Dis Tonton Mortal, comment ça marche Internet ?

[Mortal]

À la demande générale et devant l'enthousiasme croissant des foules, je vais essayer de tenter une explication de comment que ça marche IPv4 et de pourquoi c'est un protocole tout pourri du siècle dernier et pourquoi IPv6, c'est merveilleux, beau, chaud et que ça sauve des bébés phoques et agrandit ton pénis.

Tout d'abord, il faut savoir que l'Internet Protocol version 4 repose sur un nombre fini d'adresses. Dans un réseau où il y a des centaines de machines, le plus simple pour savoir qui est qui, c'est simplement de tout numéroter (un peu comme le téléphone, on donne un numéro à chaque ligne). Comme la puissance des machines du début d'Internet (fin des années 70) est limitée et que le nombre de machines sur Internet à cette époque est limité (un ordinateur est cher, il y a donc peu d'ordinateur et ces derniers permettent en général de relier de multiples terminaux passifs), les créateurs d'Internet décident de coder le nombre de machines possibles sur le réseau sur 32bits, ce qui apparaît alors comme largement suffisant.

Calcul rapide, 32 bits, ça nous fait 2^32 adresses possibles soit 4 294 967 296 d'adresses, beaucoup plus qu'il n'en faut pour les quelques milliers d'ordinateurs de l'époque (et dans les faits, c'était suffisant jusqu'à il y a environ 10 ans). Une adresse IP est donc simplement un numéro dans le grand ensemble des numéros disponibles. Pour donner un exemple concret, l'adresse IP de ce serveur est 91.121.21.148 en représentation humainement lisible (4 chiffres de 0 à 255), ce qui correspond pour la machine au numéro 1 534 662 036. Au final, ce n'est qu'un numéro unique sur le réseau.

Maintenant qu'on sait comment on va numéroter les machines, ce serait bien qu'on arrive à décider qui va les numéroter pour éviter d'avoir des doublons (imaginer la situation si deux personnes avaient le même numéro de téléphone par exemple). On crée donc l'IANA qui est chargée de distribuer de très grandes plages d'adresses à des RIR, Regional Internet Registries, au nombre de un par « continent » :

• RIPE (Réseau IP Européens) pour l'Europe et le Moyen-Orient ;
• ARIN pour l'Amérique du Nord ;
• LACNIC pour l'Amérique du Sud ;
• APNIC pour l'Asie-Pacifique ;
• AfriNIC pour l'Afrique.

Ces autorités régionales distribuent des plages d'adresses IP (plus petites) aux entreprises et FAI de leur continent respectif. On avait donc une grande quantité d'adresses disponibles et on en a donné des morceaux au fur et à mesure.

Les soucis ont commencé le jour où de nouveaux besoins sont apparus et notamment au niveau des réseaux privés. L'IANA a alors décidé de réserver des plages d'adresses pour d'autres usages que de les distribuer :

• Les 268 435 456 d'adresses de la plage 240.0.0.0/4 (allant donc de l'adresse 4 026 531 840 à l'adresse 4 294 967 295 la dernière adresse possible en IPv4) ont été réservées pour des usages futures qui ne sont jamais apparus ;
• Il y a de nouveau 268 435 456 d'adresses qui ont été réservé pour ceux qu'on appelle le multicast (et qui n'a jamais fonctionné sur Internet) ;
• Les plages d'adresses 10.0.0.0/8 (16 777 216 d'adresses), 192.168.0.0/16 (65 536) et 172.16.0.0/12 (1 048 576 d'adresses) sont réservées pour l'adressage privée (à l'intérieur des réseaux d'entreprises par exemple) ;
• Il y a un nombre incalculable d'adresses qui sont gaspillés pour les besoins du routage sur Internet (simplement parce qu'IPv4 « gâche » des adresses pour le découpage du réseau…);
• Et il y a des plages interdites, utilisées pour du test, etc…

Au final, il n'y a qu'environ 3 milliards et quelques d'adresses réellement utilisables sur le réseau Internet. Or, si tu fais bien le calcul, tu as sûrement chez toi un fixe, un portable ou deux, un mobile dernière génération avec du Wi-Fi, une imprimante, une(des) console(s) de jeux, etc… qui doivent tous aller sur Internet d'une manière ou d'une autre. Comme il y a 2 milliards d'internautes, on en arrive rapidement à avoir plus de 12 milliards de périphériques connectés au réseau Internet pour seulement 3 milliards d'adresses, ça ne peut pas fonctionner (je suis formel, j'ai essayé, 12, ça rentre pas dans 3 même avec un chausse-pied).

