IPv6
-
Bonjour,
Je travaille actuellement sur IPv6 et j'aimerai bien tester ça chez moi sur ma pfsense. Mon FAI est free qui m'offre une connectivité IPv6 avec un préfixe en /64 qui ne permet pas de créer d'autre réseau.J'ai fait le tour des différentes solutions possibles pour avoir le support de l'IPv6
-
IPv6 6to4
-
Pont IPv6 : http://ip6.fr/free-broute/
-
Creer des sous réseaux et faire un routage => adressage des machines manuel http://cv.arpalert.org/page.sh?freeipv6
Je vais essayer d'implémenter quelques solutions sur ma pfsense et je posterais l'avancement de mon projet ici. Le truc c'est que je m'y connais pas trop en BSD et pfsense verrouille pas mal l'IPv6. Pour le moment le but est de mettre l'IPv6 sur le LAN, il n'y a pas de filtrage donc les machines seront visibles de l'extérieur.
-
-
En fait c'est la galère je me fait jeter par le FW de pfsense.
Je pense que je vais tester avec monowall, les dernières versions supportent IPv6 -
Sur la branche 1.2 ca va etre compliqué le support IPV6 est très limité.
Avez vous tentez la 2.0 alpha-alpha afin à des fins de tests ? -
C'est un peu compliqué pour moi pfsense.
Pour mon projet de fin d'étude j'ai monté un routeur linux (tunnel 6to4).
J'ai pu tester avec Monowall ça marche bien.Ce qui serait bien pour pfsense :
-
Support IPv6 natif + tunnel (6to4…)
-
Firewall IPv6 comme dans monowall
-
Démon d'avertissement de routeur (radvd) configurable (préfixes, temsp de vies, flags de configuration…)
-
DHCPv6 (Statefull et stateless)
-
traffic shaping IPv6 (pour plus tard)
-
Mobile IPv6 (pour plus tard)
J'ai l'impression que le support d'IPv6 n'est même pas planifié pour pfsense, je trouve ça vraiment dommage. D'ici deux ans il n'y aura plus d'adresses IPv4. Pour info un bon nombre de firewall pro supportent IPv6 (checkpoint, juniper, cisco…), dans mon entreprise c'est noté dans le cahier des charges.
Ca serait pas mal de commencer l'implémentation, surtout que je pense pas que ça demande beaucoup de boulot, IPv6 est supporté par BSD depuis belle lurette. Le démon rardvd idem, coté firewall idem. On peut même s'inspirer de m0n0wall.Je veux bien filer un coup de main, mais je n'ai pas un profil de développeur et le système pfsense me parait un peu complexe (je peux me planter!)
-
-
:=)
Mobile IPv6 est un rêve pour le moment. IPv6 est encore inconnu également de la plupart des interfaces GUI, malgré un support de base dans les systèmes d'exploitation. Même certains grands constructeurs comme Aastra n'ont pas encore le support IPv6 dans leur hardware.
Même Nérim qui est pourtant précurseur de l'IPv6 en France ne propose pas encore à ses clients d'héberger leur site avec un serveur pages perso accessible en IPv6. Etonnant n'est ce pas ?
Aucun support dans les modems ADSL. Obligation d'utiliser une session PPPoE ancestrale depuis un routeur avec le modem en mode bridge RFC2684 pour y accéder.
Pour l'IPv6 pro seul Cisco propose un support avancé, et quelques rares autres fabricants qui suivent derrière avec du retard.
Ni Linux ni BSD à ma connaissance ne supporte complêtement l'IPv6, tout du moins avec les utilitaires nécessaires à son intégration avec IPv4 (convertisseur de protocole IPv4 / IPv6, tunnels IPv4 dans IPv6…). La plupart des utilitaires existants sont encore en version alpha ou beta sans aucune garantie de stabilité, sans aucune interface graphique.
Combien de personnes en France sont capables de configurer un firewall IPv6 avec Netfilter sur la ligne de commande linux sans faire d'erreurs, à moins d'y passer des heures ou des nuits ?
Solaris propose un support plus complet d'IPv6 avec un jeu de tunnels complet IPv4 / IPv6.
Si vous voulez du vrai Ipv6 natif avec un /48 vous pouvez prendre une ligne ADSL chez Nérim, vous pourrez extraire de l'IPv6 sans problème depuis une session PPPoE.
