| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue74:tutoriel_-_connecting_to_ipv6 [2013/11/16 15:20] – [2] auntiee | issue74:tutoriel_-_connecting_to_ipv6 [2013/11/24 08:57] (Version actuelle) – fcm_-_ekel |
|---|
| So, in a way, Ubuntu is ideal to make a first contact with this new, IPv6-enabled version of the Web.** | So, in a way, Ubuntu is ideal to make a first contact with this new, IPv6-enabled version of the Web.** |
| |
| Les Jeux olympiques d'été de Beijing en 2008 ont attiré l'attention de la foule technique sur IPv6, avec des rappels supplémentaires lors de la Journée mondiale IPv6 le 8 juin 2011 et la Journée mondiale de lancement IPv6 le 6 juin 2012. Nous sommes, pour la plupart, au courant que l'espace actuel d'adresses IP (IPv4) s'épuise, et que prochainement, à court ou moyen terme, nous devrons nous habituer à utiliser les adresses et la connectivité IPv6 sur internet. | Les Jeux olympiques d'été de Beijing en 2008 ont attiré l'attention de la foule technique sur IPv6, avec des rappels supplémentaires lors de la Journée mondiale IPv6, le 8 juin 2011, et la Journée mondiale de lancement IPv6, le 6 juin 2012. Nous sommes, pour la plupart, au courant que l'espace actuel d'adresses IP (IPv4) s'épuise, et que prochainement, à court ou moyen terme, nous devrons nous habituer à utiliser les adresses et la connectivité IPv6 sur internet. |
| |
| Ce n'est pas encore tout à fait le cas pour la plupart des gens. Les fournisseurs d'accès à Internet n'ont pas encore déployé l'accès IPv6 nativement dans de nombreux pays. La plupart des serveurs ne disposent encore que d'un accès IPv4, à l'exception des géants de l'internet comme Google, Facebook et plusieurs autres. La plupart des matériels disponibles (spécialement dans la catégorie domestique) ne traite encore que de l'IPv4. Mais les choses changent et nous devrons y passer. Être en double accès, avoir à la fois IPv4 et IPv6 activés en même temps, est une bonne façon de faire la transition. | Ce n'est pas encore tout à fait le cas pour la plupart des gens. Les fournisseurs d'accès à Internet n'ont pas encore déployé l'accès IPv6 nativement dans de nombreux pays. La plupart des serveurs ne disposent encore que d'un accès IPv4, à l'exception des géants de l'internet comme Google, Facebook et plusieurs autres. La plupart des matériels disponibles (spécialement dans la catégorie domestique) ne traite encore que de l'IPv4. Mais les choses changent et nous devrons y passer. Être en double accès, avoir à la fois IPv4 et IPv6 activés en même temps, est une bonne façon de faire la transition. |
| UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1** | UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1** |
| |
| Naturellement, on peut aussi utiliser un programme graphique comme Synaptic, Ubuntu Software Center ou Muon. | Naturellement, on peut aussi utiliser un programme graphique comme Synaptic, la Logithèque Ubuntu ou Muon. |
| |
| Il faut ensuite modifier le fichier de configuration /etc/gogoc/gogoc.conf avec l'identifiant et le mot de passe que le serveur nous a donnés, et redémarrer le service avec | Il faut ensuite modifier le fichier de configuration /etc/gogoc/gogoc.conf avec l'identifiant et le mot de passe que le serveur nous a donnés, et redémarrer le service avec |
| Dans cet exemple, notre adresse IPv6 serait maintenant 2001:db8::101. Comme c'est juste un exemple, j'ai choisi une (relativement) simple adresse — les adresses IPv6 réelles peuvent atteindre un maximum de 32 chiffres hexadécimaux, regroupés en huit groupes de quatre chiffres. | Dans cet exemple, notre adresse IPv6 serait maintenant 2001:db8::101. Comme c'est juste un exemple, j'ai choisi une (relativement) simple adresse — les adresses IPv6 réelles peuvent atteindre un maximum de 32 chiffres hexadécimaux, regroupés en huit groupes de quatre chiffres. |
| |
