La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Bouygues Telecom => 
Actus Bouygues => Discussion démarrée par: eahlys le 24 juin 2020 à 19:38:35
-
Hello !
Du nouveau sur les Bbox en 18.2.12, il est maintenant possible de paramétrer beaucoup plus finement l'IPv6. Je teste en ce moment même sur ma NG+R1.
Avant, un firewall bloquait tout en entrée et la Bbox annonçait le premier /64 provenant du /60 attribué par Bouygues Telecom, et le tout n'était pas paramétrable.
Maintenant, on a un firewall analogue à celui en IPv4, on peut déléguer les 3 premiers /64 provenant du /60 (donc pas encore la totalité, on a toujours besoin de remplacer la Bbox par un autre routeur pour exploiter l'entièreté du /60), il est possible de paramétrer le DHCPv6, ajouter des options DHCPv6 custom ainsi qu'assigner une IPv6 fixe via DHCPv6 à un équipement.
L'IPv6 fait son chemin dans la config de la box, bonne nouvelle :)
-
Merci pour cette info.
Et du coup dans la délégation, on peut entre l'IP de son routeur et le routage nécessaire, comme chez Free par exemple ?
-
Merci pour cette info.
Et du coup dans la délégation, on peut entre l'IP de son routeur et le routage nécessaire, comme chez Free par exemple ?
Oui, exactement !
Cependant c'est dommage de ne pouvoir exploiter que les 3 premiers /64 du /60 délégué par Bouygues Telecom. Mais bon, ça devrait quand même permettre de répondre à la majorité des besoins.
La meilleure option si on veut bidouiller c'est remplacer la Bbox par un routeur, la TV continue à fonctionner mais pas le téléphone, et ça peut être embêtant pour certains.
-
Mais avec la dernière box le sfp est intégré, donc s'en passer devient délicat.
Chez Free j'ai mon routeur derrière la delta (dmz en ipv4, delegation en v6), et ça marche très bien. Si je passe chez BT, je ferrais pareil du coup.
-
Tu ne peux pas mettre la Delta en bridge ?
-
Techniquement si, mais dans les faits, à chaque perte du lien fibre (meme de quelques secondes), la connectivité ipv4 est perdue jusqu'à un reboot (bug connu). Donc pas exploitable. Et j'ai 0 soucis en utilisant la fonction dmz en ipv4, donc...
Ca me permet aussi de changer plus facilement de FAIs, sans me demander si la box x ou y supporte le bridge ou pas.
-
Oui c'est vrai, quand j'étais chez Free j'avais un script sur mon raspberry pi qui monitorait l'IPv6 et v4 et si seule l'IPv6 marchait ça redémarait la box. Crade mais fonctionnel. Pour info, Bouygues commence sérieusement le déploiement de l'Ipv6 sur FTTH ☺️
-
Hello,
Petite question, la nouvelle box a quelle dénomination chez BT ? Quand je vois les majs de firm, il est souvent question des Sagem 5330b. Mais ça, c'est l'ancienne génération de routeur non ?
Merci.
EDIT : la dernière box semble être la F5688b. Du coup elle bénéficie également de la délégation de préfix ipv6,etc ?
-
Hello,
Petite question, la nouvelle box a quelle dénomination chez BT ? Quand je vois les majs de firm, il est souvent question des Sagem 5330b. Mais ça, c'est l'ancienne génération de routeur non ?
Merci.
EDIT : la dernière box semble être la F5688b. Du coup elle bénéficie également de la délégation de préfix ipv6,etc ?
Je suis sur F5688b avec IPV6 fonctionnel, j'attends toujours la maj, hate ! Actuellement en SG_MAIN_04.104 du 24.6.2020.
-
Bouygues Telecom a attendu avant de proposer de quoi configurer son firewall IPv6, mais le résultat semble impressionnant.
Je me trompe où Bouygues Telecom aurait le plus complet des firewall IPv6 proposé sur des box grand public ?
C'est impressionnant le chemin qui s'est passé entre l'interface de la première Bbox et celle proposée aujourd'hui.
Dans le même laps de temps (10ans), les interfaces des box Orange et SFR. Free propose plein de choses depuis sa Freebox révolution mais aucune configuration de firewall IPv6 : c'est tout ou rien.
-
La dernière box wifi 6 ne dispose toujours pas de ces fonctionnalités, c'est quand même dommage...
-
Attention, les capacités de support de l'IPv6 ne sont pas lié à la box, mais au réseau.
Si il y a trop de clients sur ton PE, le routeur de raccordement, il n'est pas possible de terminer une IPv4 et une IPv6 pour chaque client : certains clients ne sont provisionnés qu'en IPv4. Il faut attendre des évolutions capacitaires pour pouvoir avoir IPv6.
-
Attention, les capacités de support de l'IPv6 ne sont pas lié à la box, mais au réseau.
Si il y a trop de clients sur ton PE, le routeur de raccordement, il n'est pas possible de terminer une IPv4 et une IPv6 pour chaque client : certains clients ne sont provisionnés qu'en IPv4. Il faut attendre des évolutions capacitaires pour pouvoir avoir IPv6.
Je ne parle pas de l'ipv6 en tant que tel, mais des fonctions firewall, délégation de préfixes, etc. Les "anciennes" boxs sont en avance sur la wifi 6 à ce niveau, qui en firm 04.178 ne propose pas la délégation,etc, même si l'ipv6 est dispo.
-
Le déploiement se fait en douceur, c'est étalé dans le temps de façon a pouvoir voir d’éventuelles régressions, mais c'est sur que la Bbox WiFi 6 aura droit à la mise à jour.
Pour ceux qui viennent de Free, c'est un peu différent. Free déploie les mises à jour à tout le monde, puis de correctifs très rapprochés, on peut avoir 3 mises à jour en une semaine (avec les années, il me semble que les mises à jour sont plus testés chez Free et qu'il y a moins de correctifs "à l’arrache" déployés)
-
Ah oui je ne doute pas qu'elle y aura droit effectivement, mais c'est étrange que leur box "haut de gamme" n'en profite pas en meme temps que les autres. Pour en revenir à la constatation initiale, en effet il semble que BT ait bien bossé ses firms et possibilités.
-
Bonjour,
Vous avez des nouvelles concernant l'IPv6 sur les offres xDSL ?
-
Pour avoir l'IPv6, il faut réunir :
- Une box compatible (pour faire simple, ce sont toutes celles qui ont un Wi-Fi 5 Ghz)
- Une collecte compatible (il faut être sur le réseau en propre de Bouygues Telecom, pas sur une collecte)
- L'équipement qui porte tes IP (routeur BSR si cela n'a pas changé) qui est suffisamment dimensionné pour gérer deux fois plus de connexions, sachant qu'un client dual-stack compte comme deux clients IPv4 only.
Si les deux premiers sont compatibles, il faut attendre que Bouygues Telecom régionalise ses POP pour avoir plus de capacité (il serait aussi possible de doubler les équipements, mais a priori cela ne semble pas la solution retenue)
L'Arcep publiera de nouvelles prévisions à mi-2021, mi-2022 et mi-2023 pour l'IPv6 opérateur par opérateur et technologie par technologie fin novembre. Certains progressent bien, d'autres régressent bien, il y aura des surprises.
-
La bbox 5330b n'offre pas le wifi 5GHz mais est compatible IPv6. ;)
-
Si si elle a un Wi-Fi 5Ghz
(https://lafibre.info/images/bbox/201407_caracteristiques_bbox_chipset_wifi.png)
Il existe deux versions de cette box : La Fast 5330b qui est WiFi 4 (c'est elle dans le tableau)
La Fast 5330b R1 qui est WiFi 5 (elle n'est pas présente dans le tableau qui n'a pas été mis à jour depuis plusieurs années).
Les deux ont du WiFI 5Ghz.
Par contre, je viens de voir que les deux box Samsung ont du Wi-Fi 5 Ghz et ne sont pas compatible IPv6.
La Bbox SMT-G7441 ne doit lus être sur le parc et la Bbox SMT-G7440 ne sera plus sur le parque dans quelques mois, avec le retrait de Bouygues Telecom de la collecte Numericable.
-
Une question pour ceux qui ont la mise à jour Bbox 18.2.12 : Est-il encore possible de désactiver IPv6 ?
Exemple de l'option pour désactiver IPv6 dans les précédentes versions : (copie d'écran proposé par Kgersen)
(https://lafibre.info/images/bbox_fibre/202010_activation_ipv6_bbox_wifi6.png)
Merci d'avance pour vos retours.
-
Avec la dernière version 18.5.4, c'est toujours possible de désactiver l'IPv6, oui :)
-
Je veux pas créé 1500 postes pour chaque maj bbox mais, je suis sûr que cette option était pas là hier soir. ???
-
Je veux pas créé 1500 postes pour chaque maj bbox mais, je suis sûr que cette option était pas là hier soir. ???
Quelle box et quelle version de firm ?
-
J'ai la page de configuration de la délégation de préfixe depuis un petit moment déjà, personnellement.
-
Ouais toujours rien pour la dernière wifi 6/Eole.
-
Egalement box Wifi6 et ça n'a pas bougé depuis Juillet pour ma part (04.178).
Pour ceux qui sont en version plus récente avec d'autres modèles, c'est possible de spécifier un serveur dns (ipv4 et ipv6) ?
Pour l'instant on peut uniquement en V4 et ça n'a aucun intérêt car la box continue d'envoyer en prio son adresse.
Hâte de pouvoir déléguer du préfixe !
-
Yep l'attente se fait longue, surtout que je suis dans une zone où l'ipv6 est dispo... Un peu lamentable que leur box la plus récente associée à l'abo le plus couteux soit si en retard...
-
Egalement box Wifi6 et ça n'a pas bougé depuis Juillet pour ma part (04.178).
Pour ceux qui sont en version plus récente avec d'autres modèles, c'est possible de spécifier un serveur dns (ipv4 et ipv6) ?
Pour l'instant on peut uniquement en V4 et ça n'a aucun intérêt car la box continue d'envoyer en prio son adresse.
Hâte de pouvoir déléguer du préfixe !
Non, c'est toujours une grosse limitation côté IPv6. Obligé de désactiver le support V6 pour utiliser AdGuard ou Pi-Hole correctement, c'est un vrai problème...
-
Non, c'est toujours une grosse limitation côté IPv6. Obligé de désactiver le support V6 pour utiliser AdGuard ou Pi-Hole correctement, c'est un vrai problème...
Oui, même si on met un dnsv6 personalisé (AdGuard ou Pi-Hole) le pc prends quand-même les deux adresses voir uniquement le serveur dnsv6 de bouygues ou de ta box si tu laisse le dhcpv6 activé dans ta box. Il envoie M = 0 et O = 1.
Bref, je suis toujours entrain d'apprendre comment mettre en place un réseau en full IPv6. L'idée c'est d'avoir M = 1 et O = 1 dans ton serveur dhcpv6 pour forcée le dnsv6 personalisé.
Je peux me tromper au niveau des flags M et O, il faut verifier avec les captures Wireshark. Au démarrage, le routeur envoie un flag comme indiquant que c'est bien lui le routeur (normal!! ;D) .
-
Non, c'est toujours une grosse limitation côté IPv6. Obligé de désactiver le support V6 pour utiliser AdGuard ou Pi-Hole correctement, c'est un vrai problème...
J'ai desactivé le dhcpv6 de la box tout en gardant le support V6. il faut desactiver les serveur dhcpv4v6 de ta boxe et laisse le Pi-Hole ou AdGuard de faire ses serveurs de dhcp. ;)
Les PCs vont auto-configurer le prefix ipv6 et le routeur va diffuser le flag O = 1 pour dire que, voilà pour les options (dnsv6) il existe un autre serveur dans le réseau, il faut le contacter pour le dns.
