Signal

Les statistiques d’épuisement des adresses IPv4 libres indiquent actuellement 91 jours de « stock » dans les registres régionaux, soit un épuisement début mars 2011.

En fait il s’agit d’un épuisement « au plus tard » car le rythme d’allocation a une nette tendance à l’accélération : le 14 juillet 2010 (date mémorable du plantage de france.fr le jour même de son lancement), le compteur indiquait 365 jours soit un épuisement tombant le 14 juillet 2011.

Autrement dit, certains ont déjà commencé à paniquer et stockent des adresses en douce. Mise à jour : Stéphane Bortzmeyer me signale que la raison en est que 5 plages d’adresses n’avaient pas été prises en compte dans les statistiques. Article plus détaillé signalé sur Twitter par @nkgl.

Le temps que les adresses des registres régionaux (continentaux) « percolent » jusqu’aux allocataires (les sites utilisateurs), il y aura environ un an de répit.

Ensuite, les seules adresses faciles à obtenir étant les adresses IPv6, les premiers sites accessibles seulement en IPv6 commenceront à apparaître.

Autrement dit, il ne suffit pas d’avoir déjà sa petite adresse IPv4 pour se sentir non concerné. Internet va inévitablement perdre pendant quelques années sa connectivité complète, les inévitables sites en IPv6-seul ne pourront plus joindre les sites en IPv4-seul tant que ces derniers ne seront pas passés à IPv6 eux aussi. On peut simplement espérer que cette période transitoire durera le moins longtemps possible. Il est probable que de nombreux vendeurs d’huile de serpent et de technologies de semi-transition plus ou moins bancales vont apparaître, dans la lignée du bug « an 2000 ».

J’invite les non-convaincus qui se disent que rien ne presse à lire l’excellent article en anglais de Geoff Huston qui démonte quelques mythes tenaces..

In an attempt to evaluate different methods for measuring the performance of a TCP/IP connection, I’ve bumped into FreeBSD‘s getsockopt(TCP_INFO) system call, cloned from a similar call invented by Linux, which kindly returns interesting data about the current TCP connection.

I was mainly interested about round-trip time (RTT, called tcpi_rtt) and its standard deviation, mistakenly called tcpi_rttvar even though it’s not a variance.

I’ve written a small proof-of-concept tool accessible at http://eu.org:4500/ to display operating system information retrieved from the current HTTP access. The page currently runs on a FreeBSD 9-CURRENT machine; feel free to try it out, it works either in IPv4 or IPv6. Here’s a sample as of today:

This experimental page displays raw system TCP estimates, in microseconds.

Address: 2a01:e35:8b50:2c40::4
Estimated round-trip time: 15437
Estimated standard deviation: 27937

Note that the measures are very rough. First, the real resolution is about 1 millisecond (one kernel tick), not 1 microsecond. Then, several RTT samples are smoothed into the provided values, with a bigger weight for more recent samples. I left the actual values obtained from the kernel, for clarity, even though giving them up to a 1 microsecond resolution is somewhat misleading.

Then, of course, the results also depend on the number of samples, which tends to be low: the above page waits for the client HTTP headers to be fully received, then emits its own headers in reply, then waits for one second to give some time for the TCP ack(s) to come back, then displays the then-current estimations.

The results are probably sufficient for TCP’s internal needs, but they may differ wildly from real RTT values. Plus, the real RTT value depends on packet size, which TCP doesn’t seem to take into account. The above example is taken from my local network and displays over 15 ms for the RTT, whereas the real RTT is well below 1 ms (0.23 min, 0.4 average with 0.01 standard deviation, according to ping). The results are not always wildly up, I’ve noticed the opposite effect from a remote mobile phone displaying ~100 ms whereas the ping time was more like ~200 ms…

Feel free to use it and add comments below.

Je rencontre quelques problèmes avec la détection anti-spam des commentaires sur ce blog. Il peut arriver que des commentaires soient incorrectement placés en modération, voire carrément classés comme spam sans autre forme de procès. J’essaie de les repêcher mais il m’est déjà arrivé d’en louper, n’hésitez pas à me relancer si vous ne voyez pas les vôtres apparaître après plusieurs jours. Je n’ai pas encore exploité l’ensemble des réglages possibles (whitelist, blacklist, etc) sur WordPress et spam-karma, donc la situation évolue.

La raison profonde en est que depuis quelques temps, j’ai dû mettre en place un système compliqué de relais (aka proxy) inverse pour les accès IPv4 à ce blog, ce qui perturbe l’anti-spam qui se trouve ne plus voir directement l’adresse IPv4 de l’auteur d’un commentaire.

Pour la petite histoire, cette usine à gaz technique destinée à tout faire fonctionner sur une seule adresse IPv4 n’aurait aucune raison d’être si tout le monde utilisait IPv6, ce fameux truc-qui-ne-sert-à-rien.

That’s it, Squid 3.1 is in the FreeBSD ports. Squid 3.1 is still a beta but it’s nearing a release.

This means I can now access ipv6.google.com (and obviously other IPv6 sites), through my local proxy. Unfortunately I’m redirected to the French version, which seems to lack the dancing “Google” letters. The good old Kame turtle works, on the other end. How’s that for a killer-app?

IPv6 is the unleaded gas (or the organic food) of IP: it doesn’t seem to bring anything concrete, unless you look at the bigger picture.

Google continue à déployer IPv6 en proposant un programme de beta-test aux sites intéressés :

http://www.google.com/ipv6 (merci Olivier)

Il vaut mieux bien lire les petits caractères en bas, tout de même, car ce n’est pas à laisser entre toutes les mains : il faut un réseau IPv6 de production, avec une assistance utilisateur correcte, car tout problème de connectivité IPv6 peut empêcher l’accès aux services de Google par les utilisateurs.

