Aller au contenu

Ipv6 , Nat Et Synology


jee27

Messages recommandés

Bonjour à tous!

J'ai une petite question de compréhension par rapport au protocole ipv6 : Je ne suis pas un expert reseau (loin de la ) et on parle pas mal de l'ipv6 today, et si j'ai bien compris, ca permet à chaque appareil d'avoir sa propre adresse ip "externe" sans devoir passer par du "Natting" .. Donc plus besoin de gérer les translations de ports dans les routeurs

Jusque la ca me semble assez interessant mais d'un autre coté, est ce que le nat ne joue pas une fonction de sécurité ?

Par exemple avec mon synology , je laisse beaucoup de ports ouverts et accessibles aux adresses ip de mon reseau local (ex: 192.168.X.X) mais je n'ai que quelques ports ouverts pour toutes les adresses, ports que j'ouvre au niveau du nat dans le routeur

Et donc si dans un futur proche on passait à l'ipv6 , les ordinateurs de mon reseau local n'auraient plus qu'une seul ip publique ipv6 , dès lors comment ca se passe au niveau de l'ouverture des ports ? Ca semble beaucoup moin sécurisé puisque tout serait ouvert vers l'extérieur ?

Si quelqu'un pouvait m'éclairer !

Lien vers le commentaire
Partager sur d’autres sites

Et c'est pourquoi la fonction du firewall devient autrement plus importante des lors que l'on est passé en IPV6.

L'idéal est d'avoir un firewall finement configurable sur son routeur histoire de configurer les règles en un seul endroit.

Ce n'est par exemple pas le cas chez free ou, bien qu'on puisse tres facilement migrer sa box en IPV6, on se retrouve ensuite "a poil" car il n'y a pas de firewall configurable dans la freebox (à moins que sur la V6... mais je suis en V5, si quelqu'un a l'info?)

Lien vers le commentaire
Partager sur d’autres sites

Donc pour les quidam ca risque de poser pas mal de problème de sécurité, pcq en ipv4 , ils ont aucune raison d'aller ouvrir des ports par contre en ipv6 , ils doivent configurer un firewall - pas sur que Mr tout le monde ira triffouiller dans son routeur !

Lien vers le commentaire
Partager sur d’autres sites

Laisse en IPv4, le temps de migration de toute la sphère internet risque de prendre des années car on est pas encore prêt (que ce soit les entreprises ou les particuliers) pour. Enfin ce n'est que mon avis, mais le nombre d'entreprise en IPv6, il doit pas y en avoir beaucoup.

Lien vers le commentaire
Partager sur d’autres sites

Donc pour les quidam ca risque de poser pas mal de problème de sécurité, pcq en ipv4 , ils ont aucune raison d'aller ouvrir des ports par contre en ipv6 , ils doivent configurer un firewall - pas sur que Mr tout le monde ira triffouiller dans son routeur !

Plus exactement, comme "mr tout le monde" n'a probablement pas de routeur avec firewall intégré sur son réseau, pour lui son synology sera directement accessible sur internet (pour peu que l'on connaisse son addresse IPV6, ce qui n'est pas forcément trivial)

Lien vers le commentaire
Partager sur d’autres sites

  • 5 ans après...

"Oh! Le beau déterrage!" allez vous dire.
Pourquoi maintenant?

Parce-que si tout va bien orange devrait avoir fini de le déployer à la fin de l'année, que ça m’intéresse fortement, mais que du peut que j'ai compris, il est urgent de prendre son temps pour bien comprendre ce que l'ont fait sous peine de grosse brèche de sécurité.
J'écume le web depuis une semaine mais les vidéos que je trouve rentre dans du détail que je suis incapable de comprendre. En revanche, pas de réponse claire sur les questions que l'utilisateur lambda  se pose.
5 ans après le dernier message de se post, je me dit que certains d'entre vous sont peut être au point sur la question :)

alors en vrac quelques questions que je me pose ou des affirmations à confirmer ou infirmer:

 

J'ai cru comprendre qu'il y avait plusieurs type d'adresses ipv6, des locales et des "globales".