Je n'ai jamais compris l'option securité du serveur dhcpv6 de bouygues mais comme ils font tous SLAAC et ipv6 temporaire, ça va poser un problème.
**C'est mieux si un expert en ipv6 peut confirmer ça. :D
-
Sauf qu'en faisant comme ça, j'ai toujours l'adresse de la box qui est diffusée également dans les serveurs DNS, donc la plupart des requêtes ne passent pas par le AdGuard.
-
Bonjour
il faut garder à l'esprit que les équipements Android ne supportent pas le DHCPv6 (et entre autre les STB de Bouygues Telecom) ;)
(le SLAAC doit donc resté activé en parallèle d'un éventuel DHCPv6 sur le LAN de la bbox)
la règle de priorité entre des adresses SLAAC ou DHCPv6 n'est pas un modèle de clarté (dépendent des OS)
je pense que l'option de "sécurité" dont tu parles permet de ne pas avoir toujours la même IPv6 fixe (meme si tu actives le DHCPv6)
une solution est donc mettre un "Vrai" Routeur/FW et lui configurer la délégation d'un préfixe IPv6 (en static ou en DHCPv6, la bbox permet les 2). (puis mettre des règles de NAT (ou cette vilaine option de DMZ), tant que l'IPv4 sera encore nécessaire)
vivement le moment où tout sera compatible IPv6... cela sera plus simple :)
Xade
-
Pour ceux avec l'ipv6, vos tracert fonctionnent ? Ici je surf bien ipv6, mais mes tracerts entre moi et la destination final sont tous en délai d'attente dépassé...
-
Pour ceux avec l'ipv6, vos tracert fonctionnent ? Ici je surf bien ipv6, mais mes tracerts entre moi et la destination final sont tous en délai d'attente dépassé...
Yes même problème. Le traceroute inverse vers ma connexion fonctionne lui par contre. On me dit que c'est parce que l'IPv6 est encore en WIP.
Ce n'est pas un blocage dans la box pour info, je ne l'utilise pas et j'ai le même soucis.
Perso je m'y suis fait, au moins j'ai de l'IPv6 fonctionnel :)
-
Yes même problème. Le traceroute inverse vers ma connexion fonctionne lui par contre. On me dit que c'est parce que l'IPv6 est encore en WIP.
Ce n'est pas un blocage dans la box pour info, je ne l'utilise pas et j'ai le même soucis.
Perso je m'y suis fait, au moins j'ai de l'IPv6 fonctionnel :)
Yep je n'utilise pas la box non plus, du coup je me demandais si ça venait de ma conf, merci pour ton retour :)
C'était quand même bien pratique pour deviner le chemin utilisé. Bon, ça viendra je suppose.
-
À noter que seul les ICMP echo sont bloqués, et non ICMP tout court. Le PMTUD continue à fonctionner parfaitement.
-
Le WPA3 est-il disponible sur cette version ?
"Pour obtenir la certification Wi-Fi 6, les appareils devront adopter le protocole de sécurité WPA3" (source: Blog Bouygues Telecom (https://blog.bouyguestelecom.fr/on_vous_rapproche/les-atouts-du-wi-fi-6-decryptage/)), donc je me demande si il devrait pas être disponible, vu que Bouygues Telecom en parle.
C'est pour mettre à jour mon comparatif des offres FttH.
-
Salut,
Je suis sur la bbox Wifi 6, toujours en SG_MAIN_04.178.
Sur l'interface web, dans les choix de sécurité WIFI il n'y a pas WPA3.
-
Idem.
Toujours pas de maj de la bbox eole.
Ca fait pourtant 6 mois que l'opérateur est au courant des défauts rencontrés...
-
Yep, niveau maj c'est le désert cette box... Toujours pas de délégation ipv6...
-
Ça donne pas envie de venir l'essayer si elle n'est pas suivie. J'ai une mauvaise expérience de ce genre avec BT sur le câble, et notamment avec la box Samsung qui plantait à foison ....
-
Je suis moi aussi étonné que les options de Firewall IPv6 & délégation de préfixe ne soient toujours pas disponible sur la Bbox Wi-Fi 6 (Sagem F@st 5688b)
(https://lafibre.info/images/bbox_fibre/20212_bbox_fast_5688b_informations.png)
-
Ah, par contre je n'ai pas l'option RGPD sur BBox Sensation NG+R1...
-
Bonjour à tous,
J'ai beau être "expert Bouygues", je ne travaille pas du tout dans le domaine des Box.
Est-ce que l'un d'entre vous ayant une Bbox Wifi 6 peut me dire si le firewall IPv6 est dispo ? Et si il ne l'est pas, est-ce possible de désactiver quand même tout filtrage pour héberger un service en IPv6 chez soi ?
thanks :)
-
Toujours pas de mise à jour pour avoir un Firewall configurable.
Par défaut tous les flux IPv6 entrant non sollicité (bonne pratique) et la seule possibilité et d'ouvrir un DMZ vers une IPv6, ce qui permet de faire de l'hébergement.
C'est plus que proposé par la Freebox, mais c'est très limité par rapport aux Bbox des offres en dessous.
Je ne comprends pas que prés d'un an après, le palier logiciel qui intègre un vrai firwall IPv6 et la délégation de préfixe n'ai pas été poussées sur ces Bbox WiFi 6.
-
À croire que cette box est une horreur à dev...
-
Ok. Tant qu'on peut ouvrir les vannes avec une DMZ, ça me va. :)
J'hésite à passer sur cette box et à ranger mon réseau home-made que j'ai fait pour me passer des box. C'est marrant, mais c'est chiant à maintenant et j'y perds un temps fou.
-
Ben oui et non, moi j'ai 3 serveurs en ipv6, avec une seule DMZ ce ne serait pas possible.
Je me tâte à partir chez BT dans quelque temps, mais ce genre de choses ça me bloque.
-
Il est possible de mettre plusieurs DMZ et la demande peut être fait sur une IPv6 qui n'est pas celle pour laquelle tu accèdes à l'interface web (pratique car quand tu as un serveur tu ne va pas ouvrir la DMZ depuis le serveur qui n'a pas de navigateur web) : les IPv6 sont listées dans un menu déroulant immense, vu qu'avec les IPv6 temporaire un même équipement change régulièrement d'IPv6 et la box les garde tous en mémoire.
-
@darkmoon fais gaffe, l'IPv6 en FTTH chez ByTel c'est sporadique.
@vivien Ah oui donc tu peux ouvrir le firewall pour tout ton LAN, device par device. Cool ça.
-
Je sais, j'ai un voisin abonné chez BT. Il faudrait que je passe chez lui regarder ça.
-
Sur la Bbox Wifi6, il est possible de désactiver le firewall. Toutes tes IPv6 sont alors exposées sur Internet et il n'y a plus besoin d'utiliser la fonction DMZ IPv6.
Mais il faut bien comprendre les implications sur la sécurité de ton réseau... c'est portes ouvertes en IPv6 !
-
J'ai oublié de revenir sur ce sujet : il est possible de mettre des règles précises sur le firewall IPv6 en sélectionnant "Pare-feu pinhole" dans les "services de la box"
(https://lafibre.info/images/ipv6/202105_bbox_wifi6_pare-feu_ipv6_1.png)
Le menu qui s'ouvre indique qu'il n'y a aucune règle et précise que les paquets entrants non sollicités sont filtrés.
(https://lafibre.info/images/ipv6/202105_bbox_wifi6_pare-feu_ipv6_2.png)
Voici le menu pour rajouter une règle (il est possible d'en définir plusieurs).
On peut rentrer une IPv6 ou une plage IPv6 : un /64 pour toutes les IPv6 d'une box ou préfixe intermédiaire pour affecter une partie de son réseau local :
(https://lafibre.info/images/ipv6/202105_bbox_wifi6_pare-feu_ipv6_3.png)
C'est vraiment bien fait.
-
La DMZ IPv6 est elle dans un autre menu : "Redirection de ports" situé trois menus en-dessous de "Pare-feu pinhole" (la séparation des deux est discutable, pour moi tout ce qui est ouverture de flux IPv6 devrait être dans un même menu appelé "Pare-feu IPv6" et tout ce qui est IPv4 dans un menu "Redirection de ports IPv4" situé à coté)
Si le DynDNS ne gère que IPv4, il faudrait le renommer "DynDNS IPv4"
(https://lafibre.info/images/ipv6/202105_bbox_wifi6_pare-feu_ipv6_4.png)
Là il est possible d'ouvrir plusieurs DMZ vers plusieurs IPv6. Exemple :
(https://lafibre.info/images/ipv6/202105_bbox_wifi6_pare-feu_ipv6_5.png)
-
Bonjour à tous,
Je suis toujours bloqué en version SG_MAIN_04.178 avec la bbox Wifi 6.
Dois-je réinitialiser la box (retrouver les paramètres lan par défaut) pour obtenir une maj ?
Si oui, la dernière maj de cette bbox permet-elle la délégation de préfixe ipv6 ?
Merci d'avance :)
-
Hello,
les mises à jour de firmware peuvent être forcées par le service client, avec perte des réglages ou alors en attendant qu'elle se mette à jour toute seule, sans ETA.
-
Bonjour à tous,
Je suis toujours bloqué en version SG_MAIN_04.178 avec la bbox Wifi 6.
Dois-je réinitialiser la box (retrouver les paramètres lan par défaut) pour obtenir une maj ?
Si oui, la dernière maj de cette bbox permet-elle la délégation de préfixe ipv6 ?
Merci d'avance :)
J'y suis bloqué aussi mais au vu des retours des dernières MAJ, je pense que c'est une bonne chose...
Je ne crois pas que la délégation de préfixe soit disponible avec les nouvelles de toutes façons.
-
J'y suis bloqué aussi mais au vu des retours des dernières MAJ, je pense que c'est une bonne chose...
Je ne crois pas que la délégation de préfixe soit disponible avec les nouvelles de toutes façons.
Je suis passé en SG_MAIN_06.098 et c'est pas dispo :(
-
Merci pour les retours !
J'attendrai que ce soit dispo avant de forcer la maj via le service client.
-
J'ai obtenu la version SG_MAIN_06.128, mais toujours pas de délégation de prefixe ipv6 :-\
-
J'ai obtenu la version SG_MAIN_06.128, mais toujours pas de délégation de prefixe ipv6 :-\
Pareil :(
-
Bonjour,
A des fins de tests, je retente d'avoir ma bbox sur mon réseau, après mon mikrotik. Pour l'ipv4 pas de soucis, je fais une dmz vers mon port wan et ça marche bien.
Par contre pour la délégation de prefix, contrairement à la freebox que j'avais utilisé il y a des années, il n'y a pas de notion de "next hop" dans la bbox, et on ne sait pas quelles sont les ipv6 de la bbox, à part la principale, qui ne correspond à aucun prefix délégable.
Par exemple, sur la page d'admin principale, j'ai cette information :
(https://web.rootax.org/temp/bboxv61.jpg)
Quand je clique pour avoir des détails (on note un autre prefix...) :
(https://web.rootax.org/temp/bboxv62.jpg)
Dans la délégation que je peux mettre en place, les options sont limitées :
(https://web.rootax.org/temp/bboxv63.jpg)
Du coup, je ne sais pas vraiment quelles adresses mettre à mon mikrotik coté WAN pour que celui ci communique avec la bbox dans le cadre de la délégation de prefix. Coté LAN, j'ai mis une adresse dans le prefix xxxx:a11::x/64, mais sans avoir plus d'infos c'est certainement inutile pour le moment.
Si quelqu'un a déjà mit en place la délégation avec une bbox, merci d'avance.
