Le 7 décembre 2023, l’IDATE, l’Arcep et l’IPv6 Forum ont organisé, dans les locaux de l’Arcep, un atelier portant sur le développement et l’avancée de l’IPv6 en France.
------------
Cette vidéo (26 minutes) est l'enregistrement de la présentation de Jean-Charles Bisecco.
Thème : IPv6 et la box, au-delà des adresses - UPnP-IGD, NAT-PMP, PCPv2
1/ Chainage de routeur
2/ Ouverture dynamique - UPnP-IGD, NAT-PMP, PCPv2
3/ Ouverture manuelle - Héberger un service
4/ RA lifetime - Timelife de préfixe trop long
5/ Cahier de test
------------
La présentation est disponible au format PDF (22 pages) sur https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202312_atelier_IPv6_11_Bisecco_Au-dela_des_adresses.pdf
------------
Pour aller plus loin :
- Guide « Entreprises : comment déployer IPv6 ? » : https://www.arcep.fr/uploads/tx_gspublication/guide-entreprises-comment-deployer-IPv6-novembre-2021.pdf
- Task-Force IPv6 : https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/task-force-ipv6.html
------------
Cette vidéo (26 minutes) est l'enregistrement de la présentation de Jean-Charles Bisecco.
Thème : IPv6 et la box, au-delà des adresses - UPnP-IGD, NAT-PMP, PCPv2
1/ Chainage de routeur
2/ Ouverture dynamique - UPnP-IGD, NAT-PMP, PCPv2
3/ Ouverture manuelle - Héberger un service
4/ RA lifetime - Timelife de préfixe trop long
5/ Cahier de test
------------
La présentation est disponible au format PDF (22 pages) sur https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202312_atelier_IPv6_11_Bisecco_Au-dela_des_adresses.pdf
------------
Pour aller plus loin :
- Guide « Entreprises : comment déployer IPv6 ? » : https://www.arcep.fr/uploads/tx_gspublication/guide-entreprises-comment-deployer-IPv6-novembre-2021.pdf
- Task-Force IPv6 : https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/task-force-ipv6.html
Category
🤖
TechnologieTranscription
00:00 A toutes et à tous.
00:01 D'habitude je parle surtout des usages d'IPv6 en entreprise.
00:07 J'ai surtout bossé là-dessus.
00:09 Mais là pour une fois je vais parler du grand public et puis du small business.
00:14 Donc commençons par, encore une fois, un bravo à nos opérateurs pour avoir
00:21 travaillé efficacement au déploiement.
00:23 Puisque, comme ça a été dit plusieurs fois aujourd'hui, je ne vais pas revenir dessus,
00:27 le travail fait est assez formidable.
00:31 Alors la question c'est, qu'est-ce qu'on fait après ?
00:34 C'est-à-dire, on a des adresses et puis quoi d'autre ?
00:37 Je ne sais pas si François, par exemple, le centre de commande du déploiement MapT
00:43 a fait ce foyer à chaque plaque.
00:47 Il y a un petit astérix en bas.
00:50 En parlant d'astérix, je vous présente Cepa, mon préfixe.
00:54 Alors Cepa, mon préfixe, il déploie, il travaille sur les CPE de son opérateur.
01:00 Il utilise le SDK du constructeur ou travaille avec tel ou tel produit libre.
01:06 Et puis le service est fourni, mon client a ses IPv6, il a un router advertisement.
01:11 Donc tout va bien dans le meilleur des mondes, ça marche.
01:18 Or, en regardant de plus près, ce n'est pas toujours le cas.
01:22 Donc je vais vous parler de quelques cas d'usage pour vous montrer qu'il manque encore des choses
01:27 et malheureusement chez beaucoup d'opérateurs et pas qu'en France.
01:31 Premier cas, vous avez besoin de chaîner des routers.
01:34 Alors on se dit, c'est un truc d'entreprise.
01:36 Déjà une petite entreprise, elle ne va pas aller voir le RIPE
01:39 et puis dépenser 1000 euros par an pour avoir son préfixe et son bulletin de vote au RIPE Meeting.
01:45 C'est un petit imprimeur par exemple ou un plombier, ça ne l'intéresse pas.
01:51 Il n'a pas que ça à faire.
