Auteur Sujet: ipv4 littérale inaccessible, explication ? (Lu 686 fois)

Mjules · « **le:** 10 août 2024 à 16:18:39 »

Bonjour,

durant mes vacances, j'ai du utiliser un point d'accès (téléphone android) partageant une connexion Sosh en 4G et initialement, pas moyen de me connecter à mon VPN perso (via wireguard, également depuis android).

En enquêtant un peu, je me suis rendu compte qu'en utilisant l'adresse ipv4, je n'atteignais pas le serveur alors qu'avec l'adresse ipv6 ou en utilisant les adresses préfixées NAT64 (64:ff9b::/96) la connexion se fait sans problème.
Ceci est confirmé via le le test de connectivité ipv4 via adresse littérale de lafibre.info (http://ip.lafibre.info/) qui ne fonctionne pas (depuis le téléphone partageant ou depuis un client du point d'accès).

J'ai réglé le problème en créant deux sous-domaines, un pour le v4 et un pour le v6 (je dois parfois pouvoir me connecter depuis un réseau ipv4 pur et wireguard privilégie l'ipv4 quand il a le choix, d'où le sous domaine v6 pur).

Ma question est la suivante : quelle est la raison pour ce problème avec les ipv4 littérales ?
J'ai cru comprendre en lisant le forum que cela venait de la façon dont Orange/Sosh implémente le CGNAT pour l'ipv4 mais ça reste assez flou dans ma tête et je suis preneur d'une explication.

merci.

vivien · « **Réponse #1 le:** 10 août 2024 à 17:27:09 »

Quel est ton mobile (référence et version d'Android) ?
Certains ont du mal à récupérer le préfixe pour le 464XLAT, mais c'est rare.

Si tu n'as pas d'IPv4 littérale en partage de connexion, tu ne dois pas en avoir non plus directement sur ton mobile.

Tu peux tester en 4G ce que donne http://ip.lafibre.info/

Mjules · « **Réponse #2 le:** 10 août 2024 à 17:36:55 »

Le mobile qui partage est un fairphone3 avec android 13 (la version fournie par fairphone). les clients sont un oneplus3T avec lineageOS 18.1 (android 11) et une tablette galaxy tab A8 avec android 11

effectivement, pas d'ipv4 littérale ni sur le mobile partageur ni sur les clients.

vivien · « **Réponse #3 le:** 11 août 2024 à 08:48:54 »

C'est incompréhensible, le Fairphone 3 est commercialisé par Orange : il est donc compatible avec le réseau Orange et avec l'IPv6 only.

Pour découvrir le préfixe IPv6 à utiliser pour le 464XLAT, ton mobile fait une requête DNS AAAA vers ipv4only.arpa. C'est le mécanisme décris dans la RFC8683 : https://datatracker.ietf.org/doc/html/rfc8683

Tu n'as pas changé de serveur DNS sur ton Fairphone 3 ?

Tu utilises bien les DNS d'Orange ?

Cela serait possible de vérifier que le réseau te donne bien le préfixe 64:ff9b quand tu fais une requête vers ipv4only.arpa ?

(cela se peut se faire via un PC connecté en partage de connexion sur ton Fairphone 3)

Ensuite ton mobile va utiliser l'adresse IP 192.0.0.x coté LAN

Cette IPv4 devrait apparaitre dans Paramètres ⇒ À propos du téléphone ⇒ Identifiants de l'appareil ⇒ Adresse IP (il faut désactiver le Wi-Fi, sinon tu vas voir l'IPv4 que ton point d'accès te délivre)

vivien · « **Réponse #4 le:** 11 août 2024 à 08:49:38 »

Pour en savoir plus sur le fonctionnement du 464XLAT :

Citation de: vivien le 14 juillet 2021 à 21:59:21

Il y a quand même des nouveautés dans le rapport, comme les explications sur les accès IPv6 et le mécanisme de 464XLAT :

Mjules · « **Réponse #5 le:** 11 août 2024 à 13:01:21 »

Merci pour ces informations.