-
La box Eole est désormais compatible!
Quelqu'un a réussi à avoir la bonne config sur pfSense ?
-
A mon sens il manque des infos dans l'interface BT... Ou alors ils misent sur le RA pour gérer l'adressage correctement derrière? Je n'ai jamais reçu d'adressage venant du prefix censé etre délégué, derrière mon mikrotik. J'ai redegagé la box, il s'agissait juste de test, mais c'est décevant, cette attente pour une fonction qui ne marche pas....
-
Bonjour,
Quelqu'un a déjà réussi à faire fonctionner le PD chez Bouygues ?
De mon côté, avec le DHCPv6 activé, Prefix Delegation en mode automatique, j'obtiens bien un préfixe délégué sur ma patte LAN, mais impossible de faire communiquer ce préfixe avec l'extérieur.
De même, si je tente de joindre ce préfixe depuis le LAN Bbox, il ne joint pas mon routeur PfSense... cela tourne en boucle sur l'IP de la BBox...
Ai-je raté quelque chose ?
-
Bonjour,
Quelqu'un a déjà réussi à faire fonctionner le PD chez Bouygues ?
De mon côté, avec le DHCPv6 activé, Prefix Delegation en mode automatique, j'obtiens bien un préfixe délégué sur ma patte LAN, mais impossible de faire communiquer ce préfixe avec l'extérieur.
De même, si je tente de joindre ce préfixe depuis le LAN Bbox, il ne joint pas mon routeur PfSense... cela tourne en boucle sur l'IP de la BBox...
Ai-je raté quelque chose ?
J'ai le même souci, j'ai testé aussi en config statique mais c'est pas mieux.
Si quelqu'un a réussi à avoir une config IPv6 Bbox + pfSense fonctionnelle ça m'intéresse ;)
-
Bonsoir,
je voudrais ajouter que la délégation de préfixe de la bbox est étrange. Par exemple, dans services de la box -> DHCP -> délégation de préfixe ipv6 si je choisis le préfixe qui finit en 82::/64, le pfsense va recevoir un préfixe qui se termine par 83::/64 et vice versa. Et bien entendu comme vous autres les appareils obtiennent une ipv6 mais impossible de communiquer avec l'extérieur.
Savez-vous, si la prochaine mise-à-jour de la bbox 5688bv1 corrigera ce comportement erratique.
Merci
-
Quelqu'un a testé avec les derniers firms sortis en ce début d'année ?
Dans l'imédiat je n'en ai pas l'utilité vu que j'ai mon propre matériel, mais le jour où les offres XGS PON sortiront, s'il n'y a pas d'ONT customizable dispo, la solution bbox +delegation d'ipv6 + dmz pour l'ipv4 sera la seule acceptable.
-
Oui et ce n'est pas bon, sauf si je loupe un truc.
Encore hier, DMZ IPv4 sans souci, par contre la délégation de préfixe est NOK. Plus exactement, mon routeur reçoit bien le préfixe délégué sans problème. Mes équipements LAN configurent bien leur adresse dans le préfixe. Par contre pas de connectivité vers l'extérieur et vice-versa.
En désespoir et même si ca n'a pas de rapport j'ai tenté des trucs avec la DMZ IPv6 et le firewall mais sans aucun succès.
-
Quelqu'un a testé avec les derniers firms sortis en ce début d'année ?
Dans l'imédiat je n'en ai pas l'utilité vu que j'ai mon propre matériel, mais le jour où les offres XGS PON sortiront, s'il n'y a pas d'ONT customizable dispo, la solution bbox +delegation d'ipv6 + dmz pour l'ipv4 sera la seule acceptable.
L'ajout d'un mode bridge sur la bbox serait tellement plus simple ....
-
Pour nous oui, pour eux pas sur :D
Déjà que la délégation ne marche pas...(c'est pas compliqué de simplement reprendre le menu de la freebox sur le sujet d'ailleurs...)
-
J'ai finalement réussi à configurer l'IPv6 de Bouygues sur mon routeur Pfsense, après beaucoup de tâtonnement...
Pour faire simple, il semble que les serveurs DHCPv6 de Bouygues n'acceptent que les Requests DHCPv6 seulement avec l'option ia-pd (requête de délégation de préfix). Si on demande dans la même requête un préfixe et une adresse IPv6 pour l'interface WAN (le cas général) avec l'option ia-na (demande d'adresse IPv6) activé alors on reçoit une réponse DHCPv6 avec l'option NoAddressAvailable et sans préfix. Dans les faits les serveurs DHCPv6 de Bouygues sont configurés pour utiliser la rfc6603 (cf. ref[4] et cf. le texte de la rfc ci-dessous), autrement dit la délégation de préfixe avec l'option OPTION_PD_EXCLUDE. Cela implique que le routeur demandant un préfix est en charge d'assigner une adresse IPv6 à l'interface WAN. Exemple, lors d'un échange DHCPv6 suivant la rfc6603, si un routeur reçoit un préfix /60 avec l'option OPTION_PD_EXCLUDE et il doit réserver un /64 dans son /60 afin d'assigner une adresse IPv6 a son interface WAN.
RFC6603 Prefix Exclude Option for DHCPv6-based Prefix Delegation
"
This specification defines a new DHCPv6 option, OPTION_PD_EXCLUDE
(67), that is used to exclude exactly one prefix from a delegated
prefix. The OPTION_PD_EXCLUDE is included in the OPTION_IAPREFIX
IAprefix-options field. There can be at most one OPTION_PD_EXCLUDE
option in one OPTION_IAPREFIX option. The OPTION_PD_EXCLUDE option
allows prefix delegation where a requesting router is delegated a
prefix (e.g., /56) and the delegating router uses one prefix (e.g.,
/64) on the link through which it exchanges DHCPv6 messages with the
requesting router with a prefix out of the same delegated prefix set.
"
Pour résumer, afin d'obtenir un préfix IPv6 chez Bouygues voici ci-dessous la configuration a appliquer:
1. Spoofer l'adresse MAC de la box
2. S'assuer que le DUID (DHCP Unique Identifier) correspond bien à l'adresse MAC de la bbox et activer IPv6 dans pfsense
* System/Advanced/Networking check Allow IPv6
* System/Advanced/Networking DHCP6 DUID electioneer DUID-LL
* System/Advanced/Networking DUID-LL: l'adress MAC de la box
* System/Advanced/Networking Do not allow PD: uncheck
3. Configurer DHCPv6 sur l'interface WAN (cf. figure ci-dessous):
* Request only an IPv6 prefix check (Option IA_PD sans l'option IA_NA dans la requête DHCPv6)
* DHCPv6 Prefix: 60
* Send IPv6 prefix hint: check
* Do not wait for a RA: check
* DHCP6 VLAN Priority: check (IC6)
Maintenant il ne reste plus qu'a configuré DHCPv6 sur les autres interfaces de tel sorte qu'elles track l'interface WAN et le tour est joué. Vous devriez recevoir un préfix IPv6 et chaque interface interne à maintenaient une adresse IPv6 globale. Cependant, l'interface WAN elle par contre n'a toujours pas d'adresse globale. Une adresse IPv6 globale est facultative sur l'interface WAN, car c'est l'adresse de lien local (fe80) est ce qui est utilisé pour la passerelle pour effectuer le routage dans IPv6. Là le problème est plus lié a Pfsense, qui n'assigne pas automatiquement une adresse à l'interface WAN quand il reçoit un préfix (cf. ref[1] pour plus d'information). Il semble que Pfsense plus 23.01 à de nombreux bugs plus ou moins liés à IPv6 qui seront corrigés dans la prochaine release (cf. ref[3]) et il semble que l'option DHCPv6 OPTION_PD_EXCLUDE ne soit pas encore prise en compte dans les implementation du client DHCPv6 dans Pfsense/Freebsd, mais devrait être prochainement l'être (cf. ref[5]).
Afin d'assigner une adresse IPv6 globale a l'interface WAN, il suffit de se connecter en ssh sur le firewall et d'assigner manuellement une adresse a l'interface WAN, seul solution que j'ai trouvé pour l'instant (mais plus d'info dans ref[1] et ref[2]).
# On assigne manuellement une adresse a notre WAN dans le /60 que nous avons recut de l'opérateur
$ ifconfig WAN.100 inet6 2000:xxxx:xxxx:xxxf::1 prefixlen 64
# On restart l'interface Pfsense
$ php -r 'include("gwlb.inc"); setup_gateways_monitor();'
Références
1. https://forum.netgate.com/topic/174980/fios-getting-56-pd-via-dhcp6-but-no-v6-is-assigned-to-wan/
2. https://github.com/luckman212/assign-gua-from-iapd
3. https://redmine.pfsense.org/projects/pfsense/roadmap
4. https://www.rfc-editor.org/rfc/rfc6603.html
5. https://redmine.pfsense.org/issues/13296
-
Tu sembles utiliser le pfSense directement sur l'ONT sans la bbox (je déduis ça du spoofing de la MAC) ? Je pense que le sujet est d'utiliser un pfSense derrière la bbox.
Si c'est bien ça il faudrait peut être mettre l'astuce dans un autre thread, ça pourra être utile à d'autres personnes :)
-
Oui en effet ;)
-
Chapeau vgauthier pour ton partage et travail !
Concernant le sujet de la délégation de préfixe IPV6 notamment évoqué depuis la Bbox, le problème est bien pris en charge pour une future correction.
Il faudra un peu de patience le temps à nos équipes pour effectuer l'intégration.
Merci
-
Dans les faits les serveurs DHCPv6 de Bouygues sont configurés pour utiliser la rfc6603 (cf. ref[4] et cf. le texte de la rfc ci-dessous), autrement dit la délégation de préfixe avec l'option OPTION_PD_EXCLUDE. Cela implique que le routeur demandant un préfix est en charge d'assigner une adresse IPv6 à l'interface WAN. Exemple, lors d'un échange DHCPv6 suivant la rfc6603, si un routeur reçoit un préfix /60 avec l'option OPTION_PD_EXCLUDE et il doit réserver un /64 dans son /60 afin d'assigner une adresse IPv6 a son interface WAN.
J'ai toujours du mal à comprendre en quoi c'est utile, vu que le routage se fait en priorité via la link local et que le routeur a de toute façon une ipv6 publique sur sa patte LAN, il est joignable de n'importe où.
-
Tu as raison le faite qu'aucune GUA ne soit assignée à l'interface WAN ne pose pas de problème particulier étant donné que le routage s'effectue sur la base dune adresses de Liens Local. Cependant, il peut être utile par exemple de pouvoir effectuer un ping sur l'adresse WAN depuis un réseau externe pour tester la connectivité de ton interface WAN (traceroute, etc) depuis un réseau externe, d'avoir un serveur VPN connecter sur l'interface WAN, etc, bref il y a quand même plein de situations ou cela peut être utile. Plus philosophiquement, l'avantage d'IPv6 est de pouvoir facilement adresser globalement toutes les devices connectées au réseau, il serait donc dommage que la seule chose qui ne soit pas globalement adressée soit ton interface WAN.
-
Tu as raison le faite qu'aucune GUA ne soit assignée à l'interface WAN ne pose pas de problème particulier étant donné que le routage s'effectue sur la base dune adresses de Liens Local. Cependant, il peut être utile par exemple de pouvoir effectuer un ping sur l'adresse WAN depuis un réseau externe pour tester la connectivité de ton interface WAN (traceroute, etc) depuis un réseau externe, d'avoir un serveur VPN connecter sur l'interface WAN, etc, bref il y a quand même plein de situations ou cela peut être utile. Plus philosophiquement, l'avantage d'IPv6 est de pouvoir facilement adresser globalement toutes les devices connectées au réseau, il serait donc dommage que la seule chose qui ne soit pas globalement adressée soit ton interface WAN.
