Sébastien Pittet - Mot-clé - IPv6<p>Travaille pour Exoscale, Spéléologue.</p>2024-02-12T15:22:32+01:00Sébastien Pitteturn:md5:b559b4029c344753641d294c5df424eaDotclearLet's test OpenDNSurn:md5:d47eeb1a023992b1be323f4ad6a6180c2017-05-08T20:23:00+02:002017-05-10T20:14:32+02:00Sébastien PittetVirtual WorldComputingIPv6<p><a href="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/opendns.png" title="opendns.png"><img src="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/.opendns_m.png" alt="opendns.png" style="display:table; margin:0 auto;" title="opendns.png, mai 2017" /></a></p>
<h3>OpenDNS - can this really work?</h3>
<p>This morning, I was at CISCO office for a security training and I was told about OpenDNS (now acquired by CISCO). This is public DNS servers that allow you to filter bad sources, based on their names.</p>
<p>This sounded a bit strange for me. Why trying to protect people by using DNS? Is that really efficient? I ask this question, because DNS is at level7 (application level in OSI model).</p>
<p>I would prefer an IP reputation based system, instead playing with names (as an IP could be registered as multiple names!). But anyway, that's finally one more protection and I decided to give it a try.</p> <h3>Setup is easy</h3>
<ol>
<li>Register on <a href="https://store.opendns.com/get/home-free" hreflang="us" title="OpenDNS signup">https://store.opendns.com/get/home-free</a></li>
<li>Update your home router configuration with DNS server provided</li>
</ol>
<h3>Swisscom router configuration</h3>
<p><a href="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/swisscom_router.png" title="swisscom_router.png"><img src="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/.swisscom_router_m.png" alt="swisscom_router.png" style="display:table; margin:0 auto;" title="swisscom_router.png, mai 2017" /></a></p>
<p>If you are interested to get some stats back, you have to inform OpenDNS with your static IP.
As I don't pay for that, my provider is dynamically changing it. You will then need to setup a DNS updater client (for Windows, for MacOS).</p>
<p>But I have a Raspberry Pi at home (running Raspbian) dedicated for some experiments and I decided to use it for that pupose. I have to say that I thought to my Synology NAS but finally prefer not to touch it with some configuration changes.</p>
<p><em>EDIT: I discussed this at work and it should exists a Synology feature that could be used to update your IP on OpenDNS.</em></p>
<p>Update package cache and install a Dynamic DNS updater:</p>
<pre>
$ sudo apt-get update && apt-get install ddclient
</pre>
<p>The setup wizard will certainly ask you some parameters. You will be able to fill that in using the extract on my ddclient.conf:</p>
<pre>
# /etc/ddclient.conf
# Update every 10 minutes
daemon=600
protocol=dyndns2
use=web, web=http://myip.dnsomatic.com
server=updates.opendns.com
login=YOUR E-MAIL ADDRESS USE TO REGISTER TO OPENDNS.COM
password=YOUR PASSWORD FOR OPENDNS.COM
NAME OF MY PERSONAL NETWORK (NAMED ON OPENDNS.COM)
</pre>
<p>You can also re-generate the configuration file, using the wizard:</p>
<pre>
$ sudo dpkg-reconfigure ddclient
</pre>
<p>Then, verify/update the configuration:</p>
<pre>
$ sudo nano /etc/ddclient.conf
</pre>
<p>And test your configuration</p>
<pre>
$ sudo ddclient -query
</pre>
<p>(re-) Start the service and check the log</p>
<pre>
$ sudo service ddclient restart
$ tail /var/log/syslog
</pre>
<p>You should see a successful update, depending on the lease duration.</p>
<h3>Settings on OpenDNS.com</h3>
<p>Under the settings, on OpenDNS.com, you will be able to select the level of security, block certain website categories and configure your custom webpage in case of block. A blacklist/whitelist is also possible.</p>
<p><strong>If you want to go with this, I assume you will have to spend your time into tuning it (and building the whitelist). For instance, blocking the webmail will result in blocking all Office365 trafic (mail, onedrive, onenote, etc) :-/ .</strong></p>
<p><a href="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/settings.png" title="settings.png"><img src="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/.settings_m.png" alt="settings.png" style="display:table; margin:0 auto;" title="settings.png, mai 2017" /></a></p>
<h3>Message to user</h3>
<p>And when you test the access, you should get this kind of webpage:
<a href="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/block.JPG" title="block.JPG"><img src="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/.block_m.jpg" alt="block.JPG" style="display:table; margin:0 auto;" title="block.JPG, mai 2017" /></a></p>
<h3>Statistics and reporting</h3>
<p>Some stats and reporting are also provided. That's really where you understand they know a lot about you, your habits and the web sites your are surfing on. You can disable this part, if not needed.
