Ingénierie réseau

Réseau IPv6-Only avec NAT64/464XLAT

Faire fonctionner un réseau local IPv6-only tout en maintenant la connectivité IPv4

Laurent Goudet · 3 février 2026 · 4 min de lecture

Les adresses IPv4 s’épuisent. L’ARIN a épuisé son pool libre en septembre 2015. Le RIPE a suivi en novembre 2019. Les adresses restantes sont soit thésaurisées par de grandes organisations, soit échangées sur un marché secondaire à 30-50 $ l’adresse. Pendant ce temps, les opérateurs mobiles — confrontés à une croissance explosive du nombre d’appareils — avaient besoin d’une voie qui ne dépende pas de l’achat d’espace IPv4 supplémentaire.

La réponse : des réseaux IPv6-only avec NAT64 comme pont. Au lieu de faire tourner une double pile (maintenir IPv4 et IPv6 en parallèle, avec toute la complexité opérationnelle que cela implique), des opérateurs comme T-Mobile, Reliance Jio et SK Telecom sont passés en IPv6-only en interne et utilisent NAT64 pour traduire lors des communications avec l’internet IPv4. Le réseau interne se simplifie radicalement : une seule famille d’adresses, un seul jeu de règles de pare-feu, une seule table de routage.

Mais l’IPv6-only casse des choses. Les applications historiques avec des adresses IPv4 codées en dur, les protocoles qui intègrent des IP dans les données applicatives, les clients VPN qui supposent IPv4 — tout cela échoue. 464XLAT résout le dernier kilomètre en ajoutant CLAT (traducteur côté client) directement sur l’appareil. Voici comment tout s’articule.

Architecture 464XLAT

App IPv4 → CLAT (IPv6) → Réseau → NAT64 → Internet IPv4
📱
App legacyUtilise des API IPv4 uniquement
IPv4
🔄
CLATTraducteur embarqué (eBPF)
IPv6
📡
Réseau IPv6Pas d’adresses IPv4
IPv6
🌐
NAT64Traducteur réseau
IPv4
☁️
Serveur IPv4Destination legacy
Trafic IPv4
Trafic IPv6
CLAT (côté client)
NAT64 (côté réseau)

Traduction d'adresses NAT64

Les adresses IPv4 sont intégrées dans un préfixe IPv6 spécial
Préfixe NAT64 bien connu : 64:ff9b::/96
8.8.8.8
64:ff9b::8.8.8.8
1.1.1.1
64:ff9b::1.1.1.1
93.184.216.34
64:ff9b::5db8:d822

Le préfixe /96 laisse exactement 32 bits pour l’adresse IPv4 à intégrer

DNS64 : synthèse d'adresses transparente

Comment le DNS rend NAT64 transparent pour les applications IPv6 natives
1
Le client interrogeexample.com AAAA
2
Le serveur DNS64 vérifie : example.com a-t-il un vrai enregistrement AAAA ?
3
Si aucun AAAA n’existe, interroger pourexample.com A → obtient 93.184.216.34
4
Synthétiser un AAAA en préfixant le préfixe NAT64 →64:ff9b::5db8:d822
5
Le client se connecte à l’adresse IPv6 synthétisée ; le routeur NAT64 traduit en IPv4

Ce qui casse en IPv6-only

NAT64 avec DNS64 gère le cas courant — les applications qui résolvent les noms d’hôtes via le DNS. Mais plusieurs catégories de trafic cassent sur un réseau IPv6-only, et les comprendre explique pourquoi CLAT existe.

Adresses IPv4 codées en dur. Toute application qui se connecte directement à une adresse IP (pas un nom d’hôte) contourne entièrement DNS64. Les clients de jeux, les firmwares IoT et les logiciels d’entreprise historiques sont les cas les plus fréquents. CLAT intercepte ces paquets IPv4 au niveau de l’appareil et les traduit en IPv6 avant qu’ils n’atteignent le réseau.

Protocoles qui intègrent des adresses dans les données. SIP (VoIP) et FTP en mode actif placent des adresses IP dans les données de la couche applicative. Une passerelle NAT64 traduit les en-têtes de paquets mais pas les données, ces protocoles voient donc des adresses IPv4 périmées et échouent. Des passerelles de niveau applicatif (ALG) peuvent aider, mais elles ajoutent de la complexité et sont souvent en retard sur les mises à jour des protocoles.

VPN et pair-à-pair. Les tunnels IPsec et WireGuard attendent typiquement une adresse IPv4 interne. Les applications pair-à-pair qui échangent des adresses IP hors bande (candidats ICE WebRTC, BitTorrent) ont aussi des difficultés. L’interface IPv4 virtuelle du CLAT résout la plupart des scénarios VPN ; le P2P nécessite généralement une double pile ou un support IPv6 au niveau du protocole.

Où s'effectue la traduction

CLAT gère les applications historiques, DNS64/NAT64 gère tout le reste

NAT64 + DNS64 (côté réseau)

  • S’exécute sur le routeur/passerelle
  • Fonctionne pour toutes les apps compatibles IPv6
  • Nécessite DNS64 pour un fonctionnement transparent
  • Un seul traducteur dessert tout le réseau
  • Les apps utilisant le DNS fonctionnent automatiquement

CLAT (côté client)

  • S’exécute sur l’appareil
  • Gère les apps utilisant du IPv4 codé en dur
  • Crée une interface IPv4 virtuelle
  • Utilise eBPF pour une réécriture efficace des paquets
  • Récemment ajouté à NetworkManager (Linux)

Déploiement en pratique

Home lab et petits réseaux. Tayga et Jool sont les deux principales implémentations NAT64 open-source pour Linux. Tayga est plus simple (espace utilisateur, basé sur TUN) ; Jool est plus rapide (module noyau, supporte les modes stateful et stateless). Associez l’un ou l’autre avec un résolveur DNS64 comme BIND ou Unbound, et vous obtenez un réseau IPv6-only fonctionnel avec accès à l’internet IPv4.

