Auteur Sujet: Firewall IPv6 & délégation de préfixe dans la nouvelle màj Bbox 18.2.12 (Lu 40460 fois)

Sn@ke · « **Réponse #72 le:** 06 mars 2023 à 17:49:27 »

Tu sembles utiliser le pfSense directement sur l'ONT sans la bbox (je déduis ça du spoofing de la MAC) ? Je pense que le sujet est d'utiliser un pfSense derrière la bbox.
Si c'est bien ça il faudrait peut être mettre l'astuce dans un autre thread, ça pourra être utile à d'autres personnes

vgauthier · « **Réponse #73 le:** 06 mars 2023 à 18:11:35 »

Oui en effet

stlan · « **Réponse #74 le:** 06 mars 2023 à 19:45:50 »

Chapeau vgauthier pour ton partage et travail !

Concernant le sujet de la délégation de préfixe IPV6 notamment évoqué depuis la Bbox, le problème est bien pris en charge pour une future correction.

Il faudra un peu de patience le temps à nos équipes pour effectuer l'intégration.

Merci

renaud07 · « **Réponse #75 le:** 06 mars 2023 à 23:24:35 »

Citation de: vgauthier le 06 mars 2023 à 17:31:50

Dans les faits les serveurs DHCPv6 de Bouygues sont configurés pour utiliser la rfc6603 (cf. ref[4] et cf. le texte de la rfc ci-dessous), autrement dit la délégation de préfixe avec l'option OPTION_PD_EXCLUDE. Cela implique que le routeur demandant un préfix est en charge d'assigner une adresse IPv6 à l'interface WAN. Exemple, lors d'un échange DHCPv6 suivant la rfc6603, si un routeur reçoit un préfix /60 avec l'option OPTION_PD_EXCLUDE et il doit réserver un /64 dans son /60 afin d'assigner une adresse IPv6 a son interface WAN.

J'ai toujours du mal à comprendre en quoi c'est utile, vu que le routage se fait en priorité via la link local et que le routeur a de toute façon une ipv6 publique sur sa patte LAN, il est joignable de n'importe où.

vgauthier · « **Réponse #76 le:** 07 mars 2023 à 08:25:47 »

Tu as raison le faite qu'aucune GUA ne soit assignée à l'interface WAN ne pose pas de problème particulier étant donné que le routage s'effectue sur la base dune adresses de Liens Local. Cependant, il peut être utile par exemple de pouvoir effectuer un ping sur l'adresse WAN depuis un réseau externe pour tester la connectivité de ton interface WAN (traceroute, etc) depuis un réseau externe, d'avoir un serveur VPN connecter sur l'interface WAN, etc, bref il y a quand même plein de situations ou cela peut être utile. Plus philosophiquement, l'avantage d'IPv6 est de pouvoir facilement adresser globalement toutes les devices connectées au réseau, il serait donc dommage que la seule chose qui ne soit pas globalement adressée soit ton interface WAN.

ubune · « **Réponse #77 le:** 10 mars 2023 à 08:22:18 »

Citation de: vgauthier le 07 mars 2023 à 08:25:47

Tu as raison le faite qu'aucune GUA ne soit assignée à l'interface WAN ne pose pas de problème particulier étant donné que le routage s'effectue sur la base dune adresses de Liens Local. Cependant, il peut être utile par exemple de pouvoir effectuer un ping sur l'adresse WAN depuis un réseau externe pour tester la connectivité de ton interface WAN (traceroute, etc) depuis un réseau externe, d'avoir un serveur VPN connecter sur l'interface WAN, etc, bref il y a quand même plein de situations ou cela peut être utile. Plus philosophiquement, l'avantage d'IPv6 est de pouvoir facilement adresser globalement toutes les devices connectées au réseau, il serait donc dommage que la seule chose qui ne soit pas globalement adressée soit ton interface WAN.

Pas vraiment, en attribuant une GUA à ton interface WAN tu n'y gagnes rien et tu gaspilles 2^64 adresses, c'est plutôt ça qui est "dommage".
Comme dit Renaud07, tu peux très bien superviser ton wan en "pinguant" l'interface LAN (et être en écoute sur ton wireguard/openvpn ) qui possedera une adresse ipv6 GUA d'un des /64 du /60.
Il ne faut pas essayer de transposer ce qu'on fait en ipv4, en ipv6.

babs · « **Réponse #78 le:** 15 juin 2023 à 22:44:40 »

Citation de: stlan le 06 mars 2023 à 19:45:50

Chapeau vgauthier pour ton partage et travail !

