OVH Cloud OVH Cloud

IPv4 et IPv6 sous Linux

23 réponses
Avatar
Joe the Shmoe
Bonjour,

à chaque fois que j'active une interfaces réseau (par exemple avec
"ifconfig eth0 up" ou "ip link set eth0 up") implicitement l'interface
est configurée en IPv6 (link local address).

Comment peut-on activer une interface sans qu'IPv6 ne soit activé ? Par
exemple pour activer une interface uniquement en IPv4.

la seule solution trouvée jusque là (mais elle ne me plaît pas), est de
supprimer l'adresse link local IPv6 une fois l'interface activée, avec
la commande :

ip addr del fe80::.../64 dev eth0


D'autres idées ?

Merci d'avance pour toute aide,
Joe.

10 réponses

1 2 3
Avatar
Joe the Shmoe
Le 14/02/2012 23:49, Le Forgeron a écrit :
Le 14/02/2012 13:19, Xavier nous fit lire :
L'IPv6 de Free est tout moisi, pas routable.



[...]

Que le DHCPv6 utilise directement la MAC pour générer automatiquement
les 64 bits restants n'est qu'une configuration locale par défaut (qui
évite les aléas). Rien n'interdit d'allouer les 64 bits de fin comme on
veut (en respectant les conventions) et d'avoir une adresse IPv6 qui va
bien (ou alors j'ai rien compris à /64 dans la délégation)



je confirme, on peut configurer la partie host à sa guise (et pas
seulement avec EUI-64). C'est même conseillé pour des serveurs dans la
mesure où le changement de carte réseau ne change pas l'adresse IPv6 (et
donc ne nécessite pas de modifier le DNS non plus).

[...]



Joe
Avatar
Joe the Shmoe
Le 15/02/2012 00:20, Pascal Hambourg a écrit :
Le Forgeron a écrit :
Le 14/02/2012 13:19, Xavier nous fit lire :
L'IPv6 de Free est tout moisi, pas routable.



On peut développer ?

En quoi 2a01:... /64 n'est pas routable ?



Il veut dire que l'utilisateur ne peut pas contrôler le routage de son
préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui
doivent bénéficier d'une connectivité IPv6 doivent être connectées
directement au sous-réseau de la freebox, sans possibilité de mettre en
place un routeur intermédiaire.



C'est normal, il faudrait sinon avoir un protocole de routage dynamique
entre la freebox et le (ou les) routeur utilisateurs ... sinon comment
la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est
directement connectée (l'hote peut être éteint) ou si elle est joignable
à travers un routeur (et lequel ?)... Et quid alors si via ce protocole
de routage je diffuse une plage IP en dehors du sous-réseau qui m'est
assigné ? La Freebox devrait faire du contrôle des routes annoncées (à
la BGP) ?


En fait, ce qui manque c'est la possibilité de contrôler le routage des
15 autres /64 du /60 qui est en réalité routé vers la freebox.



On peut aussi imaginer une mise à jour de l'interface des comptes
freebox pour définir en statique le next-hop de tel ou tel sous-réseau
de la plage IPv6 allouée ... ce serait un développement coûteux et pour
combien d'utilisateurs intéressés ? Pour ma part (et j'en reviens à ma
question d'origine), j'ai préféré conserver IPv4 en interne, des proxy
applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
...





Joe.
Avatar
Pascal Hambourg
Joe the Shmoe a écrit :
Le 15/02/2012 00:20, Pascal Hambourg a écrit :

Il veut dire que l'utilisateur ne peut pas contrôler le routage de son
préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui
doivent bénéficier d'une connectivité IPv6 doivent être connectées
directement au sous-réseau de la freebox, sans possibilité de mettre en
place un routeur intermédiaire.



C'est normal, il faudrait sinon avoir un protocole de routage dynamique
entre la freebox et le (ou les) routeur utilisateurs



Non, il suffit de pouvoir créer des routes statiques.

... sinon comment
la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est
directement connectée (l'hote peut être éteint) ou si elle est joignable
à travers un routeur (et lequel ?)



Personne n'a demandé la possibilité router les adresses
individuellement. On demande juste de pouvoir router par préfixes.

En fait, ce qui manque c'est la possibilité de contrôler le routage des
15 autres /64 du /60 qui est en réalité routé vers la freebox.



On peut aussi imaginer une mise à jour de l'interface des comptes
freebox pour définir en statique le next-hop de tel ou tel sous-réseau
de la plage IPv6 allouée



Evidemment il faut une interface de gestion. Que ce soit celle du compte
ADSL ou celle de la freebox, peu importe.

... ce serait un développement coûteux

Pas plus coûteux que n'importe quelle autre fonctionnalité.
N'importe quelle autre box et routeur domestique offre la possibilité de
créer des routes statiques (en IPv4, mais le principe est strictement le
même). Pas la freebox.