Mise à jour [merci à Sarah de m'avoir réveillé] : il semblerait que Free ait mordu à l’hameçon, leurs serveurs de noms résolvent correctement les adresses IPv6 pour www.google.fr par exemple :

;; QUESTION SECTION:
;www.google.fr.                 IN      AAAA

;; ANSWER SECTION:
www.google.fr.          69375   IN      CNAME   www.google.com.
www.google.com.         600963  IN      CNAME   www.l.google.com.
www.l.google.com.       219     IN      AAAA    2001:4860:0:1001::68

;; SERVER: 212.27.40.240#53(212.27.40.240)

(pas terrible la chaîne de CNAME…)

Ça ne marche pas chez moi car j’utilise mon propre serveur DNS, non référencé par Google. Cependant j’ai évidemment la connectivité IPv6 vers l’adresse indiquée.

Ça y est ! Depuis ce matin, IPv6 est maintenant utilisable dans les jails FreeBSD (version 8 seulement pour l’instant), grâce au travail que Bjoern Zeeb vient d’intégrer dans les sources.

Cela m’a permis de me débarrasser de la petite manipulation un peu tordue montée l’an dernier pour mettre en place la passerelle v6 -> v4 de ce blog.

Il a juste fallu que dans /etc/rc.conf je change la ligne :

   jail_signal_ip="192.168.58.99"

en :

   jail_signal_ip="192.168.58.99,2001:660:330f:f800::2"

Et bien sûr recompiler Apache et refaire sa configuration avec l’option IPv6, et régler quelques menus détails comme la création d’une nouvelle adresse v6, son ouverture dans les filtres IP, et sa mise à jour dans le DNS…

Un petit site ludique permettant de découvrir IPv6 tout en le mettant en oeuvre, la certification IPv6 de Hurricane : http://ipv6.he.net/certification/ (merci Philippe).

Pour aller jusqu’au bout il faut avoir du courrier électronique, un site web et surtout un nom de domaine accessibles en IPv6 seul, ce qui mine de rien est plus facile à dire qu’à faire… une bonne occasion de déployer de l’IPv6 tout en s’amusant !

Il m’a fallu quelques jours avant d’arriver au niveau Sage.

L’an dernier, ayant lu les docs Apache 2.2 dans un moment d’égarement, je parlais des extensions RFC 2817 du module SSL permettant de ne plus multiplier les adresses IP (maintenant de plus en plus rares en v4) lorsqu’on héberge plusieurs serveurs web sécurisés sur une même machine, une plaie avec https. On attendait alors la sortie de Firefox 3.

Celui-ci étant maintenant arrivé depuis un bon moment, je me suis réattaqué ce soir à la question, titillé par un article récent de Stéphane consacré à la légèreté proverbiale de X509.

(more…)

Plus de 5 mois de « pause d’hiver » pour ce blog… non, non, vraiment, je ne suis pas fier.

Une petite nouvelle sur le front d’IPv6 : Google vient officiellement d’annoncer ipv6.google.com. Depuis plusieurs mois, quelques internautes plus perspicaces (ou mieux informés) que les autres l’avaient découvert. Ne cherchez pas (encore) ipv6.google.fr.

Une petite nouvelle (moins fraîche) sur le front des simulateurs de trains : l’éditeur original du simulateur Train Simulator de Microsoft, Kuju, a sorti à la fin 2007 la version européenne de son nouveau logiciel Rail Simulator (uniquement vendu au Royaume Uni et en Allemagne) puis début 2008 la version US (bien moins chère et bien plus complète car elle intègre des lignes US, des lignes allemandes et des lignes anglaises, si j’en crois la boite). Je n’ai pas encore eu l’occasion de l’essayer. Comme c’est la tradition dans les produits Windows, Rail Simulator n’a rien à voir avec Train Simulator (Microsoft/Kuju), qui n’a rien à voir avec le défunt Train Simulator 2 (Microsoft/Kuju) jamais sorti, qui n’a rien à voir non plus avec le toujours futur Train Simulator 2 (Microsoft/Microsoft) fondé sur Flight Simulator. Vous suivez toujours ?

Et une petite nouvelle ferroviaire d’intérêt local : la ligne de Volvic à Lapeyrouse, où circulaient quelques autorails hors d’âge qui ont usé leurs fonds de banquettes sur moi, a été fermée par RFF en décembre 2007. Le viaduc des Fades, son ouvrage d’art le plus remarquable, est bien mal en point : conçu par un certain Eiffel, il aurait besoin d’une bonne couche de peinture antirouille mais RFF a, par construction, les poches un peu percées. Une souscription a été ouverte par une association de sauvegarde afin de réunir les 3 millions d’euros nécessaires…

Ah. J’allais oublier : bonne année 2008 !

Il était écrit que le 12 décembre 2007 serait un jour IPv6 pour moi : à part l’annonce de Free, j’ai reçu deux livres sur IPv6 que j’avais commandés chez Amazon il y a plus d’un mois :

• IPv6 Core Protocols Implementation
• IPv6 Advanced Protocols Implementation

Ces livres sont à IPv6 ce que les 3 tomes de TCP/IP Illustrated sont à IPv4 (principalement le second, qui s’intéresse à la mise en oeuvre dans le noyau Unix BSD). Je m’en régale d’avance. Attention, ce n’est pas de la lecture pour tous publics, n’espérez pas vous initier à IPv6 avec eux.