| Si nous choisissons SixXS comme fournisseur de tunnel, le processus d'enregistrement peut être un peu plus lent (il m'a fallu un peu moins d'une heure), car il n'est pas entièrement automatisé : de vrais êtres humains traitent notre demande. On peut alors demander qu'un tunnel soit activé pour nous, et, éventuellement, un sous-réseau d'adresses IPv6. Le tunnel est tout ce dont nous avons besoin pour accéder à l'internet IPv6 depuis un seul ordinateur ; le sous-réseau est nécessaire si nous voulons connecter un réseau local complet à travers notre machine. | Si nous choisissons SixXS comme fournisseur de tunnel, le processus d'enregistrement peut être un peu plus lent (il m'a fallu un peu moins d'une heure), car il n'est pas entièrement automatisé : de vrais êtres humains traitent notre demande. On peut alors demander qu'un tunnel soit activé pour nous et, éventuellement, un sous-réseau d'adresses IPv6. Le tunnel est tout ce dont nous avons besoin pour accéder à l'internet IPv6 depuis un seul ordinateur ; le sous-réseau est nécessaire si nous voulons connecter un réseau local complet à travers notre machine. |
| |
| Pour SixXS, le logiciel approprié est aiccu : | Pour SixXS, le logiciel approprié est aiccu : |
| Since we now have IPv6 connectivity with the Web, we can browse IPv6-only web pages. Some classical destinations to try out IPv6 are the dancing turtle at http://www.kame.net (it dances only if we connect through IPv6), or the test pages at http://www.test-ipv6.com or http://www.ipv6-test.com.** | Since we now have IPv6 connectivity with the Web, we can browse IPv6-only web pages. Some classical destinations to try out IPv6 are the dancing turtle at http://www.kame.net (it dances only if we connect through IPv6), or the test pages at http://www.test-ipv6.com or http://www.ipv6-test.com.** |
| |
| Celui-ci est configuré d'une manière légèrement différente de la version Gogo6 (notez le segment /64 à la place d'une adresse en /128 d'un seul hôte), et utilise l'identifiant « sixxs » au lieu de « tun ». | Celui-ci est configuré d'une manière légèrement différente de la version Gogo6 (remarquez le segment /64 à la place d'une adresse en /128 d'un seul hôte) et utilise l'identifiant « sixxs » au lieu de « tun ». |
| |
| Si les choses se sont bien passées jusqu'ici, que ce soit avec Gogo6 ou avec SixXS, nous pouvons maintenant utiliser les versions IPv6 des outils de réseau pour vérifier la connectivité, tels que ping6 (au lieu de ping) et traceroute6 (au lieu de traceroute). D'autres outils, tels que host et ip, fonctionnent de la même manière à la fois pour IPv4 et IPv6. Ainsi : | Si les choses se sont bien passées jusqu'ici, que ce soit avec Gogo6 ou avec SixXS, nous pouvons maintenant utiliser les versions IPv6 des outils de réseau pour vérifier la connectivité, tels que ping6 (au lieu de ping) et traceroute6 (au lieu de traceroute). D'autres outils, tels que host et ip, fonctionnent de la même manière à la fois pour IPv4 et IPv6. Ainsi : |
| 64 bytes from 2a00:1450:4001:c02::68: icmp_seq=3 ttl=51 time=229 ms | 64 bytes from 2a00:1450:4001:c02::68: icmp_seq=3 ttl=51 time=229 ms |
| |
| Puisque nous avons maintenant la connectivité IPv6 avec le Web, nous pouvons parcourir des pages uniquement IPv6. Certaines destinations classiques pour essayer IPv6 sont la tortue dansante sur http://www.kame.net (elle ne danse que si nous nous connectons à travers IPv6), ou des pages de test sur http://www.test-ipv6.com ou http://www.ipv6-test.com. | Puisque nous avons maintenant la connectivité IPv6 avec le Web, nous pouvons parcourir des pages qui sont uniquement IPv6. Certaines destinations classiques pour essayer IPv6 sont la tortue dansante sur http://www.kame.net (elle ne danse que si nous nous connectons à travers IPv6), ou des pages de test sur http://www.test-ipv6.com ou http://www.ipv6-test.com. |
| |
| ====== 7 ====== | ====== 7 ====== |
| Difficultés avec IPv6 et Ubuntu | Difficultés avec IPv6 et Ubuntu |
| |
| Nous venons de mettre en place une double pile IPv4 et IPv6 ; notre ordinateur est connecté directement à l'internet IPv4 par notre fournisseur d'accès habituel, et indirectement à l'internet IPv6 à travers le fournisseur de tunnel. Mais si nous n'avions pas mis en place ou n'activons pas le tunnel, notre ordinateur peut être dans une situation dans laquelle il possède une connexion active IPv4, mais pas IPv6. | Nous venons de mettre en place une double pile IPv4 et IPv6 ; notre ordinateur est connecté directement à l'internet IPv4 par notre fournisseur d'accès habituel, et indirectement à l'internet IPv6 à travers le fournisseur de tunnel. Mais si nous n'avions pas mis en place ou si nous n'activons pas le tunnel, notre ordinateur peut être dans une situation dans laquelle il possède une connexion active IPv4, mais pas IPv6. |
