Le 09/12/2020 à 13h 27

AncalagonTotof a dit:

J’ai lu il y a longtemps (je suis pas capable de sourcer là comme ça) que la 5G était moisie dès le départ, de par se conception même, avec du/des protocole/s mal gaulés.

Vrai ? Pas besoin d’attendre d’éventuelle backdoor des fabricants d’équipements ?

Cette fragilité existerait déjà dans une moindre mesure dans les équipements < 5G.

je me souviens de choses similaires. Un exemple ici

le problème est surtout que le “mobile” est le seul réseau où on fait du support de service de haut niveaux. On fournit de l’internet, de la voix et du SMS alors que sur du fixe par exemple, on fournit de l’internet, de la TV et VoIP mais qui ne sort pas du réseau de l’opérateur. Je ne sais pas si le trafic RTP est chiffré entre nos box et les SBC des FAI ceci-dit.

Qu’une technique permette à quelqu’un de se faire passer pour un autre côté 5G ne serait pas un problème si on ne se reposait pas autant sur les SMS pour des codes uniques et des réinitialisations de mot de passe.
Je peux bien donner ma SIM à un hacker, ça ne lui suffira pas pour récupérer mon compte télégram ni facebook.

Quelqu’un qui utiliserait un téléphone uniquement pour la data avec du chiffrement dans les couches supérieures (TLS ou autre) se ficherait des risques du protocole sous-jacent, au pire il risquerait une coupure de service mais pas un vol de données.

Le 08/12/2020 à 20h 25

ForceRouge a dit:

Donc toi ca te vas si les IPs de tous tes serveurs changent plusieurs fois par jour? La base de donnée, ton serveur AD, tes serveur DNS… ? Evidement, pas en même temps hein sinon c’est trop facile, et avec un TTL 0 dans ton DNS ? Non, c’est juste pas possible.

Le grand reset, comme disent les complotistes.
Non on ne peut pas se passer de NPTv6 quand on est un petit, c’est clair. Mais qui sait, au train où vont les choses peut-être que 10 ans on pourra faire porter son préfixe par son ISP en le délégant. On a bien réussi à mettre en œuvre un routage des n° de téléphone pour offrir la portabilité.

Je ne dis pas que ça serait accessible à toutes les PME, mais pourquoi pas imaginer que les offres pro l’intègrent d’office sans avoir besoin de faire un vrai peering.

Par contre, ce qui est vrai, c’est que plus le temps passe, plus les architectures modernes à base de containers et micro services permettent de basculer des clusters entier d’applications en quelques minutes, de les ré instancier ailleurs, avec d’autres IP, etc…
Une entreprise jeune qui n’a pas de dette technique, utilise du MDM et messagerie en cloud peut dès aujourd’hui sérieusement envisager de ne rien avoir à faire de son adressage local de campus utilisateur. les solutions dites “zero trust” vont également dans cette voie.
Demain l’usage des TAG dans SRv6 comme il a été démontré avec “SERA” permettra de standardiser tout ceci.
RDV en 2026

Le 08/12/2020 à 11h 36

ForceRouge a dit:

Même pas, sans NPT, si le prefix change (failover entre deux FAI), toutes les IP internes changent vu que lié au prefix.

Sans même parler de cout, il n’est techniquement pas possible de fournir un AS et un prefix à chaque connexion internet, donc ouais, la translation d’adresse n’est pas prête de disparaitre,

Pour les IP des serveurs scaleway en DHCP, y a pas trop de rapport vu que l’AS est géré par scaleway, le prefix ne change jamais.

le rapport est justement que tu peux apprendre le préfixe, et fixer le reste des bits via DHCP.

OB a dit:

Bah je suis bien d’accord - Moi ce que je voudrait c’est 2 choses :

1. Sous-segmenter le /56 en 256 sous réseaux /64 , chacun attribué à un usage (que ce soit en adressage plat ou en VLAN)


2. Dans l’idéal j’aimerais que ces /64 soit attribué en DHCPv6 plutôt qu’en SLAAC , en particulier pour être en mesure de mettre à jour des pointeurs DNS

La façon “normale” de faire, ce serait (chez orange) de se passer de la livebox, et de faire tout le routage soit même, avec la complexité de garder le téléphone & la vidéo le cas échéant. La solution reste compliquée et surtout fragile : Si orange change un truc sans prévenir , tout pète, et c’est déjà arrivé. Quand ca pète pas chez toi, bah ça devient pénible. C’est la raison pour laquelle je veux garder cette livebox que j’exècre. Chez les autres opérateurs qui utilisent encore le vieux PPP , c’est plus simple, mais un mode bridge avec du SLAAC me convient pas non plus dans ce contexte.

La livebox ne fournissant qu’un /64 en SLAAC il faudrait mapper des plages de ce /64 vers d’autres /64 avec du NPTv6, laisser le routeur intermédiaire “pré-réserver” des IP via SLAAC et DAD dans le range /64 de la livebox, et ensuite s’assurer que le DHCPv6 dans les réseaux clients filent des IP dont la correspondance après NPTv6 retombe sur une IP que la livebox connaît.

C’est tordu, mais avec openwrt et un week end devant soit ça me parait faisable.

D’ailleurs avec ce mode uPnP PCP devrait continuer à fonctionner.
Par contre l’ouverture de port en IPv6 sur la livebox 4 est toujours buggué… 9 mois qu’ils sont au courant et que le support dit que c’est pour la prochaine release…

Le 07/12/2020 à 17h 12

OB a dit:

J’en suis à me dire que je vais me développer un démon qui va écouter en SLAAC et redistribuer en DHCPv6-PD sur une autre interface.