On a donc un problème. Et ce problème il est connu depuis qu'Internet est devenu accessible au grand public. On sait qu'on a pas assez d'adresses pour tout le monde. Mais on est malin et on a donc inventé le NAT (Network Address Translation = traduction d'adresses réseaux). Le principe, c'est que chaque ordinateur du réseau domestique ou du réseau d'entreprise a une adresse privée (qui ne marche donc pas sur Internet), mais connaît une machine qui a à la fois une adresse privée et une adresse publique (Freebox, Livebox, etc…).

Basiquement, quand une machine du réseau local veut aller joindre une machine d'Internet, la box va prendre en compte sa requête, effacer l'adresse de l'expéditeur pour la remplacer par son adresse publique et la transmettre sur Internet. Concrètement tu tapes http://forum.nintendojo.fr sur ton ordi qui est en 192.168.1.15 par exemple, la box voit arriver un paquet qui dit :

Code : Tout sélectionner

Je suis 192.168.1.15 et je veux joindre 91.121.21.148

Si la box envoit le paquet tel quel, ça ne peut pas marcher : Internet va lui dire que le paquet ne peut pas avoir pour expéditeur 192.168.1.15 parce que c'est une adresse privée. Donc la box, pas folle, remplace cette adresse par son adresse :

Code : Tout sélectionner

Je suis <IP publique de la box du forumeur joyeux> et je veux joindre 91.121.21.148

Et elle attend patiemment la réponse. Quand la réponse vient, elle a cette forme :

Code : Tout sélectionner

Je suis 91.121.21.148 et je veux joindre <IP publique de la box du forumeur joyeux>

Le symétrique de la précédente. Comme la box sait qu'elle a envoyé une requête, elle sait à quel ordinateur du réseau local ce paquet est destiné. Elle remplace donc simplement l'adresse du destinataire par l'adresse 192.168.1.15. Et le tour est joué, la page s'affiche (version simplifiée, en fait, c'est un peu plus complexe que cela…).

Le problème ici, c'est qu'on peut bien envoyer des requêtes pour recevoir des réponses. Mais on ne peut pas recevoir directement des requêtes. Si la box reçoit un truc sur le port 80 qu'elle avait rien demandé et que personne dans le réseau local avait rien demandé, elle le jète. Purement et simplement. C'est plus simple à imaginer avec un téléphone : tu peux appeler les gens et ils peuvent alors te parler, mais ils ne peuvent pas t'appeler. Si c'était le cas du serveur du Dojo, ce serait extrêmement problématique parce qu'il serait incapable de répondre aux requêtes.

C'est le deuxième principal problème d'IPv4 : le NAT a permis de reculer le problème de quelques années, mais n'a rien réglé. Au contraire, il a fermé une partie du réseau et les concepteurs d'applications comme la VoIP et le P2P ont dû trouver des astuces de porc pour continuer de fonctionner malgré les barrières.

Donc la solution, c'est simplement IPv6 \o/

Ce coup-ci, il a été décidé qu'on allait coder les adresses sur 128 bits soit 340 282 366 920 938 463 463 374 607 431 768 211 456 d'adresses possibles ou 667 millions de milliards d'adresses IP par mm² de la surface terrestres (!). Donc là plus de souci : comme on a plus de pénurie, on peut donner des adresses à tout le monde (et même plusieurs centaines de millions de milliards d'adresses pour chaque connexion) et on a plus besoin de faire de la traduction d'adresses. Toutes les applications qui posaient problème ne posent donc plus de problème et on peut même envisager d'en faire des nouvelles qui peuvent utiliser toutes les particularités d'un réseau 100% connecté \o/

Les adresses IPv6 permettent de retrouver un monde où tous les ordinateurs peuvent se connecter entre et ou les box ne font plus que connecter vraiment les ordinateurs à Internet et pas bricoler au milieu pour que ça marche.

Ma conclusion sera : IPv6, c'est bien, mangez-en.

Merci de votre attention

[Chunky]

Comme il y a 2 milliards d'internautes, on en arrive rapidement à avoir plus de 12 milliards de périphériques connectés au réseau Internet pour seulement 3 milliards d'adresses, ça ne peut pas fonctionner (je suis formel, j'ai essayé, 12, ça rentre pas dans 3 même avec un chausse-pied).

C'est faux ! Dans ton chez toi normalement tu n'as qu'une IP publique pour ta connexion Internet (PC, console, imprimante...) et... c'est tout. Les IP des connexions 3G sont déjà NAT (la mienne commence par 10.)