But it could be interesting to see if some domains are blocked (for security reasons) or what kind of domains you are requesting a lot.
<mark>I discovered that my Samsung TV generates some 'unwanted' trafic, as well as my Philips HUE bridge....</mark></p>
<p><a href="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/OpenDNSstats.JPG" title="OpenDNSstats.JPG"><img src="https://sebastien.pittet.org/public/2017/05-Mai/OpenDNS/.OpenDNSstats_m.jpg" alt="OpenDNSstats.JPG" style="display:table; margin:0 auto;" title="OpenDNSstats.JPG, mai 2017" /></a></p>
<h3>And if my provider is IPv6 enabled (dualstack)?</h3>
<p>Swisscom provides me with IPv6 connectivity (6rd) and <a href="https://www.opendns.com/about/innovations/ipv6/" hreflang="us" title="OpenDNS supports IPv6">OpenDNS supports IPv6, as stated in a community post</a>.</p>
<p>However, I couldn't fully test the service, because my router only allows IPv4 for DNS resolution.</p>
<p>I plan to use my Raspberry to test this very soon.</p>Monowall is now frozenurn:md5:ae9aacaf4a416e076c0a5fa7a2e5de762016-01-21T15:06:00+00:002016-01-21T15:21:52+00:00Sébastien PittetVirtual WorldComputingIPv6<p><img src="https://sebastien.pittet.org/public/2016/janvier/monowall/monowall.png" alt="monowall" style="display:block; margin:0 auto;" title="monowall, janv. 2016" /></p>
<p>Le projet monowall est désormais terminé. Je viens de prendre connaissance de l'annonce.</p>
<p>J'ai beaucoup utilisé Monowall, évidemment comme firewall mais également pour passer <a href="https://sebastien.pittet.org/index.php?post/2012/03/28/Certification-IPv6-Statut-%212">ma certification IPv6</a> et aussi comme émulateur WAN, à des fins de tests.</p>
<p>Ce firewall demandait un configuration hardware minimaliste (j'ai utilisé pcengines.ch) et m'a offert la possibilité de :</p> <ol>
<li>(via l'interface web de configuration!) monter un tunnel via le protocole 41 (IPv6 encapsulation, rfc2473), de façon à obtenir de la connectivité IPv6 via des brokers (Hurricane Electric ou sixxs.net)</li>
<li>pouvoir "shaper" le trafic, générer de la latence et simuler du packetloss => WAN emulator</li>
</ol>
<p>Heureusement, d'autres projets sont désormais disponibles, pour des fonctionnalités équivalentes (et/ou parfois supérieures). Je fournis quelques liens, ci-dessous, qui conduiront sur quelques-uns d'entre eux.</p>
<p><strong>Merci Monowall !</strong></p>
<p><strong>Quelques liens :</strong></p>
<ul>
<li>Annonce du freeze : <a href="http://m0n0.ch/wall/freeze_announcement.php" hreflang="us" title="Freeze monowall ">http://m0n0.ch/wall/freeze_announcement.php</a></li>
<li><a href="http://m0n0.ch/wall/index.php" hreflang="us" title="Monowall">Le projet Monowall</a></li>
<li><a href="https://tools.ietf.org/html/rfc2473" hreflang="fr" title="IPv6 encapsulation">Protocole 41, IPv6 encapsulation, RFC 2473</a></li>
<li>IPv6 broker, Certification IPv6 et DDNS gratuit : <a href="http://he.net/" hreflang="us" title="Hurricane Electric">Hurricane Electric</a></li>
<li>IPv6 broker : <a href="https://www.sixxs.net/" hreflang="us" title="Sixxs">Sixxs.net</a> (please pronounce it six access)</li>
<li>Hardware : <a href="http://pcengines.ch" hreflang="us" title="pcengines">pcengines.ch</a></li>
<li>Autre projet similaire : <a href="https://opnsense.org/" hreflang="us" title="OpnSense">OPNSense</a> => demande une config hardware légèrement supérieure</li>
<li>Autre projet similaire : <a href="https://pfsense.org/" hreflang="us" title="pfSense">pfSense</a></li>
<li>Autre projet similaire : <a href="http://smallwall.org/" hreflang="us" title="SmallWall">SmallWall</a></li>
<li>Autre projet similaire : <a href="http://t1n1wall.com" hreflang="us" title="t1n1wall">t1n1wall</a></li>
</ul>Encore des trucs gratuitsurn:md5:07d0015f49946d0431205990e0c1fc492012-06-20T15:09:00+02:002012-08-02T14:14:24+02:00Sébastien PittetVirtual WorldComputingIPv6<p><a href="https://sebastien.pittet.org/public/2012/Avril/IPv6Certification/ipv6shirt_1_.jpg" title="ipv6shirt_1_.jpg"><img src="https://sebastien.pittet.org/public/2012/Avril/IPv6Certification/.ipv6shirt_1__m.jpg" alt="ipv6shirt_1_.jpg" style="display:block; margin:0 auto;" title="ipv6shirt_1_.jpg, août 2012" /></a></p>
<p><strong>Et oui, qui l'aurait cru ?</strong></p>
<p>Lorsque le niveau maximum de la certification HE IPv6 est atteint, le système nous demande notre taille, pour un t-shirt de félicitations.