Pour répondre aux questions dans l'ordre :

DNS : oui ce sont bien ceux d'orange

Paramètres réseaux obtenus depuis un PC connecté au point d'accès du fairphone :

Code: [Sélectionner]

2: wlp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether b4:69:21:d3:37:d1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.194.25/24 brd 192.168.194.255 scope global dynamic noprefixroute wlp1s0
       valid_lft 3439sec preferred_lft 3439sec
    inet6 2a01:cb0d:803d:adcf:17:6b4b:1475:9ade/64 scope global dynamic noprefixroute 
       valid_lft 3577sec preferred_lft 3577sec
    inet6 fe80::5047:317:e44e:f937/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Code: [Sélectionner]

; <<>> DiG 9.18.15 <<>> aaaa ipv4only.arpa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29713
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;ipv4only.arpa.			IN	AAAA

;; ANSWER SECTION:
ipv4only.arpa.		7019	IN	AAAA	64:ff9b::c000:aa
ipv4only.arpa.		7019	IN	AAAA	64:ff9b::c000:ab

;; Query time: 3 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Aug 11 12:38:25 CEST 2024
;; MSG SIZE  rcvd: 98

Depuis le fairphone, dans Paramètres ⇒ À propos du téléphone ⇒ Identifiants de l'appareil ⇒ Adresse IP ;
je n'ai qu'une adresse en ipv6, pas d'ipv4

cela m'a donné l'idée d'aller jeter un oeil du côté de l'APN (nom Orange world), le « protocole APN » est défini à ipv6. Le téléphone ne me permet pas de modifier les paramètres de l'APN.

Mjules · « **Réponse #6 le:** 11 août 2024 à 13:06:33 »

A noter qu'il n'y a pas de problème à accéder aux sites en ipv4 only. C'est vraiment seulement quand j'essaye avec une ip littérale.

vivien · « **Réponse #7 le:** 11 août 2024 à 13:13:11 »

Sites IPv4 only : Le 464XLAT n'est utilisé que quand tu fais des requêtes avec des adresses IPv4.
Quand tu passes par le DNS, tu as un DNS64 qui te donne des IPv6 pour les sites IPv4 only (IPv6 qui pointe vers une plateforme Orange qui va transformer l'IPv6 en IPv4, l'IPv4 étant codée dans l'adresse IPv6 de destination).
Si tu mets un DNS alternatif (non DNS64) sur ton PC connecté en partage de connexion, les requêtes vers des sites IPv4 only vont échouer.

Le DNS64 permet d'éviter que le terminal fasse la translation : autant que les requêtes soient émise directement en IPv6, cela fait quelques cycles de CPU économisés.
Il reste quelques usages avec des IPv4 litérales et c'est pour cela que le 464XLAT est là.

APN IPv6 only : Il est normal de le définir sur IPv6 seul, c'est-à-dire que le réseau ne te fourni que de l'IPv6, pas d'IPv4.
C'est la configuration de plus 96% des smartphones chez Orange.

Requêtes DNS : Tu reçois bien l'information qui permet de récupérer le préfixe du 464XLAT, parfait.
Si tu regardes pour n'importe quel site IPv4 only, tu auras un AAAA.

Adresse IPv4 sur le terminal : inutile de regarder en partage de connexion, c'est un préfixe du partage de connexion.

Coté Android, tu n'as pas d'IPv4, ce qui signifie que le 464XLAT est désactivé ou n'a pas réussi à se mettre en place.
Pourquoi ? Je l'ignore. Tu as fait qq chose de particulier sur ton android ?

Cela serait possible de mettre ta SIM dans ton oneplus3T et de voir quel est le comportement ?
lineageOS 18.1 devrait proposer du 464XLAT (bien mettre l'APN Orange en IPv6 only)

Je cherche à savoir si c'est un problème réseau ou terminal.

Mjules · « **Réponse #8 le:** 11 août 2024 à 14:29:08 »

Citation de: vivien le 11 août 2024 à 13:13:11

(...)

Coté Android, tu n'as pas d'IPv4, ce qui signifie que le 464XLAT est désactivé ou n'a pas réussi à se mettre en place.
Pourquoi ? Je l'ignore. Tu as fait qq chose de particulier sur ton android ?

Cela serait possible de mettre ta SIM dans ton oneplus3T et de voir quel est le comportement ?
lineageOS 18.1 devrait proposer du 464XLAT (bien mettre l'APN Orange en IPv6 only)

Je cherche à savoir si c'est un problème réseau ou terminal.

c'est le portable de mon épouse, elle n'a rien fait de spécial dessus.

J'ai testé avec la SIM dans mon oneplus (avec lineage) et après avoir reparamétrer l'APN (ça se fait pas tout seul), le 464XLAT a l'air de fonctionner, j'ai pu accéder à un site en tapant son ipv4 littérale.

j'ai ensuite remis la SIM dans le fairphone et de nouveau, le même problème que ce soit avec l'APN par défaut ou avec un APN reconfiguré à l'identique de celui du oneplus.

Donc ça semble être un problème avec le teléphone/OS du téléphone