J'ai des adresses publiques IPv4 et IPv6. Pourquoi?

18

Pour mon réseau domestique, mon adresse IP publique s'affiche sur certains sites Web en tant qu'IPv4 et d'autres en tant qu'adresse IPv6. J'ai lu ce fil et je comprends qu'il est possible pour mon FAI de m'avoir attribué un de chaque type.

  1. Quel est le but de me voir attribuer un de chaque type?
  2. La désactivation d'IPv6 depuis Windows sur un hôte local peut-elle garantir que seule mon adresse IPv4 est utilisée à partir de cette machine? Je pose la question en lisant les problèmes de sécurité liés à certains protocoles VPN utilisés en combinaison avec IPv6.
networking vpn ipv6 AJS14
la source
Il existe du matériel qui ne prend pas en charge IPv6. Votre FAI ne sait pas de quel matériel vous disposez. Ils possèdent les adresses, il ne leur coûte donc rien de vous attribuer les deux.
Ramhound
6
Vous pouvez vous attendre à une connexion moins fiable si vous désactivez IPv6. De nombreux fournisseurs qui activent IPv6 le font car ils n'ont plus d'adresses IPv4 et votre connexion IPv4 peut passer par un CGN. En outre, les navigateurs modernes peuvent basculer entre IPv4 et IPv6 en moins d'une seconde, de sorte que les deux activés peuvent fournir une résilience supplémentaire à certaines pannes de réseau.
kasperd

Réponses:

36

Premièrement, quel est le but de me voir attribuer un de chaque type?

Idéalement, nous devrions nous diriger vers un déploiement IPv6 plus important, en raison de l' épuisement d' IPv4 . Cependant, de nombreux serveurs ne prennent toujours pas en charge IPv6 - il existe de nombreuses solutions de contournement, aucune particulièrement intéressante, mais elles impliquent généralement un tunneling via un serveur intermédiaire qui peut se traduire entre les deux. Votre FAI vous fournit une adresse IPv4 pour des raisons de compatibilité.

Aujourd'hui, de nombreux FAI implémentent CGN , où de nombreuses personnes partagent une seule adresse IPv4 «publique». Il y a beaucoup, beaucoup de raisons pour lesquelles c'est une mauvaise chose 1 , mais c'est nécessaire simplement parce qu'il n'y a pas assez d'adresses IPv4 pour circuler. C'est pourquoi nous avons besoin d'IPv6, et probablement pourquoi votre FAI le fournit.

Deuxièmement, peut désactiver IPv6 à partir de Windows sur une personne hôte locale seule mon adresse IPv4 est utilisée à partir de cette machine.

Oui. Cependant, ce n'est généralement pas une bonne idée. Alternativement, vous pouvez désactiver IPv6 sur votre routeur, ce qui est un peu mieux, mais encore une fois, ce n'est pas une bonne idée. Nous ne pouvons pas rester avec IPv4 pour toujours.

Je pose la question en lisant les problèmes de sécurité liés à certains protocoles VPN utilisés en combinaison avec IPv6.

Cela est généralement dû à des clients VPN et des configurations cassés. Mais ça va mieux maintenant. Si vous n'utilisez aucun VPN, cela ne vous affectera pas. Si vous en utilisez un, vous devez d'abord rechercher s'il prend en charge IPv6 correctement - les modernes devraient le faire maintenant. L'un des plus gros problèmes était que les clients VPN ignoraient complètement IPv6, donc les connexions IPv6 contournent le VPN, mais j'espère que cela s'est amélioré maintenant qu'il y a plus d'attention (voir aussi: http://www.techrepublic.com/article/ipv6-security -vulnerability-pokes-trous-in-vpn-providers-claims / ).

1 Par exemple, l'une des conséquences de CGN est que les utilisateurs à domicile ne peuvent plus héberger un serveur de manière fiable. Le NAT traditionnel était déjà assez mauvais (et encore une conséquence de la pénurie d'IPv4) mais avec la redirection de port CGN n'est plus possible non plus. Il existe des techniques autour de lui, telles que la perforation NAT , mais elles nécessitent à nouveau des serveurs externes et ne fonctionnent pas toujours en fonction du service requis. Avoir une adresse IPv6 unique contourne cette limitation.