Pas vraiment, en attribuant une GUA à ton interface WAN tu n'y gagnes rien et tu gaspilles 2^64 adresses, c'est plutôt ça qui est "dommage".
Comme dit Renaud07, tu peux très bien superviser ton wan en "pinguant" l'interface LAN (et être en écoute sur ton wireguard/openvpn ) qui possedera une adresse ipv6 GUA d'un des /64 du /60.
Il ne faut pas essayer de transposer ce qu'on fait en ipv4, en ipv6.
-
Chapeau vgauthier pour ton partage et travail !
Concernant le sujet de la délégation de préfixe IPV6 notamment évoqué depuis la Bbox, le problème est bien pris en charge pour une future correction.
Il faudra un peu de patience le temps à nos équipes pour effectuer l'intégration.
Merci
Bonjour,
Est ce que ce soucis est aussi relatif à la délégation dans la box (sans spoof) ?
En effet, dans mon setup (BBox => routeur [configuré en DMZ v4 + délégation d'un /64 static (aussi testé en dhcpv6)] => LAN), je vois bien le trafic sortir et atteindre la cible ainsi que la réponse repartir de la cible (simple ping, capture avec tcpdump sur la cible et le routeur intermédiaire) mais la réponse ne revient jamais au routeur derrière la bbox.
Si je ping depuis le routeur (avec l'ip configuré prise dans le premier /64 de la box), là par contre, j'ai bien la réponse.
Le fw est bien désactivé, en mode faible (par acquis de conscience).
J'ai une hypothèse, le subnet alloué n'est pas convenablement routé par la box quand il est délégué ?
=> traceroute de l’extérieur perdu entre le hop pré box et la box avec le TTL qui explose (passe de 7 à 64) comme une partie de ping-pong entre deux routeurs (le classico quand le dernier hop ne sais pas quoi faire du trafic routé et re-balance la patate à sa default)
=> alors que le traceroute sur l'ip externe de la box (en ::1 du dernier /64 du range public) lui arrive bien de 7 à 8 avec réponse franche de fin de parcours
=> même comportement de dépassement de TTL sur les autres subnet de la box non délégués
En théorie l'ensemble du /60 pourrait être null-routé sur la box pour éviter le ping-pong ? (perso je ne le fais rarement, principalement par flemme)
mais surtout ce serait bien qu'il soit routé convenablement derrière la box :D
[Edit: test faits avec F@st 5688b firmware SG_MAIN_22.442 du 18.4.2023]
-
Chapeau vgauthier pour ton partage et travail !
Concernant le sujet de la délégation de préfixe IPV6 notamment évoqué depuis la Bbox, le problème est bien pris en charge pour une future correction.
Il faudra un peu de patience le temps à nos équipes pour effectuer l'intégration.
Merci
Sans vouloir presser ou quoi que ce soit, savez vous si c'est sur une roadmap pour 2023 ? Vu l'apparition du XGS Pon, et en attendant de trouver un ont qui fonctionne, remettre la bbox avec une dmz pour l'ipv4 et delegation ipv6 vers un routeur perso serait une solution.
-
J'ai reçu un nouveau firmware sur mon Ultym il y a quelques temps, et surpriiiiise : la délégation de préfixe fonctionne enfin. ;)
Donc j'ai DMZ IPv4 et PD IPv6 et c'est OK.
-
Ah, bonne nouvelle :) Tu pourrais partager ta configuration (bbox+routeur derriere) stp ?
-
C'est assez trivial, tu veux savoir quoi ?
- Côté Bbox :
Parefeu IPv4 et 6 activés (mode "normal" pour IPv6)
DMZ configurée vers l'IP WAN du routeur
Délégation de préfixe : j'ai choisi un préfixe, type Dynamique, Niveau de sécurité faible.
- Côté Routeur :
IPv4 statique sur le WAN (par choix, mais en DHCP avec la Bbox ca irait très bien aussi)
IPv6 : client DHCP-PD. Pas de configuration spécifique si ce n'est que je configure le routeur pour qu'il ne reprenne pas les DNS annoncés par la Bbox (par choix aussi)
-
Ok, donc c'est différent de la config free qui avait la notion de next hope pour le routage ipv6.
Je retesterais à l'occasion. Merci.
-
Bonjour,
Suis je seul à ne pas arriver à faire fonctionner le firewall ipV6 de la bbox sensation ? Il bloque tous les ports même quand je déclare des exceptions
J'ai déclaré les mêmes ports que pour le port forwarding ipV4 et en testant sur http://www.ipv6scanner.com/cgi-bin/main.py en IPV4 c'est ouvert et en IPV6 c'est "filtred".
Si je passe le firewall ipv6 au niveau "faible", le port est bien ouvert.
Y a t il un bug connu ? une configuration particulière à mettre en place ? Un contournement possible ?
Merci pour votre aide.
-
Ok, donc c'est différent de la config free qui avait la notion de next hope pour le routage ipv6.
Je retesterais à l'occasion. Merci.
Bon, ça ne marche pas mieux ici. Comportement exactement similaire à fin 2022. De toute façon tu sais que y'a un problème quand tu reçois un préfix délégué meme sans activation de la délégation de préfixe. Toujours le 3eme. Une fois, en activant la délégation avec le deuxième préfixe la box a respecté mon choix, mais pas plus de routage qui fonctionne derrière. Ils n'avaient rien annoncé dans les changelog, je ne m'attendais à rien, pas été déçu...
-
Quelle est ta version de firmware?
-
10.032
-
impossible de faire fonctionner en la délégation de prefix en statique ou dynamique depuis que ma bbox 6 (F@st5688b) a downgrader en v23.0.16 (daté du 21.06.2023)
Avec le firmware d'avant daté de juillet ca marchait tres bien pourtant mais suite a https://lafibre.info/incidents-ftth/bbox-ultym-bug-sur-le-port-10gb/, ma bbox a changé toute seule de firmware.
Du coup si quelqu'un a une idée je suis preneur.
Je suis dans la situation de babs:
- j'obtient bien un prefix delegué (le 3eme visible dans l'interface) via dhcpv6-pd (config sous systemd-networkd)
- sous capture, le trafic part bien du prefix sort sur le net, arrive a un serveur distant et repart bien vers la bbox mais n'arrive jamais au dela de la bbox.
J'en conclus que celle-ci n'a pas installé la route de retour ou bloque le traffic de retour avec son firewall (j'ai testé en "faible" ou avec une regle d'ouverture, ca ne change rien).
-
Etrange, pour ma part je suis en 23.0.16 et ça fonctionne
-
hum donc ca vient de mon coté (ou de ma bbox)
Tu as quoi dans la page de config de dhcpv6 ?
DÉLÉGATION DE PRÉFIXE IPV6 : vide ou au moins un préfix configurer en dyn ou sta?
ANNONCE DU SERVEUR DHCPV6 : on ou off ?
dans la page parefeu IPv6 ? normal ou faible ou élevé ?
-
(Ca n'a jamais fonctionné chez moi non plus pour info. Et à ma connaissance, BT n'a jamais annoncé avoir corrigé cette fonction)
-
Délégation : 1 préfixe sélectionné, en dynamique, mode de sécurité faible
DHCPv6 : off
Firewall IPv6 : activé, mode de sécurité normal (et j'ai des règles d'ouverture de ports qui fonctionnent également)
-
Côté routeur, tu demandes un prefix de quelle longueur ?
-
Pour le coup, mon routeur ne me permet pas de choisir. Mais il reçoit comme attendu un /64 via DHCP-PD
(à noter que moi non plus ça ne fonctionnait pas dans le passé, même symptômes : en apparence la délégation fonctionnait, le trafic sortait vers le net mais par contre le trafic retour semblait bloqué à la box, comme si la route n'avait pas été configurée)
-
Merci pour les infos.
Je ferais plus de tests dimanche.
-
Des news Kgersen ?
-
Toujours pas fonctionnel mais je suis toujours sur l'ancienne version du firmware (23.0.16). Je vais tenter de contacter Bytel pour qu'ils mettent a jour ma bbox.
-
Sur bbox forum, une personne dit que ca fonctionne, mais uniquement 24h...
Je suis curieux du résultat. J'ai la box v1, si j'ai l'énergie je la rebrancherais, voir si elle se maj et referait également des tests.
-
Tu viens de me mettre le doute alors je viens de re-tester.
Je n'ai pas eu de soucis et ça marche encore, ceci étant, mon client dhcpv6 est toujours up et fait son job.
Effectivement, le max-life du préfixe est bien de 86400.
Je peux essayer de buter le client et voir le comportement mais mon petit doigt me dit que dans 24h je n'aurais plus de v6 :)
[Edit: j'ai aussi la config en static dans la box... du coup je ne sais pas si c'est un fait du dhcpv6 ou de la conf statique...]
-
Je dois être vraiment un miraculé pour, qu'après des mois d'attente, ca fonctionne chez moi en 23.0.16 et en continu :)
Même ma sonde Atlas est contente : IPv6 Capable / IPv6 Works / IPv6 stable 1d / IPv6 stable 30d / IPv6 stable 90d
-
j'ai finalement réussi a retrouver un prefix délégué qui marche en statique.
Pour avoir du statique, il faut pouvoir choisir le périphérique destination dans l'interface de la bbox. Et pour ce il faut impérativement que ce périf fasse une demande d'IPv6 en DHCPv6 (mais bizarrement pas besoin d'activer "ANNONCE DU SERVEUR DHCPV6" dans la config de la bbox...).
Je vais voir si ca tient plusieurs jours (les timers sont 14h et 24h).
En dynamique je n'ai pas encore réussi.
-
Merci pour les updates.
-
1 semaine et 1 jour plus tard, ca fonctionne encore ok. Mais je n'ai pas reboot ni la bbox, ni l'appareil qui a fait la demande de préfixe.
-
Bonsoir tout le monde,
Je me permets également de faire une update à 12 jours, aucun problème de ma part (Vivien va être content, c'est pas du png ;D EDIT : pas de prévisu AVIF sur le forum visiblement..)
Après on a bien beau tester chaque semaine, rien empêche Bouygues de tout faire péter dans une prochaine update. Pas de taille de délégation personnalisée de mon côté (uniquement /64, BBox TVW620.I).
-
Je viens de rebrancher ma v1 ici, mais je suis toujours en 12.486, qui n'est pas la dernière version, donc meme comportement foireux qu'avant (le préfix que mon mirkotik reçoit n'est pas celui délégué dans la gui de la box), et rien de passe.
Edit : Meme avec le bon prefix, rien n'est routé.
Je vais la laisser brancher cette nuit voir si la maj vers la 12.720 se fait, et si oui, si cela améliore les choses.
-
Meme comportement en .720. C'est toujours le 3 eme prefix qui est donné, même quand la délégation est désactivée d'ailleurs, et rien ne passe. Bref complètement buggé. A croire que seule la v2 (et le nouveau code made in BT) a corrigé le tir...
-
J'ai migré vers la 6e.
En suivant les instructions de kgersen et avec le dernier firm, ça fonctionne, enfin :)
(Avec du mikrotik derrière)
-
Désolé pour le déterrage...
C'est possible de déléguer plusieurs préfixes vers un autre routeur ? vers plusieurs autres routeurs ?
Merci
-
Désolé pour le déterrage...
C'est possible de déléguer plusieurs préfixes vers un autre routeur ? vers plusieurs autres routeurs ?
Merci
Salut,
Oui parfaitement possible mais uniquement par tranche de /64. Si tu veux plusieurs préfixes pour un même routeur, il faudra jouer avec des interfaces virtuelles qui auront des MAC différentes.