Opérateurs mobiles à grande échelle. Le déploiement IPv6-only de T-Mobile couvre des centaines de millions d’appareils. Android inclut CLAT depuis la version 4.3 (2013), et iOS utilise sa propre implémentation de manière transparente. Le NAT64 côté réseau fonctionne sur du matériel de classe opérateur avec un suivi d’état de millions de traductions simultanées.

Entreprise. Les organisations avec de grandes allocations IPv4 font face à des coûts croissants à mesure que les adresses prennent de la valeur. Migrer les réseaux internes vers l’IPv6-only avec NAT64 en périphérie élimine le besoin d’adressage IPv4 interne. Les économies opérationnelles — un seul plan d’adressage, un seul jeu d’ACL, pas de NAT44 — justifient souvent l’effort de migration en moins d’un an.

464XLAT est largement déployé par les opérateurs mobiles (T-Mobile, etc.) pour économiser les adresses IPv4.


Android supporte CLAT depuis Android 4.3. Le support dans NetworkManager (Linux) est arrivé en 2024.

Questions fréquentes

Pourquoi passer en IPv6-only plutôt qu'en double pile ?

La double pile double la surface opérationnelle : deux jeux de règles de pare-feu, deux plans d'adressage, deux modes de défaillance. L'IPv6-only avec NAT64 élimine IPv4 du réseau interne, simplifiant la gestion. Les opérateurs comme T-Mobile et Reliance Jio sont passés en IPv6-only car cela préserve aussi les adresses IPv4 devenues rares — l'ARIN a épuisé son pool libre en 2015, le RIPE en 2019.

Qu'est-ce qui casse quand on supprime IPv4, et comment 464XLAT résout-il le problème ?

Les applications avec des adresses IPv4 codées en dur (appels socket vers 10.0.0.1), les protocoles qui intègrent des adresses IP dans les données (SIP, FTP mode actif) et les clients VPN attendant une interface IPv4 cassent sur les réseaux IPv6-only. 464XLAT résout cela en exécutant CLAT sur l'appareil, qui crée une interface IPv4 virtuelle — les applications historiques voient IPv4 tandis que le réseau fonctionne en IPv6 pur.

Comment DNS64 rend-il NAT64 transparent pour les applications ?

Quand une application interroge un nom d'hôte et que la cible n'a qu'un enregistrement A (IPv4), DNS64 synthétise un faux enregistrement AAAA en intégrant l'adresse IPv4 dans le préfixe NAT64 (64:ff9b::/96). L'application se connecte à cette adresse IPv6 synthétique, et la passerelle NAT64 traduit en IPv4 sur le réseau. L'application ne sait jamais qu'IPv4 était impliqué.

Qui utilise NAT64 en production ?

Les opérateurs mobiles comme T-Mobile déploient NAT64/464XLAT à grande échelle. Android prend en charge CLAT depuis Android 4.3, et Linux NetworkManager le supporte depuis 2024.

Laurent Goudet

CTO chez Freelancer.com

Agents IA, réseau et infrastructure à grande échelle

Autres analyses

Sécurité réseau

TLS vs mTLS Handshake

Comparaison des flux d'authentification TLS standard et mutuel

Sécurité réseau

TLS 1.2 vs TLS 1.3 Handshake

Comparaison de l'efficacité du handshake et des améliorations de sécurité

Ingénierie CDN

Le piège == false en Fastly VCL

Comment l'utilisation de == false au lieu de ! dans des conditions composées en Fastly VCL peut silencieusement casser votre logique

IA & Industrie

Quelque chose de grand se passe — mais pas ce que vous croyez

Pourquoi l'IA est un changement de couche d'abstraction, pas la fin du travail intellectuel — la réponse d'un praticien à l'essai viral sur l'IA

IA & Industrie

Orchestration d'agents IA à grande échelle — Ce qui fonctionne vraiment en production

Patterns et leçons tirées de l'exploitation de systèmes multi-agents à l'échelle de 80M+ utilisateurs : routage, chaînes de fallback, gestion du contexte, et pourquoi la plupart des architectures d'agents échouent.

Sécurité réseau

DNSSEC : chaîne de confiance de la racine à ce domaine

Comment DNSSEC construit une chaîne de confiance cryptographique de la racine DNS à cette zone — avec configuration Pulumi et vérification dig en direct

Sécurité réseau

Déployer DMARC à grande échelle

Guide pratique pour déployer DMARC sur une grande plateforme — corrections SPF, DKIM et alignement à travers AWS SES, Google Workspace, des relais Postfix et des dizaines de domaines

Cloud Security

Votre cle API Google Maps peut maintenant vider votre compte en banque

Google a silencieusement modifie les permissions des cles API pour que celles destinees a Maps puissent desormais appeler Gemini AI. Voici comment auditer vos projets GCP et verrouiller les cles exposees.

© 2026 Laurent Goudet · Bordeaux, France · lepro.dev

vd9714f4