Florian Siegenthaler

Open for new opportunities, please contact me | Ouvert à de nouvelles opportunités, n'hésitez pas à me contacter

Les fournisseurs d'accès commencent à déprécier IPv4

Rédigé par Florian Siegenthaler - - aucun commentaire

Internet est en train d'amorcer un changement majeur dans sa forme, comme déjà annoncé la raréfaction des adresses IPv4 publiques devient un sérieux problème, au RIPE le RIR européen en charge de la gestion des ressources d'adressage il ne reste plus que 5 millions d''IPv4 dans le dernier bloc /8 attribué par l'IANA en février 2011 (16'777'214 adresses) et 8.3 millions dans les autres pools, un total restant au 1er novembre 2016 de 13.68 millions, cela fait très peu, moins de 300'000 adresses par pays européen.

IPv6 a commencé depuis longtemps et a pris son rythme de croissance, en tout cas dans les grands réseaux et chez les particuliers, ce n'est pas encore ça mais on avance, en revanche on assiste de plus en plus à des dégradations de toutes sortes de la part des opérateurs, des CGNAT ou NAT444 où on ne contrôle plus l'IP publique.

A titre de comparaison tout le monde a un numéro de téléphone mobile fixe et publique qui peut être joint de partout dans le monde, cela doit être pareil avec votre adresse IP, elle doit être publique et fixe, avec les CGNAT les opérateurs utilisent une méthode qui utilise un numéro de téléphone publique en mettant des centaines ou milliers de téléphones derrière avec un numéro privé non joignable depuis l'extérieur, si cela était sur le réseau téléphonique vous pourriez uniquement appeler mais plus jamais être appelé, voilà l'état d'Internet aujourd'hui car tout le monde attend pour déployer IPv6.

Swisscom a pour sa part mis des adresses IP spéciales similaires aux 192.168.X.X du RFC 1918, ces adresses nommées « Shared Addresses » selon le RFC 6598 ne sont pas routées sur Internet et ne sortent pas du réseau de l'opérateur, seuls les LIR (les FAI si vous préférez mais ce n'est pas correct) sont à même d'utiliser ces adresses pour les CGNAT. Cela est déployé sur les abonnements Vivo XS d'après mes informations et cette page, ce n'est donc plus vraiment de l'Internet puisque on ne peut pas joindre la machine derrière l'IP privée.

Salt distribue des adresses 10.X.X.X du RFC 1918 sur les liaisons 4G, en tout cas pour l'abonnement « Unlimited Surf », comme pour Swisscom ce n'est non plus tout à fait de l'Internet puisque c'est une IP privée qui ne peut être jointe depuis l'extérieur.

Il devient désormais de plus en plus difficile d'obtenir de la connectivité IPv4 publique propre, mais le déploiement d'IPv6 n'est pas suffisant, faudrait-il le rendre obligatoire pour assurer un développement cohérent d'Internet ?

Forcer son site web en HTTPS et rediriger avec le www

Rédigé par Florian Siegenthaler - - aucun commentaire

Bonjour,

Un petit script pour Apache (serveur web) à mettre dans un fichier nommé .htaccess (attention au point, très important, qui représente un fichier caché sous Linux et POSIX).

Il suffit de copiez-coller le code ci-dessous pour que premièrement le site soit forcé en HTTPS puis si le visiteur a demandé l'URL votredomaine.tld au lieu de www.votredomaine.tld il le redirige sur le sous-domaine www :

RewriteCond %{HTTPS} off
# First rewrite to HTTPS:
# Don't put www. here. If it is already there it will be included, if not
# the subsequent rule will catch it.
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Now, rewrite any request to the wrong domain to use www.
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ainsi si le visiteur tape :

  • http://votredomaine.tld > il est redirigé sur https://votredomaine.tld puis https://www.votredomaine.tld
  • http://www.votredomaine.tld > il est redirigé directement sur https://www.votredomaine.tld
  • https://votredomaine.tld > il est redirigé sur https://www.votredomaine.tld
  • https://www.votredomaine.tld > le script ne fait rien, le visiteur est déjà sur la bonne adresse

Ce script est une redirection permanente 301, c'est à dire qu'il met à jour les signets des navigateurs menant à votre site en même temps que le visiteur consulte votre site web, ce qui n'est pas le cas si c'est une redirection temporaire (maintenance).