01:54 Et puis il y a des particuliers, exemple, on connaît tous des gens qui ont une grande maison,
01:59 ils ont de la chance et puis ils ont plusieurs bords Wifi
02:02 et parfois ils achètent une solution avec un petit router qui doit être chaîné.
02:05 Alors un produit grand public, pas très cher, je ne vous parle pas d'acheter des équipements d'entreprise.
02:11 En IPv4, vous faites du double NAT, ce n'est pas très joli.
02:16 Et en IPv6, comment on fait ?
02:18 Alors il faut savoir que j'ai eu la chance de rencontrer la personne
02:23 qui avait eu l'idée originale de la délégation de préfixes.
02:26 Il me raconte, il se rendait chez un client au millénaire passé,
02:29 je le dis comme ça, ça fait...
02:32 Il se rendait chez un client au Japon et puis il pensait, il disait,
02:37 "on utilise PPP et on fournit les IPv4 au client avec quand il s'authentifie,
02:42 demain qu'est-ce qu'on va faire quand on va faire de l'IPv6 ?"
02:45 Et donc ce monsieur qui s'appelle Shin, il s'est dit,
02:48 "tiens je vais sortir, réfléchir à faire un draft".
02:55 Donc voilà, le draft est arrivé un peu plus tard,
02:58 24 décembre l'expiration, il était fait en juin 2002,
03:03 avec l'idée de permettre à des routers de demander des préfixes supplémentaires
03:09 en remontant l'arbre.
03:12 Qu'est-ce que ça donne pour un fournisseur d'accès ?
03:15 On a typiquement un /29 pour notre opérateur,
03:19 un domicile va récupérer un /56 ou /60,
03:24 ça suffit déjà largement, même 60,
03:26 et puis ensuite votre box vous fournit un /64,
03:30 sur votre wifi et votre ethernet, tout le monde va dedans.
03:35 Maintenant si vous venez rajouter un router,
03:37 lui va aller chercher auprès de votre box,
03:40 il va dire "tiens délègue-moi un /64, ou un deuxième, ou un troisième,
03:45 ou délègue-moi un plus grand".
03:47 Je me suis amusé à faire le test sur quelques boxes,
03:51 qu'est-ce qu'on voit ?
03:53 Alors déjà il y en a sur leur demande,
03:55 il leur dit "tiens je veux un /64, je veux un peu plus grand",
03:58 même si c'est plus petit que ce qu'il a loué à la maison,
04:01 et bien il dit non, il répond pas.
04:04 Il y en a d'autres, "je veux un deuxième /64",
04:08 "ah non t'es trop gourmand, t'en as déjà eu un, je te le passe pas".
04:12 Donc ça aussi ça se trouve chez quelques opérateurs,
04:17 dont un en France.
04:19 Et puis un dernier point, dans la RFC,
04:21 quand vous déléguez un préfixe,
04:23 forcément c'est du DHCP, il y a un échange,
04:27 mais à la fin le préfixe il faut le router quand même.
04:29 Donc il faut l'implémenter dans votre table de routers,
04:31 et dire "j'avais un VLAN utilisateur, un réseau local,
04:36 et puis maintenant j'en ai un deuxième, un troisième
04:39 qui vont vers un autre router".
04:41 Et bien parfois les routes ne sont pas descendues.
04:43 Donc vous êtes sur votre réseau d'origine,
04:46 qui est fourni sur votre wifi de la box,
04:48 vous dites "tiens j'essaie d'aller, je fais un traceroute
04:51 vers le réseau qui est délégué à un deuxième router",
04:53 vous voyez que votre trafic il sort sur internet.
04:56 En fait votre box elle est même pas consciente que "ah c'est chez moi".
04:59 Ah oui, bon bah ça aussi ça se voit.
05:03 En IPv4, pour faire l'analogie, on avait la même chose avec le hairpinning,
05:07 c'est à dire parfois vous,
05:09 typiquement si vous utilisez un enregistrement DNS public,
05:12 par exemple pour joindre votre NAS domestique,
05:14 vous sortez, vous re-rentrez,
05:16 alors normalement le code est fait intelligemment,
05:20 on détecte "ah oui c'est mon adresse,
05:21 donc c'est pas la peine que je sorte pour re-rentrer,
05:23 c'est chez moi, c'est mon IPv4 public".