Je pense que c’est délibéré : Typiquement Orange réserve un /56 par client (affiché dans la GUI de la box) mais diffuse un /64 en SLAAC. https://x0r.fr/blog/58

Sans DHCPv6-PD pas de préfixe et surtout pas de routage, ce que tu veux faire revient à un bridge

ForceRouge a dit:

Détrompe toi sur le NAT, c’est loin d’être supprimé en IPv6, et ca s’appelle du NPT (Network prefix translation). Ce qui n’a plus d’intérêt en IPv6, c’est le PAT uniquement.

Sans NPT, tu peux pas faire de multi-wan ou bien simplement gérer un réseau local avec IPv6 sans avoir un AS, un range d’IP publiques, et un FAI qui accepte de peer avec toi. Sinon, à chaque changement de préfix de la part de ton FAI, ou changement de FAI, ou bascule du FAI 1 => FAI 2, tu dois re-ip tous tes serveurs.

C’est vrai pour les petites entreprises qui n’ont pas leur préfixe. L’idéal serait de pouvoir descendre la délégation jusqu’au bout. Par exemple j’apprends un /48 ou 56 de mon ISP et je hard code les autres bits ou DHCPv6.
Mais aucun OS ne propose de hard coder seulement la partie “host” de l’IP.

On va y venir aux serveurs avec IP affectée en DHCP, c’est déjà une réalité chez scaleway par exemple.

Le 05/12/2020 à 18h 43

OB a dit:

Alors justement le SLAAC est pour moi un problème car il n’est utilisable que sur le LAN (vu que broadcasté). Derrière un routeur en SLAAC, c’est compliqué de sous-segmenter le réseau , quel que soit la raison (partage de connexion ou mise en place d’un routeur intermédiaire). Dans un routeur “normal” - genre OpenWRT, linux, …. , tu peux faire autrement: routage statique, DHCPv6-PD, … Mais dans une box opérateur, ben tu peux pas : coté LAN c’est SLAAC et c’est tout (alors que les PC savent utiliser du DHCPv6 par exemple).

En IPv4 t’a pas ce problème grâce au NAT / DMZ, notion inexistante en IPv6.

Ce problème est très con , car cette raison conduit bien souvent à la désactivation d’IPv6 chez les pro (lorsque par exemple un prestataire info pose “son” routeur derrière la box opérateur en marque blanche).

(Si qqun a des idées contre ça , je suis preneur)

En effet DHCPv6 Prefix Delegation sert justement à ça, en domestique seul free le propose…

SLAAC est une horreur en entreprise, comment suivre les terminaux sur un wifi par exemple ? et comme Android ne gère pas DHCPv6 bah c’est la m

Le 19/11/2020 à 18h 04

Même plus besoin de configurer de split tunneling dans le VPN

Le 18/11/2020 à 18h 40

Doc_Nimbus a dit:

“l’industrie 4.0”, rien que ça ! C’est beau le progrès !

On se rapproche des normes audio, bientôt un 5.1

J’ai beau lire les docs sont beaucoup sont rédigées en Allemagne, je ne vois pas l’intérêt pour les clients.
Si c’est juste pour avoir un marketplace cloud standardisé chacun expose déjà ces certifications, son approvisionnement énergétique, ses fonctionnalités…
Même avec GAIA-X il y’aura toujours des trouzaines de méthodes de load balancing ou 50 façons de s’authentifier sur son bucket S3 car l’hébergeur a voulu faire du west coast custom.
On se retrouve donc avec de la concurrence dans la technique, dans la mise en prod, etc…

Les boites qui font du dual vendor en cloud s’embêtent déjà par exemple avec Azure et AWS, je suis pas sûr que ça soit pour passer 10x plus de temps encore à se documenter sur les interconnexions, la collecte des logs, l’authent avec scaleway, ovh et autre, ou ce qu’il est possible de faire en micro segmentation des VM et container, et compagnie.

Je connais 2 des speakers et ils n’ont pas la notion de la rationalisation technique couplée à l’abstraction/agnosticisme qui doivent être mis en œuvre entre les couches afin de parvenir à quelque chose de commercialisable à grande échelle.

Enfin, si les géants fonctionnent c’est aussi car tout est faisable au même emplacement géographique, dans un rayon de 1ms. Dans le modèle GAIA-X tes données vont passer leur temps à se balader/tromboner entre les différents éléments du stack technique que tu auras choisi et faire des Paris-Maubeuge-Strasbourg-Cologne-Milan. Pas sûr du résultat.

Pour l’instant ça ressemble plus à un mauvais spot sur la diversité culturelle de l’Europe appliquée à l’informatique, dommage !

Le 18/11/2020 à 00h 10

linkin623 a dit:

C’est si lourd que ça à compiler ? Qui le fait à part des devs sur le projet ?

Les utilisateurs de gentoo, la 1ère distribution de minage/chauffage sans cryptomonnaie
Quelques éléments factuels sur firefox et chromium

Le 13/11/2020 à 19h 07

Sheepux a dit:

Avec DNS over HTTPS le serveur de cache vérifie aussi le certificat et c’est trés robuste . Ce ne serai pas une couche supplémentaire qui éviterai ce souci ?
DoT et DoH sont conçus pour le client “final”

Ici l’attaque se situe entre ton résolveur DNS (ta box ou un vrai serveur selon ton FAI) et le serveur DNS auquel la requête est transférée (mode récursif)

L’attaque sur un résolveur en mode itératif (racine puis tld etc…) ne fera pas grand chose.

La seule sécurité est d’utiliser DNSSEC sur toute la chaîne, ce qui loin d’être suffisamment déployé, d’où l’échec de certains protocoles comme le chiffrement des mails où DANE qui nécessite DNSSEC s’est gentiment fait dépassé par MTA-STS qui repose sur un certificat TLS posé sur un serveur HTTPS.

