Les solutions de portails captifs sont communément déployées pour sécuriser un réseau sans-fil, par exemple de type “invité”. Techniquement elles se basent souvent sur un filtrage par adresse IP. Or les solutions actuelles ne supportent pas IPv6 et c’est frein pour un déploiement complet d’IPv6 dans une infrastructure.

Cela était vrai jusqu’à la sortie récente de la solution de portail captif PepperSpot qui offre la compatibilité IPv6. Elle est développée par l’Université Louis Pasteur de Strasbourg (cocorico :)) sur la base du portail ChilliSpot, solution libre bien connue.

C’est une très bonne nouvelle si vous êtes en attente d’une telle solution pour permettre à vos usagers sans-fil d’utiliser IPv6. N’hésitez pas à nous faire parvenir vos retours d’expérience sur sa mise en place.

Source: Article LinuxFR

Le problème du support d’IPv6 par les applications qui permettent le fonctionnement de la grille de calcul EGEE est un problème particulièrement complexe. Dans ce contexte de grille, on parle de middleware. Tout d’abord les noeuds de la grille hébergent plusieurs applications à la fois, ensuite les noeuds sont répartis sur plusieurs sites et interagissent ensemble, le middleware représente un nombre de ligne de code énorme écrites dans de nombreux langages, enfin le middleware s’appuie sur un grand nombre de logiciels externes (les dépendances externes) sur lesquels l’équipe de développeurs n’a pas la main. Le portage de ce middleware est un exemple concret particulièrement complet des difficultés rencontrées pour le portage des applications.

Le portage de tout le middleware en un coup est inimaginable, il faut donc trouver une solution pour que la grille continue de fonctionner durant le déploiement d’IPv6: le déploiemenent sur des machines dual-stack offre cette possibilité.

Afin d’aider les développeurs, mon collègue Etienne Dublé de l’Unité Réseaux du CNRS (UREC) a réalisé un certain nombre d’études, trois documents sont particulièrement généraux et peuvent apporter un bénéfices à tous :

• Tout d’abord un rapport sur la manière de tester si un serveur TCP est capable d’accepter des clients IPv4 et IPv6. Ce document est très utile pour les développeurs mais aussi pour les administrateurs systèmes.
• Un rapport sur la manière de programmer en IPv6 sur une machine double pile. En effet le portage du middleware dépend des caractèristiques internes des langages. Les avantages et inconvénients des langages C/C++, PERL, Java, Python y sont décrits et un exemple concret de programmation dans chacun de ces langages est fourni. Ce document apporte des résultats particulièrement intéressants pour Java et Python.
• Pour diagnostiquer la compatibilité IPv6, un outil IPv6 CARE  a été développé. Il intercepte les appels de fonctions relatifs au réseau effectués par votre programme. Il utilise pour cela un mécanisme original qui permet de “surcharger” les fonctions de la libc par des fonctions définies dans une autre librairie partagée. IPv6 CARE fonctionne pour les programmes écrits en C, C++, PERL, Java, Python (tout langage utilisant la librairie C ou tout interpréteur utilisant la librairie C).
  IPv6 CARE se compose donc d’une librairie partagée, et celle-ci doit être référencée via la variable système “LD_PRELOAD” pour que la surcharge fonctionne. Pour l’utiliser, il suffit, après l’avoir installé:
  • de simplement définir LD_PRELOAD : export LD_PRELOAD=/chemin/vers/libipv6-care.so
  • de lancer les programmes que vous voulez tester (ils vont fonctionner normalement, sans changement : pas d’aspect intrusif dans vos applications)

  ==> Vous obtiendrez un rapport sur le diagnostic dans /tmp/ipv6_problems
  Pour ne plus utiliser IPv6 CARE, annulez la définition de la variable LD_PRELOAD

  Vous pouvez télécharger

  • l’outil à  http://www.urec.cnrs.fr/IMG/gz/ipv6_care-1.1.tar.gz
  • la documentation https://edms.cern.ch/document/980506

Il y a des idées que l’on trouve géniales et que l’on regrette de ne pas avoir eu. Les NAT66 en font partie. Est-ce lié à un blocage vis-à-vis des NAT et au discours disant qu’IPv6 n’aura pas de NAT? Je le crois. En fait NAT66, c’est le bon coté des NAT sans en avoir tous les inconvénients. J’ai déjà longuement discuté de la multi-domiciliation et des problèmes posé en IPv6 par les adresses Provider Independant. Le NAT66 permet de resoudre une partie des problèmes sans trop de casse.