05:26 Donc en IPv6, même chose,
05:28 on voit que parfois ça sort pour re-rentrer,
05:30 strictement aucun sens en termes de routage.
05:36 En attendant que tout le monde fasse de la délégation de préfixes,
05:40 il y a des fournisseurs, je vous disais,
05:42 des vendeurs des appliances wifi etc.
05:44 Alors je peux vous citer des noms,
05:45 ça peut être des petits trucs de chez Ubiquiti,
05:47 des TP-Link, Komada et compagnie,
05:49 donc des produits très très grand public.
05:51 Ils vont jusqu'à implémenter des workarounds pas très propres,
05:54 j'ai pas mis d'image, c'est vraiment sale,
05:56 mais en gros ils font du NDProxy,
05:58 pour vous étendre votre réseau /64
06:00 entre la partie qui gère la box
06:02 et la partie qu'ils vont gérer.
06:04 Donc ça veut dire qu'on étend un subnet,
06:06 enfin un préfixe /64 dans différents réseaux,
06:09 donc c'est pas beau du tout.
06:12 Alors pour les gens qui sont en mode "c'était mieux avant",
06:16 je tiens à rappeler en IPv4,
06:18 quand on met des routeurs,
06:20 on est quasiment obligé chez les FA et grands publics
06:22 de faire du NAT 444,
06:24 parce que bien qu'ils le proposaient à une époque,
06:27 aujourd'hui les FA ne proposent plus malheureusement
06:30 de router des subnets IPv4 en local.
06:33 Ça c'est vraiment dommage,
06:35 et il n'y a pas vraiment de justification technique
06:38 pour ne pas le faire au moins sur des petits blocs d'adresses.
06:41 Parfois on a une option qui quand même sauve les meubles,
06:44 c'est de dire "si je reçois un paquet, mais que je ne sais pas qui l'a émis,
06:46 je l'envoie à une adresse",
06:48 et en l'occurrence on va placer son deuxième routeur derrière cette adresse.
06:51 C'est souvent appelé IP de DMZ dans vos interfaces de box.
06:56 Deuxième cas d'usage, l'ouverture dynamique.
06:59 Peer-to-peer pour téléchargement, jeux en ligne,
07:02 autres usages d'échange.
07:05 Sachez d'ailleurs aujourd'hui qu'il y a beaucoup de systèmes
07:08 qui commencent à faire de l'échange distribué.
07:11 Des mises à jour Windows savent le faire,
07:14 le client Steam pour les gamers dans la salle,
07:16 j'en vois peut-être pas beaucoup,
07:17 mais c'est sur le LAN de trouver les ordinateurs
07:19 et de se partager les jeux quand il y a des mises à jour.
07:21 Et puis pourquoi pas demain le faire même sur Internet,
07:24 c'est-à-dire au lieu d'aller chercher un cache et de remonter dans le réseau,
07:28 dire "Tiens, moi j'ai un réseau avec 5 millions d'abonnés,
07:32 sur mes 5 millions d'abonnés il y a 1,3 millions de PlayStation,
07:36 sur ces 1,3 millions de PlayStation,
07:38 il y en a 20% qui ont tel jeu qui va se mettre à jour ce soir",
07:42 au lieu de saturer le GX et le transit,
07:45 on pourrait laisser les clients discuter entre eux,
07:48 c'est sûrement des choses qui vont venir
07:51 parce que quelque part ça libère le réseau,
07:54 c'est bon pour tout le monde.
07:56 Alors pour s'échapper du NAT et du Stateful,
07:58 quand on s'ouvre un port,
08:00 on va aller sauver le démon NAT, donc NATDEMON,
08:05 je vous ai mis une photo de NATDEMON.
08:09 Alors des fois on me dit "Tiens, ça coûte combien de déployer PV6 ?"
08:13 Je ne sais pas répondre,
08:14 par contre sur Internet il y a des gens qui ont coûté combien
08:17 ça a coûté de sauver NATDEMON dans tous les films,
08:19 il faut sauver le Solder Ryan, Interstellar, etc.
08:24 Il y a des gens qui s'occupent beaucoup sur Reddit.
08:27 Il y a quand même un Reddit IPv6, je vous invite à vous y inscrire,
08:30 il y a souvent des questions très intéressantes sur IPv6.