Je pensais que ce "privilège" était réservé aux américains.</p> <p>Et bien non, j'ai reçu mon t-shirt ce matin. Si je résume:</p>
<ol>
<li>certification gratuite, avec petit diplôme éléctronique</li>
<li>mise à disposition de 50 zones DNS avec support de Dynmic Update (ddclient requis)</li>
<li>t-shirt gratuit, envoyé depuis les US.</li>
</ol>
<p><strong>Bravo Hurricane Electric!</strong></p>
<p>Le dos du t-shirt donne quelques rappels intéressants, notamment chiffrés:</p>
<ul>
<li>nombre de pièces nécessaires pour remplir l'Empire State Building : 1'818'624'000'000</li>
<li>nombre d'habitants sur Terre : 6'706'993'152</li>
<li>Cumul des grains de sable sur les plages : 7'500'000'000'000'000'000</li>
<li>Nombre d'étoiles observables : 70'000'000'000'000'000'000'000</li>
<li>Nombre d'atomes sur terre : 133'000'000'000'000'000'000'000'000'000'000'000'000'000'000'000'000</li>
<li>2^128 (adresses IPv6) : 340'282'366'920'938'463'463'378'607'431'768'211'456</li>
</ul>Statistics - IPv6 Certifications (HE)urn:md5:227291863d1bf048383d03018a76252c2012-04-04T22:01:00+02:002012-04-04T21:03:14+02:00Sébastien PittetVirtual WorldIPv6 <p>Hurricane Electric publie des statistiques au sujet de son programme de certification. Il est intéressant de constater que certains abandonnent trop vite !
<a href="https://sebastien.pittet.org/public/2012/Avril/IPv6Certification/NumberIPv6CertsPerLevel.png" title="NumberIPv6CertsPerLevel.png"><img src="https://sebastien.pittet.org/public/2012/Avril/IPv6Certification/.NumberIPv6CertsPerLevel_m.jpg" alt="NumberIPv6CertsPerLevel.png" style="display:block; margin:0 auto;" title="NumberIPv6CertsPerLevel.png, avr. 2012" /></a></p>
<p>Par ailleurs, le niveau le plus haut (Sage) est dénombré par pays. Allez les suisses... on est à la traîne !
<a href="https://sebastien.pittet.org/public/2012/Avril/IPv6Certification/Sage_Level_perCountry.png" title="Sage_Level_perCountry.png"><img src="https://sebastien.pittet.org/public/2012/Avril/IPv6Certification/.Sage_Level_perCountry_m.jpg" alt="Sage_Level_perCountry.png" style="display:block; margin:0 auto;" title="Sage_Level_perCountry.png, avr. 2012" /></a></p>
<p><em><a href="http://www.tunnelbroker.net/usage/sages.php" hreflang="us" title="Sources - Statistiques Certification">Source</a></em></p>Certification IPv6 - Sage !urn:md5:72b873fea8d81cde1010a65f6dcebd7b2012-04-02T20:48:00+02:002015-10-19T12:53:00+02:00Sébastien PittetVirtual WorldIPv6<a href="//ipv6.he.net/certification/scoresheet.php?pass_name=SebastienPittet" target="_blank"><img src="//ipv6.he.net/certification/create_badge.php?pass_name=SebastienPittet&badge=2" style="border: 0; width: 250px; height: 194px" alt="IPv6 Certification Badge for SebastienPittet"</img></a>
<p>J'ai passé les différentes étapes de cette certification gratuite. Je vous conseille ce cursus de formation, que j'ai beaucoup apprécié car il allie les questionnaires théoriques et les exercices pratiques.