Bob
la source
Cela signifie-t-il que d'autres personnes peuvent écouter votre trafic si elles ont la même adresse IPv4?
J'espère que ce sera
4
@HopefullyHelpful Généralement non. TCP et UDP utilisent tous deux des paires de ports IP + pour identifier un socket, et NAT ne doit associer qu'un seul port IP + interne à n'importe quel port IP + externe à la fois. Votre trafic ne sera pas visible pour les autres personnes. Cependant, il y a des cas où les gens utilisent le contrôle d'accès basé sur IP, par exemple les hôtes autorisés et les interdictions, et CGN (et NAT en général) affaiblissent de tels schémas - maintenant interdire une IP affecte beaucoup de personnes innocentes, et autoriser une IP permet plus que vous pourrait attendre.
Bob
4

IPv6 et IPv4 sont des systèmes différents et incompatibles, vous exécutez une «double pile» et votre système d'exploitation essaiera l'un puis l'autre - généralement 6 puis 4. Si un site a un enregistrement AAAA et que vous avez une configuration à double pile, vous se connectera généralement à ipv6 d'abord puis à ipv4.

En théorie, cela signifie également que vous pouvez vous connecter aux serveurs ipv6 uniquement ou ipv4 uniquement de manière transparente.

Et oui, la désactivation d'ipv6 pour l' interface garantira que vous n'obtiendrez pas d'adresse ipv6. Vous pouvez le confirmer avec ipconfig.Les protocoles sont définis par interface, pas par machine. Cependant, avec les versions modernes de Windows, certaines choses liées au partage de fichiers - comme les groupes résidentiels, peuvent s'appuyer sur ipv6. Selon la configuration de votre VPN, vous devrez peut-être le désactiver sur chaque interface active, plutôt que sur le VPN uniquement.

Compagnon Geek
la source
3
Les problèmes liés aux clients / configurations VPN cassés ne peuvent pas être résolus en désactivant IPv6 uniquement sur l'interface VPN. Le problème est qu'ils n'ont pas acheminé IPv6 via le VPN correctement, vous finissez donc par contourner accidentellement le VPN.
Bob
1

La version 4 du protocole Internet est la 4e révision du protocole Internet, c'est généralement une adresse 32 bits composée de 4 nombres séparés par des périodes, par exemple 12.342.7.89

La version 6 du protocole Internet est la 6e révision et destinée à remplacer IPv4, il s'agit d'une adresse de 128 bits écrite en hexadécimal et séparée par des deux-points par exemple 8ffe: 1900: 4545: 7: 336: f3ff: fe19: 34c

Étant donné qu'il existe un nombre limité d'adresses IPv4 potentielles (environ 4 milliards), nous manquons rapidement d'adresses IPv4 inutilisées pour les affecter à de nouveaux appareils. C'est ce qu'on appelle l'épuisement IPv4. Cependant, comme il s'agit de la forme la plus ancienne et dominante, la plupart des ordinateurs en ont encore un, votre FAI anticipe cependant le passage à IPv6 et vous a donc attribué une adresse

IPv6 offre également un certain nombre d'autres avantages inclus mais non limités à

  • Plus de NAT (Network Address Translation)
  • Configuration automatique
  • Plus de collisions d'adresses privées
  • Meilleur routage multicast
  • Format d'en-tête plus simple
  • Routage simplifié et plus efficace
  • Véritable qualité de service (QoS), également appelée «étiquetage de flux»
  • Authentification intégrée et prise en charge de la confidentialité
  • Options et extensions flexibles
  • Administration plus facile (plus de DHCP)

La plupart des serveurs modernes essaient généralement de se connecter à votre adresse IPv6 en premier, puis à votre IPv4, de nombreuses fonctions de systèmes d'exploitation modernes peuvent reposer entièrement sur IPv6, il n'est donc pas recommandé de désactiver votre IPv6, bien que cela forcera votre ordinateur à se connecter via IPv4.

Les vulnérabilités de sécurité avec IPv6 sont presque entièrement liées aux VPN car elles contournent parfois complètement IPv6, mais cela ne devient plus un problème et la plupart des nouveaux fournisseurs VPN changent pour fournir la compatibilité IPV6.

SleepingGod
la source
1
Je pensais que nous étions épuisés et faisions maintenant des choses stupides comme le transporteur NAT pour les étirer encore plus?
user253751
@ user20574 La région Asie / Pacifique a manqué en 2011. L'Europe a manqué en 2012. L'Amérique du Sud a manqué en 2014. L'Amérique du Nord a manqué en 2015. L'Afrique a encore des adresses, mais à leur taux de croissance actuel, elles peuvent s'épuiser en 2016.
kasperd