Sinon on serait dans la merde depuis plusieurs années je pense

En tout cas bon résumé

EDIT: y'avait pas encore la suite quand j'ai posté... du coup tu penses vraiment que tous les appareils de ta maison auront une IP publique dans le futur ? Je trouve ça super dangereux, l'avantage des box / routeurs est de faire pare-feu quand même

[Mortal]

Le NAT est un pare-feu illusoire.

J'ai de l'IPv6 à ma maison et tous les périphériques connectés qui le supportent ont donc une adresse publique (tu peux même pinguer mon PC à la maison si tu veux : baybay-ponay.mateu.be). Mais si tu essaies de te connecter en SSH dessus ou en Web ou en FTP, ou en tout autre service qui tourne sur cette machine, tu te feras jeter comme une merde.

Parce que la box peut très bien interdire les entrées en IPv6 et de manière beaucoup plus propre que d'éviter les entrées sur un NAT (ce qui est structurellement… compliqué mais pas impossible).

Il y a une RFC qui est sortie sur le sujet il y a très peu de temps et qui expliquait justement que les box internet ipv6 devaient laisser passer les protocoles connues de connexion de bout en bout (SIP pour la VoIP, BitTorrent, etc…) et bloquer le reste par défaut mais en laissant l'option de pouvoir débloquer. La RFC recommande également de mettre un pare-feu sur les terminaux (ce qui est en fait la meilleure solution).

Après, le renouvellement du parc d'OS va aussi permettre d'améliorer les choses : aujourd'hui, sur un Windows 7 par défaut le traffic entrant en IPv6 est bloqué. Il n'y a que le traffic sortant qui est autorisé et les services potentiellement dangereux (prise de main à distance, partage de fichiers, etc…), n'écoutent qu'en IPv4 pour limiter les problèmes.

Bref, si tu veux une solution pour éviter les entrées, c'est assez simple en fait.

[Konino]

Merci beaucoup Mortal, ça m'a bien remis sur les rails et surtout ce passage :

Le problème ici, c'est qu'on peut bien envoyer des requêtes pour recevoir des réponses. Mais on ne peut pas recevoir directement des requêtes. Si la box reçoit un truc sur le port 80 qu'elle avait rien demandé et que personne dans le réseau local avait rien demandé, elle le jète. Purement et simplement. C'est plus simple à imaginer avec un téléphone : tu peux appeler les gens et ils peuvent alors te parler, mais ils ne peuvent pas t'appeler. Si c'était le cas du serveur du Dojo, ce serait extrêmement problématique parce qu'il serait incapable de répondre aux requêtes.

C'est le deuxième principal problème d'IPv4 : le NAT a permis de reculer le problème de quelques années, mais n'a rien réglé. Au contraire, il a fermé une partie du réseau et les concepteurs d'applications comme la VoIP et le P2P ont dû trouver des astuces de porc pour continuer de fonctionner malgré les barrières.

Je ne comprenais pas pourquoi tu disais : "Et l'utilisateur lambda, il utilise pas la voip ni le P2P...". Maintenant c'est fait.

Et merde je voulais rajouter quelque-chose et ca m'est sortit de l'idée ><

[Holaf]

on va pouvoir broadcaster a toute la planète

[Mortal]

En IPv6, le concept même de broadcast n'existe plus (enfin disons que… enfin ouais, ça existe plus… mais malgré tout tu peux faire des multicasts avec des effets et des échelles assez similaire à ce qu'on faisait en IPv4). En IPv4, si les opérateurs déploient des réseaux NATé à grande échelle (j'ai déjà des cas en Afrique), tu peux effectivement faire beaucoup de caca dessus dans la mesure où il y a très peu de protection et d'isolation à l'intérieur même des réseaux.

Et merde je voulais rajouter quelque-chose et ca m'est sortit de l'idée ><

Vu comment le texte est long, ça me choque pas ^^

[Konino]

Genre j'assume plus des texte de plus de 2 phrases...

[Mortal]

j0r, ça m'arrive aussi ce genre de conneries…

[Konino]

A notre âge... :vieuxjeunecon:

[ole]

Question(s) à deux balles :
C'est compliqué de passer d'IPv4 à Ipv6 ? Qui s'occupe de ça ? L'utilisateur lambda va t-il s'apercevoir de quoi que ce soit ?

[Mortal]

Techniquement, tu ne passeras pas d'IPv4 à IPv6 : les deux vont cohabiter pendant quelques années avant que le premier finissent pas être « éteint ».

Il faut bien voir que les stacks v4 et v6 sont bien complètement séparés mais pas incompatible entre eux. Pour le moment, la plupart des sites que tu visites sont en v4 ; dans les mois à venir, il y en a quelques uns qui seront accessibles en v4 en et v6 et à partir de 2012, les nouveaux services et sites Web sur la planète ne seront accessibles qu'en v6 (mais les anciens seront toujours accessibles en v4).