-
Hello,
Du coup je confirme, pour faire marcher un équipement en délegation IPv6 statique, il faut que l'appareil fasse une demande d'adresse en DHCPv6. Une fois faite, on peut sélectioner comme équipement cible.
Par contre, l'UI permet de déléguer plusieurs préfixes vers le même équipement, mais on dirait que seul le dernier entré fonctionne... si je délègue les trois blocs vers le même équipement, à la fin il n'y a qu'un seul préfixe qui marche. On se croirait sur une livebox :)
-
bonjour excusez les questions de novice mais suis perdu en ipv6... mon serveur marche bien , j'ai essayé plusieurs chose dont la delegation ipv6 (je ne sais pas trop c'est quoi) pour que d'autres routeurs delivrent des adresses ipv6 donc serveur dchp v6 sur une autre machine que la box?
j'avais vu des posts qui parlaient de 60 bits vs 65 qui posaient des problemes...
a quoi sert svp l'annonce du serveur dhcp v6 pas compris ... c'est quoi la difference avec slaac etc ca sert a quoi?merci
ip statique ca c est bon j'ai compris
merci bcp
-
Merci B3nJ1 et r3m8 de répondre aux questions sur lesquelles je planche depuis hier soir. ;D
En revanche, ce ne sont pas les réponses que je souhaitais ! :'(
Cela veut donc dire que pour récupérer plusieurs préfixes IPv6 délégués (avec un maximum de 3 - limite bbox), pour les utiliser sur 3 réseaux différents derrière mon routeur (ex: users, serveurs, DMZ), il faut configurer 3 (sous-)interfaces (avec MAC différentes) sur le routeur "vers la bbox", et au final raccorder sur 3 interfaces LAN de la bbox ? :o
-
Je vais tenter les macvlans sur mon mikrotik pour voir, mais j'ai peur que ça soit pas accéleré et que le débit ne soit pas top
-
Je m'auto réponds, ça marche avec une interface en macvlan sur mikrotik.
Bien penser à faire une requête d'adresse en IPv6 et IPv4 (sans la requête IPv4 le traffic IPv6 ne passait pas ?) avant.
Ensuite on peut sélectionner un deuxième préfixe statique vers l'interface macvlan. J'ai pas eu à faire de réglages de routage spécial sur le mikrotik, je suppose que le traffic sortant du mikrotik passe par l'interface physique (et pas le macvlan), mais que dans l'autre sens ça revient sur le macvlan... mais ça a pas l'air de déranger la bbox ou le mikrotik.
-
Merci pour ton test, c'est très instructif. :)
Pour le flux sortant, il faudrait regarder ce que dit la table de routage de ton Mikrotik (1 route par défaut active ou plusieurs ?).
Mais si tu confirmes que cela fonctionne, je comprends que la bbox ne filtre pas si le trafic IPv6 d'un préfixe délégué vient d'une autre adresse MAC que celle configurée.
Mon Edgerouter ne supporte pas le macvlan j'ai l'impression (ou alors, ça n'a pas l'air natif). Je vais devoir le faire différemment, passer par 2 sous-interfaces taguées, puis mon switch et faire 2 raccordements supplémentaires entre mon switch et la bbox... En attendant d'avoir le matos pour bypasser la bbox. ::)
-
Cela veut donc dire que pour récupérer plusieurs préfixes IPv6 délégués (avec un maximum de 3 - limite bbox), pour les utiliser sur 3 réseaux différents derrière mon routeur (ex: users, serveurs, DMZ), il faut configurer 3 (sous-)interfaces (avec MAC différentes) sur le routeur "vers la bbox", et au final raccorder sur 3 interfaces LAN de la bbox ? :o
Je ne crois pas qu'il y a de limite de préfixes délégués sur la Bbox, en tout cas la version que j'ai (jusqu'à 255 préfixes). Oui, tu dois configurer des sous interfaces avec des adresses MAC différentes, toutefois tu peux parfaitement utiliser la même interface LAN de la Bbox. Un peu comme si tu branchais un switch derrière la box pour plusieurs équipements, une seule interface suffit.
Mais si tu confirmes que cela fonctionne, je comprends que la bbox ne filtre pas si le trafic IPv6 d'un préfixe délégué vient d'une autre adresse MAC que celle configurée.
Mon Edgerouter ne supporte pas le macvlan j'ai l'impression (ou alors, ça n'a pas l'air natif). Je vais devoir le faire différemment, passer par 2 sous-interfaces taguées, puis mon switch et faire 2 raccordements supplémentaires entre mon switch et la bbox... En attendant d'avoir le matos pour bypasser la bbox. ::)
Alors si il y a quelques filtres : déjà, le firewall est toujours fonctionnel même avec un préfixe que ne gère pas directement la Bbox. Ensuite, même en désactivant le pare-feu de la Bbox, tu ne pourras pas faire certaines requêtes notamment l'ICMP (ping) en in ou out.
J'insiste sur le fait que tu n'as pas besoin de faire plusieurs raccordements vers la box depuis ton propre routeur, une interface virtuelle se base sur une seule interface physique sauf si ton équipement te limite inutilement. Après cette manipulation prend vraiment 30 secondes chrono sous Linux, on se rend bien compte à quel point les switchs et routeurs même spécialisés sont d'une limitation technique abusive.
-
Je ne crois pas qu'il y a de limite de préfixes délégués sur la Bbox, en tout cas la version que j'ai (jusqu'à 255 préfixes).
255 c'est beaucoup pour un /60. ;) Ce serait plutôt 16 préfixes /64, mais comme la Bbox en mange un, ce serait maximum 15.
Dans les faits, il y a bien une limite à 3. Je me suis amusé à configuré une 4ème délégation de préfixe et après bien récupéré les 3 premiers préfixes, les logs sont formels.
Nov/26/2024 19:51:15: update_ia: status code for PD-3: no prefixes
Nov/26/2024 19:51:17: client6_recvadvert: unexpected advertise
J'ai configuré une délégation de type "dynamique", niveau de sécurité "faible". Je récupère bien 3 préfixes sur 4, même après reboot, c'est bien beau, mais ça ne fonctionne pas pour autant. ;D
Faut que je creuse...
J'insiste sur le fait que tu n'as pas besoin de faire plusieurs raccordements vers la box depuis ton propre routeur, une interface virtuelle se base sur une seule interface physique sauf si ton équipement te limite inutilement. Après cette manipulation prend vraiment 30 secondes chrono sous Linux, on se rend bien compte à quel point les switchs et routeurs même spécialisés sont d'une limitation technique abusive.
Malheureusement, je crains de ne pas avoir le choix, comme je dois jouer avec des VLANs. Mon routeur ne supporte pas d'avoir plusieurs sous-interfaces sans faire d'encapsulation, ou du moins, je n'ai pas l'impression que ce soit natif sur VyOS/Edgerouter.
Un petit point pour Linux qui peut être bidouillé pour palier un problème qui ne devrait pas exister. ;D
-
Malheureusement, je crains de ne pas avoir le choix, comme je dois jouer avec des VLANs. Mon routeur ne supporte pas d'avoir plusieurs sous-interfaces sans faire d'encapsulation, ou du moins, je n'ai pas l'impression que ce soit natif sur VyOS/Edgerouter.
Un petit point pour Linux qui peut être bidouillé pour palier un problème qui ne devrait pas exister. ;D
Je me corrige moi-même, il fallait chercher "Pseudo Ethernet", et c'est supporté. ;)
-
255 c'est beaucoup pour un /60. ;) Ce serait plutôt 16 préfixes /64, mais comme la Bbox en mange un, ce serait maximum 15.
Dans les faits, il y a bien une limite à 3. Je me suis amusé à configuré une 4ème délégation de préfixe et après bien récupéré les 3 premiers préfixes, les logs sont formels.
Nov/26/2024 19:51:15: update_ia: status code for PD-3: no prefixes
Nov/26/2024 19:51:17: client6_recvadvert: unexpected advertise
J'ai configuré une délégation de type "dynamique", niveau de sécurité "faible". Je récupère bien 3 préfixes sur 4, même après reboot, c'est bien beau, mais ça ne fonctionne pas pour autant. ;D
Faut que je creuse...
Malheureusement, je crains de ne pas avoir le choix, comme je dois jouer avec des VLANs. Mon routeur ne supporte pas d'avoir plusieurs sous-interfaces sans faire d'encapsulation, ou du moins, je n'ai pas l'impression que ce soit natif sur VyOS/Edgerouter.
Un petit point pour Linux qui peut être bidouillé pour palier un problème qui ne devrait pas exister. ;D
Il me semble que j'ai bien un /56 de mon côté, je pourrais vérifier dans les prochaines semaines.
Bon courage pour trouver la technique fonctionnelle ;)
-
Bonjour, merci pour les infos de ce thread, j'essaie d'ajouter tous les préfixes délégués de mon offre bbox pure fibre à mon routeur openwrt
Certains d'entre vous ont ils réussis ? L'ajout de l'interface sur le device macvlan me donne l'erreur Unknown error (DEVICE_CLAIM_FAILED) sur le snapshot 24.10
-
Bonjour,
De mon côté je n'ai absolument pas réussi à configurer ne serait-ce que les 3 prefix proprement (sur le même routeur).
De ce que je viens de voir ici, cela ressemble à un bug connu déjà (1 préfixe par machine, 3 préfixes max). Dommage car la freebox était agnostique pour le routage de 7 préfixes (sur les 16 possibles).
Du coup, j'ai choisi de dégager la box J+1 et ainsi j'ai accès à tout le /60 (et quelques W d'économie car l'ONU consomme peu vs la box). Et oui c'est un /60 comme chez Free.
-
Bonjour Fuli10,
c'est ce que je prévois de faire dès que les problèmes de wifi de mon BPI-R4 seront résolus, mais pour le moment les débits sont trop pourris pour me passer de la BBOX
Merci pour ton retour en tout cas :)
-
Bonjour à tous
Fraichement nouveau client B&You avec l'offre pure fibre, je cherche à faire fonctionner la délégation de préfix IPv6 de la bbox 6E avec derrière un routeur OpnSense avec 3 VLAN. Initialement client Free (VDSL), je n'avais aucun souci pour faire fonctionner l'IPv6 sur tout. Bref passage chez Sosh entre temps (1 seul préfixe délégable sur la LB5 mais au moins ca fonctionnait) et me voilà chez Bouygues.
J'ai lu attentivement les 11 pages du topic et mon souci principal est l'impossibilité de sélectionner mon routeur comme périphérique d'un préfix délégué en mode statique. La box se plaint d'un "Périphérique non compatible DHCPv6" dans la partie "Attribution d'adresse IP statique" alors qu'il obtient bien une IP en DHCPv6 sur le préfix principal de la box et se connecte bien en IPv6 à l'extérieur. En mode dynamique, je reçois le 3e préfixe, quelque soit le préfixe sélectionné dans l'interface de la box et les machines sous ce préfixe ne fonctionnent pas en IPv6 pour autant même si elles se voient attribuer une IP.
J'ai lu un peu avant qu'il fallait faire une requête DHCP IPv4 ET IPv6 pour que la bbox voit mon équipement, j'ai beau tenter des request DHCP à la main depuis mon routeur en ligne de commande, ca ne change rien pour la box.
Si quelqu'un à une idée je suis preneur.
Au cas ou, modèle bbox F@st5688b, version 24.3.12.
Merci !
-
Bonjour à tous
Fraichement nouveau client B&You avec l'offre pure fibre, je cherche à faire fonctionner la délégation de préfix IPv6 de la bbox 6E avec derrière un routeur OpnSense avec 3 VLAN. Initialement client Free (VDSL), je n'avais aucun souci pour faire fonctionner l'IPv6 sur tout. Bref passage chez Sosh entre temps (1 seul préfixe délégable sur la LB5 mais au moins ca fonctionnait) et me voilà chez Bouygues.