Qu’est ce qui pourrait inciter les gens à mettre en œuvre DNSSEC ?
-une déduction fiscale
-Que Google abaisse le score SEO quand DNSSEC n’est pas là
-Que les navigateurs affichent une barre verte quand le certificat est valide et que DNSSEC est présent (la barre verte en plus du cadenas pour les certificats avec preuve d’identité a disparu récemment des navigateurs)

Le 12/11/2020 à 21h 33

al_bebert a dit:

au passage si quelqu’un connais une bonne solution de backup qui gère les rpis je suis preneur.
J’utilise UrBackup server avec agent sur le pi pour sauvegarder juste /etc /home et quelques autres dossiers
Rien trouvé de simple pour faire des images par contre.

J’ai eu à restaurer une fois (sd hs) maintenant j’ai un ssd. J’ai remis raspbian, quelques lignes en ssh pour réinstaller des packages et copie de ma config. Machine restaurée en 1h (en complément de mes docs aves les commandes de chaque service)
Maintenant que j’ai quasiment tout sur docker c’est encore plus simple…

Je vais tester ce backup server pour remplacer des exports zfs de ve à ve hors cluster.

Le 09/11/2020 à 22h 50

ndjpoye a dit:

Vive l’europe. Je pense que si tu fais encaisser l’argent par une entité en Irlande, au Luxembourg ou autre, t’es bon. Après cette entité donnera l’ordre à une autre entité de préparer ton colis. Y a pas d’ailleurs un montage de ce genre chez Microsoft ?
Tous font la même, le double Irlandais.

Il faut monter une boite à Cork, elle possède des marques comme “bar de la place, café du marché, bistrot du commerce”
Ensuite tu converties les restaurants, bars, etc en Franchise avec un cahier des charges bidon comme la forme du ticket de caisse et la charte de remplacement du PQ (ISO 27001 au passage)

Le bar/café/restaurant te reverse quasiment tout son bénéfice contre l’usage de la marque “café du commerce” et voilà, il paye des impôts sur pas grand chose.
Reste à trouver comment lui reverser son fric.

Faut pas se leurrer, en tant que particulier on peut par exemple vachement optimiser une simple SCI quand on est bien renseigné. une société comme groupe Bertrand pourrait tout à fait transférer la propriété de marque des ses restaurants en Irlande et faire ça, et même gérer l’emplacement foncier comme chez McDo.

Si un avocat s’ennuie, qu’il me contacte, je me ferais un plaisir de travailler avec lui à faire la 1ère startup de double irlandais façon legal start. Quand il y’aura un millier d’entreprise par région dessus le fisc changera sa règle, y compris pour Amazon, avec ou sans pression de l’Irlande qui lutte encore plus pour sa survie après le Brexit voisin.

Au final tout ça revient à créer une dette artificielle qui compense miraculeusement tes bénéfices, c’est toujours la même chose à tout niveau.
Simplement le restaurateur il est trop occupé à installer sa cellule de refroidissement pour les mousses au chocolat qui ne doivent pas être au frigo avant de se résigner à commander du pomona surgelé et te vendre la même tarte aux pommes que 35% des restaurants. Car sauf à avoir une cuisine faisant le tiers de la superficie de sa salle il lui est impossible de suivre toutes les règles avec du fait maison.

Le 16/10/2020 à 08h 00

EMegamanu a dit:

La même tambouille que sur mobile où AT&T et Verizon font passer des màj logicielles pour remplacer le logo “H+” par “4G”…

linkin623 a dit:

Source ?

Même qu’ils recommencent

kulturegeek
Mac4Ever
TheVerge
Android Police

Le 02/10/2020 à 16h 14

La version manageable est pas mal du tout, seul bémol à mon gout, pas de support de QoS basé sur DSCP. Seulement prio niveau 2 802.1p (le truc qu’on arrive jamais à tagguer facilement sur une machine, surtout Windows) là où le marquage DSCP est facile à mettre en oeuvre

Le 28/09/2020 à 07h 27

corrigo a dit:

Puisqu’on parle de compromis
Teams a perdu son mode plein écran pour regarder un partage

La magie des updates tout les 4 matins avec les choix hasardeux résultants des superbes méthodes “à Gilles….”

Le 08/09/2020 à 09h 13

Heureusement qu’il y’a Domoticz et surtout maintenant Home Assistant pour faire de la domotique.

Lier ça à son FAI est aussi logique que d’utiliser son adresse mail fournie ou acheter sa toiture en leasing…

Dans ²⁄₃ ans leur machin aura probablement disparu, c’est une mode. Pendant ce temps côte client la durée de vie d’un moteur de volet c’est ¹⁰⁄₁₅ ans

Les leroy merluche et autre agrume feraient mieux de participer au projet home assistant et de travailler à le rendre plus user friendly pour l’intégrer plutôt qu’à toujours vouloir réinventer la roue.

Ha et orange pourrait aussi se concentrer sur son métier d’opérateur et corriger ce bug de FW IPv6 toujours présent 1 an après les signalements dans les LB4

Bref, achetez un pi et mettez home assistant

Le 19/06/2020 à 17h 06

ça me rappelle un truc dans un autre secteur, un machin censé fédérer des acteurs de l’offre légale…

Next INpact Next INpactUne entreprise elle se démène déjà pour faire du multi cloud à coup de terraform ou de contrôleur propriétaire en cas de vision horizontale (ex piloter la micro-seg réseau dans AWS et Azure depuis Cisco ACI) c’est pas pour arriver dans un marché aux puces où t’as 10 acteurs de stockage S3 qui ont des variantes de limitations et un routage où chacun y va de ses actions sur des communautés BGP différentes.