Les adresses locales semblent être créées par l'ordinateur lui même. Seront-elles fixe? y'aura-t-il moyen de les fixer?

Et les adresses "globales", qui les attribue? mon FAI?

 

Niveau sécurité

Pour mon imprimante, si j'ai bien compris, il lui faudra une ip locale uniquement sous peine que n'importe qui imprime dessus, c'est ça? 

Tous matériel qui aura une ip "globale" devra avoir son propre par feu. Mais du coup pour mes ordis qui partagent leurs données sur le réseau actuellement en mode guest, ne risquent-ils pas les partager au monde? où ce type de partage sera-t-il forcément restreint à l'ipv6 locale?

 

rétrocompatibilité:
J'ai un vieux traceur sortie avant l'invention d' ipv6, plus de maj depuis bien longtemps de la part d'HP : pourrais-je continuer à l’utiliser?

 

Merci pour votre aide

 

Lien vers le commentaire
Partager sur d’autres sites

Auto promo :

En complément, les Syno savent gérer l'IPv6 dans le parefeu, de manière limitée mais suffisante pour un particulier (il faudrait que je vous fasse un tuto la dessus un jour)

il y a 6 minutes, loicb a dit :

J'ai cru comprendre qu'il y avait plusieurs type d'adresses ipv6, des locales et des "globales".

En fait il y a bcp plus de types d'adresses que ça, mais dans celles qui t'intéressent, il y en a 3 :

  • fe80::/10 => adresses de lien local (en gros ça remplace l'ARP par du NDP) => automatiquement géré par l'ordi
  • fc00::/7 => adresses privées (l'équivalent de ton 192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8)
  • 2000::/3 => les adresses publiques qui peuvent être utilisées via Internet => donc attribuées par ton FAI

Pour le dernier type d'adresse, il y a une différence par rapport à l'IPv4. Là où ton FAI de file une seule IPv4, il va t'attribuer un bloc IPv6, normalement un /48 ou un /56, mais parfois c'est un simple /64 (/64 ça devrait être réservé pour une seule machine, mais on peut s'en servir pour plusieurs même si ce n'est pas recommandé, c'est ce que fait free avec les V5) => c'est ton préfixe IPv6

Après ça pour l’attribution des adresses sur tes équipements, il y a plusieurs technos (dhcp, slaac, slaac+random, cga) mais je ne rentrerais pas dans les détails ici (trop long). En gros chaque équipement compatible va se voir attribuer ou va se générer une adresse (plusieurs en pratique) dans ton préfixe.

il y a 17 minutes, loicb a dit :

Pour mon imprimante, si j'ai bien compris, il lui faudra une ip locale uniquement sous peine que n'importe qui imprime dessus, c'est ça? 

Selon la manière dont elle est configurée, elle obtiendra peut être toute seule une ipv6 routable sur internet donc oui, je pourrais imprimer dessus :lol:

il y a 18 minutes, loicb a dit :

Tous matériel qui aura une ip "globale" devra avoir son propre par feu

C'est mieux mais pas obligatoire, il y a du pour et du contre, c'est un vaste débat entre business et sécurité (cf sécurité des caméra IP en IPv4, imagine en IPv6).

il y a 20 minutes, loicb a dit :

où ce type de partage sera-t-il forcément restreint à l'ipv6 locale?

C'est à toi de bien régler ton parefeu, mais en pratique ça ne fonctionne pas comme tu le penses.

En IPv4, comme tu n'as probablement pas d'IP publique, tu n'as n'as qu'une seule adresse pour communiquer en interne avec tes équipements et vers Internet, c'est ta box qui transforme ton ip privée en ip publique.

