DirectAccess : mythes & réalité - partie 1 : IPv6

Windows 7 couplé à Windows Server 2008 R2 offre une nouvelle fonctionnalité destinée aux professionnels baptisée DirectAccess.

DirectAccess permet à l'utilisateur de se connecter à distance au Système d'Information de l'entreprise de manière complètement transparente. Les personnes qui utilisent aujourd'hui Outlook 2003 ou 2007 couplé à Exchange Server 2003 ou 2007 avec la fonctionnalité RPC sur HTTPS connaissent déjà une première expérience de la transparence des accès distants : il suffit de démarrer le client de messagerie et celui-ci trouve tout seul le moyen de se connecter au serveur Exchange que le poste soit connecté sur Internet ou au sein du réseau local. Et bien DirectAccess, c'est la même expérience mais appliquée à l'ensemble des applications exécutées sur Windows 7.

A la différence d'une connexion VPN nomade (classique ou SSL), DirectAccess ne nécessite aucune intervention de l'utilisateur, il n'y a pas de connexion à établir au travers d'un gestionnaire de connexion.

Parmi les technologies nécessaires et utilisées par DirectAccess, il y a IPv6, un protocole réseau qui remplacera à terme (disons dans plusieurs, plusieurs années) IPv4 qui le protocole réseau le plus utilisé sur Internet.

Beaucoup de personnes se documentant sur DirectAccess voient IPv6 dans la liste des pré-requis, ce qui génère beaucoup d'interrogations et d'idées reçues :
- Je n'ai pas d'IPv6 dans mon réseau d'entreprise donc je ne peux pas faire de DirectAccess
- Si je veux mettre en oeuvre DirectAccess dans mon entreprise, cela implique une refonte complète de mon infrastructure réseau (Firewall, routeur...)
- Il va falloir refaire les plans d'adressage IP de toute l'entreprise
- DirectAccess ne fonctionnera pas depuis mon réseau à la maison car je suis en IPv4
- Seul les FAI qui proposent de l'IPv6 permettent de faire du DirectAccess
- ....

Du coup, beaucoup pensent que DirectAccess n'est pas possible dans leurs environnements. L'objectif de ce post est de démystifier toutes ces idées reçues sur DirectAccess & IPv6

Tout d'abord, DirectAccess n'impose pas une utilisation en natif et de manière exclusive d'IPv6. ça c'est le premier point important à retenir.

Il existe un ensemble de technologies de transition IPv4 vers IPv6 parce qu’aujourd’hui on « vit » dans un monde principalement IPv4 et la migration globale vers IPv6 n’est pas pour demain.

Poursuivons avec une vue basique d'une architecture DirectAccess :

Comme on peut le constater, les communications DirectAccess s'appuient effectivement sur IPv6 et IPsec (IPsec : mythes et réalité fera l'objet d'un futur billet sur ce blog) mais heureusement pour tous, de nombreuses technologies présentes dans les systèmes d'exploitation vont permettent l'utilisation de DirectAccess dans un monde aujourd'hui principalement IPv4

Les technologies pour assurer la transition IPv4 vers IPv6 sont les suivantes :
- 6to4
- Teredo
- ISATAP
- IP HTTPS

Maintenant, nous allons voir quelle technologie est utilisée sur quel type de réseau.

Commmençons par les communications qui ont lieu sur Internet à destination du réseau de l'entreprise, ici 3 technologies sont utilisables en fonction des scénarios :

- 6to4 s'utilise sur Internet pour des machines qui ont une adresse IPv4 :

- Teredo s'utilise quand le client est sur un réseau en IPv4 situé derrière un (des) équipements faisant du NAT :

- IP-HTTPS quand le client est sur un réseau situé derrière un (des) équipements filtrant mais laissant passer https :

Windows 7 qui est le système client requis pour faire du DirectAccess a nativement une couche réseau incluant l'ensemble des mécanismes pour assurer de manière transparente ces transitions

Le serveur DirectAccess qui est une machine Windows Server 2008 R2 intègre l'ensemble des composants côté pour assurer la transition du trafic IPv4 :
- 6to4
- Teredo
- IP-HTTPS

Maintenant, regardons la partie infrastructure du réseau de l'entreprise qui veut faire du DirectAccess.

Aujourd'hui, la majorité des réseaux internes sont en IPv4 donc du coup, doit-on tout casser et rebatir entièrement un adressage en IPv6 et remplacer certains équipements réseaux ? la réponse est clairement NON !!!

Il faut savoir que depuis Windows Vista et Windows Server 2008, le système dispose d'une pile réseau intégrant IPv4 ET IPv6. Si vous installez Windows avec les options par défaut, IPv6 est installé et actif.

Concernant le plan d'adressage, il est possible de laisser le système se débrouiller et dans ce cas, il va s'autoconfigurer avec la technologie de transition ISATAP. L'adresse IPv6 va être construite à partir de l'adresse IPv4.

Exemple :

Le serveur DirectAccess sait également dialoguer en en ISATAP (Tunnel IPv6 dans des paquets IPv4) avec les serveurs en interne :

Conclusion :

Vous pouvez faire du DirectAccess dès aujourd'hui sans avoir à refaire votre réseau Interne en IPv6 natif ni avoir une connectivité Internet en IPv6 car :

1– Le serveur DirectAccess intègre les technologies de transition suivantes :
- 6to4
- Teredo
- IP-HTTPs
- ISATAP

2– sur le réseau interne, utilisez ISATAP dans votre réseau d’entreprise 
 —> il suffit de conserver la case IPv6 cochée par défaut dans le paramétrage réseau

Suite au prochain billet… ;-)

[mise à jour du 7 juillet 2009]   Si cet article vous a plu, d'autres billets DirectAccess : mythes & réalité sont disponibles :

DirectAccess : mythes & réalité - partie 2 : IPsec
https://blogs.technet.com/stanislas/archive/2009/06/29/directaccess-mythes-r-alit-partie-2-ipsec.aspx

DirectAccess : mythes & réalité - partie 3 : la résolution de noms DNS
https://blogs.technet.com/stanislas/archive/2009/07/03/directaccess-mythes-r-alit-partie-3-la-r-solution-de-noms-dns.aspx