&nbsp;

Des acteurs présents sur des points d’échange et/ou pouvant t’apporter une connexion directe garantie, d’autres non, des gens qui vont te vendre de la VM sur de l’ESXi, d’autres sur Qemu…



Les 3 gros acteurs US sont assez similaires sur la plupart des points, mais il reste qu’il faut connaitre beaucoup de détails, personne ne va s’amuser à apprendre / se former sur des dizaines de variantes pour un même service.



Là le seul truc qu’ils semblent centraliser et uniformiser c’est l’authent, savoir si le courant électrique du DC vient d’hamsters qui pédalent ou d’une centrale nucléaire, et si le service est ISO trouzemille1, c’est déjà ça.



Enfin, la latence est un élément pré-pondérant dans un datacenter, et là aussi, personne ne va prendre du stockage chez X, faire tourner du docker chez Y et s’annoncer via reverse proxy + WAF sur internet via Z. Seuls les trucs spécialisés genre sauvegarde ou bigdata sur GPU peuvent se permettre de tourner dans leur coin.

Le 20/05/2020 à 15h 07

Dommage que les routeurs avec ces SoC soient ultra fermés, ce qui empêche l’usage de firmware alternatif.
Sinon 3 unités de ce modèle avec openwrt et le fast roaming donnerait une excellente couverture pour 100€

Le 14/05/2020 à 19h 23

Tout ceci va être sympa avec l’usage grandissant de NAT64 + DNS64 qui est utilisé notamment sur les réseaux mobiles (orange et bouygues)

Si le DoH m’envoie une IPv4 alors que je suis derrière un NAT64 ça ne marchera pas.



&nbsp;il va falloir que les navigateurs implémentent un mécanisme de détection, certains le font déjà pour corriger les certificats par IPv4 et les URL en IPv4 littérales comme safari sur IOS.

La même correction est à faire pour le contrôle de la signature DNSSEC mais ici également du retour DoH.



Un moyen est que le navigateur résolve un enregistrement DNS (hors DoH) qui n’existe qu’en IPv4, s’il voit une réponse en IPv6 alors il est derrière un NAT64 et va prendre le préfixe /96 IPv6 pour y ajouter ensuite les 32 bits IPv4 que donnerait la réponse DoH d’un site IPv4 only

&nbsp;

Par exemple je veux accéder à impact hardware depuis Firefox Android ou IOS sur le réseau orange,

DoH me renvoie A IPv4 51.159.27.198le navigateur ne pourra pas joindre cette IP nativement, sous android le support de 464xlat va corriger le problème

sur IOS webkit le fait mais plus ou moins loin selon qu’on se trouve dans safari ou ailleurs.

Mais y’a pas que les web browsers dans la vie…

&nbsp;

&nbsp;L’idéal étant que le navigateur ait pleine conscience de cela, par exemple en testant un truc du genre ipv4.mozilla.org, ha tiens, j’ai un retour 64:ff9b::IPv4enHexa plutot que mon IPv4, je prends donc ça en compte dans l’ensemble de mes mécanismes.



là le navigateur prendra donc la réponse DoH de impact hardware et ajoutera le préfixe, ce qui donne 64:ff9b::51.159.27.198 finalement 64:ff9b::339f:1bc6 en IPv6

&nbsp;

pour ceux qui veulent voir s’ils sont derrière un NAT64 voir ici lafibre.info&nbsp;

Le 07/05/2020 à 10h 00

On prend les gosses à 10 ans, on utilise un algo de vieillissement (c’est répandu) et ensuite on applique ce truc.



Comme ça on pourra presque enfin appliquer l’adage “les vieux (criminels) il faudrait les tuer à la naissance” 🙃

Le 21/04/2020 à 10h 00

Nozalys a écrit :



C’est marrant de voir qu’un acteur qui ne fournit aucun service critique en terme de risques sur la sécurité des informations implémente plus rapidement un “nouveau” (ça fait quand même 2 ans…) protocole de sécurité, bien avant d’autres services critiques.&nbsp;



Les boites de la tech VS celles pour qui l’IT est juste un centre de cout.



&nbsp;Pendant ce temps là les SMTP d’orange eux sont toujours à la ramasse sur la version de TLS… la french tech, la vraie !

Le 03/04/2020 à 12h 29

n3sk a écrit :



Je confirme que ce sera possible, je connais le projet et j’ai eu l’occasion de lire le code. Pas de QR code chiffré et tout est généré sur le browser. Des outils qui vont bypass le système vont irrémédiablement sortir.





Ils ont copié les générateurs de paper wallet de crypto mais avec une input ? Comme les générateurs de qrcode wifi.

Pas de compute donc un coup de cdn et ça devrait être accessible.



Pas de signature non plus comme le suggérait le commentaire pertinent sur 2D doc.

Le 19/11/2019 à 14h 23

CryoGen a écrit :



Personne bouge, nous non plus, quand les autres bougeront, nous bougerons…



Le serpent qui se mort la queue XD





C’est pareil avec des mécanismes de sécurité, exemple avec la messagerie:

SMTP over TLS, SPF, DNSSEC, DKIM, MTA-STS VS Dane



Plus il y’a de gens qui implémentent, plus ça avance.



Pareil en routage BGP public avec RPKI + ROA qui commence à se voir pour signer l’origine des routes et permettra à un moment donné de signer tout le chemin BGP afin d’éviter les détournements de trafic.



Mais bon, on peut aussi garder l’écran CRT, Windows 2000 et du token ring, ça marche très bien



Mais je pense sérieusement qu’avec le stock à ZERO, ça va aider à accélérer. Sans compter que des pays réfléchissent à des contraintes légales, certains y sont déjà passés comme Biélorussie et Chine.