Le système de certification est basé sur une progression à plusieurs niveaux, ce qui donne envie d'aller à l'étape suivantes. Dès lors, on passe par les étapes suivantes:</p>
<ol>
<li><ins>NewB</ins>: Read the primer, be able to answer some quick and easy questions.</li>
<li><ins>Explorer</ins>: Verify that you can access an IPv6 website (ours!)</li>
<li><ins>Enthusiast</ins>: Verify that you have an IPv6 capable web server that we can connect to and fetch information from. This should be entered as a FQDN and not an IPv6 address.</li>
<li><ins>Administrator</ins>: Verify that you have a working IPv6 capable MTA by sending you an email only over IPv6.</li>
<li><ins>Professional</ins>: Verify that your MTA has working reverse DNS (ex: dig mx $domain +short ; dig aaaa $mx +short ; dig -x $mxAAAA +short)</li>
<li><ins>Guru</ins>: Verify that the authoritative NS for your domain have AAAA records, and respond to queries for the domain (ex: step 1 is dig ns $domain ; dig aaaa $ns | step 2 is dig aaaa $domain @$nsAAAA)</li>
<li><ins>Sage</ins>: Check to see if your domain's authoritative NS have IPv6 glue with their listed TLD servers. Meaning the TLD server can directly answer for the host record (ex: dig +trace ns $domain to get the TLD server list then dig aaaa $ns @TLD for the glue).</li>
</ol>
<p><strong>Quelques liens:</strong></p>
<ul>
<li><a href="http://ipv6.he.net/certification/" hreflang="us" title="Certification">Certification Hurricane Electric</a></li>
<li><a href="http://ipv6.he.net/certification/scoresheet.php?pass_name=SebastienPittet" hreflang="us" title="Certification Transcript Sebastien Pittet">Mon transcript</a></li>
</ul>The future is forever !urn:md5:ce9f52fafe7091188005f565a574c3b32012-01-20T21:33:00+01:002012-03-28T19:45:23+02:00Sébastien PittetVirtual WorldComputingIPv6<p>Pour ce 200 ème billet, voici un sujet important, qui traite de l'avenir d'internet !</p>
<p><img src="https://sebastien.pittet.org/public/2012/janvier/IPv6_ready/.World_IPv6_launch_banner_bg_512_m.jpg" alt="World_IPv6_launch_banner_bg_512.png" style="display:block; margin:0 auto;" title="World_IPv6_launch_banner_bg_512.png, janv. 2012" /></p> <blockquote><p><ins>Adresse IP</ins> : numéro d'identification unique utilisé par un ordinateur pour communiquer sur un réseau, tel internet.</p></blockquote>
<p>Le développement des pays asiatiques, l'augmentation du nombre de sites internet, le nombre grandissant de foyers connectés à internet, les smartphones et tablettes, les équipements qui demandent des connexions permanentes ... d'autant de raison qui expliquent facilement la consommation d'adresses IP. Aujourd'hui la situation est critique, puisque la réserve d'adresse IPv4 est presque épuisée. L'organisme chargé d'attribuer les adresses vient de donner les derniers blocs d'adresses aux centres régionaux (RIR).</p>
<p>Pour garantir la communication pour les années à venir, un nouveau protocole Internet est arrivé. Il vise à étendre la quantité d'adresses. Si ce protocole, IPv6, est disponible... il n'est pas vraiment adopté par tous. La frilosité face au changement est sans doute une des raisons (tant que ça marche, on touche pas!).</p>
<p>Demain, vous n'aurez plus le choix : si vous n'adoptez pas le nouveau protocole, peut-être serez-vous privés de services importants ! Pour promouvoir l'adoption de ce nouveau protocole de communication, The <em>Internet Society</em> organise une nouvelle fois le "<strong>World IPv6 Day</strong>", qui aura lieu le 6 juin 2012.</p>
<p>Pour ma part, à la maison, je suis prêt ! Et vous ? Participerez-vous également à cet événement, à côté de noms tels que Microsoft Bing, Google, Facebook ou CISCO ?</p>
<p>Bientôt, ce blog sera sans doute également disponible via IPv6 ! Affaire à suivre !</p>
<p><strong>Quelques liens:</strong></p>
<ul>
<li><a href="http://www.worldipv6launch.org/" hreflang="us" title="World IPv6 Day">World IPv6 Day</a></li>
<li><a href="http://ipv6.google.com" hreflang="us" title="Google IPv6">Google en IPv6 exclusivement</a> <em>(si ça marche pas, c'est que vous n'êtes pas prêts)</em></li>
<li><a href="http://www.terena.org/webcam/" hreflang="us" title="Webcam@Amsterdam">Une webcam à Amsterdam</a>, uniquement en IPv6</li>
<li><a href="http://www.berkom.blazing.de/main.php" hreflang="us" title="Outils de tests IPv6">Outils de tests IPv6 (serveurs, ping6, services, etc)</a></li>
<li><a href="http://pnzone.net/tools.html" hreflang="us" title="Autres outils de tests IPv6">Autre site proposant des outils de tests / queries / etc</a></li>
</ul>