Ça amorce une lente migration. Et seuls les FAI peuvent la faire. Leur immobilisme est essentiellement dû au fait qu'il n'y avait, jusqu'à présent, pas d'enjeux : il n'y a aucun service-clé sur Internet qui n'est accessible qu'en IPv6. Quand ce sera le cas dans quelques mois, il faudra qu'ils s'y mettent obligatoirement.

Quant à l'utilisateur lambda, s'il est sous Windows > Vista, sous Mac OS X n'importe quelle version, sur iOS > 3 ou sous Linux, ce sera complètement transparent pour lui : sa pile v6 verra les messages d'advertisement de sa boîboîte Internet et prendra automatiquement une adresse IPv6. And that's all !

[Aloïs]

Merci pour le cours, ça va bien mieux

[meduz']

Quant à l'utilisateur lambda, s'il est sous Windows > Vista, sous Mac OS X n'importe quelle version, sur iOS > 3 ou sous Linux, ce sera complètement transparent pour lui : sa pile v6 verra les messages d'advertisement de sa boîboîte Internet et prendra automatiquement une adresse IPv6. And that's all !

Et avec un Win XP par exemple :tru3-with-a-so-old-computa: ?

[Mortal]

Démarrer -> Exécuter -> cmd

ipv6 install

==> Bonheur

C'est tout con, mais c'est pas à la portée de M. Tout-le-monde. Il faudra sûrement l'automatiser dans le super-cd-d'installation-de-la-box ou une connerie du genre.

[Kenshin83]

pour windows xp il me semble qu'il faut au moins avoir un service pack (bon certes, tout le monde l'a normalement) pour qu'il gère l'ip v6

Ensuite pour les réseaux privés, est-ce qu'à un moment les box ne feront plus que de l'ip v6 (certainement, mais je pose quand même la question) ?

[Mortal]

Il y a un terrible trou dans la norme IPv6 pour le moment au niveau de l'attribution automatique des adresses IP.

En IPv4, quand tu démarres ta machine, elle demande à tout le réseau qui peut lui donner une adresse valide et une machine répond en lui donnant une adresse privée et l'adresse de la machine qui a une adresse public. Ce service s'appelle le DHCP. Le truc, c'est que le DHCP ne fait pas que te donner des adresses privées, il te donne aussi d'autres paramètres comme par exemple le résolveur de nom le plus proche (le service qui permet d'associer les domaines aux IPs). C'est un service assez archaïque en soi, pas très pratique, désastreux à mettre en œuvre mais malheureusement indispensable et bien implanté partout.

En IPv6, le mécanisme est très différent. On distingue les hôtes et les routeurs. La particularité des routeurs, c'est de connaître un chemin vers le vaste Internet. Les hôtes eux ne le connaissent pas. Les routeurs annoncent donc régulièrement sur le réseau qu'ils peuvent accéder au vaste Internet. Les hôtes voient passer les messages et choisissent eux-mêmes une adresse IPv6 en fonction des données qu'annonce le routeur le plus proche et de leur adresse physique (adresse MAC). Ce mécano marche super bien à un détail prés : pour le moment, les routeurs n'annoncent pas qui est le résolveur. Et donc Internet devient pratiquement inutilisable pour les hôtes.

Ce problème ne sera pas résolu en un claquement de doigts. Il y a de nombreuses pistes à explorer et ça risque d'être long. Donc en attendant, tu auras toujours une pile IPv4, une adresse privée et ta box sera toujours tenue de faire son boulot de DHCP/DNS. Quand ce dernier souci d'attribution automatique des adresses en IPv6 sera résolu, on pourra envisager de supprimer les piles v4 sur les boxes et elles feront probablement uniquement de l'IPv6 côté LAN.

[Kaiser Panda]

Joli topic, ça cultive bien (même si je ne pige pas tout forcément).

Question con : la v5 a existé ?

Démarrer -> Exécuter -> cmd

ipv6 install

==> Bonheur

Ou pas. "Impossible de finir l'installation" chez moi. Je suis maudit.

Pour info je tourne sous XP.

[Mortal]

Joli topic, ça cultive bien (même si je ne pige pas tout forcément).

Merci \o/

Question con : la v5 a existé ?

Comme dit dans l'autre sujet, c'était un brouillon qui n'a jamais abouti…

Démarrer -> Exécuter -> cmd

ipv6 install

==> Bonheur

Ou pas. "Impossible de finir l'installation" chez moi. Je suis maudit.

Pour info je tourne sous XP.