Concernant le sujet de la délégation de préfixe IPV6 notamment évoqué depuis la Bbox, le problème est bien pris en charge pour une future correction.

Il faudra un peu de patience le temps à nos équipes pour effectuer l'intégration.

Merci

Bonjour,

Est ce que ce soucis est aussi relatif à la délégation dans la box (sans spoof) ?

En effet, dans mon setup (BBox => routeur [configuré en DMZ v4 + délégation d'un /64 static (aussi testé en dhcpv6)] => LAN), je vois bien le trafic sortir et atteindre la cible ainsi que la réponse repartir de la cible (simple ping, capture avec tcpdump sur la cible et le routeur intermédiaire) mais la réponse ne revient jamais au routeur derrière la bbox.
Si je ping depuis le routeur (avec l'ip configuré prise dans le premier /64 de la box), là par contre, j'ai bien la réponse.

Le fw est bien désactivé, en mode faible (par acquis de conscience).
J'ai une hypothèse, le subnet alloué n'est pas convenablement routé par la box quand il est délégué ?
=> traceroute de l’extérieur perdu entre le hop pré box et la box avec le TTL qui explose (passe de 7 à 64) comme une partie de ping-pong entre deux routeurs (le classico quand le dernier hop ne sais pas quoi faire du trafic routé et re-balance la patate à sa default)
=> alors que le traceroute sur l'ip externe de la box (en ::1 du dernier /64 du range public) lui arrive bien de 7 à 8 avec réponse franche de fin de parcours
=> même comportement de dépassement de TTL sur les autres subnet de la box non délégués

En théorie l'ensemble du /60 pourrait être null-routé sur la box pour éviter le ping-pong ? (perso je ne le fais rarement, principalement par flemme)
mais surtout ce serait bien qu'il soit routé convenablement derrière la box

[Edit: test faits avec F@st 5688b firmware SG_MAIN_22.442 du 18.4.2023]

Florian · « **Réponse #79 le:** 21 juillet 2023 à 22:50:49 »

Citation de: stlan le 06 mars 2023 à 19:45:50

Chapeau vgauthier pour ton partage et travail !

Concernant le sujet de la délégation de préfixe IPV6 notamment évoqué depuis la Bbox, le problème est bien pris en charge pour une future correction.

Il faudra un peu de patience le temps à nos équipes pour effectuer l'intégration.

Merci

Sans vouloir presser ou quoi que ce soit, savez vous si c'est sur une roadmap pour 2023 ? Vu l'apparition du XGS Pon, et en attendant de trouver un ont qui fonctionne, remettre la bbox avec une dmz pour l'ipv4 et delegation ipv6 vers un routeur perso serait une solution.

RakLil · « **Réponse #80 le:** 29 juillet 2023 à 15:50:06 »

J'ai reçu un nouveau firmware sur mon Ultym il y a quelques temps, et surpriiiiise : la délégation de préfixe fonctionne enfin.

Donc j'ai DMZ IPv4 et PD IPv6 et c'est OK.

Florian · « **Réponse #81 le:** 29 juillet 2023 à 15:54:41 »

Ah, bonne nouvelle

Tu pourrais partager ta configuration (bbox+routeur derriere) stp ?

RakLil · « **Réponse #82 le:** 31 juillet 2023 à 15:09:20 »

C'est assez trivial, tu veux savoir quoi ?

- Côté Bbox :
Parefeu IPv4 et 6 activés (mode "normal" pour IPv6)
DMZ configurée vers l'IP WAN du routeur
Délégation de préfixe : j'ai choisi un préfixe, type Dynamique, Niveau de sécurité faible.

- Côté Routeur :
IPv4 statique sur le WAN (par choix, mais en DHCP avec la Bbox ca irait très bien aussi)
IPv6 : client DHCP-PD. Pas de configuration spécifique si ce n'est que je configure le routeur pour qu'il ne reprenne pas les DNS annoncés par la Bbox (par choix aussi)

Florian · « **Réponse #83 le:** 31 juillet 2023 à 15:13:27 »

Ok, donc c'est différent de la config free qui avait la notion de next hope pour le routage ipv6.

Je retesterais à l'occasion. Merci.