Hello la liste,
Comme c'est un joli samedi, je me suis dit que j'allais tout casser sur mes différents LAN/VLAN, et donc voudrait configurer proprement de l'IPv6 la dessus.
Quels sont vos tuyaux/infos/conseils et autre pour ce faire proprement ?
Je voudrais bien évidement oublier de me faire les configurations à la main et donc passer par du dhcpd6 et/ou radvd. Sur ce dernier point, il semble qu'il faille que ce démon tourne sur la GW pour s'auto-annoncer de manière transparente en tant que default-route-v6. Quid ?
Mes différents problèmes sont que je suis trop IPv4 dans la tête certainement, et j'ai un peu de mal avec les link-local en fe80:: et du coup la def-gw qui passe par là....
Quelles sont les solutions propres, les choses à absolument éviter de manière à ne pas galérer par la suite à gérer, débugguer et également filtrer ?
Bon WE la liste !
Salut Sébastien,
Fondamentalement, l’IPv6 n’est pas si différent de l’IPv4. Ça reste des gros numéros qui servent à faire communiquer des machines, et qui passent par des routeurs.
Donc une méthode assez simple peut être calquer ton archi IPv6 sur l’archi IPv4.
En terme de plan d’adressage, ici (chez grifon) on a fait simple et efficace : on a un /32, on prend un /36 par site, un /40 par service puis un /48 par client. C’est très largement provisionné, mais osef, on aura rempli les ranges v4 bien avant de devoir se soucier de l’IPv6.
Pour le DHCPv6, si tu n’en as pas un besoin explicite (genre adresse fixe pour une MAC ou un login, ou de la délégation de préfixe avec DHCPv6-PD), je ne pense pas que ça vaille la peine de s’embêter avec ça. Mets des RA sur ta GW, et normalement tout le monde devrait pouvoir s’en débrouiller. Si tu veux une IP fixe sur une machine (genre si c’est un serveur), mets la dans la conf pour être peinard.
LA chose à éviter en IPv6, c’est de filtrer l’ICMP. Le NDP (équivalent de l’ARP) passe par l’ICMP, donc si tu le filtres ça va assez rapidement se péter la gueule.
Voilà pour mes deux centimes, j’oublie peut-être des choses, je m’auto-répondrai si quelque chose me vient à l’esprit. N’hésite pas à poser des questions si tu en as :)
Hello Alarig, J'en suis bien évidement arrivé aux mêmes conclusions, mais j'ai effectivement des pré-requis basiques antédiluvien: - routeur cisco pour séparer les vlans en entrée de ligne (bgp4 ipv4 et ipv6) - toutes les machines sont des serveurs - tous les serveurs sont donc en ip fixe et accessoirement bootent tous en TFTP/Pxe - bien évidement dans les serveurs ont a peu près toutes les distribs qui existent depuis 10ans (je sais.........)
Et c'est là que le bas blesse... Sur la partie plan d'adressage, bon, ben finalement une fois que tu as bien joué avec les "cafe", "dead", "beef", "bad" & co, faut avancer un peu plus sérieusement ^^
Mais je peux pas (pas envie) me taper tous les serveurs à reconfigurer à la main en "dur" sur du V6 alors qu'ils sont en dhcp sur le v4... Attribuer la v6 en DHCP jusque là, pas de soucis, mais j'ai bien compris que la def-gw ne passerait jamais via dhcp6, et que je suis pas certain de vouloir mettre un radvd (ou équivalent) sur mes routeurs principaux (sans compter la HA vrrp...)
Par contre je retiens l'idée de la délégation de préfixe, parce que bien évidement j'ai des clients qui vont vouloir et jouer et répondre à Gmail que oui, ils ont du v6 pour leurs mails.......
Et, au final, c'est bien le SLAAC qui me pose quelques soucis moraux.... ainsi que la comparaison v4<->v6
Pour moi, un serveur, c'est une IP, voir à la rigueur quelques FO, etc... Mais pourquoi donc diable OVH colle-t-il un /64 par serveur ???? Mis à part (pour reprendre le training du RIPE) coller le dns sur ::53, le web sur ::80 et ::443, etc... Bref consommer de l'IPv6 pour éventuellement (ou pas??) faciliter les règles de firewall, j'avoue être un peu désorienté ;)
pour ce qui est du plan "technique" (icmp, ip -6 neigh ls, arp & co) j'ai je pense à peu près suivi les trucs, donc effectivement zéro filtrage icmpv6 !