08:33 Il ne faut rien un petit peu.
08:38 Exemple ici, je demande une ouverture avec un protocole
08:42 qui est tout simplement PCPv2,
08:45 qui est le protocole utilisé pour faire des demandes d'ouverture IPv6
08:48 mais qui gère aussi de l'IPv4.
08:50 Auparavant il y avait NATPMP qui est assez similaire
08:53 et encore plus vieux il y avait UPNP,
08:55 mais UPNP c'est de l'HTTP avec du XML, c'est très lourd.
08:59 NATPMP et PCP sont beaucoup plus élégants
09:02 peut-être parce que ça vient du projet Zeroconf qui était poussé par Apple
09:06 et que des fois Apple fait des trucs élégants il paraît.
09:08 Là je confirme cette fois en tout cas.
09:11 Là ma box typiquement je lui demande, je lui fais des requêtes
09:14 et puis vous voyez, elle ne me répond pas.
09:17 Alors qu'elle écoute sur ce port parce que l'agent PMP marche sur la même.
09:21 Donc c'est dommage, je ne peux pas m'ouvrir mon port en IPv6.
09:24 Donc mon opérateur a déployé l'adresse,
09:26 je peux faire tout le chemin, partout,
09:28 et à la fin j'ai une porte qui m'embête.
09:31 C'est couillon.
09:33 On a fait plein de sauts, il nous reste du hop-limit IPv6
09:36 et puis on ne peut pas passer à la dernière porte pour entrer sur le réseau.
09:39 Donc bon, un peu de travail.
09:43 On parlait tout à l'heure de l'auto-hébergement.
09:45 Troisième cas d'usage, l'ouverture manuelle.
09:47 Donc pour un AAS ou je ne sais quel autre service.
09:52 En IPv4 vous faites un mappage de port statique,
09:56 donc source-destination.
09:58 En IPv6, il faut tracker déjà toutes les adresses
10:03 que va pouvoir avoir une machine.
10:05 Parce qu'une machine va pouvoir avoir une IP en DHCP,
10:07 plusieurs en Slack, etc.
10:09 Donc il faut s'assurer que la box va mapper l'adresse MAC de la machine
10:13 ou autre élément qu'elle a, pour l'identifier
10:16 et toutes les adresses IP et garder le port ouvert.
10:19 Là aussi sur certaines boxes, des fois ce n'est tout simplement pas possible
10:24 et puis sur d'autres, ça s'efface au bout de 2, 4, 6 heures,
10:27 on ne sait pas pourquoi.
10:28 Donc en attendant, on fait de l'IPv4.
10:32 Donc je remettais "disparition" parfois au bout d'un certain temps.
10:37 Et puis sur l'ouverture, il y en a, ils ouvrent tout.
10:40 C'est le cas de Free, historiquement.
10:41 Donc c'est bien, vous achetez une imprimante, l'IPv6.
10:44 Alors, il faut tomber sur l'adresse, un coup de chance quand même,
10:47 il y a beaucoup de possibilités.
10:48 Mais votre objet connecté, une imprimante ou autre,
10:52 chez certains opérateurs dans le monde,
10:54 si vous n'avez pas de firewalls stateful,
10:56 on va montrer, il est accessible tout de suite.
10:59 Donc n'importe qui rentre, et puis vous avez tous paramétrés
11:03 des mots de passe sur vos IoT, vos aspirateurs, vos imprimantes chez vous.
11:06 C'est bien, vous respectez.
11:08 Alors l'N6, c'est de l'autre côté du RERA,
11:10 je précise, c'est à la défense maintenant.
11:14 Passons aux dieux du soleil, le routeur advertisement de Tera.
11:19 Voilà.
11:21 Donc, RA, la vie éternelle, on va parler de la durée de vie des annonces.
11:28 Parfois, la durée est tellement longue que quand vous avez un changement de préfixe,
11:31 donc si vous avez un flash renumbering,
11:34 il y a une RFC là-dessus d'ailleurs, informelle,
11:37 vos machines, vos postes, ils ont encore l'ancien préfixe,
11:40 puis eux, ils ne savent pas que ça a changé en amont,
11:42 puis vous avez un black calling de trafic IPv6.