Le 18/11/2019 à 22h 04

Minikea a écrit :



UPNP a été assez décrié en ipv4 pour ne pas l’activer par défaut sur l’IPv6…

si on doit ouvrir un port dans un pare-feu, autant que ça soit manuel, sinon il est quasi inutile.





En résidentiel pour jouer au dernier jeu à la mode en matchmaking ou lancer une visio grand publique pas le choix, l’UpnP temporaire est plus simple et propre que de bloquer les gens.

L’un des enjeux de l’IETF est de faciliter l’usage des technos, tout le monde n’est pas ingé réseau. Il vaut mieux FW + UPNP que de laisser la personne en plan.

Le 18/11/2019 à 21h 10

coco74 a écrit :



Le gros souci chez free c’est que leur option parfeu ipv6 n’est pas activé par défaut…. Donc la petite mamie du cantal avec sa nouvelle freebox a tous ses appareils exposés sur internet…

Et qu’est ce que ça peux faire comme dégats au niveau imprimantes, partages mal configurés, iot mal configuré… (bon, là je parle un peu plus général, pas sûr que la mamie aie un nas avec partage Smb, mais l’imprimante c’est plus plausible oui…).



Il manque aussi une option de leur parfeu pour pouvoir ouvrir un peu ou créer des règles IPV6. Là ça bloque le principal depuis l’extérieur mais il faut toujours un parfeu spécifique si on veux quelque chose de plus poussé. Donc en gros, si on veux héberger quelque chose derrière une freebox, tout en bloquant l’ipv6 en entrée par défaut, on est obligé de tout bloquer.





ça fait parti des précos ARCEP de la taskforce, et des RFC sur les routeurs résidentiels.

Free n’offre pas d’ouverture de port, orange le fait mais il y’a 2 bugs connus du support et bientôt corrigés. je ne connais pas bien l’état des autres FAI



Et si tu veux qu’une app ouvre son port pour faire du P2P par exemple (torrent, plex, jeu,…) il faut que le routeur supporte UpnP en v6 via Internet Gateway Device (IGD) + PCP

Le 18/11/2019 à 20h 44

L’ARCEP a également monté une taskforce autour d’IPv6 lors de cette journée, avec de nombreux axes de travail afin d’aider opérateurs, hébergeurs et entreprises de toute taille à migrer vers IPv6.

&nbsp;

&nbsp;

&nbsp;

Tandhruil a écrit :



Je ne suis pas un spécialiste mais il n’est pas possible de faire une infra en IPV6 qui convertit les adresse V4 en V6 ?









coco74 a écrit :



Activer l’ipv6 veut dire aussi rendre disponible des équipements ipv4 en ipv6… Il y a certains mécanismes pour ça.





&nbsp;Il est facile de se connecter à un serveur IPv4 à partir d’un client IPv6, ceci via une passerelle NAT64 avec l’adjonction de DNS64. reste que si tu veux faire du SIP ou autre trafic P2P, les 2 parties devront avoir v6 (par exemple un PC v6 et un PC dual stack)



Ce mécanisme tourne chez les opérateurs mobiles Orange et Bouygues depuis fin septembre pour te fournir de l’accès internet over IPv6 only sous IOS 13 et Android.

Seule nuance, android émule du v4 locale et exploite XLAT464, IOS force NAT64, même avec un adresse littérale.

Dans les 2 cas, l’IPv6 “forgée” est 64:FF9B::IPv4enHexadécimal







Tandhruil a écrit :



La plupart des communications s’initiant via DNS on peut imaginer des

passerelles de conversion pour permettre aux IPV4 de communiquer avec

des IPV6, non ?



Dans ce sens là c’est plus compliqué, c’est du NAT46, très similaire au NAT44, du 1 pour 1 donc pas de gain d’adresse. Facebook utilise ça en datacenter, l’interne est en IPv6 only, et toi tu peux faire du v4 jusqu’à la porte d’entrée. Voir SIIT-DC RFC 7755 et SIIT-DC-DTM qui ajoute la possibilité d’un ilot IPv4 en DC IPv6

Bien sûr avec de l’HTTP, il suffit de grouper tout le monde derrière une IP et d’exploiter un reverse proxy avec des règles par URL, sauf qu’en pratique si c’est sur TLS et que le client ne supporte pas SNI c’est perdu.

Attention aussi à la MTU avec du NAT46 standard.







coco74 a écrit :



Free partage plusieurs IPV4 par abonnés en fibre et adsl pour les nouveaux abonnés. Je t’assure que si il peuvent économiqer des ipv4 vu la pénurie, ils le feront.



Les FAI ont entre 1 et 23% d’IPv4 publiques dispos, UNE IPv4 coûte entre 18 et 22€.

De fait, SFR partage des ports avec du NAT44 et le préfixe 100.64.0.0/10 prévu à cet effet

Free fait de même mais en encapsulant IPv4 dans 4rd

D’autres opérateurs, nippons principalement, font de même avec MAP-T ou MAP-E qui a notamment l’avantage de permettre du trafic direct inter-client sans repasser par la passerelle centrale mais impose de pousser les règles aux box via une option DHCP à rallonge.

Ces 3 implémentations sont softwares dans les box, d’où la limite de débit IPv4 vs IPv6 chez Free par exemple.



&nbsp;





Dubouchon81 a écrit :



Moi je veux bien passer en ipv6 ( chez free ) mais j’ai trouvé aucun tuto pour faire ce que je veux : que ma box passe en ipv6 mais que mon réseau interne reste en ipv4 et invisible depuis l’extérieur sauf redirection explicite de ma part ….