| |
| Depuis que les systèmes d'exploitation les plus modernes activent IPv6 par défaut, cela a donné lieu à une certaine confusion. De nombreux programmes sont capables de gérer la double pile, ils préfèrent utiliser IPv6 si possible et sinon revenir à IPv4. Mais d'autres programmes ne peuvent pas gérer cela, ce qui finit souvent par causer des latences qui gênent l'utilisateur. Certains programmes se plaignent même de « ne pas pouvoir se connecter à internet », même si une très bonne connexion IPv4 est active. | Depuis que les systèmes d'exploitation les plus modernes activent IPv6 par défaut, cela a donné lieu à une certaine confusion. De nombreux programmes sont capables de gérer la double pile, ils préfèrent utiliser IPv6 si possible et sinon revenir à IPv4. Mais d'autres programmes ne peuvent pas gérer cela, ce qui finit souvent par causer des latences qui gênent l'utilisateur. Certains programmes se plaignent même de « ne pas pouvoir se connecter à internet », même si une bonne connexion IPv4 est active. |
| |
| ====== 8 ====== | ====== 8 ====== |
| echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 | echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 |
| |
| Toutefois, il convient de souligner que ces difficultés ne devraient plus survenir sous Ubuntu : quel que soit l'ordre dans lequel un programme choisit de se connecter à internet, il devrait être en mesure de le faire à travers une route ou l'autre. Ce n'est pas forcément le cas dans d'autres systèmes d'exploitation, surtout avec des logiciels commerciaux. | Toutefois, il convient de souligner que ces difficultés ne devraient plus survenir sous Ubuntu : quel que soit l'ordre dans lequel un programme choisit de se connecter à internet, il devrait être en mesure de le faire à travers l'une ou l'autre des routes. Ce n'est pas forcément le cas dans d'autres systèmes d'exploitation, surtout avec des logiciels commerciaux. |
| |
| ====== 9 ====== | ====== 9 ====== |
| Le corollaire est que les ordinateurs que nous connectons à internet en utilisant IPv6 sont directement accessibles depuis partout sur Internet. Rien ne se dresse entre nous et le monde sauvage à l'extérieur. | Le corollaire est que les ordinateurs que nous connectons à internet en utilisant IPv6 sont directement accessibles depuis partout sur Internet. Rien ne se dresse entre nous et le monde sauvage à l'extérieur. |
| |
| Cela peut être vu comme un avantage. Considérons, par exemple, les épreuves que certains d'entre nous traversent pour atteindre nos machines à la maison depuis l'extérieur quand on est en déplacement. Ou pour entrer sur nos machines de travail depuis la maison (bien que les administrateurs systèmes puissent froncer les sourcils à ce sujet, à juste titre). Avec IPv4, nous devons ouvrir un port sur notre routeur pour permettre l'accès de l'extérieur, et activer le « Destination NAT » (DNAT) pour que les paquets que nous envoyons en fait à l'adresse externe de notre routeur soient renvoyés à l'intérieur vers un PC spécifique. Et nous devons réussir cette configuration assez complexe tout en tenant compte de la sécurité du système. | Cela peut être vu comme un avantage. Considérons, par exemple, les épreuves que certains d'entre nous traversent pour atteindre nos machines à la maison depuis l'extérieur quand on est en déplacement. Ou pour entrer dans nos machines de travail depuis la maison (bien que les administrateurs systèmes puissent froncer les sourcils à ce sujet, à juste titre). Avec IPv4, nous devons ouvrir un port sur notre routeur pour permettre l'accès de l'extérieur, et activer le « Destination NAT » (DNAT) pour que les paquets que nous envoyons en fait à l'adresse externe de notre routeur soient renvoyés à l'intérieur vers un PC spécifique. Et nous devons réussir cette configuration assez complexe tout en tenant compte de la sécurité du système. |
| |
| ====== 10 ====== | ====== 10 ====== |
| Mais avoir nos ordinateurs directement accessibles peut également constituer un risque grave pour la sécurité. Nous devons donc être très prudents sur le trafic que nous laissons entrer. | Mais avoir nos ordinateurs directement accessibles peut également constituer un risque grave pour la sécurité. Nous devons donc être très prudents sur le trafic que nous laissons entrer. |
| |