J'ai lu attentivement les 11 pages du topic et mon souci principal est l'impossibilité de sélectionner mon routeur comme périphérique d'un préfix délégué en mode statique. La box se plaint d'un "Périphérique non compatible DHCPv6" dans la partie "Attribution d'adresse IP statique" alors qu'il obtient bien une IP en DHCPv6 sur le préfix principal de la box et se connecte bien en IPv6 à l'extérieur. En mode dynamique, je reçois le 3e préfixe, quelque soit le préfixe sélectionné dans l'interface de la box et les machines sous ce préfixe ne fonctionnent pas en IPv6 pour autant même si elles se voient attribuer une IP.
J'ai lu un peu avant qu'il fallait faire une requête DHCP IPv4 ET IPv6 pour que la bbox voit mon équipement, j'ai beau tenter des request DHCP à la main depuis mon routeur en ligne de commande, ca ne change rien pour la box.
Si quelqu'un à une idée je suis preneur.
Au cas ou, modèle bbox F@st5688b, version 24.3.12.
Merci !
j'éviterai les requetes dhcp a la main.
poste une capture de ta config wan (menu interfaces/overview/wan) et du routage (menu system/gateways/single).
-
Effectivement les requêtes à la main étaient faites en désespoir de cause.
Voici quelques screenshot avec les infos demandées, j'ai déjà tenté avec l'option "Request prefix only" mais cela ne change rien.
Merci d'avance si tu as une idée !
Point qui peut avoir son importance, mon OpnSense est virtualisé, le temps d’acquérir une vraie machine pour l'accueillir, mais ça n'a pas posé de problème jusqu'à maintenant.
-
on ne voit pas la config résultante (interfaces/overview/wan) ie le statut.
essai sans demander de prefix: en mode 'advanced', ne pas cocher 'prefix delegation' et cocher 'non-temporary address allocation'. mettre un ID , par exemple 1 ou n'importe quel nombre (il doit etre unique si y'a plusieurs interface vers la livebox). ici j'ai mis 25 pour l'exemple.
(https://i.imgur.com/mdazlsw.png)
ensuite dans interfaces/overview/wan on devrait voir une ipv6.
a partir de la, la bbox devrait permettre de sélectionner opnsense dans les délégations statiques.
-
Sur Bouygues il faut uniquement demander un prefix, de taille /60, on peut ajouté un hint 1 c'est au routeur ensuite de s'attribuer un /64 et de prendre une ip dans cette plage et de choisir son mode de diffusion de l'ipv6 (RA, DHCPv6...). Ensuite le plus souvent c'est une question de bail non libéré (juste après avoir débranché la bbox essayer de demander un prefix avec un router renvoi un "no prefix available"), je ne sais toujours pas comment demander à la bbox de libérer le bail, il faut parfois attendre très longtemps (1 à 2h), aussi il est préférable de cloner la MAC pour les appels DHCP.
Edit: les serveurs Bouygues supportent de "rapid commit" pour faire 1 requêtes plutôt que 2...
Merci @Simon effectivement j'ai lu trop vite... merci et désolé pour le bruit...
-
je ne sais toujours pas comment demander à la bbox de libérer le bail, il faut parfois attendre très longtemps (1 à 2h), aussi il est préférable de cloner la MAC pour les appels DHCP.
Je crois que dans ce thread, ce qui est tenté, c'est d'obtenir une délégation de prefixe derrière la bbox.
Pour le cas où tu remplaces la box et cherches à obtenir un préfixe de la part du réseau juste après avoir retiré la box, est-ce que cloner son adresse MAC sur le routeur résoudrait ton problème ?
Pour peu que la box utilise l'adresse MAC comme DUID, le serveur DHCPv6 devrait te réattribuer le même préfixe instantanément. De son point de vue, c'est le même client qui est en face (la box), elle a simplement redémarré ou relancé son client DHCPv6.
-
Je confirme que pour ma problématique, je ne cherche pas à bypasser la bbox, je cherche uniquement à récupérer au moins un préfixe fonctionnel en /64, et si possible les 3 que propose la box en délégation.
EDIT : j'ai raté la réponse de kgersen. J'avais bien une IPv6 attribuée sur le WAN, sur le préfix /64 "principal" de la box (il finit par 50 chez moi, et ceux délégables sont les 51/52/53), avec ou sans l'option proposée mais mon opnsense n'est toujours pas sélectionnable du côté de la bbox :( C'est dommage parce que j'arrive à récupérer le préfixe en 53 sur un de mes VLAN et tout fonctionne très bien en "local" entre le routeur et ce VLAN, mais le VLAN n'arrive pas à sortir.
-
Alors t'as réussi à déléguer 3 /64 pour tes VLAN? Cela fonctionne ?
Perso j'ai abandonné, surtout après lu quelque part plus tôt ici qu'il y a un bug qui fait qu'il n'est pas possible de déléguer 3 /64 derrière le même routeur.
Par curiosité si quelqu'un a réussi ce serait bien de détailler le process .
-
Non je n'ai pas réussi, je vois dans les logs DHCP-PD que je reçois bien le préfix "3", donc j'arrive à le positionner sur un vlan, mais impossible de sortir en IPv6 depuis ce VLAN, ca bloque au niveau de la bbox en mode Dynamique et je ne peux pas passer en Statique comme la bbox ne voit pas mon routeur dans la liste :(
Je vais abandonner l'idée, tant pis :(
-
As-tu moyen de faire une capture de paquets sur l'interface WAN (celle qui relie ton routeur à la box, donc) lorsque tu fais du traffic depuis l'une des machines située derrière ton routeur ?
L'objectif est de voir si:
- le trafic sort bien de ton routeur vers la box,
- du trafic entrant revient d'internet à travers la box.
Pour générer du trafic de test, tu peux simplement faire des pings sur lafibre.info depuis un PC connecté au LAN du routeur.
-
Et est ce que ça marche si on ne garde qu'une seule délégation ?
De mémoire quand j'avais la box je n'arrivais même plus à déléguer un seul préfixe.
-
Je vois bien mes paquets issus du VLAN passer par la patte WAN du routeur, le souci a été signalé qqs pages en arrière, en mode "Dynamique" dans le paramétrage de délégation de la bbox, la bbox semble ne pas router les paquets, il faut passer en mode statique et sélectionner un équipement cible mais ma liste reste vide, le routeur est vu comme non compatible DHCPv6 par la bbox alors qu'il obtient bien une IPv6 (et même un préfixe en plus) par ce biais.
Quant à ne garder qu'une seule délégation, c'est déjà le cas et pas par choix, quelque soit la conf que je mets dans la bbox, je ne reçois qu'un seul préfix, le dernier, même si manuellement je demande le premier.
Ma seule option serait de réussir à forcer la prise en compte de mon routeur par la bbox dans la liste des équipements. J'ai un vieux raspberry qui traine, je vais essayer de mettre opnsense dessus et faire davantage de tests sans perturber le reste du réseau.
-
Ma seule option serait de réussir à forcer la prise en compte de mon routeur par la bbox dans la liste des équipements. J'ai un vieux raspberry qui traine, je vais essayer de mettre opnsense dessus et faire davantage de tests sans perturber le reste du réseau.
Si tu clones la MAC du routeur sur cette raspberry / autre device de test, et que tu fais ce qu'il faut pour que la box le marque comme compativle DHCPv6, est-ce que ca ne suffirait pas à définir une délégation/route statique ? Tu pourrais ensuite rebrancher ton routeur.
Mais honnêtement, la délégation de préfixe derrière une box, que ce soit chex Orange ou Bouygues, ce n'est pas sec. Ne ferais-tu pas mieux de connecter ton routeur directement à l'ONT, sans la box?
Tu as un OPNSense, le plus dur est déjà fait à mon sens.
Surtout que vu que ce genre de fonctionnalités n'est utilisé que par une minorité de clients et que les soucis de connectivité IPv6 sont bien souvent masqués par Happy Eyeballs, on peut penser que les opérateurs ne vont pas prioriser la résolution de ce genre de bugs.
Et comme ils testent moins, combiné au fait que la box peut se mettre à jour d'elle même à tout moment, tu risques fort de le voir réapparaître.
-
le routeur est vu comme non compatible DHCPv6 par la bbox alors qu'il obtient bien une IPv6 (et même un préfixe en plus) par ce biais.
c'est curieux cette phrase.
t'es certain que l'ipv6 obtenue est un bail dhcpv6 pas juste une auto configuration slaac ? si c'est le cas tu devrais la voir dans les baux de l'interface de la bbox6
encore plus curieux que tu dis obtenir un prefixe...
Apres le non fonctionnement constaté n'est pas forcement du a la bbox, comme simon indique il faut faire des captures sur ton wan pour voir ce qui entre/sort.
j'ai eu une bbox pendant plus de 2 ans, j'utilisais un prefix en statique sans aucun problème donc ca fonctionne, du moins en statique.
A moins que depuis une maj dans les bbox a casser les choses...
idem chez Orange maintenant (en dynamique), ca fonctionne depuis 6 mois sans aucun souci.
C'est pas encore parfait mais les FAI on fait des gros efforts de ce coté.
-
Hello @mpnico :)
Et en utilisant SLAAC au lieu de DHCPv6 ?
Je n'ai pas réussi à faire fonctionner tous mes équipements en DHCPv6 ( en particulier les équipements Android qui ne récupérent pas d'IP ). Mon fw/routeur est sur OpenWRT, pas OpnSense.
A tout hasard, vérifie que tu n'a pas d'équipements enregistrés dans la bbox et qui pourraient venir pertuber la déléguation de préfixe. Pour celà, aller dans le menu "Mes appareils" , bien choisir l'affichage en mode "liste" .
j'ai appris à mes dépends qu'avec tous les tests que j'ai pu réaliser, la bbox garde en mémoire les différentes addresses MAC et cela perturbe les déléguations de préfixe. Il faut donc bien purger les équipements/MAC inutiles.
De même, je préfère maintenant supprimer une déléguation puis la recréer, que de modifier une déléguation... La box ne réagit pas pareil
-
Pour que la box route un /64 vers son routeur, il faut qu'elle ajoute une entrée dans sa table de routage.
SLAAC ne permet pas de le faire. Un serveur DHCPv6 peut le faire (car il y a un échange stateful, contrairement à SLAAC) mais dans le cas de la bbox (ou en tout cas de la sienne), il ne le fait pas.
-
Ok, je vois, merci pour l'éclaircissement ;)
Effectivement, la patte "wan6" de mon routeur est en mode "DHCPv6 client".
-
Je n'ai pas réussi à faire fonctionner tous mes équipements en DHCPv6 ( en particulier les équipements Android qui ne récupérent pas d'IP ).
un peu hors sujet:
Android n'est pas compatible DHCPv6. Google ne veut pas de DHCPv6 (hors delegation de prefix) dans les environments wifi / grand public. Et ils ont pas tord a ce sujet.
Il a une requête ouverte de 2012 pour obtenir DHCPv6 sur Android: https://issuetracker.google.com/issues/36949085
requête avec plus de 400 commentaires au fil des ans.
Google a posté des informations récemment (commentaire #428) sur leur position: https://issuetracker.google.com/issues/36949085#comment428
perso je suis assez d'accord, la seule utilité de DHCPv6 est DHCPv6-PD (hors contexte pro particulier).
Par ailleurs l'équipe Android pousse l'adoption de 2 standards qui sont en cours de mise en oeuvre dans Android:
https://www.rfc-editor.org/rfc/rfc9663.html (adoption de DHCPv6-PD dans les grands réseaux télécom (5G par exemple))
https://www.rfc-editor.org/rfc/rfc9686.html (mécanisme d'enregistrement des addresses auto-générées)
/fin de du HS
Pour que la box route un /64 vers son routeur, il faut qu'elle ajoute une entrée dans sa table de routage.