Pour l'IPoA en ADSL comme chez Free dégroupé, il faudra attendre encore un peu... Car aucun autre fournisseur d'accès semble prêt à démonter ses vieux serveurs radius et les serveurs de sessions PPP, très utiles à l'époque des modem RTC et des ports séries, mais beaucoup moins aujourd'hui...
S'il est vrai que les fournisseurs d'accès ont déjà commencé à distribuer de l'IPv6 en france depuis quelques années, le passage se fera progressivement, et au vue des connaissances en IPv6 des étudiants, des administrateurs, et des SSII, il faudra au moins 10 à 15 ans avant que 80 % des installations soient basculée en IPv6.
Une synthèse d'IPv6 :
http://www.franceip.fr/ipv6.pdf
Cependant il n'y a rien de compliqué dans IPv6, en gros c'est de l'IPv4 en plus simple. Attention toutefois aux firewalls, qui ne sont pas encore statefull pour la plupart, et qui demandent donc une configuration complête dans les deux sens.
Etant donné qu'IPv6 supprime la translation d'adresses et de ports, attention aux trous de sécurité !
-
Ni Linux ni BSD à ma connaissance ne supporte complêtement l'IPv6, tout du moins avec les utilitaires nécessaires à son intégration avec IPv4 (convertisseur de protocole IPv4 / IPv6, tunnels IPv4 dans IPv6…). La plupart des utilitaires existants sont encore en version alpha ou beta sans aucune garantie de stabilité, sans aucune interface graphique.
Tu peux développer stp?
Le seul élément qui est encore dans des version peu stable c'est la mobilité. Pour un info chez Microsoft IPv6 est supporté en natif dans vista et windows server 2008 (ainsi que tout les composants : IIS, Exchange…)La configuration avec netfilter est bien plus simple en v6 qu'en v4. Pas besoin de faire du NAT etc etc .... Et avec m0n0wall c'est bien du statefull.
-
Un simple exemple :
D'ici deux ans, votre fournisseur d'accès, à cours d'adresses IPv4, vous donne une adresse IPv6 (ou plutôt un sous réseau en /48).
Votre réseau local d'entreprise est encore en IPv4 (comme 99.7 % des entreprises), et pour éviter une charge financière et technique trop lourde, vous ne pouvez pas pour l'instant migrer le parc de machines en IPv6.
Comment faites vous dans la pratique, pour faire la conversion d'adresses et de protocole (NAT 1/1) entre IPv6 et IPv4 sous Linux ou FreeBSD, avec de l'IPv6 du coté WAN, et de l'IPv4 du coté LAN ?
Vous utilisez NAT-PT (RFC 2766 Network Address Translator Protocol) ?
Y a t'il un support dans le noyau Linux ou FreeBSD ? Vous utilisez un deamon ? Lequel ? Ptrt ? Est il en version finale ? Existe t'il une documentation, des tutoriaux pour implémenter cela sous linux ou freebsd ?
Lorsqu'on regarde les interfaces graphiques des principaux logiciels opensources, notamment les routeurs, IPv6 n'est supporté que très rarement, même dans les toutes dernières versions. Cela montre bien que rien n'est encore vraiment prêt pour un basculement massif vers IPv6.
-
Dans l'Open source oui.
Mais dans l'entreprise les équipements sont prêt (pour la plupart).
Exemple :
Serveurs :
Windows 2008
Linux (depuis longtemp)client : vista
Réseau : Cisco : prêt depuis longtemps
Firewal : Checkpoint, juniper : Prêt également.Imprimantes : Brother : Prêt pour IPv6
Et dans la pratique on ne bascule pas ipv4 vers ipv6, on fait du dual stack. Les équipements qui ne sont pas encore prêt pour IPv6 reste en IPv4 (exemple serveurs d'impression qu'on branche sur port parallèle des imprimantes) et rien ne nous empêche de communiquer avec ces équipements en IPv4.
L'important en IPv6 c'est tout ce qui va communiquer avec l'extérieur (serveurs web, messagerie, proxy internet, firewall…), en interne rien ne nous empêche de communiquer en IPv4.Dans ma boite, le seul truc limitant c'est le FAI qui ne permet pas encore de connexion IPv6. Et pour info si on déploie IPv6 ça nous coûte rien, le cœur de réseau est déjà compatible et pour le firewall notre licence inclue le support d'IPv6, il nous reste juste une case à cocher, total coût zero (à part peut être de la formation). On attend juste pour passer à la version supérieure qui corrigerait des bugs sur le multicast en IPv6