Qu’est-ce qu’à de plus le NAT66 par rapport à un NAT44, et bien, il ne demande pas à toucher au numéro de port du niveau 4 et est sans état. Le “miracle” est du à un changement simultané du préfixe et du Subnet ID. En interne je peux avoir un plan de numérotation privé du genre FD01:0203:0405:0001::/64 pour un lien. En traversant le NAT le préfixe /48 sera remplacé par celui alloué par mon opérateur et le SubnetID sera ajusté pour ne pas modifier le checksum des paquets (je n’ai pas le courage de faire le calcul, mais le draft nat66 donne un exemple complet).

Je peux donc publier l’adresse publique d’une machine dans le DNS. Si je suis multi-domicilié, je peux publier les deux valeurs vues de l’extérieur, mais en interne je garde une seule et même adresse. Par contre il reste quelques inconvénients :

- l’application ne connait pas son adresse externe, elle ne peut donc utilise que le DNS qui doit être double face pour rendre des résultats différents suivant qu’il est interrogé de l’interieur ou de l’extérieur.

- si le routage change, les connexions sont coupées.

Cela va aussi reduire l’intérêt pour des solutions comme LISP qui implique un double adressage (localisation et identification) avec les problèmes de performance et de sécurité liés à leur association.

Laurent

“New IPv6 Publication Available”

Prague, 28 November - CZ.NIC Association, administrator of the top level domain .CZ, has placed the second updated edition of Pavel Satrapa’s book IPv6 on its website http://knihy.nic.cz/ipv6/.

Suite de l’annonce ici : http://www.nic.cz/page/618/new-ipv6-publication-available/

Notez que seul le format PDF semble être en ligne…

Dossier PC Expert IPv6Un excellent dossier sur IPv6 dans le magazine PC Expert du mois de novembre (numéro 191 - un peu tard me direz-vous mais pour les étourdis comme moi le numéro peut-être commandé en ligne pour 4.95 euros TTC - les temps sont durs donc c’est une bonne idée de soutenir la presse qui fait cause commune avec nous). Voir l’edito du numéro 191: http://pcelecarnet.vnunet.fr/2008/10/edito-du-n191-d.html

L’article traite particulièrement de la configuration avec la Freebox. Rani Assaf (Free), Raphaël Bouaziz (Nerim), Blaise Thauvin (Amen) et Mohsen Souissi (AFNIC) sont également intérrogés. Sont enfin cités Renater et OVH qui complètent le tour de table des opérateurs et hébergeurs français. Il est dommage que l’activation expérimentale d’IPv6 dans l’ensemble du réseau 3G de SFR ne soit rendue possible que depuis 10 jours sinon l’auteur en aurait sans doute parlé aussi (cela fonctionne en effet sur le N95 qu’on m’a prêté avec le soft adéquat: la fameuse tortue de http://www.kame.net entâme sa danse lascive quand on se connecte en IPv6 - fin de parenthèse).

Bien d’autres personnes ont été interrogées ou sont simplement citées.L’article parle aussi pas mal du NAT(je pense que le journaliste a bien compris le message) et utilise l’automobile pour illustrer les nouveaux usages d’Internet rendus possible par IPv6.

Il est frustrant que la TFF y soit à peine citée et encore moins le G6 (ceci a bien été reporté au journaliste me dit-on, mais on ne leur fait pas dire ce qu’on veut, vous le savez ;-). Mais la couverture du Gisèle “IPv6 Théorie et Pratique” est reprise, ce n’est donc pas si mal que cela.

Mise à jour : Le dossier est disponible  en téléchargement : Dossier PC Expert IPv6 sous licence Creative Commons.
IPv6 - PC Expert novembre 2008 by Philippe Roure est mis ‡ disposition selon les termes de la licence Creative Commons PaternitÈ-Pas d’Utilisation Commerciale-Pas de Modification 2.0 France.