Free a fini par mettre un pare feu à l’arrache après des pressions et la gueulante des spécialistes, quand ils ont déployé il y’a une dizaine d’année, je m’étais amusé à imprimer à distance et à ouvrir du partage SMB… ça faisait froid dans le dos, mais à l’époque il y’avait moins de 1% de personnes avec IPv6 " />







Minikea a écrit :



faux

les FAI sont tenus de tenir un registre des IPs correspondant au nom d’abonné avec les dates et heures en ce qui concerne les IP dynamiques.

C’est d’ailleurs ce que demande Hadopi avant de t’envoyer un petit courrier, que tu recevras que tu sois en IP fixe ou dynamique de la même manière.



Ils se doivent d’archiver, en fixe ils partagent les IPv4 entre 4 abonnés max, sinon l’identification est complexe si on ne dispose pas du port source du client, la RFC 7768 propose de loguer le port source en plus de l’IP justement pour corriger ça.

En mobile ils faisaient du NAT44, avec IPv6 + NAT64 moins de volume de donnée, le port n’est à archiver qu’en cas de session NAT64 vers un serveur IPv4. Si IPv6 de bout en bout l’IP suffis.

&nbsp;D’ailleurs HADOPI était présent lors de cet aprem IPv6 ARCEP



Pour rester dans les logs, il est recommandé de tout loguer en IPv6 afin de limiter les changements de modélisation de donnée, et d’inscrire les IPv4 sous la forme&nbsp; ::FFFF:IPv4enHexa qui est un préfixe /96 non routable et ne servant que pour représenter une IPv4 sous forme logique IPv6.

Par exemple sous windows, un ping ::FFFF:1.1.1.1 fera bien un ping IPv4 de 1.1.1.1

&nbsp;

Si vous souhaitez des informations sur v6, n’hésitez pas à me PM

Le 14/10/2019 à 17h 52

En dehors des polémiques, sachez que Linky utilise IPv6LoWPAN avec le protocole de routage LOADng dont la normalisation vient en partie d’enedis. Son principal concurrent étant RPL

Le 24/09/2019 à 07h 33

SebGF a écrit :



J’espère pour eux qu’ils n’auront pas un coup de satellite pelleteuse comme il arrive sur les fibres souterraines.



Car à partir d’une certaine altitude, le câble ne sera plus attiré par la Terre et finira par pendouiller depuis l’orbite. Ca risque d’être chiant à re-souder. " />

Surtout à la vitesse à laquelle un satellite géostationnaire tourne !







Un jour peut-être



https://www.sciencealert.com/researchers-say-they-ve-found-space-elevator-altern…

Le 20/09/2019 à 22h 53

Autre nouveauté spécifique à notre marché, ipv6 fonctionne enfin chez Bouygues et Orange. Je viens de tester chez ce dernier à l’instant.

Le 05/09/2019 à 07h 50

Et dans 9 mois un article sur la fragmentation d’Android.

6 ans que google dit vouloir éviter cela mais toujours l’autorisation des surcouches lourdes et pas d’obligation des fabricants de puces de fournir des drivers pendant ³⁄₄ ans

Et après on se plein du monde Windows…

Le 03/09/2019 à 12h 57

Le cout de diff est négligeable pour les 2 parties:

Cout d’encodage d’une chaine via un prestataire et liaison aux différents FAI, hébergement chez TH2 Blvd Voltaire : 10 à 15k€ / mois

Évidemment dégressif avec plusieurs canaux.



&nbsp;En option la chaine peut avoir des qualités d’encodages meilleures pour les abonnées THD par exemple.

Typiquement RTL9 est dégueu à 4,5 Mb/s chez tout le monde quand TF1 et Ciné+ sont à 10Mb/s chez Orange en FTTH.



Le cout de transport c’est un multicast par chaine, en général le flux est tout de même floodé jusqu’à chaque NRO/NRA à minima pour les chaines courantes.

&nbsp;

Si on compte en moyenne 10 Mb/s par chaine car certaines ont plusieurs niveaux d’encodage et 120 chaines floodés + 60 en prunning ça fait pas énormément de débit.



à la limite le développement et la mise à dispo de la BOX TV pour supporter le replay, la 4k, l’enregistrement local ou remote, etc revient à plus cher.



Après le FAI s’y rattrape en ARPU, c’est pas pour rien qu’il n’y a quasiment pas d’offre sans TV hors RED Sosh OVH.



&nbsp;Mais le nerf de la guerre d’une chaine étant sa régie pub et son audience… Complété par des événements, partenariats, pubs cachées, publi-reportages,…



Bref, le coût technique de diff pour les 2 parties revient en équivalent au salaire super brut de 2 ingés.

Et tout est mutualisé côté opérateur. Et aussi diffuseur quand il y’a plusieurs chaines.



Il y’a quelques années Numéricable déchiffrait les chaines en SAT dans chaque ville près du CMTS et diffusait le flux en DVB-C à partir du DVB-S, ce basard coutait bien plus cher pour 3 villes que ce que coute la diff IP end to end nationale.

&nbsp;

Le 25/06/2019 à 10h 37

Thorgalix_21 a écrit :



Disons que là où se trouvent les machines, les ondes passent mal. Donc, je ne veux pas m’embêter à faire sortir une antenne pour capter un signal alors que je n’ai pas besoin de précision.





Y’a des antennes avec transmission NMEA sur IP, faible surface d’attaque, possibilité de placer loin du serveur.



Sans aucun réseau il ne reste que la resynchro manuelle d’une véritable horloge, même celles au cesium on en trouve pas trop cher maintenant.