SLAAC ne permet pas de le faire. Un serveur DHCPv6 peut le faire (car il y a un échange stateful, contrairement à SLAAC) mais dans le cas de la bbox (ou en tout cas de la sienne), il ne le fait pas.
oui soit la route de retour n'est pas installée, soit les paquets sont bloqués par le firewall de la bbox. En tous cas en statique ca fonctionne.
-
oui soit la route de retour n'est installée, soit les paquets sont bloqués par le firewall de la bbox. En tous cas en statique ca fonctionne.
Exact. Mon commentaire état à lire dans la perspective de "changer l'état de la box", donc ajouter des routes, règles de firewalling, etc. Difficile à bien faire avec SLAAC ("stateless" étant le but), bien plus simple à faire avec DHCP, mais non-fonctionnel dans son cas.
-
Bonjour à tous,
La box pure fibre de bouygues a été installé dans mon appart.
Voici mon REX concernant la délégation de préfixe avec un routeur PFSENSE (schéma: BOX LAN1 <=> PFSENSE <=> LAN2)
1- Sur la box, laisser la délégation de préfixe activée en auto (la box attribuera un /64 pour le routeur pfsense automatiquement)
2- Sur le routeur PFSENSE :
- Interface WAN : IPv6 en DHCP6 (pas d'option en mode expert)
- Interface LAN : IPv6 en track interface sur l'interface WAN
- System routing : Activer la gateway IPv6
- Service à activer : Router Advertisement, router mode: mode unmannaged (=SLAAC)
- Règles Firewall LAN : allow IPv6 ANY (pour le trafic client)
3 - Sur votre PC windows ou autre vérifier l'obtention d'une IPv6
- CMD : ping -6 free.fr (par exemple)
-
Bonjour à tous,
La box pure fibre de bouygues a été installé dans mon appart.
Voici mon REX concernant la délégation de préfixe avec un routeur PFSENSE (schéma: BOX LAN1 <=> PFSENSE <=> LAN2)
1- Sur la box, laisser la délégation de préfixe activée en auto (la box attribuera un /64 pour le routeur pfsense automatiquement)
2- Sur le routeur PFSENSE :
- Interface WAN : IPv6 en DHCP6 (pas d'option en mode expert)
- Interface LAN : IPv6 en track interface sur l'interface WAN
- System routing : Activer la gateway IPv6
- Service à activer : Router Advertisement, router mode: mode unmannaged (=SLAAC)
- Règles Firewall LAN : allow IPv6 ANY (pour le trafic client)
3 - Sur votre PC windows ou autre vérifier l'obtention d'une IPv6
- CMD : ping -6 free.fr (par exemple)
Bonsoir,
Je suis passé chez Bouygues depuis bientôt 2 semaines.
j'ai testé plein de choses dont ta configuration.
j'ai bien le 3ieme préfix /64.
Les équipements derrière mon OPNSense ont bien le 3ieme préfix /64 mais par contre ils n'arrivent pas à joindre Internet.
Depuis le shell OPNSense, j'arrive bien à ping la bbox + internet.
c'est un problème de retour au niveau de la bbox.
Sur l'interface de la bbox, dans délégation de préfix statique, j'ai rien du tout dans la liste. même pas le OPNSense.
-
Oui tu as exactement les mêmes symptômes que moi, je n'ai pas trouvé de solution, j'ai fini par juste laisser tomber l'IPv6 pour le moment.
-
J'avais réussi à demander un préfixe avec une machine Debian pour un VPN, et le trafic fonctionnait. C'était le 4e de mon /60 par défaut. Avez-vous bien une route par défaut qui s'ajoute automatiquement ?
Je concède cependant que la fonction fait très implémentée à la va-vite, et la Bbox est juste rapidement paumée dès que le réseau sort de la complexité de celui de chez ma grand-mère. Dans la liste d'appareils pour une délégation manuelle, il y avait souvent des vides à la place du nom d'hôte ou de l'adresse MAC, et la moitié de mes VM n'apparaissaient pas. Je n'avais pas vu non plus d'endroit où la délégation en cours était confirmée, vers quel appareil et quand expire le bail.
-
Même problème ici,
Prefixe ipv6 bien reçu sur le routeur perso via dhcpv6-pd.
Lan configuré avec le prefixe /64 obtenu.
Internet KO depuis le lan, tcpdump sur les interfaces du routeur perso :
Interface Lan : Je vois bien les pc initier des flux vers internet avec en ipv6 source dans le /64 (le prefixe obtenu).
Interface Wan : Je vois bien les flux à destination d'internet sortir sur l'interface wan, toujours ipv6 source du prefixe obtenu et avec la mac de destination correspondant à la mac de la bbox coté lan, donc tout est ok...
Mais jamais de retour :/
C'est comme si la bbox attribuait bien le préfixe mais n'appliquait pas la route pour joindre le préfixe délégué vers le routeur externe qui à reçu le préfixe...
Bon, du coup, demande d'ont externe depuis l'espace client...
Bbox 6E en version : 24.3.12
Edit, même problème également en attribution du préfixe "statique"
-
J'ai bien reçu l'ONT, voyant synchro PON ok, par contre le port data reste down (même lorsqu'il est connecté au port 10G de la bbox).
La fibre se synchronise toujours correctement en direct sur la box, ainsi qu'avec l'ONT.
En revanche, si je réinitialise l'ONT sans brancher la fibre, le port data est up, mais il repasse down dès que la synchro PON s'établit.
Je suspecte que la configuration envoyée par Bouygues à l'ONT Nokia ONT XS-010X-Q place le port data en état "shutdown".
J'ai contacté le service client, qui a supprimé l'ONT externe de leur système. Depuis, il ne se synchronise plus (le voyant PON clignote au lieu de rester fixe), mais le port data est donc bien up avec la LED bleue indiquant 10 Gbps.
Y aurait-il quelqu'un de chez Bouygues ici qui pourrait prendre la main sur mon ticket ?
C'est compliqué avec le support, et ils ont carrément supprimé mon ticket/incident après que j’ai remis la box en direct...
Edit :
Après une longue bataille avec le support, ils m'ont demandé d'aller échanger l'ONT Nokia en magasin.
Ce que j'ai fait, et comme prévu, avec le nouvel ONT, le résultat est identique (le port Ethernet reste down).
Désormais, même après un reset complet de l'ONT, je n'arrive plus à le faire passer en mode "up" (j'appuie longuement sur le bouton de reset jusqu'à ce que toutes les LED clignotent).
Cependant, juste après un reset, au premier démarrage, la led ethernet/data s'allume pendant 2 secondes (LED Data bleue, donc négociation à 10 Gbps) avant de retomber... (j'ai le temps d'avoir la notif sur la bbox que le port ethernet 10G est up).
Pour le "fun", j'ai tenté après reset :
Premier démarrage sur un port de switch 2.5Gbps => led Data orange 2s.
Premier démarrage sur un port de switch 5Gbps => led Data white 2s
D'après la doc, Orange = 2.5Gbps, Blanc = 5Gbps, Bleu = 10Gbps, donc ça correspond.
Mais sans reset,
Voyant PON ok vert fixe, port ethernet toujours down.
Je précise que j'ai testé divers cordons cat6/cat6a, en plus de la connexion Ont/Bbox, j'ai testé ONT vers un autre switch sur les ports 1/2.5/5/10 Gbps en face, avec ou sans autonego mais le résultat reste le même.
Je suspecte donc que le firmware du Nokia est personnalisé par Bouygues, avec le port Ethernet désactivé avant le provisionnement fibre, et que mon provisionnement fibre ne l'active pas.
Bon et vu que sur ce nouvel ont le port ne passe plus up après reset sans fibre connecté, impossible d'essayer d'y acceder https://hack-gpon.org/xgs/ont-nokia-xs-010x-q/ (https://hack-gpon.org/xgs/ont-nokia-xs-010x-q/), à moins de le démonter pour accéder au port serie...
Edit 2 : en fait je ne suis pas le seul dans ce cas => https://lafibre.info/incidents-ftth/demande-dun-boitier-ont-xgs-pon-avec-offre-pure-fibre-debit/msg1112370/#msg1112370
-
Bonjour à tous,
J'ai l'impression que ce sujet mélange un peu tout, mais pour ceux qui n'arrivent pas à obtenir un préfixe délégué sur leur opnsense derrière une bbox, voici ce que j'ai réussi à faire :
Mon réseau est : bbox -> opnsense -> WAN -> LAN
L'interface WAN :
IPv6 Configuration Type -> DHCPv6
DHCPv6 client configuration -> Configuration Mode : Basic, ne rien cocher, laisser la taille du préfixe en /64
L'interface LAN :
IPv6 Configuration Type -> Track interface
Track IPv6 Interface -> Parent interface : WAN, Assign prefix ID : 0, Allow manual adjustment of DHCPv6 and Router Advertisements j'ai coché parce que j'avais ensuite besoin de configurer des statics leases et que ça buggait sur ma version d'opnsense donc à tester
Ensuite dans firewall / rules / WAN, il faut ajouter une règle pour débloquer un certain type de paquet (icmp ?).
Par flemme et pour d'autres besoins, j'ai donc créer une règle qui laisse passer tout le trafic depuis WAN net (qui n'est pas vraiment du WAN ici, mais tout le réseau privé qui se trouve derrière la bbox) :
Protocol Source Port Destination Port Gateway Schedule
IPv4+6 * WAN net * * * * *
Après avoir tout configuré je suis allé voir l'interface d'admin de la bbox et j'ai ENFIN vu mon opnsense dans la conf des préfixes délégués statiques. J'ai pris le premier préfixe et l'ai affecté à mon opnsense.
Maintenant tout fonctionne, j'ai une adresse du préfixe géré par la box sur la patte WAN, et une adresse du préfixe délégué sur la patte LAN. Les clients du LAN récupèrent bien une adresse du préfixe délégué et tout marche dans les 2 sens.
-
Hello remii
Merci pour ton partage. Peux-tu nous dire ce que tu as comme configuration dans la partie Services > Router Advertisements ? Comme tu as coché "Allow manual adjustment of DHCPv6 and Router Advertisements" il y a peut-être un paramétrage magique qui débloque la situation ? Car en l'occurrence j'ai appliqué la config que tu as très bien décrite, sans cocher "Allow manual adjustment of DHCPv6 and Router Advertisements" dans un premier temps et malheureusement la situation est tjs la même à savoir rien dans la liste déroulante des équipements dans la délégation statique de préfixe. Cocher la case ne change rien mais j'ai tellement touché les configs de partout que je pense que ma config "Router Advertisements" n'est plus très propre.
Merci !
-
Hello remii
Merci pour ton partage. Peux-tu nous dire ce que tu as comme configuration dans la partie Services > Router Advertisements ? Comme tu as coché "Allow manual adjustment of DHCPv6 and Router Advertisements" il y a peut-être un paramétrage magique qui débloque la situation ? Car en l'occurrence j'ai appliqué la config que tu as très bien décrite, sans cocher "Allow manual adjustment of DHCPv6 and Router Advertisements" dans un premier temps et malheureusement la situation est tjs la même à savoir rien dans la liste déroulante des équipements dans la délégation statique de préfixe. Cocher la case ne change rien mais j'ai tellement touché les configs de partout que je pense que ma config "Router Advertisements" n'est plus très propre.
Merci !
Salut,
J'ai fait des captures d'écran (je sais pas trop comment ça marche, au pire j'éditerai mon message).
