Discussion :

[Thomad]

Bonsoir à tous,
J'ai commencé l'installation d'Hyper-V sur un W2012R2 STD.
J'aurais besoin de votre aide concernant la demande "choix d'une carte", à l'instal. d'hyper-V.
J'ai une carte la LAN 1 avec une ip fixe.
Comme il parlait de la nécessité de dédier une carte, j'ai paramétré la LAN 2 avec une autre ip fixe et je l'ai connecté au switch.
Déjà là pas sûr que ce soit bon. D’ailleurs Windows n'était pas content mais j'ai validé, je ne me souviens plus du message.
J'ai fait l'instal. d'Hyper-V, ras.
Maintenant quand je ping mon serveur par son nom netbios, il me retourne l'ip de la LAN 2 et non plus celle de la LAN 1, j'ai désactivé IPv6 (patch Microsoft).
Est-ce normal ? Tout le trafic réseau passe par la LAN 2. Par contre je ping bien la LAN 1, l'accès BàD avec l'ip LAN 1 fonctionne.
Je cherche aussi un bon tuto pour l'installation au mieux d'Hyper-V, si vous avez une référence je suis preneur.
Merci d'avance pour votre aide.
Bonne soirée.
@+
Thomad

[omiossec]

Bonjour

Hyper-v, vas utiliser une carte du serveur physique pour la connectivité des VM
Lors de l'installation d'hyper-v, il demande une carte réseau (l'étape n'est pa obligatoire) dédié au VM
Ce que fait Hyper-v c'est qu'il créer un vswitch externe avec un port sur cette carte (et il créer une carte virtuelle sur le serveur en plus)
Tout le traffic des VM passe par cette carte, en créant à chaque fois un port sur le vswitch.

Dans votre cas, le LAN 1 peut correspondre à votre IP de management
LAN 2 à la communication des VM, il n'y a pas à mettre d'IP dessus (c'est déconseiller), donc il faudrait désactiver l'ip sur le LAN2

[cerede2000]

.... j'ai désactivé IPv6 (patch Microsoft).
....

Grosse erreur !
Il ne faut pas désactiver l'IPV6 !

[chrtophe]

Grosse erreur !
Il ne faut pas désactiver l'IPV6 !

Pourquoi ? si on veux faire de l'ipv4.

[cerede2000]

Il n'est absolument pas recommandé par Microsoft de désactiver l'IPV6 même si on ne fait que de l'IPV4.
La raison est simple plusieurs processus interne communique en IPV6 et le fait de le désactiver impact donc ces processus.

A lire :

Q. What are Microsoft's recommendations about disabling IPv6?
A.
It is unfortunate that some organizations disable IPv6 on their computers running Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true.
From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.
Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity.

https://technet.microsoft.com/en-us/.../cc987595.aspx
http://blogs.technet.com/b/netro/arc...ling-ipv6.aspx

Il n'est en rien gênant de laisse l'IPV6 activée en plus de l'IPV4.
Cela fait partie des choses qui m'horripile quand un prestataire ou un consultant me dit, tiens on va désactivé l'IPV6 !
Arrêter avec ça !

[Invité]

Cela fait partie des choses qui m'horripile quand un prestataire ou un consultant me dit, tiens on va désactivé l'IPV6 !

En revanche :

1) Il y a peu de trainings sur la sécurité autour d'IPv6, c'est un sujet pas très bien maîtrisé et la sécurité IPv6 ne peut se satisfaire d'être un simple clone de la sécurité mise en place pour IPv4 : il n'y a pas de "parité fonctionnelle" d'un point de vue sécurité entre IPv4 et IPv6 (même chose pour la QoS d'ailleurs).3) IPv6 doit être intensivement testé avant déploiement; dans les grosses infras, ma recommandation est de tirer une vrf de pré-prod IPv6 pour ces tests. Et **chaque** équipement IPv6 devrait être validé.

Mon point de vue personnel, c'est qu'IPv6 devrait être systématiquement désactivé :

- partout où on n'en a pas besoin
- si les admins réseau n'ont pas l'expertise.

Parce qu'activer IPv6 sans en connaître les mécanismes, c'est augmenter la surface d'attaque des couches basses du réseau (je pense notamment aux attaques Man-in-the-Middle qui exploitent l'IPv6 First Hop Discovery, c'est déconcertant de facilité).

Steph

[cerede2000]

Je ne parle pas de tout passer en IPV6, mais de ne pas s'en occuper sur les serveurs et de la laisser tranquille.