| Pour protéger mon ordinateur personnel, je peux utiliser mon adresse IPv6 globale pour mettre en place un réseau privé virtuel (VPN) avec SSH ou OpenVPN. De cette façon, une communication complète peut être mise en place pour tous les protocoles à travers un canal chiffré et authentifié. Même si quelqu'un peut voir passer mes paquets et les intercepter, il ne pourra pas les décrypter ni afficher les données qu'ils contiennent. Nous avons donc un argument fort pour mettre en place un VPN sécurisé et s'assurer que nos services sont accessibles non pas directement depuis internet, mais seulement à travers le VPN. | Pour protéger mon ordinateur personnel, je peux utiliser mon adresse IPv6 globale pour mettre en place un réseau privé virtuel (VPN) avec SSH ou OpenVPN. De cette façon, une communication complète peut être mise en place pour tous les protocoles à travers un canal chiffré et authentifié. Même si quelqu'un peut voir passer mes paquets et les intercepter, il ne pourra pas les décrypter ni afficher les données qu'ils contiennent. Nous avons donc un argument fort pour mettre en place un VPN sécurisé et nous assurer que nos services sont accessibles non pas directement depuis internet, mais seulement à travers le VPN. |
| |
| ====== 11 ====== | ====== 11 ====== |
| For road-warriors, several apps can be found that do SSH and SFTP, both for iOS and Android. Unless, of course, you choose to go with Ubuntu on your phone or tablet, in which case finding suitable client software is simply a matter of choice.** | For road-warriors, several apps can be found that do SSH and SFTP, both for iOS and Android. Unless, of course, you choose to go with Ubuntu on your phone or tablet, in which case finding suitable client software is simply a matter of choice.** |
| |
| Si nous configurons des services pour partager avec des amis — ou simplement les utiliser nous-mêmes — nous devons aussi garder à l'esprit les implications de sécurité d'avoir un port ouvert sur le monde. Une attention particulière devrait être accordée à la sécurisation de l'accès, en particulier lorsque des données sensibles peuvent être consultées, par exemple via le partage de fichiers. Si nous voulons simplement accéder à nos dossiers à distance, SFTP est probablement le service le plus facile à mettre en place. En effet, tout ce que nous devons faire est d'installer le paquet openssh-server sur notre ordinateur personnel. On peut alors accéder depuis n'importe quel gestionnaire de fichiers qui connaît SFTP (comme Nautilus de Gnome) en utilisant l'URL <nowiki>sftp://nom_utilisateur@ip_du_serveur</nowiki> : | Si nous configurons des services pour les partager avec des amis — ou simplement les utiliser nous-mêmes — nous devons aussi garder à l'esprit les implications de sécurité d'avoir un port ouvert sur le monde. Une attention particulière devrait être accordée à la sécurisation de l'accès, en particulier lorsque des données sensibles peuvent être consultées, par exemple via le partage de fichiers. Si nous voulons simplement accéder à nos dossiers à distance, SFTP est probablement le service le plus facile à mettre en place. En effet, tout ce que nous devons faire est d'installer le paquet openssh-server sur notre ordinateur personnel. On peut alors y accéder depuis n'importe quel gestionnaire de fichiers qui connaît SFTP (comme Nautilus de Gnome) en utilisant l'URL <nowiki>sftp://nom_utilisateur@ip_du_serveur</nowiki> : |
| |
| Puisque SFTP est en fait basé sur SSH, on peut le considérer comme plutôt sûr, surtout si on accède sans aucun mot de passe mais uniquement par certificat public. | Puisque SFTP est en fait basé sur SSH, on peut le considérer comme plutôt sûr, surtout si on y accède sans aucun mot de passe mais uniquement par certificat public. |
| |
| Pour les guerriers de la route, on trouve plusieurs applications qui font du SSH et du SFTP, à la fois pour iOS et Android. Sauf, bien sûr, si vous choisissez d'utiliser Ubuntu sur votre téléphone ou votre tablette, auquel cas le logiciel client approprié est simplement une question de choix. | Pour les guerriers de la route, on trouve plusieurs applications qui font du SSH et du SFTP, à la fois pour iOS et Android. Sauf, bien sûr, si vous choisissez d'utiliser Ubuntu sur votre téléphone ou votre tablette, auquel cas le logiciel client approprié est simplement une question de choix. |