Désolé du coté décousu de la réponse, mais bon, le samedi on casse tout en mode "ca reste un samedi quand même" ^^
Sébastien COUREAU, on sam. 17 mars 2018 11:19:12 +0100, wrote:
Mais je peux pas (pas envie) me taper tous les serveurs à reconfigurer à la main en "dur" sur du V6 alors qu'ils sont en dhcp sur le v4...
Ça a du sens d'utiliser dhcpv6 dans ce cas-là oui.
je suis pas certain de vouloir mettre un radvd (ou équivalent) sur mes routeurs principaux
Pourquoi ? radvd ne fait qu'envoyer un paquet plutôt figé régulièrement.
(sans compter la HA vrrp...)
Quel problème cela pose ?
Par contre je retiens l'idée de la délégation de préfixe, parce que bien évidement j'ai des clients qui vont vouloir et jouer et répondre à Gmail que oui, ils ont du v6 pour leurs mails.......
Justement,
Pour moi, un serveur, c'est une IP, voir à la rigueur quelques FO, etc... Mais pourquoi donc diable OVH colle-t-il un /64 par serveur ?
pour déléguer un préfixe pour que les gens puissent jouer :)
Samuel
Envoyé de mon iPhone
Le 17 mars 2018 à 11:34, Samuel Thibault samuel.thibault@ens-lyon.org a écrit :
Sébastien COUREAU, on sam. 17 mars 2018 11:19:12 +0100, wrote:
Mais je peux pas (pas envie) me taper tous les serveurs à reconfigurer à la main en "dur" sur du V6 alors qu'ils sont en dhcp sur le v4...
Ça a du sens d'utiliser dhcpv6 dans ce cas-là oui.
je suis pas certain de vouloir mettre un radvd (ou équivalent) sur mes routeurs principaux
Pourquoi ? radvd ne fait qu'envoyer un paquet plutôt figé régulièrement.
Parce que j’aime bien tcpdump? :D Blague à part parce que moins mes routeurs font de choses, mieux ils le font... est-ce donc forcément la GW qui handle radvd?
(sans compter la HA vrrp...)
Quel problème cela pose ?
Sur la papier certainement aucun, mais dans la pratique je ne suis pas encore au point de faire de la HA (autre que bgp) en v6 Je prefere « maitriser » un peu plus la chose avant, d’autant que justement la couche link-local fe80:: pourrait induire des resultats jasardeux. Me trompé-je?
Par contre je retiens l'idée de la délégation de préfixe, parce que bien évidement j'ai des clients qui vont vouloir et jouer et répondre à Gmail que oui, ils ont du v6 pour leurs mails.......
Justement,
Pour moi, un serveur, c'est une IP, voir à la rigueur quelques FO, etc... Mais pourquoi donc diable OVH colle-t-il un /64 par serveur ?
pour déléguer un préfixe pour que les gens puissent jouer :)
Samuel
Donc: jouer ou ne pas jouer? Laisser jouer ou non? Je suis loin d’avoir l’infra d’un OVH, mais j’ai des clients au moins aussi têtus et bricoleurs qu’eux, certainement comme beaucoup d’entre nous ici-bas ;)
Des exemples? Ou, potentiellement mieux, des docs de cerveaux avisés?
Envoyé de mon iPhone
Le 17 mars 2018 à 11:57, Denis Fondras xxsag@ledeuns.net a écrit :
donc effectivement zéro filtrage icmpv6 !
S'il ne faut pas bloquer aveuglement et globalement ICMPv6, il y'a tellement de types de messages qu'il convient de faire le tour des OS utilisés et de filtrer ce qui potentiellement peut être nuisible. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Sat, Mar 17, 2018, at 11:57, Denis Fondras wrote:
donc effectivement zéro filtrage icmpv6 !
S'il ne faut pas bloquer aveuglement et globalement ICMPv6, il y'a tellement de types de messages qu'il convient de faire le tour des OS utilisés et de filtrer ce qui potentiellement peut être nuisible.
Si en v4 la logique etait "comme je n'ai pas envie de m'embeter, je bloque l'ICMP a 100%", il faut quand-meme revoir le discours. En v6, il faut le presenter: "comme je n'ai pas envie de m'embeter a apprendre par coeur *ET* *COMPRENDRE* chaque type de message ICMP qui est obligatoire pour le bon fonctionnement, j'autorise l'ensemble de l'ICMPv6".
