Follow

Des FAI qui fournissent IP fixe et IPv6, y'a qui ?

@nicosomb Il y a Mycélium pas loin de chez toi qui visiblement est tout nouveau : mycelium-fai.org

@framasky gné ? moi pas comprendre, désolé. Je ne suis qu'un utilisateur lambda d'internet.

@nicosomb @framasky CGNAT = Carrier Grade NAT. En gros tu as une IPv4 sur le réseau interne du FAI. C'est peut-être un IP fixe mais elle ne sera pas routable sur l'internet.

@nicosomb Tu vois le NAT ? Derrière ta box, en IPv4, t’es en NAT : une IP publique devant, des IP privées pour tes trucs chez toi. CGNAT, ça fait la même chose, mais à l’échelle d’un FAI (Carrier Grade NAT).
Soit tu chopes une IP privée, soit y a qu’un certain nombre de ports qui sont dirigés vers chez toi (donc le mail, t’oublie).

@framasky @nicosomb Je sais pas si c'est toujours le cas, mais quand ils ont mis ça en place tu pouvais demander une IP pour toi tout seul via leur interface.

@nicosomb Et oui, la FFDN, bien sûr 🙂
Tu peux aussi prendre n’importe quel FAI et prendre un VPN chez qq’un de la FFDN (c’est ce que je fais).

@nicosomb 10€/mois (mais je file 10€/mois en plus en don).

Par contre, pour que tout mon trafic de chez moi passe par le VPN, j’ai investi dans un routeur Turris Omnia (300€). Si tu passes que par le wifi, tu peux prendre une brique internet. Mais si tu veux l’utiliser sur de la fibre, faut une machine costaud. Le turris fait ça bien, mais ça n’exploite pas toute la puissance de la fibre, ça me cappe à 8 ou 12 Mo/s (je sais plus, ça doit être entre les deux).

@nicosomb Sinon y a normalement une option payante chez orange pour avoir de l’IP fixe.

@nicosomb Ceci dit, si c’est juste pour ton pc, tu peux monter le VPN FFDN sur ton pc directement, ça ira très bien aussi.

@framasky
Comment je peut vérifier si c'est du CGNAT sur ma co Free ?
Mon IP n'a jamais changé depuis que j'ai ma box, même au renouvellement du serveur en cas de panne.
L'OS de la box est accessible avec un explo web de n'importe ou si on y autorise l'accès.
Free fournis même depuis quelque temps un nom de domaine gratuit en xxx.freeboxos.fr (avec certificat let's encrypt) qui me permet d'accéder aux éléments de mon réseau comme avec l'IP.

@nicosomb

@marnic
Je sais pas, désolé. Ou alors faudrait que tu rediriges genre les connexions au port 80 vers une machine de ton réseau sur laquelle tu mets un serveur web. Tu testes l'accès depuis ton téléphone et tu regardes si ça fonctionne.
@nicosomb

@framasky
J'ai pensé à faire ça hier soir, mais j'ai eu peur de ne plus pouvoir accéder à l'interface de config de la box qui est nécessairement en port 80. 🤔

@nicosomb

@marnic
Tu choisis un autre port. Même pas besoin d'installer un vrai truc, tu peux juste utiliser netcat pour écouter sur le port que tu veux.
@nicosomb

@framasky
Donc vu que j’accède très bien au NAS du boulot qui est aussi derrière une box Free en utilisant IP:port dédié c'est que ce n'est pas du CGNAT ?

@nicosomb

@marnic
C'est compliqué, parce que Free fait différents CGNAT. Y en a un qui ressemble à ce qui se passe chez toi (la box reçoit une IP privée), et l'autre, vous êtes, disons au pif, 4 à avoir la même IP publique, mais seulement un quart des ports disponibles.
Mais bon, a priori, je dirais qu'il y a plus de chances que ce soit pas du CGNAT.
Faut cependant vérifier que tu n'y accédes pas en IPv6 (qui n'est pas soumis au CGNAT) 😉
@nicosomb

@framasky @nicosomb

Mais je viens de tomber sur cet article de 2016 : nextinpact.com/news/98508-penu

Mais je ne comprend pas comment cela pourrait fonctionner avec la possibilité de redirection de port sans aucunes restriction qu'offre le freebox serveur.

@marnic
J'suis pas expert freebox, mais ptêt tout simplement que ça marche juste pas.
@nicosomb

@framasky
Du coup tu as piqué ma curiosité 😄 va falloir que je trouve des réponses sur cette histoire d'IP fixe chez Free.

@nicosomb

@framasky
Bon ben ... j'ai la réponse.
Je pense qu'en fait il y a un déploiement progressif du CGNAT.
La box du boulot n'étais plus accessible de l'exterieur ce soir et le NAS non plus la seule possibilité était via l'application freebox qui me signale un soucis de config car les ports ne sont pas dans la bonne tranche.
What et depuis quand ?

