💻 Serveur & shell

IPv6 chez Datacampus : position, activation sur demande

Pourquoi IPv6 n'est pas activé par défaut sur nos hébergements, dans quels cas il vaut le coup de le demander, et comment tester puis configurer proprement une fois qu'on vous l'a ouvert.

intermédiaire ⏱ 7 min Mise à jour : 2026-04-24

IPv6 est une techno mature, déployée à grande échelle, et un jour ou l'autre tout le monde y passera. Chez Datacampus, nous avons néanmoins fait un choix explicite : ne pas activer IPv6 par défaut sur les hébergements. Ce n'est pas un oubli, c'est une décision liée à notre chaîne de protection anti-DDoS. Cette doc explique pourquoi, ce que vous gagnez (ou pas) à demander l'activation, et comment procéder proprement si c'est votre cas.

Rappel rapide : IPv6 en deux minutes

IPv4 utilise des adresses sur 32 bits (90.85.12.34), soit environ 4,3 milliards d'adresses possibles. Le stock global est officiellement épuisé depuis 2011, ce qui pousse au NAT, aux CGN chez les opérateurs, et à une pénurie toujours plus marquée.

IPv6 passe à 128 bits, notation hexadécimale du type 2001:db8::1. L'espace disponible devient pratiquement illimité pour nos usages. Pas de NAT nécessaire, connexion de bout en bout entre deux machines, configuration simplifiée côté opérateur.

Bénéfices côté site web

  • Compatibilité clients IPv6-only — rares en France mais existants : certains réseaux mobiles (notamment à l'étranger), quelques FAI qui n'offrent plus d'IPv4 publique en natif.
  • Léger gain perf sur mobile — quand le carrier n'a plus besoin de faire transiter par sa passerelle NAT64, la latence descend d'un cran.
  • SEO — Google ne pénalise pas un site IPv4-only. Il a historiquement indiqué une légère préférence pour les sites joignables en IPv6, mais l'impact mesurable reste marginal.

Bénéfices côté envoi de mail

  • Les gros opérateurs MX (Gmail, Yahoo, Microsoft 365) acceptent et parfois préfèrent les envois en IPv6 quand la source est proprement configurée.
  • Prérequis strict : reverse DNS IPv6 (PTR sur l'adresse v6) configuré et cohérent. Sans ça, l'effet s'inverse — beaucoup de MX refusent directement un mail arrivant d'une IP v6 sans PTR.
  • SPF, DKIM et DMARC doivent évidemment couvrir la partie v6 également.

Notre position Datacampus : pas activé par défaut

Notre protection anti-DDoS repose sur Cloudflare Magic Transit, qui protège nos préfixes IPv4 avec un niveau de mitigation volumétrique et applicatif éprouvé. Côté IPv6, Magic Transit est encore en bêta chez Cloudflare à date : la couverture existe, mais elle n'est pas au même niveau de profondeur qu'en v4, et aucune date ferme de passage en GA n'a été annoncée publiquement.

Activer IPv6 largement sur nos hébergements reviendrait donc à exposer nos clients à des vecteurs d'attaque sans la même défense en amont. Nous préférons tenir la ligne : IPv4 partout, IPv6 à la demande, après évaluation du profil du site.

📡
Techniquement, on est prêts
Datacampus opère son propre AS (AS50446) et a des plages IPv6 assignées. La stack réseau, les routeurs, les hyperviseurs Proxmox et le reverse DNS sont capables de servir de l'IPv6 aujourd'hui. Le frein est uniquement upstream, au niveau de la protection DDoS.

Quand demander l'activation

Certains projets ont un vrai intérêt à activer IPv6 malgré le compromis de protection :

  • Cible B2C mobile, notamment hors de France, où les opérateurs poussent IPv6 fortement.
  • Exigence contractuelle ou de labellisation : référentiels Arcep, RGESN, certains appels d'offres publics, cahiers des charges administrations.
  • Serveur de mail B2B où la délivrabilité IPv6 peut faire la différence avec les gros MX.
  • Tests et bascule future : valider son outillage (monitoring, fail2ban, logs, firewall) avant une migration plus large.

Procédure de demande

Ouvrir un ticket sur servicedesk.datacampus.fr avec :

  • Le nom de domaine (ou la VM) concerné.
  • Le cas d'usage qui motive la demande.
  • Une confirmation explicite que vous acceptez un niveau de protection DDoS IPv6 réduit tant que Cloudflare Magic Transit v6 est en bêta.

Notre équipe évalue, active côté infra, et vous confirme l'adresse IPv6 attribuée ainsi que le reverse DNS configuré.