Je pense qu'il faut être administrateur pour pouvoir exécuter cela… Ou avoir des droits équivalents. Après, je ne sais pas si un logiciel/pare-feu/truc peut bloquer ça ou pas.

[Holaf]

je confirme que ca fonctionne ^^

[Rayy]

Ce soir en rentrant je poseterai plus d'infos là dessus, mais IPV6 apporte aussi une très grande flexibilité pour la mobilité (et ça inclut notamment les téléphones portables qui passent de réseaux en réseaux.

Ah et puis il faut aussi parler de la q2ualité de services et de la taille des paquets qui deviennent plus importants avec IPV6. 4a devrait contribuer à fluidifier les services de streaming notamment.
J'avais fait un petit "mémoire" sur IPV6, et j'avais bien trippé.

[Le poussin]

Ce mécano marche super bien à un détail prés : pour le moment, les routeurs n'annoncent pas qui est le résolveur.

Ils ne l'annoncent pas parce qu'il n'y a pas de protocole prévu ou parce que ça n'est pas implémenté ?
Si un protocole existe, dans le cas de routeurs domestiques (les box) il leur suffirait d'envoyer les infos sur les routes et le serveur DNS comme ils le font avant. Je ne sais pas comment les box actuelles récupèrent les informations DHCP qu'elles retransmettent (valeurs récupérées lors de la connexion au serveur d'authentification du FAI ?) mais qu'est-ce qui les empêcherait de faire de même en IPv6 ?

[Mortal]

Les box actuelles ont généralement les paramètres en dur et les envoient simplement aux machines qui demandent une adresse. Elles reçoivent elle-même leur adresse publique et leur résolveur d'un DHCP chez le FAI, mais ça ne conditionne pas les paramètres qui sont passés aux machines sur le LAN.

Pour le reste, les routeurs n'annoncent pas le résolveur parce que cette partie est bien réservée dans ce qu'on appelle le router advertising, mais la RFC correspondante est en brouillon depuis plusieurs années . En fait, la personne qui s'occupe de cela n'arrive pas à satisfaire tous les parties sur la question.

Il existe une autre solution que l'on appelle les « multicast bien connus ». Le principe, c'est d'avoir une adresse bien connue (en l'occurence ff02::fb) qui est annoncée par tous les résolveurs du réseau local. C'est pas compliqué à faire, mais encore une fois, c'est en brouillon et ce n'est donc pas encore implémenté au niveau des résolveurs.

L'intérêt de la seconde méthode, c'est que le boulot se situe au nivaeu des machines qui font résolveurs et non au niveau des routeurs. Et l'implémentation prends très peu de temps à faire dans la mesure où il s'agit simplement d'ajouter une adresse IPv6 bien connue sur l'interface du résolveur et d'indiquer par défaut cette même adresse au niveau des clients.

Bref, l'histoire du résolveur est plus complexe qu'il n'y paraît et c'est l'un des points vraiment bloquants dans le déploiement à grande échelle… Comme ça va devenir de plus en plus urgent, on va bien finir par trouver une solution fiable.

[Le poussin]

Mais le problème est à mon avis relativement limité pour la connexion Internet de l'utilisateur lambda. La box peut continuer à transmettre au LAN des valeurs stockées en dur (ou récupérées via un protocole quelconque auprès du FAI) ; ça suffira pour connaître un résolveur quand on est chez soi, et une fois qu'on connaît un serveur DNS, ça roule. Et la même chose peut s'appliquer aux appareils mobiles qui sont de la même manière rattachés à un abonnement.
Conceptuellement parlant c'est un peu la même chose que du « multicast bien connu » : on se base sur la connaissance d'une adresse en dur.

Ça m'étonne que ça soit si problématique. J'aurais plutôt vu la complexité dans la diffusion des routes.

[Mortal]

Justement non ! La diffusion des routes en IPv6 étant 100% hiérarchique pour les adresses d'hôtes, la box n'a rien d'autres à faire que transmettre d'un côté (LAN) ou de l'autre (WAN).

Le résolveur ne pose de toutes façons de problème que si le réseau LAN est 100% v6 avec des hôtes en auto-configuration. Ce cas de figure ne se présentera pas chez M. TLM avant au moins 10 ans ! En attendant, on aura d'ici quelques mois, tous une double-pile v4/v6 et on sera pas (encore) emmerdé avec ça !

[ciol]

Je lirais en détail ce soir, mais un point m'avais interpellé :

Free propose l'IPV6, mais d'après toi de manière sale, peut tu nous expliquer pourquoi ?

PS : si ce point a été abordé dans ton pavé, je suis prêt a me prendre les tomates !