11:46 Donc ça arrive dans certains cas,
11:48 notamment quand il y a un changement de préfixe.
11:51 C'est-à-dire que vous ne le voyez pas,
11:53 quand vous êtes en stable ou pseudo-stable,
11:55 tout à l'heure on parlait du stable de Schrodinger
11:57 pour la durée des affectations de réseau,
12:01 vous ne le voyez pas tant que l'opérateur ne change pas le réseau,
12:05 puis quand l'opérateur vous dessine un nouveau préfixe,
12:09 parfois ça ne marche plus pendant X temps,
12:12 et puis si le lifetime est très long, genre plusieurs jours,
12:16 tant que vous n'avez pas redémarré les autres,
12:18 vous êtes parfois coincé.
12:20 Je sais qu'il y a un opérateur français qui a eu ça.
12:22 Ça ne se produit pas souvent, c'est pour ça que ce n'est pas facile à voir,
12:25 c'est un peu comme les systèmes qui gèrent mal le changement d'heure,
12:27 forcément c'est deux fois par an,
12:29 donc on ne met pas souvent le doigt dessus.
12:31 Alors qu'est-ce qu'on fait pour ça ?
12:33 Je travaille à faire un cahier de tests, tout simple,
12:37 pour tester une bonne partie de ces cas.
12:40 J'ai choisi deux produits pour faire les tests côté routers,
12:43 un qui est open source qui s'appelle OpenSense,
12:46 il y en a peut-être certains d'entre vous qui ne connaissent pas PFSense,
12:50 c'est assez proche,
12:51 et un produit commercial très connu qui est une VM,
12:55 qui a pas mal de limitations mais suffit pour faire des tests,
12:58 et puis un petit boîtier comme ça, ça ne coûte pas très cher,
13:01 moi j'ai une version avec deux ports digés aussi pour faire des bêtises
13:07 en termes de transit,
13:10 et l'objectif pour moi c'est de publier le cahier de tests
13:13 début d'année prochaine avec l'IPv6 Forum,
13:16 pour tous les opérateurs qui souhaiteraient faire ces tests.
13:20 Donc ce sont des tests qui n'ont pas de...
13:22 on n'est pas dans les tests de labo, etc,
13:24 on est vraiment dans les tests tout simples
13:26 pour vérifier que ces cas d'usage là se passent bien.
13:30 Alors, il y en a des fournisseurs qui semblent être intéressés
13:34 pour justement, avec le concours de l'ARCEP et du Forum,
13:37 effectuer ces tests, c'est une bonne chose.
13:40 De toute façon, à un moment donné, je pense qu'avec le Forum,
13:43 on publiera les résultats, parce que pour faire les tests c'est facile,
13:47 on appelle ses amis, "t'es abonné chez qui ?"
13:49 "Non non, c'est pas pour les matchs de foot !"
13:51 "Non non, moi je veux tester autre chose !"
13:53 Donc ça c'est ce qu'on va faire l'année prochaine,
13:58 pour vraiment s'assurer que le last mile est fonctionnel.
14:01 Alors ce qu'on veut tester en premier,
14:03 bien sûr c'est les abonnements fixes, filaires,
14:06 surtout FTTH, c'est pas qu'on aime pas le cuivre,
14:09 mais bon, je crois que c'est un peu la fin.
14:12 Tester ensuite les box 4G/5G.
14:15 Alors, il n'y a pas de raison qu'ils ne fournissent pas le service.
14:17 Par exemple, le 3GPP, je ne sais plus combien,
14:21 il y a trois chiffres, c'est trop long,
14:23 de leur document de standard,
14:25 l'app délégation de préfixes est optionnelle,
14:28 mais elle existe,
14:29 donc il faudrait qu'elle soit implémentée progressivement.
14:32 Et enfin, le fournir sur les mobiles en hotspot.
14:36 Alors ça c'est plus compliqué, mais ça devrait bien.
14:38 Alors vous allez me dire, "oui mais un mobile..."
14:40 Oui mais le mobile vous faites du partage de connexion,
14:42 vous mettez un PC derrière,
14:43 il se veut aussi être capable de s'ouvrir un port, etc.
14:46 Puis d'autres gens vont me dire, "oui mais on peut attaquer,
14:48 mais on peut envoyer des paquets saturés,
14:50 ça va me consommer de la data."
