Reprise du message précédent :

 
Il marche bien ton réseau avec uniquement ces règles ?
Parce que les bonnes pratiques (et mon expérience également) indiquent qu'il est utile de laisser passer l'ICMP neighbor-sol/neighbor-ad ou packet-too-big.

ha ben sans ICMP en ipv6 t'es mort

Bonjour à tous,
 
Je me permets d'upper ce topic car j'ai eu du mal à comprendre les réponses de ce topic..
 
Actuellement en stage dans une entreprise multi-sites, je dois étudier la mise en place de l'IPv6 pour les connexions VPN entre sites.
Le réseau interne de chaque site restera,quant à lui, en IPv4.
 
Imaginons qu'un nouveau site ouvre ( en chine par ex ) et que l'ISP ne dispose plus d'adresses IPv4 disponible et délivre donc une IPv6...
Les utilisateurs (qui disposeront d'adresses IPv4 PRIVEES) pourront-ils tout de même avoir accès à Internet ? Ou bien on abandonne NAT et v4 et on passe tout en v6 ?
 
Car d'après ce que j'ai lu, faire correspondre une v4 en v6 n'est pas tellement possible ..
 
Merci d'avance pour vos réponses..

 
Oui, soit le FAI fournit un des mécanismes de transition (NAT64 ou DS-Lite), soit tu nattes tes IPv4 privées en sorti sur un autre site.

Merci pour ta réponse BMenez
C'est donc bien le rôle du FAI de s'assurer de la compatibilité 4to6 ? (Par là je veux dire : peut-être que certains FAI imposeront les entreprises à avoir leur réseau interne, donc privé, full ipv6)

Attention, le FAI n'a aucune obligation mais ce ne serait pas très commercial s'il ne le faisait pas.

D'accord Mais le fait d'encapsuler de l'IPv4 dans de l'IPv6 empêche alors de profiter des avantages de l'IPv6 ? (Car pour des raisons techniques nous souhaitons garder notre réseau interne en IPv4)
Merci d'avance

soit tu fais des tunnels soit tu translates

Translater comment ? A ce que j'ai vu il n'est pas possible de faire de translation ipv4-ipv6, on utilise cependant du tunneling (4in6 par exemple).
 
J'ai du mal a concevoir les solutions a mon probleme : Chaque site dispose d'IPv4 privées en interne et d'IPv6 publique sur l'interface externe. Ces sites sont ensuite interconnectés via des tunnels IPSec avec leur connectivé IPv6.  
Il y a bien un moment ou il va falloir faire du tunneling "4in6".

si on peut translater une adresse ipv4 en ipv6

 
Quand ça ?
Ton tunnel IPSec fera passer le trafic v4 même si les points d'extrémité sont en v6. Mais ce n'est pas du 4in6

 
 
C'est ça que j'ai du mal à comprendre... Je n'arrive pas à concevoir le fait qu'on passe de l'ipv4 au travers d'un tunnel établi en ipv6 sans qu'il n'y ait d'encapsulation (type 4in6) alors qu'on aura affaire à deux protocoles différents et incompatibles..
 
Merci d'avance

 
Les 2 parties en gras ne serait pas liées ??

C'est bien ce que je dis..
 
Internal IPv4 [x] External IPv6 [x] Internal IPv4
 
Avec [x] représentant les routeurs.
 
Imaginons qu'on aie un tunnel Ipsec établit en IPv6 entre les deux routeurs.. Si les deux "internal" veulent communiquer entre eux via le tunnel IPv6, il va bien falloir que le traffic IPv4 soit encapsulé dans le v6 non ?

c'est quoi ton problème au juste ?
entre tes 2 routeurs, tu as un tunnel, donc tout ce qui passe de internal1 vers internal2 est encapsulé dans ce tunnel.
tes routeurs seraient connectés en IPX que ca serait quand même encapsulé, mais on parlerait pas pour autant de 4inIPX ...
Je pense que tu mélanges pas mal de notions.

trictrac -> Pour moi ce que tu décris là c'est du 4in6 (si le tunnel est en IPv6).. Mais apparemment je me trompe..
 
Je me suis fié à ce que j'ai vu sur wiki :  
"4in6 uses tunneling to encapsulate IPv4 traffic over configured IPv6 tunnels as defined in RFC 2473"
http://en.wikipedia.org/wiki/4in6
 

 
Donc si internal1 et 2 sont en v4 et le tunnel établit en ipv6, on a bien une encapsulation du traffic ipv4 dans le tunnel ipv6 non ?  
 
Pourquoi je ne pourrais pas parler de 4in6 ? Quelles sont les notions qui m'échappent ?

c'est du vpn tout simplement.

parce que 4in6 est un type de tunnel bien particulier, et que toi, tu parles d'un tunnel en général.
 
Montes-toi un tunnel (openvpn par exemple) entre 2 machines.
Crées toi un compte chez freenet6 ou Sixxs, et monte toi un tunnel ipv6.
 
Bref, expérimentes, tu verras, ca sera sans doute déjà plus clair.

D'accord.. Merci à vous.
 
Cependant j'avais une dernière question : que pensez-vous de la faisabilité de ce que je souhaite faire ? (indépendamment du matériel utilisé)

D'ailleurs ce n'est pas tellement vrai ce que vous dites..
 
Par exemple les routeurs Cisco IOS ne sont pas en mesure de transporter de l'IPv4 lorsque les points de terminaison du tunnel sont en IPv6 (et vice-versa) ..

Dernier up..

 
Bad vendor, change vendor  

Mmmmh, c'est quand même du Cisco quoi...

Etre leader n'empêche pas de faire de la merde de temps à autres

Je répond avec beaucoup de retard, mais vu que ce topic est toujours vivant
 

Non bien sûr, comme je l'ai précisé c'est un extrait de ma config.
 
Plus précisément il s'agit du filtrage effectuée  entre le WAN et le LAN, donc des neighbor/router-sollicitation/advertissement n'ont rien à foutre ici ! Je ne souhaite que n’importe-qui puisse s'enregistrer comme passerelle sur mon réseau, bonjour le MITM...
 
Quand aux packet-too-big ils sont inclus dans les "RELATED".