La désactiver au niveau des switchs et routeurs simplement, comme ça on ne vient pas perturber les process interne des OS >= Win7.

[chrtophe]

Mon point de vue personnel, c'est qu'IPv6 devrait être systématiquement désactivé :
- partout où on n'en a pas besoin
- si les admins réseau n'ont pas l'expertise.
Parce qu'activer IPv6 sans en connaître les mécanismes, c'est augmenter la surface d'attaque des couches basses du réseau (je pense notamment aux attaques Man-in-the-Middle qui exploitent l'IPv6 First Hop Discovery, c'est déconcertant de facilité).

C'était l'idée de ma remarque, je suis d'accord avec ça. J'ai posé la question car peut être que ça peut poser des probs dans des cas précis que je n'ai jamais rencontré.

[cerede2000]

- partout où on n'en a pas besoin

On est globalement d'accord, sauf sur les serveurs Windows
On ne parle pas ici de problème (bien qu'il peux surement y avoir des effets de bohr sur certaines choses, jamais rencontrés non plus) mais plus de pertes de performance pas forcément décelables sur des communications intra-process Windows.

[sevyc64]

Je vais m'inscrire en faux sur plusieurs points

Il n'est absolument pas recommandé par Microsoft de désactiver l'IPV6 même si on ne fait que de l'IPV4.
La raison est simple plusieurs processus interne communique en IPV6 et le fait de le désactiver impact donc ces processus.

Il ne faut lire que ce qu'écrit Microsoft, et ne pas en lire plus qu'il n'en écrit.

Microsoft ne dit qu'une seule chose, il déconseille de désactiver IPv6 parce que plusieurs processus ont été développés pour optimiser IPv6 plutôt qu'IPv4 parce que IPv6 est de toute façon l'avenir et IPv4 destiné à être abandonné (et devrait l'être depuis longtemps à mon avis).
Mais Microsoft ne dit absolument pas que ces dits-processus ne fonctionnent pas ou mal en IPv4, et pour cause, tous les os actuels un tant soit peu populaire (Windows, Linux, Mac OS) sont prévus pour fonctionner totalement et parfaitement en full IPv4, tout comme en mix IPv4/IPv6. Il devrait en être de même en full IPv6 mais on peut encore parfois rencontrer quelques problèmes, probablement d'ailleurs plus dû à l'implémentation dans les applications mal adaptées plus qu'à l'os lui-même, je pense.

Il n'est en rien gênant de laisse l'IPV6 activée en plus de l'IPV4.
[...]
Je ne parle pas de tout passer en IPV6, mais de ne pas s'en occuper sur les serveurs et de la laisser tranquille.
[...]
On est globalement d'accord, sauf sur les serveurs Windows

A lire la façon dont tu l'écris on comprend que l'on peut laisser activer IPv6 même dans sa configuration par défaut.
C'est une énorme bêtise. IPv6 ne doit pas être laissé dans sa configuration par défaut, tout comme on ne laisse jamais IPv4 dans sa configuration par défaut.
Et d'autant plus sur les serveurs, qui sont, non seulement les machines les plus sensibles en terme de sécurité, mais aussi et surtout les plus exposées d'un réseau.
Et ce n'est pas parce que le réseau n'a pas une connectivité IPv6 que les serveurs ne seront pas accessibles en IPv6 à travers divers artifices.
C'est comme laisser une maison portes et fenêtres ouvertes avec un parcours fléché vers le coffre ou les bijoux.

La désactiver au niveau des switchs et routeurs simplement, comme ça on ne vient pas perturber les process interne des OS >= Win7.

Perturber en quoi les processus internes ?
IP, que ce soit 4 ou 6, n'est sollicité que lorsqu'on descend sur l'interface réseau. Les processus internes ne descendent pas jusqu'à l'interface, ils ont peu à faire que ce soit IPv4 ou IPv6 qui soit activé.
Et même ceux qui utiliseraient l'accès loopback, tout au moins certains, ça dépend de l'implémentation apparemment, arrivent à fonctionner même si la couche est désactivée car la plupart du temps les paquets qui transitent sur l'accès loopback n’atteignent en réalité pas l'interface et la couche IP.

1) Il y a peu de trainings sur la sécurité autour d'IPv6, c'est un sujet pas très bien maîtrisé et la sécurité IPv6 ne peut se satisfaire d'être un simple clone de la sécurité mise en place pour IPv4 : il n'y a pas de "parité fonctionnelle" d'un point de vue sécurité entre IPv4 et IPv6 (même chose pour la QoS d'ailleurs).

