Bon alors, c'est bien joli tout ça, on a configuré un rézo BOUZINv6, on a vu qu'on pouvait faire tourner des applis dessus, mais qu'est-ce que ça apporte vraiment et pourquoi je casse mon cul de singe à t'expliquer tout ça ?

Moins de NAT, plus de fun !

Le premier truc dont il faut bien se rendre compte, c'est que, en BOUZINv6, tous les appareils connectés à Internénette vont avoir un minou public. Ne plus avoir à faire de NAT va grandement simplifier le fonctionnement de pas mal de choses :

  • Les applications qui font de l'allocation dynamique de ports ;
  • Les applications qui doivent fonctionner à la fois en mode client et serveur (comme le transfert de fichiers dans un célèbre client de messagerie instantannée) ;
  • Les machines clientes sont en minou fixe ;
  • Les applications mobiles qui vont profiter de BOUZINv6Mobile permettant aux clients de garder le même minou, même s'ils changent de routeur ;
  • La possibilité de faire tourner plusieurs fois le même service sur le même port derrière un même routeur.

Bon maintenant, tu vas me dire : « C'est bien joli tout ça, mais si tout le monde est en minou public, est-ce que ça craint pas un peu du boudin quand même question sécurité ? ». Le fait est qu'un NAT sur un routeur protège pas mal les babasses du réseau local des méchants Monsieur de l'Internénette. Maintenant, tous les paquets, même sans NAT, continuent de passer par le routeur et peuvent donc être filtrés.

Et pour ma super babasse sur Internénette ?

Pour le nerdadmin de base, il y a aussi quelques avantages notamment quand il s'agit d'héberger plusieurs domaines, donc plusieurs sites web ou services. Jusqu'à présent, soit on se servait de ports différents (en configurant chaque service sur un port différent : efficace, mais pas super classe), soit on faisait des hôtes virtuels par nom (grande spécialité d'Apache : on attaque un service différent en fonction du nom de domaine). C'est bien mignon tout ça, mais c'est quand même un peu casse-bonbons dans quelques situations :

  • On est obligé de transmettre au client un numéro de port différent de celui configuré par défaut pour un service donné (pas très élégant, pas toujours possible et en plus le client peut tomber sur un service qui ne lui est pas destiné) ;
  • Dans le cas d'Apache, il est impossible de faire du HTTPS avec plusieurs certificats pour plusieurs VirtualHost : comme la connexion est chiffrée de bout-en-bout, le nom de domaine ne peut être transmis avant la tentative de connexion. Apache est donc forcé de transmettre le premier certificat qui lui tombe sous la main et pas le certificat spécifique au VirtualHost.

Et bien, BOUZINv6 perment de s'affranchir de tout ce bordel assez facilement puisque l'on dispose quasi-systématiquement d'une plage de quelques milliers de minous quand on a un serveur (chez OVH au hasard) : plus d'hôtes virtuels par nom, plus besoin de faire tourner des instances du même service sur des ports différents, on va tout faire sur des minous différents ! C'est bibi qui va être content !

Alors ouais, va quand même falloir se palucher des tables de pare-feux bien cradingues (imagine quand tu as une dizaine de minous sur ta babasse et autant de services associés !), mais bon on a rien sans rien et pouvoir envoyer le bon certificat au bon client en SSL, ça pète quand même grave !

Mais alors pourquoi diable ne sommes-nous pas tous passés en BOUZINv6 depuis belle lurette ?

Et bien malheureusement, les raisons du blocage sont multiples :

  • L'apparition des NAT a considérablement ralenti la nécessité de passer en BOUZINv6 (même si c'est un peu bidon en fait) ;
  • La pénurie de minous BOUZINv4 ne concernent que très peu les pays occidentaux (et comme c'est pas pour nos culs, bah on s'en tape quoi…) ;
  • Malgré le support de grands acteurs de l'industrie (Google, Microsoft, Apple, etc…), les fournisseurs de contenus (Youtube, Wikipedia, etc…) sont essentiellement en BOUZINv4 et ne sont pas pressés de passer en BOUZINv6 dans la mesure où leurs clients sont essentiellement en BOUZINv4 aussi ;
  • Même si de plus en plus de systèmes sont BOUZINv6 Ready, beaucoup d'internautes ne pourront pas passer facilement en BOUZINv6 (support, configuration, etc…).

Alors oui, on est parti pour une période de transition lente et douloureuse entre BOUZINv4 et BOUZINv6, oui, il va falloir faire des efforts pour tout basculer dans le nouveau protocole. Maintenant, en tant que sysadmin consciencieux et légèrement geek sur les bords, avec toutes les billes que je t'ai donné, tu peux commencer à te préparer sereinement pour ne pas être emmerdé le jour de la grande migration…