Tester le support IPv6

Côté site

# Force curl en IPv6 uniquement
curl -6 -I https://votresite.fr/

# Résout uniquement l'enregistrement AAAA
dig AAAA votresite.fr +short

Si la première commande renvoie une réponse HTTP, votre site est joignable en IPv6. Pour une vérification côté visiteur, test-ipv6.com donne un score complet depuis le navigateur.

Côté mail

# AAAA du serveur mail
dig AAAA mail.votredomaine.fr +short

# Reverse PTR sur l'IP v6 renvoyée
dig -x 2001:db8::25 +short

Le PTR doit pointer vers un nom FQDN qui résout lui-même en retour vers la même IPv6 (cohérence forward/reverse).

Configuration post-activation

Une fois IPv6 ouvert sur votre hébergement, quelques ajustements applicatifs :

  • DNS : ajouter un enregistrement AAAA sur le(s) sous-domaine(s) concernés.
  • Firewall applicatif : étendre les règles et whitelists en notation IPv6. Les ACL qui autorisent seulement des plages v4 doivent être doublées.
  • fail2ban : les versions récentes gèrent nativement IPv6. Vérifier la présence de banaction = iptables-ipv6 ou nftables, et que les jails actives couvrent bien les deux familles.
  • .htaccess : étendre vos Require ip pour inclure les plages v6, par exemple : 
    Require ip 90.85.12.34
Require ip 2001:db8::/32
  • Applicatif (WordPress, Prestashop, logs Apache) : rien à changer sur le code, mais attendez-vous à voir des IPs beaucoup plus longues dans les logs, les tableaux d'administration et les modules de sécurité. Les champs stockant une IP en base doivent tolérer 45 caractères.

Et côté client / agence ?

Pour profiter d'IPv6 en tant que visiteur ou en tant que développeur qui teste ses déploiements, votre propre connexion doit le supporter. En pratique :

  • Box fibre grand public : IPv6 actif par défaut chez la plupart des FAI français.
  • 4G / 5G : oui, quasiment partout.
  • Réseau d'entreprise : variable. Beaucoup de bureaux tournent encore en IPv4-only, d'autres en double-stack.

Un passage rapide sur test-ipv6.com vous dit en dix secondes où vous en êtes.

💡
Cloudflare Free devant votre site
Si vous tenez à ce que vos visiteurs puissent vous joindre en IPv6 sans attendre qu'on active l'IPv6 natif côté origine, mettez Cloudflare Free (plan gratuit) en front de votre domaine. Cloudflare servira automatiquement des AAAA sur ses edges : vos visiteurs IPv6 arrivent bien chez vous, même si l'origine reste joignable en IPv4 uniquement. C'est la solution la plus propre en attendant la GA de Magic Transit v6.
⚠️
Ne créez pas un AAAA « pour faire bien »
Si vous ajoutez un enregistrement AAAA alors que votre serveur n'écoute pas en IPv6, les clients v6 vont tenter la connexion… et tomber sur un connection refused. Résultat : site partiellement injoignable pour une partie de votre audience, sans explication côté navigateur. Un AAAA se publie seulement quand le service derrière répond réellement en IPv6.

À retenir

  • IPv6 est une techno mature, Datacampus y viendra à terme.
  • Aujourd'hui : pas d'activation par défaut, pour ne pas exposer nos clients derrière une protection DDoS IPv6 encore en bêta chez Cloudflare.
  • Activation sélective, sur ticket ServiceDesk, après évaluation du profil de risque.
  • Horizon d'activation large : quand Cloudflare Magic Transit IPv6 passera en GA. Aucune date ferme communiquée à ce stade.
  • En attendant, Cloudflare Free en front offre une alternative propre pour servir des visiteurs IPv6.

Pour aller plus loin

Docs liés

SSL & domaines

Ajouter un domaine ou un sous-domaine sur Plesk

Ajouter un domaine complet, un sous-domaine ou un alias dans Plesk : création du webspace, configuration DNS, Let's Encrypt, redirection www et limites de l'offre.

 Performance

Cloudflare devant un site hébergé chez Datacampus

Poser Cloudflare en reverse proxy devant votre site Plesk : DNS, SSL mode, proxy orange, récupération de la vraie IP visiteur, règles de cache et pièges classiques.

 Sécurité

Hardening général : les essentiels

Checklist de durcissement : principes (moindre privilège, defense in depth, MAJ), comptes (MDP forts, 2FA), site (HTTPS, HSTS, CSP, cookies), serveur (fail2ban, SSH, WAF) et audit continu.

Besoin d'aide ?

Cette documentation ne couvre pas votre cas ? Notre support humain est là.

Ouvrir un ticket Nous contacter