Oui c'est bien là le problème. Les admins qui n'ont pas les compétences, mais surtout les admins qui n'ont même pas la conscience de la chose.
J'aime à citer l'exemple d'une boite ou je suis passé :
- un réseau physique interne,
- 3 réseaux logiques parfaitement configurés et étanches, en IPv4, un intranet, un extranet pour les clients et un site web.
- 2 connexions internet, une pour la boite, une pour l'extranet et le site web, IPv4 only, les prestataires n'offrant pas l'IPv6 ou l'option n'ayant pas été prise.
- Le tout parfaitement configuré avec tous les routeurs qui vont bien, etc ...
- une 3ème connexion internet de secours, principalement pour la boite par une freebox.
IPv6 pas configuré, pas utilisé parce que de toute façon pas offert par les FAI dixit l'admin.

Les problèmes :
- IPv6 est activé par défaut sur tous les postes (configuration par défaut)
- le matériel, les routeurs notamment, pas prévus pour, sont totalement transparent au trafic IPv6
- l'admin qui se croit de toute façon protégé par ses contrats internet qui ne bénéficient pas de l'option IPv6
- Sauf que le contrat Freebox offre, par défaut, de base, sans aucune option ou demande à faire, une connectivité IPv6 fonctionnelle, efficace, et en IPv6 natif en plus (tout au moins vu coté client).

Résultat : 3 réseaux parfaitement étanches, maitrisés et contrôlés en IPv4 qui ne font plus qu'un seul réseau en IPv6 totalement exposé sur le net. Bravo l'admin.
Et ce n'est malheureusement pas un cas rare, la plupart du temps par simple ignorance.

Mon point de vue personnel, c'est qu'IPv6 devrait être systématiquement désactivé :

- partout où on n'en a pas besoin
- si les admins réseau n'ont pas l'expertise.

Parce qu'activer IPv6 sans en connaître les mécanismes, c'est augmenter la surface d'attaque des couches basses du réseau (je pense notamment aux attaques Man-in-the-Middle qui exploitent l'IPv6 First Hop Discovery, c'est déconcertant de facilité).

Oui et Non !

Oui, c'est une mesure de bon sens, surtout lorsque les admins ou responsables n'ont pas les connaissances ou les compétences. Il est effectivement difficile de faire autrement et le sera encore longtemps tant que les acteurs d'internets ne se bougeront pas plus les fesses pour faire la migration d'IPv4 vers IPv6*.

Non, parce que de toute façon, il faudra bien abandonné IPv4, et le plus tôt serait le mieux (mais on ne peut pas totalement pour le moment), il faudra bien passer à IPv6. Autant le faire maintenant tant que l'on a encore le temps de se former, d'analyser les choses, de prendre le temps de les mettre en place. Plus on attendra, plus ça sera douloureux surtout si c'est fait dans l'urgence.
Et ipv6 fonctionne très bien contrairement à ce que disent beaucoup de ceux qui ne l'ont pas encore utilisé.

Bref, oui, je suis pour la configuration le déploiement et l'utilisation d'IPv6 même sur les réseaux internes mais avec les personnels formés en conséquence.

* selon une rumeur, une note interne chez Microsoft, juste avant la sortie de W8 indiquait que dans la version suivante, donc celle qui est devenu W10, ipv4 devait être abandonné en natif et disponible uniquement à travers le tunneling. Mais que vu la lenteur du déploiement de l'ipv6 sur le net, le projet avait finalement été reporté à une version ultérieure. C'est une rumeur, et je n'ai personnellement pas vu la note interne, donc ....

[chrtophe]

Il m'est arrivé un truc :

Une bbox fibre a été mise sur un réseau comportant une bbox ADSL qui reste du coup dédié à la téléphonie IP. Suite à cette mise en place, mon serveur Mac OS X plantait au bout d'une minute ou deux. J'ai bien sûr d'abord pensé à un prob réseau, mais le serveur étant ancien, j'ai aussi pensé à une coïncidence matérielle. Plein de tests dans tous les sens. Finalement j'étais sûr de l'interaction serveur bbox, confirmé par Bouygues, bug de la box incompatible avec Mac OS X 10.6 (vieille version). J'aurais désactivé IPv6 ne servant pas, j'aurais pas eu de prob. Je le fais sur les serveurs Windows, mais sur Mac je n'y ai pas pensé, les failles étant quand même moins répandues.

[cerede2000]

Je vous invite à lire ceci pour info.
https://blogs.technet.microsoft.com/...ve-ipv6-alone/