Dernière solution qu’on capte parfois mieux que le GPS, le signal d’horloge radio allemand

Le 24/06/2019 à 17h 27

Thorgalix_21 a écrit :



J’ai sûrement mal cherché mais je cherche à mettre en place un serveur NTP sur un réseau autonome (non relié à internet) et tous les logiciels “serveur” NTP ont besoin d’une référence externe.

Je n’ai pas besoin que les machines soient à la bonne heure, j’ai juste besoin qu’elles soinet toutes à la même heure.

Une suggestion ?





Tu met un serveur NTP stratum 1 commercial avec GPS (y’a peut-être du gallileo/glonass) ou un raspberry pi avec antenne NMEA en USB, ça fait le taff

Le 17/06/2019 à 21h 17

boogieplayer a écrit :



Pourquoi ? :)





Les trains de marchandises XXL atteignant une centaine de wagons en taille double steak c’est…loooooooong

Le 17/06/2019 à 20h 48

maverick78 a écrit :



J’ai du mal à croire que les accidents de passage à niveau sont dû à un manque d’attention. Du coup, je ne pense pas que cela soit très utile.





Une fois j’en ai raté un pour une raison peu anodine.

En plein champs le passager me dit “regarde, un lama !” J’étais tellement stupéfait que je n’ai pas vu le passage. C’était près du Mans sur une route inconnue. L’aurais je raté s’il avait sonné et clignoté ? Difficile à dire.



Le lama appartenait à un cirque voisin.



Pour une fois ça me parait une bonne idée, en tout cas ici on ne reste pas 2 plombes aux passages, aux US c’est une autre histoire.





Je m’insurge par contre des communes qui utilisent la signalétique de feu unique clignotant de passage à niveau pour autre chose qu’un vrai passage. Comme des lignes de tram ou bus où on peut le confondre avec un feu orange tricolore clignotant. C’est le cas de St Nazaire par exemple.

Le 13/06/2019 à 20h 58

vampire7 a écrit :



Si le poids des câbles est un problème pour les avions, ils n’ont qu’à facturer le billet en fonction du poids de la personne. Rien de tel pour lutter contre l’obésité que de demander aux gros de payer plus.





En attendant ils surconsomment volontairement en rallongeant les trajets pour avoir de la marge, respecter les horaires et éviter les pénalités de retards. En plus ils volent pas droit à suivre des balises au lieu de faire comme en mer du nord. La correction de ces 2 points ferait économiser au moins 10% de carburant.

Mais surtout couper l’eau en vous brossant les dents…

Le 06/05/2019 à 15h 49

WhiteHope a écrit :



PS: pour le pre-parametrage je pense, notamment, aux chemins des bibliotheques ou dossier par defaut ou de pouvoir mettre un fichier host perso





Pour Windows l’idéal reste de mixer l’unattend avec un profil par défaut capturé via sysprep.

Mais même là y’a des trucs qui ne peuvent pas être repris car le soft n’est pas compatible avec la copie de profil. C’est le cas de chrome par exemple.

Le 29/04/2019 à 09h 23

janiko a écrit :



Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.



Je ne vois pas bien l’intérêt en termes de sécurité… Si jeudi prochain j’utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée…



" />





Tu as le temps d’être averti et de bloquer les maj, et de mettre en place un retour à la normal progressif après contrôle.

Le 29/04/2019 à 07h 42

ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.

Le 18/04/2019 à 09h 18

fred42 a écrit :



Ta phrase est incompréhensible.

De plus, les systèmes multi-process existaient avant TCP/IP.





Le NAT n’est pas un FW, mais de part sa construction il bloque le trafic entrant, et c’est bien le plus important.[/quote]

Il ne bloque pas le trafic sortant ni les attaques de l’intérieur.

[/quote]



C’est bien pour ça pour que je dis que c’est le principal, un particulier se fiche généralement du trafic sortant, hormis s’il veut contrôler un équipement à risque. Historiquement d’ailleurs le firewalling par zoning avec une échelle de zones de confiance fonctionne tout ouvert dans le sens supérieur &gt; inférieur. Bien évidemment on ne fonctionne plus comme ça en entreprise, mais encore une fois, l’article parle de FREEBOX, chez des PARTICULIERS.



Un article de 2007 sur le sujet Ars TechnicaRegarde de quand date cette RFC

Le 18/04/2019 à 08h 47

Patch a écrit :



Mais quel rapport? " />

Merci de parfaitement confirmer que tu ne comprends rien aux réseaux " />

Le reste, pas lu, je suis sûr que c’est du même cru, donc pas la peine de perdre mon temps.





Merci de confirmer que tu ne sais rien faire d’autre que gérer ton LAN avec ton NAS.

Les ports sont apparus pour répondre aux systèmes multi-process, je dis pour ça pour rappeler que le réseau est là pour répondre au système.



Le NAT n’est pas un FW, mais de part sa construction il bloque le trafic entrant, et c’est bien le plus important.

Le 18/04/2019 à 08h 02

Patch a écrit :



Tip : le NAT est une verrue, pas une protection.

Si tes “amis” ont autant de connaissances que tu as l’air d’en avoir sur le monde du réseau, Free ne craint vraiment pas grand chose…





Sais-tu d’où viens l’usage des ports en réseau ? Tu comprendras. Tu veux le numéro de la RFC qui recommande la mise en place d’un pare-feu IPv6 sur les liens broadband ? Sans ne rien pouvoir faire, ton imprimante, ta TV, tes cameras etc… se retrouvent automatiquement accessibles depuis internet. Tu as alors 2 visions des choses.

Vision d’origine : chaque device a un FW ou l’organisation a un pare-feu en frontal. Vision d’une époque où on avait accès au net via un modem pour les rares particuliers qu’ils l’utilisaient.