Pour ma part (et j'en reviens à ma
question d'origine), j'ai préféré conserver IPv4 en interne, des proxy
applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6



Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité
de bout en bout qui est un des fondements originels du protocole
internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un
proxy applicatif pour toutes les applications possibles et imaginables.
Avatar
Le Forgeron
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de
créer des routes statiques (en IPv4, mais le principe est strictement le
même). Pas la freebox.



D'un autre coté, c'est du matériel à destination "familial".
Au pire on peut mettre un switch 24 port derriere chaque prise de la
box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne
vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des
routes à la main.
Avatar
Pascal Hambourg
Le Forgeron a écrit :
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de
créer des routes statiques (en IPv4, mais le principe est strictement le
même). Pas la freebox.



D'un autre coté, c'est du matériel à destination "familial".



Les autres box et routeurs *domestiques* aussi, et permettent bien de
créer des routes statiques, alors...

Au pire on peut mettre un switch 24 port derriere chaque prise de la
box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne
vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des
routes à la main.



L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau
local, notamment pour faire du filtrage un peu plus sérieux que la
freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne
fait aucun filtrage.
Avatar
Le Forgeron
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau
local, notamment pour faire du filtrage un peu plus sérieux que la
freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne
fait aucun filtrage.



Remarquons que l'usage de la box n'est pas obligatoire non plus (même si
ça perd du coup en fonctionalité), on peut très bien y mettre le
modem-routeur qu'on veut, au moins sur l'ADSL (sur la fibre, je ne sais pas)
Avatar
Pascal Hambourg
Le Forgeron a écrit :
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau
local, notamment pour faire du filtrage un peu plus sérieux que la
freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne
fait aucun filtrage.



Remarquons que l'usage de la box n'est pas obligatoire non plus (même si
ça perd du coup en fonctionalité)



Ah çà, sans la freebox on perd des fonctionnalités : le téléphone, la
télévision... et l'IPv6 !
Avatar
Joe the Shmoe
Le 15/02/2012 22:55, Pascal Hambourg a écrit :






[...]

Pour ma part (et j'en reviens à ma
question d'origine), j'ai préféré conserver IPv4 en interne, des proxy
applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6



Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité
de bout en bout qui est un des fondements originels du protocole
internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un
proxy applicatif pour toutes les applications possibles et imaginables.



tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés
une information supplémentaire à savoir le nombre de poste bureautiques
via leurs IP sources différentes ? Pour peu qu'ils aient un comportement
différents selon l'OS (tel le choix du numéro de séquence TCP, ou un
comportement particulier au niveau applicatif), et le le serveur
consulté est à même de déterminer la composition du parc bureautique qui
auparavant était cachée derrière firewalls DMZ et proxy applicatifs. Si
ce serveur est celui d'un pirate, ce dernier aura moins de mal à savoir
quelle faille il pourra tenter d'exploiter pour obtenir encore plus de
privilège sur tel sous ensemble de la population de postes bureautiques
(ou de terminaux mobiles tel qu'on en voit de plus en plus en entreprise).

Cordialement,
Joe.
Avatar
Pascal Hambourg
Joe the Shmoe a écrit :
Le 15/02/2012 22:55, Pascal Hambourg a écrit :

Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité
de bout en bout qui est un des fondements originels du protocole
internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un
proxy applicatif pour toutes les applications possibles et imaginables.



tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de



Connectivité.

bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés
une information supplémentaire à savoir le nombre de poste bureautiques
via leurs IP sources différentes ?



Cela apporte une meilleure chance de supporter les protocoles et les
applications les plus atypiques et ceci très simplement, sans devoir
avoir recours à une usine à gaz de type NAT ou autre ALG.

Si on est concerné par sa "vie privée", l'usage d'adresses temporaires
pour les communications sortantes est une option.
Avatar
Joe the Shmoe
Le 17/02/2012 22:03, Pascal Hambourg a écrit :
Joe the Shmoe a écrit :
Le 15/02/2012 22:55, Pascal Hambourg a écrit :


[...]

tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de



Connectivité.



oui, merci c'était une faute de frappe,


[...]

Si on est concerné par sa "vie privée", l'usage d'adresses temporaires
pour les communications sortantes est une option.



c'est une idée intéressante, effectivement. Mais est-ce que ça ne
revient pas tout compte fait à faire une sorte de NAT, dans la mesure où
il faut un équipement intermédiaire pour rendre "temporaires" les IP
sources vues par les serveurs extérieurs ?

... A moins que le poste client change d'IP très fréquemment (ce qui
poserait problème pour les sessions en cours) ou mieux, dispose d'un
pool d'IP important et pioche dedans aléatoirement pour chaque nouvelle
session ? Mais je n'ai pas encore vu de telle implémentation... (?)
1 2 3