Le 30 juin 2011 à 22:34, Stephane Bortzmeyer a écrit : > Personne ne veut mettre du NAT66 sur ses boxes ? :-) > > http://www.bortzmeyer.org/6296.html >
Ces problèmes d'adressage me semble un gros frein au déploiement d'IPv6. Si j'ai bien compris les concepts d'IPv6 (je mets pas les :-) de rigueur, ne pas prendre au 1er degré !) : 1 - IPv6 a été conçu dans l'idée que la moindre ampoule électrique peut avoir sa propre adresse IP 2 - NAT44 et RFC1918 sont des technologies ayant été inventée en IPv4 uniquement pour adresser le manque d'adresses IPv4 3 - NAT66 est donc une technologie inutile 4 - en IPv6, tout doit être routé et c'est les firewalls qui assurent la sécurité 5 - le prefix réseau est fourni par le(s) routeur(s) (par exemple le CPE internet) 6 - l'autoconfiguration s'occupe de tout : le routeur donne le prefix aux postes du réseau La réalité des usages actuels d'IPv4 : a - IPv4 est déployé en interne en RFC1918 et un NAT44 est utilisé pour l'accès internet b - Beaucoup d'entreprises, y compris de petite taille, ont plusieurs accès internet c - Beaucoup d'entreprises, y compris de petite taille, ont un VPN IP pour gérer le multi-site (VPN IP, pas forcément IPSec) d - Dans les entreprises multi-sites, il n'est rare de sortir par l'accès internet centralisé e - Des utilisateurs mobiles remontent sur l'intranet via une connexion internet quelconque et une tech +/- sécurisée (ipsec, L2TP, PPTP, ...) f - La plupart des "petits" utilisateurs s'appuient sur le NAT44 pour sécuriser leur accès On rencontre pratiquement tous ces usages chez tous les utilisateurs : - particuliers via sa DSL BOX - petite entreprise - PME - grosses entreprises Le problème est le manque de visibilité sur la démarche recommandée pour un déploiement IPv6. Par exemple, pour le particulier : - l'activation d'IPv6 est une option de certains fournisseurs, dois-je le faire ou non ? - dois-je m'inquiéter que mon adresse est trackable ou pas ? (les windows récents utilisent des adresses temporaires, mais les anciens windows ? Mac OS X ne le fait pas, un iPhone ? un android phone ? ) - j'ai l'habitude que mon abonnement IPv4 est +/- sécurisé par défaut (via le NAT44, d'ou les +/-), c'est normal docteur que depuis que j'ai activé mon IPv6 je pollue toute la planète ???? (je trouve particulièrement stupide et dangereux de la part de free que la box ne fasse pas au minimum du firewalling statfull). Pour l'entreprise : - est-ce normal docteur que mes postes aient une adresse publique ? - si je change de provider sur un site, je dois revoir tout mon routage VPN inter sites et/ou avec les nomades ? - si j'utilise des adresses ULA, mes postes doivent avoir en sus les adresses du prefix internet ? - si j'ai plusieurs adresses sur un poste, c'est donc le poste qui décide de la meilleure adresse source à utiliser ? avec quel critère ? - si j'ai plusieurs accès internets, comment gérer du policy routing sans NAT ou NPT ? dois-je forcément alors mettre en oeuvre une usine à gaz de multi-homing et/ou faire du BGP ? Le monde IPv6 serait tellement plus simple si on avait un consensus pour adresser notamment : - l'adressage de base (ULA ou prefix internet ?) - la sécurité de base, surtout pour la TPE et le particulier - le multi-homing simple (genre qu'ai un SDSL pour le VPN et une ADSL pour le surf) sans BGP ou autre technoligie inaccessible pour la PME - une technologie permettant d'utiliser Internet IPv4 à partir d'un accès IPV6 (NAT64 +DNS 64 semblent prometteurs) Ces questions de bases sont le vrai frein au déploiement d'IPv6 actuellement. Qu'en pensez-vous ? Alain -- Alain RICHARD <mailto:alain.rich...@equation.fr> EQUATION SA <http://www.equation.fr/> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