En IPv6 ton pc aura au moins 2 adresses : une locale et une publique mais les équipements se parleront avec l'adresse de lien local.

il y a 21 minutes, loicb a dit :

J'ai un vieux traceur sortie avant l'invention d' ipv6, plus de maj depuis bien longtemps de la part d'HP : pourrais-je continuer à l’utiliser?

Du point de vu réseau, surement pendant encore 30ans au moins (l'ipv6 a déjà presque 20ans soit dit en passant).

Lien vers le commentaire
Partager sur d’autres sites

il y a 56 minutes, loicb a dit :


J'écume le web depuis une semaine mais les vidéos que je trouve rentre dans du détail que je suis incapable de comprendre. En revanche, pas de réponse claire sur les questions que l'utilisateur lambda  se pose.
 

Je suis dans le même cas que toi, et ayant migré "sans avoir rien demandé", je me renseigne aussi.

la première chose que j'ai vérifié, c'est la présence d'un Firewall IPv6 dans ma Box : il y en a bien un, fermé par défaut. Jusque le là ça va.

Après on ouvre un port : c'est toujours de mon niveau. Mais pourquoi ouvrir un port sur un nom de machine ? pas compris ... pour moi, un des avantages d'IPv6 est que chaque machine du LAN a son @WAN . Le firewall de la Box ne devrait il pas ouvrir un port, sans ce soucier (ni imposer !) une machine de destination ?

Bref, j'avance à talon. En local, mes connexions se font désormais en IPv6 vers mon NAS, et je n'ai pas vu de différence. En distant, le DDNS Synology, en Dual Stack, reconnait bien mes 2 adresses v4 et v6. les réseaux mobiles sont encore v4, la plupart de mes connexions se font donc en v4.

En "conclusion", très provisoire, pas de soucis à la migration, mais beaucoup à apprendre.
Merci d'avoir "déterré" ce sujet qui ne pourra que s'enrichir !

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, StéphanH a dit :

pas compris ... pour moi, un des avantages d'IPv6 est que chaque machine du LAN a son @WAN . Le firewall de la Box ne devrait il pas ouvrir un port, sans ce soucier (ni imposer !) une machine de destination ?

L'adresse IPv6 n'est pas forcement fixe, c'est même plutôt le contraire, elle peut changer "dans le préfixe" pour des questions de confidentialité.

Après s'ils affichent des noms dans l'interface, je pense que c'est simplement pour aller dans le sens du mouvement global* de ces dernières années : "les utilisateurs sont trop con pour apprendre, on va leur faire une interface avec des noms et ceux qui savent on s'en cogne, de toute manière nous on ne veut pas qu'ils sachent, ils risqueraient de comprendre des choses"

*global : industrie automobile, informatique (au sens large), télécoms, audiovisuel, ...

il y a 27 minutes, StéphanH a dit :

Le firewall de la Box ne devrait il pas ouvrir un port, sans ce soucier (ni imposer !) une machine de destination ?

?? si le firewall ne se souci pas des adresses, ça veut dire qu'il va laisser passer le trafic vers toutes les adresses (tu ouvres le TCP80 pour ton nas => ta caméra, ta tv, ton frigo, ... deviennent accessible s'ils ont un serveur web)

Lien vers le commentaire
Partager sur d’autres sites

D'un autre côté, un des avantages de v6 est de ne plus devoir créer des règles NAT/PAT, avec le gros avantages que tu peux ouvrir le port x vers n équipements.

Si tu as deux NAS, tu ouvres le port 5001 dans le firewall de ta Box, et du dispose des deux @ WAN v6 de tes NAS pour les accéder depuis l'extérieur. Charge à toi bien sûr de bien verrouiller le firewall de tes NAS.

Un des gros avantages que je vois également (dans un proche avenir), c'est l'adressage v6 des réseaux mobile (au moins LTE).
Aujourd'hui, un mobile n'a pas d'@ publique. Demain, il devrait en avoir une ! Et pour ceux qui comme moi ont une Box 4G, ça changera la vie !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.