrit :



A moins que tu aies des éléments sensibles chez toi, pas vraiment d’intérêt, à moins que tu ne veuilles t’amuser avec <img data-src=" />







Vu le prix, à la réflexion, je vais m’en passer.



Comme tu dis, je n’ai pas d’éléments sensibles chez moi, donc je vais mettre mon argent ailleurs.


votre avatar







Patch a écrit :



Et le rediriger ca ouvre le port, laissant passer tout ce qui le demande. CQFD.





Oui exactement comme un pare feux. Tu ouvre le port 22 sur ce dernier, tu peux y faire passer du http si tu veux. Aucune différence d’un point de vu sécurité…


votre avatar

c’est Orange le problème. s’ils respectent pas la norme, ils sont en tort.

votre avatar

j’avoue que sa remarque se tient:

si tu ouvre un port dans un NAT, ça ouvre la redirection vers une machine sur un port donné.

si tu ouvre un port dans un pare-feu de la box, ça ouvre la connexion de ce port vers toutes les machines qui l’utilisent

ou bien on restreint par IP aussi et donc ça ouvre que le port pour une seule machine.

mais dans les deux cas ça ouvre un port vers une machine.



donc si tu dis qu’avec le NAT il suffi d’un port pour balancer ce que tu veux, sur un pare-feu aussi du coup.



sans explication supplémentaire, ton affirmation n’est pas clair.

votre avatar







NSACloudBackup a écrit :



Oui exactement comme un pare feux. Tu ouvre le port 22 sur ce dernier, tu peux y faire passer du http si tu veux. Aucune différence d’un point de vu sécurité…



Conclusion : tu ne sais pas paramétrer un pare-feu.


votre avatar

sur mon routeur Netgear WNDR3700, j’ai mis dans les réglage IPV6 type connexion: détection automatique et utiliser le serveur DHCP . dans les configuration réseau windows seven , protocol internet ipv6 , choisir obtenir une adresse IPV6 automatiquement et utiliser l’adresse du serveur DNS suivante ; faire IPCONFIG /all pour connaitre l’adresse ipv6 du routeur et la rentré dans le serveur DNS. Cela fonctionne très bien après redémarrage routeur et PC. Ne pas oublier d’activer l’option IPV6 dans la FREEbox .

votre avatar

Euh, trouve moi la norme IPv6 qui impose à un FAI de ton garder un même préfixe ? Sérieusement, là je suis preneur.

C’est pas dans les RFC en tout cas.

&nbsp;

Et je sais (comme en IPv4 d’ailleurs) que des gens VEULENT changer de préfixe régulièrement.

votre avatar

Je vais galérer à apprendre l’IPV6 moi…

votre avatar

ce qui est débile quand tu veux héberger des services chez soi, ce qui est la base de pourquoi a été créé internet qui est grandement facilité par ipv6.

Changer d’IP n’a aucun intérêt. à part pour les pirates du dimanches qui veulent DL sans limite et sans payer sur des plateformes de téléchargement qui se basent sur l’IP.

Mais en IPv6, ça sera encore plus simple de changer d’IP puisque on en aura autant qu’on le désire dans la limite de son préfixe.

changer de préfixe. c’est juste se donner encore plus de mal à configurer ses services se basant sur IP.

les RFC 3177 puis 6177 parlent bien d’attribution d’un préfixe, à aucun moment ils ne parlent de préfixe dynamique.

et attribution, ça veut bien dire qu’on lie un préfixe à un “end site”.

Après ces RFC ne sont que des recommandation et ne parlent surtout que de la taille du préfixe. mais si Orange a envie de faire perdurer de mauvaises pratiques, c’est leur problème.

IPv6 : 33 à 35 % d’utilisation chez Free et Orange, Bouygues et SFR à moins de 1 %

  • Utilisation IPv6 : Free et Orange en tête avec 35 et 33 %

  • ...Bouygues Telecom et SFR loin derrière, à moins de 1 %

  • 20,4 % d'utilisation d'IPv6 en France : mieux que l'Espagne, moins bien que l'Allemagne

  • Activation IPv6 fin 2020 : SFR vise 10 à 20 % contre au moins 70 % pour les 3 autres

  • Et sur le mobile ?

Fermer