Auteur Sujet: Firewall IPv6 & délégation de préfixe dans la nouvelle màj Bbox 18.2.12 (Lu 65993 fois)

B3nJ1 · « **Réponse #108 le:** 14 novembre 2024 à 11:05:46 »

Désolé pour le déterrage...

C'est possible de déléguer plusieurs préfixes vers un autre routeur ? vers plusieurs autres routeurs ?

Merci

r3m8 · « **Réponse #109 le:** 15 novembre 2024 à 15:58:01 »

Citation de: B3nJ1 le 14 novembre 2024 à 11:05:46

Désolé pour le déterrage...

C'est possible de déléguer plusieurs préfixes vers un autre routeur ? vers plusieurs autres routeurs ?

Merci

Salut,

Oui parfaitement possible mais uniquement par tranche de /64. Si tu veux plusieurs préfixes pour un même routeur, il faudra jouer avec des interfaces virtuelles qui auront des MAC différentes.

B3nJ1 · « **Réponse #110 le:** 25 novembre 2024 à 16:35:06 »

Hello,

Du coup je confirme, pour faire marcher un équipement en délegation IPv6 statique, il faut que l'appareil fasse une demande d'adresse en DHCPv6. Une fois faite, on peut sélectioner comme équipement cible.

Par contre, l'UI permet de déléguer plusieurs préfixes vers le même équipement, mais on dirait que seul le dernier entré fonctionne... si je délègue les trois blocs vers le même équipement, à la fin il n'y a qu'un seul préfixe qui marche. On se croirait sur une livebox

yussef961 · « **Réponse #111 le:** 25 novembre 2024 à 20:09:39 »

bonjour excusez les questions de novice mais suis perdu en ipv6... mon serveur marche bien , j'ai essayé plusieurs chose dont la delegation ipv6 (je ne sais pas trop c'est quoi) pour que d'autres routeurs delivrent des adresses ipv6 donc serveur dchp v6 sur une autre machine que la box?
j'avais vu des posts qui parlaient de 60 bits vs 65 qui posaient des problemes...

a quoi sert svp l'annonce du serveur dhcp v6 pas compris ... c'est quoi la difference avec slaac etc ca sert a quoi?merci

ip statique ca c est bon j'ai compris

merci bcp

Zeda · « **Réponse #112 le:** 26 novembre 2024 à 09:29:14 »

Merci B3nJ1 et r3m8 de répondre aux questions sur lesquelles je planche depuis hier soir.

En revanche, ce ne sont pas les réponses que je souhaitais ! :'(

Cela veut donc dire que pour récupérer plusieurs préfixes IPv6 délégués (avec un maximum de 3 - limite bbox), pour les utiliser sur 3 réseaux différents derrière mon routeur (ex: users, serveurs, DMZ), il faut configurer 3 (sous-)interfaces (avec MAC différentes) sur le routeur "vers la bbox", et au final raccorder sur 3 interfaces LAN de la bbox ?

B3nJ1 · « **Réponse #113 le:** 26 novembre 2024 à 10:14:55 »

Je vais tenter les macvlans sur mon mikrotik pour voir, mais j'ai peur que ça soit pas accéleré et que le débit ne soit pas top

B3nJ1 · « **Réponse #114 le:** 26 novembre 2024 à 11:21:22 »

Je m'auto réponds, ça marche avec une interface en macvlan sur mikrotik.

Bien penser à faire une requête d'adresse en IPv6 et IPv4 (sans la requête IPv4 le traffic IPv6 ne passait pas ?) avant.

Ensuite on peut sélectionner un deuxième préfixe statique vers l'interface macvlan. J'ai pas eu à faire de réglages de routage spécial sur le mikrotik, je suppose que le traffic sortant du mikrotik passe par l'interface physique (et pas le macvlan), mais que dans l'autre sens ça revient sur le macvlan... mais ça a pas l'air de déranger la bbox ou le mikrotik.

Zeda · « **Réponse #115 le:** 26 novembre 2024 à 11:39:58 »

Merci pour ton test, c'est très instructif.

Pour le flux sortant, il faudrait regarder ce que dit la table de routage de ton Mikrotik (1 route par défaut active ou plusieurs ?).
Mais si tu confirmes que cela fonctionne, je comprends que la bbox ne filtre pas si le trafic IPv6 d'un préfixe délégué vient d'une autre adresse MAC que celle configurée.

Mon Edgerouter ne supporte pas le macvlan j'ai l'impression (ou alors, ça n'a pas l'air natif). Je vais devoir le faire différemment, passer par 2 sous-interfaces taguées, puis mon switch et faire 2 raccordements supplémentaires entre mon switch et la bbox... En attendant d'avoir le matos pour bypasser la bbox.

r3m8 · « **Réponse #116 le:** 26 novembre 2024 à 14:42:17 »

Citation de: Zeda le 26 novembre 2024 à 09:29:14

Cela veut donc dire que pour récupérer plusieurs préfixes IPv6 délégués (avec un maximum de 3 - limite bbox), pour les utiliser sur 3 réseaux différents derrière mon routeur (ex: users, serveurs, DMZ), il faut configurer 3 (sous-)interfaces (avec MAC différentes) sur le routeur "vers la bbox", et au final raccorder sur 3 interfaces LAN de la bbox ?

Je ne crois pas qu'il y a de limite de préfixes délégués sur la Bbox, en tout cas la version que j'ai (jusqu'à 255 préfixes). Oui, tu dois configurer des sous interfaces avec des adresses MAC différentes, toutefois tu peux parfaitement utiliser la même interface LAN de la Bbox. Un peu comme si tu branchais un switch derrière la box pour plusieurs équipements, une seule interface suffit.