Vision d’aujourd’hui : explosion des devices, pas de FW ni de compétences chez les particuliers et PME, pas de maintenance dans la durée des firmwares contre les failles (t’as déjà vu une maj de TV, phone, camera, ampli, imprimante 24 mois après sa mise sur le marché ? Rare)

Cette 2e vision pragmatique amène à faire du filtrage par nécessité.



Si tu aimes les verrues, ne regarde surtout pas le fonctionnement de MAP-T/E pour partager les IPv4 entre les abonnés broadband.



Heureusement que les rédacteurs des RFC ne sont pas comme toi, qui doit imaginer que chacun est expert en réseau et qu’ils pensent aussi au grand public.



Free est excellent techniquement mais est trop laxiste sur ce genre de point.

Le 17/04/2019 à 22h 30

Ju_ a écrit :



Hello,



Est-ce que ça ne va pas contre l’intérêt principal d’IPV6 qui est justement d’avoir tous les équipements directement connectés à internet ?

Ça oblige du coup à avoir des firewall sur tous les équipements et avoir des règles autant pour le routage lan que wan.

J’y connais pas grand chose à IPV6 " />





Faut laisser passer l’ICMP et c’est tout, amuse toi à utiliser un scanner en réseau depuis internet ou un partage Samba en IPv6, ça fonctionne sans problème puisqu’il n’y a plus besoin de NAT. Donc ça craint. Je vais écrire à des “amis” de free qu’ils fassent un papier sur le sujet, ça leur bougera le c

Le 17/04/2019 à 10h 14

10 ans que que c’est demandé sur le bugtrack de free mais toujours pas de firewall IPv6, merci Free

Le 16/04/2019 à 22h 54

Hier j’ai installé un jeu de 35 go sur un HDD via le windows store, le DL s’est mis en cache sur le SSD. Mon PC était inutilisable comme jamais, impossible d’ouvrir une page web ni même notepad. SSD à 100%, du jamais vu.



Et pourtant steam et ses concurrents auraient fait plus vite avec moins de dégâts.



Tout ça car le truc pompait la fibre à fond, preuve qu’ils ne sont pas bons sur le déploiement.



En entreprise c’est pareil, tout le monde lutte pour maîtriser les flux WSUS ou System Center à coup de QOS, de Trafic Shaper et autre parade. Tout ça car MS ne regarde jamais par la fenêtre la réalité du terrain, dispose d’un réseau surdimensionné, des derniers laptop à $2000 etc.

Le 27/03/2019 à 11h 33

Heureusement qu’avec une logitech harmony on peut forcer des commandes additionnelles au démarrage dont un n° de chaine…

Le 20/03/2019 à 18h 40

ytterbium a écrit :



Ça va être chouette la voiture du futur à qui il va falloir payer un abonnement cellulaire.



Encore plus quand il faudra la jeter après 24 mois car l’OS n’est plus mis à jour où qu’il y’a eu 10 meurtres par remote hacking du canbus.



J’ai hâte

Le 08/03/2019 à 09h 59

Ils vont pas non plus te dire qu’une erreur d’annonce de route BGP d’un partenaire a mis le bazar ni qu’un bug de forwarding DNS dans la zone monétique a momentanément provoqué la mise en sécurité de celle-ci

C’est une banque, pas OVH

Le 07/03/2019 à 23h 49

Y’a du soleil le matin ? Les transports des grandes villes sont pourtant souterrains…

Le 04/03/2019 à 10h 43

Ramaloke a écrit :



En même temps, quand tu es en régis, tu ne vois presque jamais tes supérieurs ou même tes collègues.

En 2ans j’ai dû mettre les pieds une fois à l’agence (pour signer le contrat) et j’ai déjà changé 3 fois de “manager” (Commercial…).

Les seuls contacts que j’ai avec les syndicats ou les votes c’est par email (quand je les reçois), de même pour tout ce qui peut toucher à la vie de l’entreprise.

Mes horaires de travail ? Ceux du client.

Mon responsable&nbsp; ? Le client.

Demande de nouveaux Postes de travail ? Le client

Mon manager quand il passe il vient voir qui ? Le client.



Bref, tout le monde le sait que la régis c’est du délit de marchandage mais ça flexibilise tellement le marché que tout le monde est OK avec.&nbsp;





Suffit que quelqu’un récupère l’annuaire de mails des 3 plus grosse SSII et envoi un mail à l’ensemble des collaborateurs avec la procédure pour faire requalifier son contrat en CDI chez le client, ça secourait bien tout ce secteur.

Le 01/03/2019 à 09h 17

fofo9012 a dit:

La version ou sous version est quand même bien le problème de l’USB-IF ?

à l’époque d’un modem 56k V90 tu avais le débit + la norme électrique par exemple.

Là on a le débit avec le “gen” alors que génération ça devrait être la révision protocolaire pour indiquer des trucs du style :
à partir de telle révision on supporte tel fréquence avec telle résolution en alt-mode HDMI sous réserve de tel débit.

Bref, pour être clair ça aurait dû être USB 3.2 speed 10g ou USB 3.2 10g par exemple.

C’est quand même simple de Keep It Simple, mais venant des gars qui inventent des full/mega/hyper speed rien ne m’étonne…

Demain tu vois un port USB-C et tu te demandes si tu peux brancher un écran 1080p 144Hz pour jouer par exemple, tu dois déjà regarder les specs de la machine voir si c’est un thunderbolt ou un USB, ensuite trouver la gen, ha pardon le num 3.x afin de savoir si le truc supporte HDMI 2.x et HDCP 2.x, bref, même les nappes IDE avec master/slave c’était plus simple.

Faudrait pousser Microsoft à intégrer un panneau t’indiquant ce que supporte la machine, ça aiderait pas mal de monde.