En effet, le risque de bloquer ce qu'il ne faut pas est ordres de magnitudes superieur aux benefices esperes en bloquant. C'est un bon endroit pour arreter de jouer a l'apprenti sorcier en securite (pour laisser ce boulot aux quelques vrais sorciers de la securite, qui existent mais sont beaucoup plus rares).
TLDR de la rfc en question: zéro filtrage icmpv6
On 03/17/2018 12:36 PM, Denis Fondras wrote:
donc effectivement zéro filtrage icmpv6 !
Voir RFC4890 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Sat, Mar 17, 2018, at 12:36, Denis Fondras wrote:
donc effectivement zéro filtrage icmpv6 !
Voir RFC4890
Version TL;DR: - 6 (transit)/21 (local) types de messages MUST NOT Drop - 6 / 2 types SHOULD NOT Drop - 3 types Policy SHOULD be defined - 3+experimental+not defined = SHOULD drop
=> soit "permit icmpv6 any any" soit lire et comprendre plusieurs RFCs (pas seulement 4890 qui est juste la base de depart).
TLDR du TLDR: https://linuxfr.org/news/la-fin-des-ipv4-est-tres-proche-les-ennuis-aussi#co...
Et comme dit Mr Brosse Meilleur: quel est l'intérêt, déjà ?
Justifier son travail ? Les 10 méthodes pour être indispensable ?
On 03/18/2018 10:30 PM, Johan Fleury wrote:
TLDR du TLDR: https://linuxfr.org/news/la-fin-des-ipv4-est-tres-proche-les-ennuis-aussi#co...
Liste de diffusion du FRsAG http://www.frsag.org/
Salut à tous,
sans faire de pub (vu le sponsor ^^), il y a un mooc ipv6 sur la plateforme fun-mooc.fr. Je pensais être au point mais au final j'ai beaucoup appris, slaac ET/ou dhcpv6, les mécanismes de transition, encapsuler des adresses v4 dans du v6, les next-headers...
Il y a des sujets qui me laissent pensif : le recours accru au multicast, les logiques de sous-réseautage et donc ce qui suit :
Le 17/03/2018 à 11:19, Sébastien COUREAU a écrit :
Pour moi, un serveur, c'est une IP, voir à la rigueur quelques FO, etc... Mais pourquoi donc diable OVH colle-t-il un /64 par serveur ???? Mis à part (pour reprendre le training du RIPE) coller le dns sur ::53, le web sur ::80 et ::443, etc... Bref consommer de l'IPv6 pour éventuellement (ou pas??) faciliter les règles de firewall, j'avoue être un peu désorienté ;)
++
Guillaume
Bonsoir,
Le pourquoi « /64 per host » est assez bien expliqué ici : http://etherealmind.com/allocating-64-wasteful-ipv6-not/
Gaetan A
Le sam. 17 mars 2018 à 18:02, Guillaume GARNIER < guillaume.garnier@mailoo.org> a écrit :
Salut à tous,
sans faire de pub (vu le sponsor ^^), il y a un mooc ipv6 sur la plateforme fun-mooc.fr. Je pensais être au point mais au final j'ai beaucoup appris, slaac ET/ou dhcpv6, les mécanismes de transition, encapsuler des adresses v4 dans du v6, les next-headers...
Il y a des sujets qui me laissent pensif : le recours accru au multicast, les logiques de sous-réseautage et donc ce qui suit :
Le 17/03/2018 à 11:19, Sébastien COUREAU a écrit :
Pour moi, un serveur, c'est une IP, voir à la rigueur quelques FO, etc... Mais pourquoi donc diable OVH colle-t-il un /64 par serveur ???? Mis à part (pour reprendre le training du RIPE) coller le dns sur ::53, le web sur ::80 et ::443, etc... Bref consommer de l'IPv6 pour éventuellement (ou pas??) faciliter les règles de firewall, j'avoue être un peu désorienté ;)
++
Guillaume
Liste de diffusion du FRsAG http://www.frsag.org/
-
Alarig Le Lay -
Denis Fondras -
frsag@jack.fr.eu.org -
Gaetan Allart -
Guillaume GARNIER -
Johan Fleury -
Lifo -
Radu-Adrian Feurdean -
Samuel Thibault -
Sébastien COUREAU