14:52 Alors je ne sais pas, moi je suis aussi client Starlink,
14:55 je peux me rentrer des flux typiquement en fait.
14:57 Alors que je n'ai pas un quota,
15:01 enfin après vous savez, les entreprises d'Elon Musk,
15:04 les conditions changent tous les quatre matins,
15:06 donc c'est compliqué à suivre.
15:08 Mais typiquement, je peux me rentrer du trafic IPv6.
15:10 Par contre IPv6, IPv4, c'est un NAT stateful,
15:14 donc là c'est mort, on ne peut rien faire,
15:16 donc justement il faut faire du v6.
15:18 Je remercie Vivien pour avoir intégré
15:22 beaucoup de questions au baromètre de 2022,
15:24 et justement dans le prochain baromètre,
15:26 il devrait y avoir de nouvelles questions
15:28 sur le support des éléments que j'ai soulevés.
15:32 Alors il y en a bien d'autres,
15:34 il y a le PMTU Discovery par exemple,
15:36 ou encore vous êtes tout content,
15:38 vous recevez votre routeur, vous l'allumez,
15:40 et puis vous n'avez pas encore la connexion,
15:42 ou vous avez perdu la connexion,
15:44 il fonctionnait avant.
15:46 En IPv4, votre réseau va rester,
15:48 donc même si vous n'avez plus votre uplink,
15:52 vous pouvez encore vous connecter à votre imprimante,
15:54 etc.
15:56 Vous pouvez sauver les meubles pour certains cas d'usage.
15:58 En IPv6, s'il n'y a pas de mécanisme prévu pour soit
16:02 garder en mémoire le dernier préfixe qu'on a connu,
16:04 ou affecter un prefix dit "privé"
16:08 pour simplifier,
16:10 vous allez être coincé.
16:12 De même, quand vous vous connectez à la box,
16:14 vous tapez "mybox.home" par exemple,
16:16 je ne cite personne,
16:18 mais vous voyez à peu près le principe,
16:20 il faut s'assurer qu'IPv6 va pouvoir fonctionner
16:23 pour faire une annonce en MDNS typiquement,
16:27 et que votre navigateur puisse se connecter à la box.
16:29 Parce qu'aujourd'hui on fait ça qu'en IPv4,
16:31 il y a bien un moment où il va falloir penser à le faire aussi en IPv6,
16:34 pour tous ces équipements,
16:36 et la box en fait partie,
16:38 pour tout simplement qu'au premier déballage,
16:40 ou s'il y a une coupure de service,
16:42 il faut au moins échanger avec l'interface de la box.
16:44 Parce qu'en fait en IPv4,
16:46 on ne les tape jamais les "machin.home" et tout,
16:48 c'est facile, on tape "192 machin",
16:50 en IPv6 personne n'a envie de taper l'adresse,
16:52 et puis en plus il faut la taper entre crochets,
16:55 on oublie, enfin...
16:57 Quelqu'un a déjà tapé l'adresse IPv6 à la main dans son navigateur ici ?
17:00 Ouais, ouais.
17:02 Alors j'ai une adresse pour vous après,
17:04 ils sont en blouse, il n'y a pas de problème.
17:06 Alors est-ce que vous avez des questions ?
17:10 Merci pour la présentation.
17:14 En effet c'est un gros problème au niveau des préfixes.
17:18 Si on regarde sur les machines virtuelles,
17:21 sous Windows,
17:23 où là on ne peut plus faire d'IPv6,
17:25 parce qu'avant c'était ponté,
17:27 maintenant c'est routé,
17:29 et donc c'est impossible,
17:31 mais si on regarde d'autres solutions,
17:33 je crois que c'est Parallel,
17:35 qui donne une adresse genre ULA,
17:37 à la machine, et on fait du NAT66,
17:40 et c'est une solution qui marche correctement.
17:44 Alors il y a des vrais problèmes avec tout ce qui est virtualisation,
17:49 dans le sens où si on ne fait pas de la délégation de préfixes,
17:52 on va forcément faire quelque chose de sale.
17:55 Alors ça peut être sous Docker par exemple,
17:58 il existe du NAT66.
18:00 Quelle horreur, ça n'est pas en URFC,
18:02 mais parfois il y a de la translation de préfixes.