Citation de: Zeda le 26 novembre 2024 à 11:39:58

Mais si tu confirmes que cela fonctionne, je comprends que la bbox ne filtre pas si le trafic IPv6 d'un préfixe délégué vient d'une autre adresse MAC que celle configurée.

Mon Edgerouter ne supporte pas le macvlan j'ai l'impression (ou alors, ça n'a pas l'air natif). Je vais devoir le faire différemment, passer par 2 sous-interfaces taguées, puis mon switch et faire 2 raccordements supplémentaires entre mon switch et la bbox... En attendant d'avoir le matos pour bypasser la bbox.

Alors si il y a quelques filtres : déjà, le firewall est toujours fonctionnel même avec un préfixe que ne gère pas directement la Bbox. Ensuite, même en désactivant le pare-feu de la Bbox, tu ne pourras pas faire certaines requêtes notamment l'ICMP (ping) en in ou out.

J'insiste sur le fait que tu n'as pas besoin de faire plusieurs raccordements vers la box depuis ton propre routeur, une interface virtuelle se base sur une seule interface physique sauf si ton équipement te limite inutilement. Après cette manipulation prend vraiment 30 secondes chrono sous Linux, on se rend bien compte à quel point les switchs et routeurs même spécialisés sont d'une limitation technique abusive.

Zeda · « **Réponse #117 le:** 26 novembre 2024 à 20:15:59 »

Citation de: r3m8 le 26 novembre 2024 à 14:42:17

Je ne crois pas qu'il y a de limite de préfixes délégués sur la Bbox, en tout cas la version que j'ai (jusqu'à 255 préfixes).

255 c'est beaucoup pour un /60.

Ce serait plutôt 16 préfixes /64, mais comme la Bbox en mange un, ce serait maximum 15.
Dans les faits, il y a bien une limite à 3. Je me suis amusé à configuré une 4ème délégation de préfixe et après bien récupéré les 3 premiers préfixes, les logs sont formels.

Code: [Sélectionner]

Nov/26/2024 19:51:15: update_ia: status code for PD-3: no prefixes
Nov/26/2024 19:51:17: client6_recvadvert: unexpected advertise

J'ai configuré une délégation de type "dynamique", niveau de sécurité "faible". Je récupère bien 3 préfixes sur 4, même après reboot, c'est bien beau, mais ça ne fonctionne pas pour autant.

Faut que je creuse...

Citation de: r3m8 le 26 novembre 2024 à 14:42:17

J'insiste sur le fait que tu n'as pas besoin de faire plusieurs raccordements vers la box depuis ton propre routeur, une interface virtuelle se base sur une seule interface physique sauf si ton équipement te limite inutilement. Après cette manipulation prend vraiment 30 secondes chrono sous Linux, on se rend bien compte à quel point les switchs et routeurs même spécialisés sont d'une limitation technique abusive.

Malheureusement, je crains de ne pas avoir le choix, comme je dois jouer avec des VLANs. Mon routeur ne supporte pas d'avoir plusieurs sous-interfaces sans faire d'encapsulation, ou du moins, je n'ai pas l'impression que ce soit natif sur VyOS/Edgerouter.
Un petit point pour Linux qui peut être bidouillé pour palier un problème qui ne devrait pas exister.

Zeda · « **Réponse #118 le:** 26 novembre 2024 à 20:47:53 »

Citation de: Zeda le 26 novembre 2024 à 20:15:59

Malheureusement, je crains de ne pas avoir le choix, comme je dois jouer avec des VLANs. Mon routeur ne supporte pas d'avoir plusieurs sous-interfaces sans faire d'encapsulation, ou du moins, je n'ai pas l'impression que ce soit natif sur VyOS/Edgerouter.
Un petit point pour Linux qui peut être bidouillé pour palier un problème qui ne devrait pas exister.

Je me corrige moi-même, il fallait chercher "Pseudo Ethernet", et c'est supporté.

r3m8 · « **Réponse #119 le:** 27 novembre 2024 à 10:39:53 »

Citation de: Zeda le 26 novembre 2024 à 20:15:59

255 c'est beaucoup pour un /60. Ce serait plutôt 16 préfixes /64, mais comme la Bbox en mange un, ce serait maximum 15.
Dans les faits, il y a bien une limite à 3. Je me suis amusé à configuré une 4ème délégation de préfixe et après bien récupéré les 3 premiers préfixes, les logs sont formels.
Code: [Sélectionner]
Nov/26/2024 19:51:15: update_ia: status code for PD-3: no prefixes Nov/26/2024 19:51:17: client6_recvadvert: unexpected advertise
J'ai configuré une délégation de type "dynamique", niveau de sécurité "faible". Je récupère bien 3 préfixes sur 4, même après reboot, c'est bien beau, mais ça ne fonctionne pas pour autant.
Faut que je creuse...

Malheureusement, je crains de ne pas avoir le choix, comme je dois jouer avec des VLANs. Mon routeur ne supporte pas d'avoir plusieurs sous-interfaces sans faire d'encapsulation, ou du moins, je n'ai pas l'impression que ce soit natif sur VyOS/Edgerouter.
Un petit point pour Linux qui peut être bidouillé pour palier un problème qui ne devrait pas exister.

Il me semble que j'ai bien un /56 de mon côté, je pourrais vérifier dans les prochaines semaines.

Bon courage pour trouver la technique fonctionnelle