Donc maintenant la config des ports dispos de l’extérieur est limité à une certaine tranche 😠 mais j'ai jamais été prévenu par Free.

@nicosomb

@marnic @framasky @nicosomb ah pask'ils ont appliqué ça aux clients existants aussi ?

@mmu_man @framasky @nicosomb

C'est vrai qu'on a eu des nouveaux CGV il y a quelques temps mais je ne me suis pas tapé le texte. C’était peut-être pour ça.

Et pour l'instant ma box Free à la maison n'a pas cette limitation 🤔

@framasky @nicosomb

@marnic @framasky @nicosomb y en a bien un qui va leur coller un procès pour violation de la neutralité du net ?

@marnic @framasky @nicosomb en même temps je suis le dernier à prendre le temps de configurer IPv6 correctement sur les serveurs que j'ai 😅

@marnic @framasky @nicosomb par contre je me demande à quel point il serait possible de faire de la délégation/mutualisation de vhost sur un IPv4 en gardant un TLS potable…

Par exemple, une asso en qui on a confiance (poke @Framasoft 😃) pourrait gérer un reverse proxy qui se connecterait à l'IPv6 correspondant au vhost gérés par chaque asso, pour permettre de garder un accès aux machines en IPv4.

Sauf que pour faire du vhost à travers TLS il faut le décoder sur le proxy

cc @bortzmeyer @aeris

Show more

@mmu_man @aeris @marnic @framasky @nicosomb @Framasoft @bortzmeyer

Cloudflare fait un truc un peu du genre depuis 2014 : blog.cloudflare.com/keyless-ss

Sauf que eux ils déchiffrent le trafic sur le proxy, l'intérêt de leur solution c'est de ne pas avoir besoin de stocker la clé privée.

@mmu_man

HAProxy semble le faire : dev.to/dviejopomata/haproxy-mu

Par contre, comment ça se passe pour les logs,m et de la responsabilité, sachant que frontale n'a que l'hôte destination. Est-ce que suffisant (avec source ip, port) ?

@aeris @marnic @framasky @nicosomb @Framasoft @bortzmeyer

@_alf73 @mmu_man @aeris @marnic @framasky @nicosomb @Framasoft Il faut une coopértaion entre le frontal (qui connait la vraie adresse IP source) et le dorsal (qui ne voit que l'adresse IP source du frontal). Il y a un RFC pour tous les problèmes : bortzmeyer.org/7239.html

@_alf73 @mmu_man @aeris @marnic @framasky @nicosomb @Framasoft @bortzmeyer

Pas possible de rajouter des en-têtes HTTP "Forwarded:" avec l'IP du client si le proxy ne déchiffre pas le trafic.

Il y aurait une façon rigolote de gérer cette problématique : encoder l'IPv4 du client dans l'adresse IPv6 source utilisée par le reverse proxy :) On peut même rajouter le port TCP du client tant qu'on y est.

Bon en pratique ce serait dur à implémenter et l'IP du client passerait en clair...

@aeris @mmu_man @marnic @framasky @nicosomb @Framasoft Même en TLS v1.3. C'est le certificat qui est chiffré en 1.3, pas le SNI.
ESNI (SNI chiffré) est très expérimental.

@mmu_man @marnic @framasky @nicosomb @Framasoft @bortzmeyer @aeris

Sinon, sur le fond : les membres de la @federationfdn font en majorité des abonnements avec IPv4 publique + IPv6.

On a encore un peu de stock, mais à un moment on n'aura plus d'IPv4 publiques à distribuer. On verra ce qui se passe à ce moment :)

(le + probable selon moi : laisser le choix à l'abonné d'avoir une IPv4 publique ou d'être mis derrière un CGNAT, tout en distribuant des IPv6 publiques à tous bien sûr)

@marnic @framasky @nicosomb il y a beaucoup de vocabulaire technique la mais en gros ça veut dire que bientôt on pourra plus s'autoheberger en ipv4 derrière une Freebox c'est ça ?

@marnic @framasky @nicosomb j'arrive tard mais tu peux normalement demander une IP full stack sur ton espace client. Ton IP ne sera plus mutualisée. Je l'ai fait il y a un an et demi et on l'a refait au taf ce mois ci.

@Librementvotre
Tard non, mon post date hier soir 😀
Merci pour l'info, mais je ne vais pas le faire.
Sincèrement on a besoins de seulement 3 ports dispo de l'extérieur inutile donc de demander cela.

J'aurais simplement aimer que Free envoie un courriel signalant la modification avant de le faire, j'aurais pas eu la surprise d'hier soir.

Heureusement qu'il y a l'appli qui arrive toujours à trouver la box du moment qu'il y a de la co.

@framasky @nicosomb

@marnic @framasky @nicosomb si je dis pas de bêtise l'interface d'admin n'est pas sur le port 80 justement

@Tbarnouin
Effectivement il faut déterminer un port quand on l'active.

@framasky @nicosomb

@nicosomb y a nerim , free en grand gros national. Après faut regarder les associatif

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!