18:05 Si on donne un préfixe privé,
18:07 on a un autre problème,
18:09 c'est que dans le choix,
18:11 on a un mécanisme qui s'appelle API Balls,
18:13 pour gérer le failback,
18:15 et choisir si un flux ne peut pas marcher en IPv6,
18:17 ou retomber en IPv4,
18:19 quand les deux peuvent répondre,
18:21 notamment en enregistrement DNS,
18:23 ce mécanisme privilégie IPv6 par défaut,
18:26 mais que si c'est une adresse globale routable.
18:29 Si c'est une adresse privée,
18:31 il ne va pas le privilégier,
18:33 il va faire du v4.
18:35 Un exemple, si on fait de la translation de préfixes,
18:38 par exemple, on est multi-OMM,
18:40 on est une petite entreprise,
18:42 on fait de la translation NPT v6,
18:44 entre deux préfixes,
18:46 tant qu'on aura IPv4,
18:48 on n'utilisera jamais son IPv6.
18:50 Parce que toutes ces stacks de Windows et autres,
18:52 elles vont préférer IPv4.
18:54 Pour les systèmes containerisés,
18:56 tant qu'on ne fait pas de la délégation,
18:58 et qu'on n'envoie pas des préfixes publics,
19:00 on va être coincé.
19:02 Le NAT est utilisé comme...
19:04 Avec son Stateful,
19:06 ils disent "oui j'ai mon NAT,
19:08 alors je n'expose pas les autres ports du container,
19:10 si on fait du v6, mince,
19:12 il faut que je rajoute un pare-feu dans le container,
19:14 c'est le bazar".
19:16 Il suffirait d'implémenter de la même façon
19:18 qu'on sait faire des tables de session NAT
19:20 dans un Docker,
19:22 et dans tout ce qu'ils utilisent,
19:24 Kubernetes, etc.
19:26 On pourrait tout à fait faire des tables de firewall Stateful
19:28 pour IPv6, c'est exactement la même chose,
19:30 mais non, ils ne considèrent pas que c'est la même chose
19:32 de gérer une table de session
19:34 avec de l'IPv4 et de l'IPv6,
19:36 parce que d'un côté ils voient du NAT,
19:38 alors c'est Stateful Session + NAT,
19:40 IPv6 c'est encore plus simple, c'est juste Stateful,
19:42 mais ils disent "non non, ça passe,
19:44 on peut aussi filtrer".
19:46 Il y a vraiment un vrai problème sur ça,
19:49 y compris les solutions de VM
19:51 qui font du repartage de connexions.
19:53 C'est pour ça qu'aujourd'hui, le seul moyen d'être propre,
19:55 c'est d'avoir un routeur qui fait de la délégation de préfixes,
19:57 qui récupère, qui repartage des réseaux,
19:59 qu'on réutilise soit en direct,
20:01 soit dans des overlays.
20:03 Pour les systèmes les plus complexes,
20:05 il y a des micro-segmentations et autres,
20:07 mais il y a encore un gros travail
20:09 quand on veut rentrer dans la containerisation.
20:13 Mais là je m'intéressais ici surtout
20:15 aux parties grand public.
20:18 Si vous voulez aller en entreprise,
20:20 il y a toujours le guide disponible
20:24 gratuitement sur le site de l'ARCEP,
20:26 en français et en anglais,
20:28 parce que je ne maîtrise rien d'autre,
20:31 qui peut vous assister sur des déploiements d'entreprise
20:34 et qui parle justement de ce cas de figure,
20:36 de problèmes de partage de conteneurs, de VM,
20:40 dès qu'on rentre dans des trucs un petit peu touchy.
20:45 Plutôt une suggestion pour ARCEP,
20:49 le baromètre des ISP n'est pas assez.
20:53 Il faut avoir celui pour les entreprises,
20:56 les universités et le gouvernement.
21:00 En parlant du gouvernement,
21:02 les États-Unis, le gouvernement américain,
21:05 a obtenu /13.
21:09 L'Allemagne, vu que j'ai un passeport allemand,
21:12 j'ai été invité par le Sénat en 2015
21:15 pour proposer une solution à l'américain.
21:18 J'ai proposé qu'ils prennent /19,
21:21 mais RIPE leur a donné simplement /26,
21:24 qui a été upgradé à /24.
