IPv6 pour l’administrateur Windows : L’adresse 2002: (6to4 Tunnel) et ses impacts

 

Bonjour c'est Olivier Berline pour le deuxième post de Venkat Kalyanasundaram au sujet d'IPv6.

La version originale de cet article se trouve ici https://blogs.technet.com/b/askpfeplat/archive/2013/11/18/ipv6-for-the-windows-administrator-the-2002-6to4-tunnel-address-and-its-impact.aspx

Nous avons vu ensemble dans mon post précédent IPv6 pour l’administrateur Windows : Comment fonctionne la résolution de nom en environnement mixte IPv4/IPv6la coexistence IPv4 IPv6 quand la plage d'adresse IP est privée.

Aujourd'hui nous allons discuter d'un scénario spécial se produisant quand des plages d'adresses IP publiques sont utilisées au sein de votre réseau d'entreprise.

Rappel des notions IP

Les groupes suivantes d'adresses IP dans la technologie IPv4 sont considérés comme privés.

10.0.0.0 - 10.255.255.255 (10/8 prefix)

172.16.0.0 - 172.31.255.255 (172.16/12 prefix)

192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

En résumé, ces adresses ne peuvent être utilisées pour un trafic de bout en bout sur Internet.

Elles sont destinées par contre à être déployées en interne, au sein d'un réseau d'entreprise pour du trafic Intranet.

Si vous avez la patience le temps de lire la RFC, vous pouvez trouver plus d'infos au lien suivant https://www.faqs.org/rfcs/rfc1918.html.

Si les adresses de votre réseau interne ne sont pas pas comprises dans les plages listées plus haut, vous avez sûrement utilisé des plages d'adresses publiques. Cette configuration n'est pas la plus recommandée, mais déployer des adresses publiques en interne peut être justifié pour un grand nombre de raisons.

Techniquement il faut savoiur que rien ne s'oppose au déploiement d'adresses IPv4 au sein d'un réseau interne.

Si c'est votre cas, ce qui va suivre vous concerne.

Le comportement par défaut de la double pile IPv4/IPv6 et les adresses de Tunneling 6to4

Les machines en configuration Double Pile (couches IPv4 IPv6 activées) possédant une adresse IPv4 située dans une plage publique ont un comportement par défaut spécifique.

Elles génèrent une adresse IPv6 associée à l'interface de tunneling 6to4.

Si vous vous demandez ce qu'est une adresse de tunneling 6to4, vous avez besoin de comprendre le concept de technologies de transition avec IPv6. De façon générale, cela permet d'encapsuler un paquet IPv6 dans un paquet IPv4 pour en permettre le transport sur un réseau purement IPv4.

Il y a différents types de mécanismes de tunneling disponibles ISATAP,6to4, Teredo. Leur utilisation dépend du type de réseau IPv4 configuré.

Si vous êtes intéressés pour apprendre plus sur les technologies de tunneling IPv6, vous pouvez consulter le lient Technet suivant https://technet.microsoft.com/en-us/library/bb726951.aspx

Illustrons cela par un exemple.

clip_image002

Une machine Windows est configurée avec une adresse IP 131.107.23.20, qui se situe dans une plage d'adresses publique. IP¨v6 est aussi activée sur cette machine mais sans adresse globale explicitement configurée.

Par défaut, Windows va générer dans ce cas de figure une adresse pour le tunnel 6to4.

L'adresse générée est visible dans la section 6to4 du résultat de la commande ipconfig.

L'adresse de tunnel 6to4 commence toujours par 2002. Les digits restants sont générés à partir de l'adresse IPv4 de la machine. La même séquence est reprise dans la partie Interface de l'adresse IPv6.

Il s'agit en fait de la représentation hexadécimale des nombres de l'adresse IPv4.

131 s'écrit 83 en hexadécimal, 107 s'écrit 6B, et ainsi de suite.

Pour rappel, le lien Technet https://technet.microsoft.com/en-us/library/bb726951.aspxdétaille en profondeur les mécanismes de tunneling.

Impact sur la production et Active Directory

clip_image004

Avec la génération d'adresses de tunnel 6to4, voyons maintenant l'impact engendré.

Une adresse 6to4 est considérée comme une adresse IPv6 classique et elle sera enregistrée dans le DNS en tant que record AAAA.

Souvenons nous que le comportement par défaut de Windows est de privilégier IPv6 par rapport à IPv4 quand les enregistrements des deux types A et AAAA sont disponbiels entre deux machines Windows.

La communication va s'établir mais le traffic sera en réalité de l'IPv6 encapsulé dans de l'IPv4. Les équipements réseaux transmettront ces paquets tout à fait cohérents en tant que paquets IPv4.

clip_image006

La plupart des administrateurs ne se rend pas compte de ce comportement qui se produit au sein de leur réseau quand ils utilisent les paramètres par défaut et une plage d'adresses IP publiques. Il est surprenant de voir des records AAAA apparaître dans les zones DNS alors qu'aucun paramètre en ce sens n'a été démarré.

Une des solutions de contournement est d'enrichir la définition des sites et services Active Directory en définissant la plage d'adresses IPv6 correspondante et en l'associant au site AD correct.

clip_image008

Car l'impact effectif de cette situation est le suivant : problèmes de performance liés à l'Active Directory.

Sans une définition précise de ces subnets IPv6 apparus via le mécanisme 6to4, vous pourriez observer des clients Windows qui essaient de communiquer avec des Domain Controllers situés hors de leur site alors que des DCs locaux sont présents et opérationnels.

Au lieu de définir ces Subnets IPv6 non désirés (si vous n'utilisez pas la technologie 6to4 bien sûr) dans l'Active Directory, il est plus logique de désactiver la génération automatique de ces adresses de tunnel IPv6.

Désactiver le mécanisme 6to4 correctement

Vous pouvez utiliser les paramètres de Group Policy Computer Configuration->Administrative Templates->Network->TCPIP Settings-> IPV6 Transition Technologies pour empêcher la génération automatique de ces adresses.

La valeur Set 6to4 State doit être positionnée à disable.

Une autre possibilité est d'utiliser la clé de registre DisabledComponents qui pilote le fonctionnement de la pile IPv6.

La KB https://support.microsoft.com/kb/929852décrit les options possibles.

clip_image010

Pour rappel, cette configuration n'est pas nécessaire si vous avez déployé des plages IPv4 privées dans votre réseau.

Olivier Berline

La version anglaise de cet article se trouve au lien https://blogs.technet.com/b/askpfeplat/archive/2013/11/18/ipv6-for-the-windows-administrator-the-2002-6to4-tunnel-address-and-its-impact.aspx