PS: pensez à tester le bon fonctionnement de votre script, avec ou sans www en HTTP et en HTTPS ;-)

Le canton de Vaud en faveur de la neutralité du net

Rédigé par Florian Siegenthaler - - 1 commentaire

On avance sur la neutralité des réseaux, suite à une consultation de différents milieux sur la révision de la LTC (que j'ai malheureusement manqué), le canton de Vaud se positionne clairement en accord avec le principe de neutralité des réseaux avec la réponse formulée à Doris Leuthard, conseillère fédérale dans ce document (toutes les réponses ici --> ce lien n'est malheureusement plus disponible, si vous le retrouvez je le modifierai).

- Neutralité des réseaux : le projet propose une avancée sous la forme d’une obligation faite aux FST de présenter très clairement les éventuelles restrictions de débit pour certains types d’informations ou de services. Alors que tant l’Union européenne que les Etats-unis ont récemment ancré le principe de la neutralité de l’accès à Internet et d’une obligation pour les opérateurs de fournir un accès à toutes les informations selon la logique du meilleur effort (« best effort »), la Suisse devrait suivre la même direction.

Canton de Vaud, rapport du Conseil d'État à propos de la consultation relative à la modification de modification de la loi sur les télécommunications (LTC)

Si on analyse ce texte, il s'agirait non pas d'obliger les FAI d'expliciter les saletés qu'ils font sur leur réseau (enrichissement des en-têtes HTTP, usurpation d'identité, modification de contenu à la volée, censure par DNS) mais carrément d'interdire ces pratiques qui ne servent surtout pas l'utilisateur final.

Pour une fois je suis content de ce qui ressort du canton de Vaud, contrairement à la consultation de la Confédération qui demande un document « Word » démontrant bien que les standards ouverts ce n'est pas encore au goût du jour, on pourrait inscrire dans la LTC l'obligation d'utiliser des formats ouverts et standardisés au moment d'échange électronique d'informations, bon au moins les consultations sont disponibles en PDF, c'est déjà ça.

NB: Il y a eu des modifications sur le site de la Confédération (d'ailleurs ils sont passés en HTTPS bravo pour ce travail... vd.ch est encore à la traîne), certains liens sont donc cassés, si vous tombez dessus je corrige volontiers.

Sécurité: c'est pas moi qui le dit

Rédigé par Florian Siegenthaler - - 1 commentaire

Je vous propose la lecture du billet d'Aeris sur son blog concernant les VNC accessibles à distance sur IP publique, dont des systèmes de ventilation, de pompes, de chauffage, système de surveillance, de domotique, etc, il y a de quoi s'amuser sur l'Internet IPv4 tellement la sécurité n'est pas prise en compte.
Encore heureux à priori il n'y a pas de centrale nucléaire.

https://blog.imirhil.fr/2016/03/02/vncfail.html

Le vectoring, sauveur des connexions VDSL2 ?

Rédigé par Florian Siegenthaler - - aucun commentaire

On en apprend tous les jours, une nouvelle technologie existe afin de se rapprocher du débit théorique sur les lignes VDSL2, il s'agit du vectoring.

Je ne vais pas l'expliquer ici, le lien ci-dessous suffira mais en gros il s'agit de calculer le bruit provoqué par les autres lignes dans le même câble jusqu'au prochain central de quartier pour avoir un meilleur débit, mais pour cela il faut que toutes les lignes du même câble (nommé faisceau dans l'article) soient « vector-compliant », et pour l'être il faut un matériel spécial, du moins il faut un firmware spécial selon une norme de l'UIT, autrement la ligne se voit rétrogradée en fallback, c'est à dire à une vitesse de 7000/512 Kbps, à peu près le débit que j'ai actuellement à mon domicile.

Le concept a l'air intéressant, reste à voir si applicable en Suisse puisque contrairement à la Belgique, il y a une meilleure diversité d'opérateurs (mais pas plus de neutralité), à mon avis la fibre optique l'emportera, ce qui permet aussi de mettre son propre routeur derrière.

Voir l'article : http://www.edpnet.be/fr/support/installer-et-utiliser/internet/vectoring.html