21:27 Ils ont ce qu'ils appellent "Deutschland Online",
21:31 qui fait de l'IPv6 pour tous les gouvernements.
21:38 Chaque ministère a /32,
21:41 ils ont à peu près 19 ministères,
21:44 qu'on ne connaît pas dans le détail.
21:47 Et pratiquement, ils ont des adresses
21:51 qu'on appelle PIA,
21:54 Provided Independent Address Space,
21:57 pour avoir une souveraineté des données
22:00 et aussi de leur infrastructure.
22:02 Je pense que la France devrait faire la même chose.
22:05 Je ne sais pas si la configuration,
22:08 l'interdépendance entre les ministères
22:11 pourrait leur faire avoir des préfixes communs.
22:14 Je pense que ce sera plutôt comme dans la plupart des pays,
22:17 où chaque ministère devrait s'enregistrer.
22:20 Et pourtant, ils sont fédéraux,
22:23 donc il y a encore plus de strats de répartition.
22:26 Pour info, il y a 10 jours,
22:29 on a reçu un mail de remerciement.
22:31 Vivien me dit que le guide est téléchargé pas mal de fois.
22:34 À la dernière page, il y a des adresses mail,
22:36 on peut écrire "je ne mange pas", Vivien non plus,
22:38 on ne mange personne.
22:40 L'autre jour, on a une personne qui a commencé à déployer IPv6
22:44 pour l'entité qui se déplace,
22:49 l'entité qui s'occupe des impôts en Westphalie du Nord.
22:54 Donc, bientôt en Allemagne, dans ce land,
22:57 vous pourrez régler vos impôts en passant par un site IPv6.
23:02 D'autres questions ?
23:05 Oui, excusez le bruit du...
23:08 J'ai entendu Xavier en ligne.
23:13 Pour revenir à tout ce qui est des gouvernements,
23:20 le gouvernement allemand a reçu un /23
23:24 et qui est lié aux différents états fédéraux.
23:27 Ils ont tous des choix de se retirer par la loi allemande.
23:32 Ils ont créé une task force interne à leurs gouvernements,
23:38 aux différents ministères et aux différents états
23:41 pour discuter en interne tous les déploiements qui se passent.
23:44 Bien sûr, il y a des différences entre les différents états et les ministères
23:47 qui n'ont pas forcément les mêmes buts et les mêmes cahiers des charges.
23:52 Du coup, ce déploiement prend aussi pas mal de temps.
23:57 Merci à toi Xavier, et au plaisir de te croiser peut-être prochainement.
24:06 Je disais merci pour la présentation.
24:09 Côté Rénataire et géant, on a créé une plateforme de routage
24:16 qui peut agir comme un CPE, comme un PE, un PLSPE ou un P avec SRV6.
24:24 On a certifié à notre manière le boîtier IPv6 ready.
24:32 Je le tourne à la maison et on a totalement les mêmes problèmes qui ont été décrits.
24:37 Maintenant tout est OK, on se trouve nous partant pour valider cette boîte
24:44 qui correspondrait à un déploiement pour les petites écoles
24:48 ou certaines situations dans des pays plutôt émergents comme au Népal.
24:53 On a un projet peut-être de déployer des boxes au niveau de l'Himalaya,
24:57 mais comme ils n'ont pas un budget non plus extensible,
25:00 l'idée c'est de déployer des petits CPE abordables,
25:03 mais avec un data plane type dpdk qui pourrait fournir 1 ou 10 Go de trafic.
25:10 À partir du moment où vous portez des réseaux terminaux
25:16 et non plus seulement des réseaux d'intercôt, ça fait sens.
25:20 Aujourd'hui on voit que les fabricantes Parfait ont mis du temps à implémenter certaines options
25:25 comme PCP, mais le gèrent aujourd'hui ou savent le déléguer.
25:29 On peut aussi dire que ta requête d'ouverture de port dynamique,
25:33 moi je suis tout ouvert, j'envoie un autre en amont.
25:36 Donc ça c'est des choses qui fonctionnent chez certains constructeurs.
25:40 Mais oui, de toute façon le cas test sera tout à fait libre
25:44 et puis on sera disponible pour aider à tester.
25:47 Merci beaucoup.