Si ton opnsense n'est pas reconnu dans la liste des préfixes statiques sur la bbox, ça n'a pas de lien avec le RA.
Assure toi que tu n'as pas bloqué les private networks dans l'interface WAN, et que tu as bien une règle de firewall qui permet le trafic entre ta bbox et ton opnsense sur des adresses privées.
Pour en être certain, ouvre deux fenêtres : une avec firewall / log / live view, et l'autre avec la conf de ton interface WAN pour cliquer sur Save, ce qui va permettre un down / up de ton interface et tu verras si des paquets sont bloqués dans le live view des logs de firewall au moment où ton WAN essaie de récupérer une ipv6.
-
Merci pour le détail.
Non y'a rien qui est bloqué d'après les logs du firewall, après tu es en DHCPv6 aussi sur ton LAN, ce que je ne cherche pas à faire et je n'ai pas l'impression que tu as plusieurs VLAN, ce qui est mon cas. Après va savoir si ces différences expliquent pourquoi la bbox ne voit rien dans mon cas, ca je ne sais pas :(
-
Hello,
Il semblerait que je ne sois pas le seul à avoir des soucis avec la BBOX et la liste des devices auxquels la BBOX peut déléguer un préfixe. Je suis dans une configuration somme toute simple puisque j'ai la BBOX en frontale sur laquelle la TV et le téléphone reste branché et ensuite j'ai un gateway (UnifiClougGateway Max) qui elle est devant tout le reste de mon infrastructure réseau. C'est un choix assumé dans le sens ou, idéalement, je supprimerai la BBOX et passerait via un ONT directement sur la gateway mais je n'ai ni envie de configurer la TV et le téléphone sur la gateway ni l'intention de me priver d'une solution de secours que représente la BBOX si mon infrastructure réseau (gateway et ce qu'il y a derrière) tombe (je suis souvent loin et les personnes locales seraient bien en peine débuger les soucis).
En l'état j'ai donc côté BBOX (version du firmware 24.4.12) dans la liste des devices pouvant recevoir la délégation de préfixe tout un tas de devices (allant de la montre connectée en passant par l'adaptateur CPL) mais pas ma gateway (cf copie d'écran). Ensuite il semblerait qu'il y a déjà quelque chose qui ne fonctionne pas très bien entre la BBOX et la gateway car dans le même menu tout en bas, quand j'essaye d'ajouter une adresse IPv6 statique sur cette dernière j'ai une info comme quoi le "périphérique est non compatible IPv6" (cf copie d'écran).
Du côté gateway la configuration a été faite pour l'IPv6 et IPv4 avec une délégation de préfixe de 60 (cf copie) d'écran. La gateway a bien une IPv6 sur son port WAN.
Il s'agit pour moi donc de déterminer qui de la BBOX ou de la gateway est fautive. Je penche assez pour la BBOX sachant que j'ai eu d'autre expérience avec du matériel Unifi en IPv6 et DHCP et que cela c'est passé sans soucis.
Je suis preneur de toute idée car à ce stade de sèche totalement.
-
La Bbox n’est pas capable de déléguer le /60 entier mais /64 par /64. Il faut modifier ça dans ton client, c’est peut-être ce qui fait afficher « non compatible ».
-
Effectivement j'ai aussi essayé de modifier la configuration en /64 sur la gateway pour strictement le même résultat. J'ai par contre réussi à "forcer" la BBOX en passant par l'API (/api/v1/dhcp6/prefixdelegation). Ceci m'a permis de renseigner l'adresse MAC de ma gateway comme destination de la délégation de préfixe. J'ai demandé à déléguer le prefixe 2001:XXXX:XXXX:XXX1 (qui est effectivement du /64) et de manière suprenante ma gateway obtient le prefixe 2001:XXXX:XXXX:XXX3.
Tant que j'étais dans l'API j'ai aussi regardé dans la liste de device pour voir si je voyais quelque chose de différent entre les devices proposé dans l'interface graphique et ma gateway et je n'ai rien trouvé de très probant. Les seules attributs qui différent est le duid (que je suppose être device unique id) une fois rempli pour les devices visible dans la gui et vide pour ma gateway. Ensuit, partant de l'idée que c'est l'interface graphique qui bloquait le choix de ma gateway (puisque par API c'est passé) et que dans les appels que j'ai pu intercepté en faisant de l’ingénieure inverse de la page de configuration je ne vois pas vraiment d'autres appels intéressant à l'API hormis ce (/api/v1/hosts) je suppose que c'est bien ce duid qui pose souci. Il faudrait que je fasse quelques autres test pour essayer 1) de valider que tout ce qui est propos dans l'interface a bien un duid et 2) tenter de trouver ce qui fait que le duid est généré ou pas.
Ceci dit l'impression qui en ressort c'est que l'interface de cette box n'est pas sèche. Déjà la validation des champs d'entrées uniquement dans l'interface graphique me semble assez léger (en plus d'a priori être erronée), ensuite les APIs qui sont très mal documentées (seulement une veille page https://api.bbox.fr/doc/apirouter/index.html) et pas complète (rien sur api/v1/dhcp6/prefixdelegation qu'il faut retrouvé en regardant les appels réseaux de l'interface graphique sic)
-
Effectivement j'ai aussi essayé de modifier la configuration en /64 sur la gateway pour strictement le même résultat. J'ai par contre réussi à "forcer" la BBOX en passant par l'API (/api/v1/dhcp6/prefixdelegation). Ceci m'a permis de renseigner l'adresse MAC de ma gateway comme destination de la délégation de préfixe. J'ai demandé à déléguer le prefixe 2001:XXXX:XXXX:XXX1 (qui est effectivement du /64) et de manière suprenante ma gateway obtient le prefixe 2001:XXXX:XXXX:XXX3.
Tant que j'étais dans l'API j'ai aussi regardé dans la liste de device pour voir si je voyais quelque chose de différent entre les devices proposé dans l'interface graphique et ma gateway et je n'ai rien trouvé de très probant. Les seules attributs qui différent est le duid (que je suppose être device unique id) une fois rempli pour les devices visible dans la gui et vide pour ma gateway. Ensuit, partant de l'idée que c'est l'interface graphique qui bloquait le choix de ma gateway (puisque par API c'est passé) et que dans les appels que j'ai pu intercepté en faisant de l’ingénieure inverse de la page de configuration je ne vois pas vraiment d'autres appels intéressant à l'API hormis ce (/api/v1/hosts) je suppose que c'est bien ce duid qui pose souci. Il faudrait que je fasse quelques autres test pour essayer 1) de valider que tout ce qui est propos dans l'interface a bien un duid et 2) tenter de trouver ce qui fait que le duid est généré ou pas.
Ceci dit l'impression qui en ressort c'est que l'interface de cette box n'est pas sèche. Déjà la validation des champs d'entrées uniquement dans l'interface graphique me semble assez léger (en plus d'a priori être erronée), ensuite les APIs qui sont très mal documentées (seulement une veille page https://api.bbox.fr/doc/apirouter/index.html) et pas complète (rien sur api/v1/dhcp6/prefixdelegation qu'il faut retrouvé en regardant les appels réseaux de l'interface graphique sic)
ah merci ! n'ayant plus de bbox j'attendais avec impatience que quelqu'un utilise l'API ;)
Si tu pouvais nous donner les détails de l'appel en question ( prefixdelegation et éventuellement s'il y a de quoi read et delete aussi) .
Dela on pourra faire un script simple (bash avec curl par exemple) pour que tout le monde puisse se configurer la délégation.
Apres si c'est une question de DUID, peut-être que l'interface attend une format particulier et que la version dynamique aussi dans ce cas ?
-
Hello,
Voici ce que j'ai pu trouvé en terme d'appel API:
En GET
api/v1/dhcp6/prefixdelegation
Avec une réponse du type
[
{
"dhcp": {
"prefixdelegation": [
{
"id": 1,
"enable": 1,
"prefixend": "",
"prefixstart": "2001:XXXX:XXXX:XXX",
"securitylevel": "Normal",
"macaddress": "",
"type": 1
},
{
"id": 2,
"enable": 1,
"prefixend": 3,
"prefixstart": "2001:XXXX:XXXX:XXX",
"securitylevel": "Low",
"macaddress": "YY:YY:YY:YY:YY:YY",
"type": 0
},
{
"id": 3,
"enable": 1,
"prefixend": 1,
"prefixstart": "2001:XXXX:XXXX:XXX",
"securitylevel": "Normal",
"macaddress": "YY:YY:YY:YY:YY:YY",
"type": 0
}
]
}
}
]
type = 0, pour le statique, type = 1 pour le dynamique, si dynamique alors prefixend = "" si statique alors un des trois /64 posssible
En POST
api/v1/dhcp6/prefixdelegation?btoken=<the_token>
et dans le corp de la requête
enable=1&prefixstart=2001%3Axxxx%3Axxxx%3Axxx&prefixend=1&securitylevel=Normal&type=0&macaddress=yy%3Ayy%3Ayy%3Ayy%3Ayy%3Ayy
à remplir avec les XXXX et yy qui vont bien selon le schéma du GET précédent
En DELETE
api/v1/dhcp6/prefixdelegation/z
passer en Z l'id de l'entrée à supprimer
A priori et sauf dans le cas du POST (le token état passé en paramétre) il y a aussi le token qui est passé dans le headers de la requête sous Cookie. Comme j'ai testé tout cela en repiquant la session de mon navigateur et via les outils de développement intégré je ne sais pas l'ensemble minimum et nécessaire. Il faudrait tester cela avec du curl /postman / bruno, mais j'avoue que cela dépasse mon état de motivation :-)
Encore une API qui m'a semblé intéressante pour trouver les noms de devices connu de la BBOX c'est en:
GET
api/v1/hosts
ou en DELETE
api/v1/hosts/z
passer en Z l'id de l'entrée à supprimer
C'est avec cette dernière que j'ai émis le postulat que ce qui coince peut-être l'interface graphique c'est le manque de DUID pour les devices qui ne sont pas présenté dans la liste déroulante de l'interface graphique en destination pour la délégation de préfixe.
En espérant que cela puisse aider l'un ou l'autre.
-
merci des infos. pour utiliser l'api en mode ligne de commande et pour l'histoire du btoken c'est officiellement documenté. c'est jusqu'il n'y a pas "prefixdelegation" dans la doc.
la doc: https://developer.bouyguestelecom.fr/news/router-api-summary (pour démarrer et comprendre le cookie d'autentification)
l'api : https://api.bbox.fr/doc/apirouter/index.html (btoken expliqué au début).
quand tu fais un GET "api/v1/hosts', ton routeur n'y figure pas ? tu vois quoi pour un host qui apparait aussi dans la liste déroulante pour la délégation ?
-
le GET sur "api/v1/hosts" me renvoye un liste longue comme un jour sans fin de tous les devices s'étant connecté un jour ou pas à la bbox (j'ai depuis fait le ménage toujours via l'API d'ailleur). La documention non à jour que tu mentionnes n'indique pas la duid que j'ai dans le payload de retour dont voici un extrait ci-dessous pour ma gateway
{
"id": 43,
"hostname": "UniFiCloudGatewayMaxB",
"macaddress": "yy:yy:yy:yy:yy:yy",
"duid": "",
"ipaddress": "192.168.2.165",
"type": "DHCP",
"link": "Ethernet",
"guest": 0,
"devicetype": "Device",
"firstseen": "2025-04-19T08:20:17+0200",
"lastseen": 0,
....
}
Donc pour résumé, je vois dans "api/v1/hosts" tous les devices récents (connecté) comme ancien (plus sur le réseau). J'y vois aussi ma gateway avec son adresse IPv6 wan. La seule chose qui semble différencier un device que je puisse sélectionner dans l'interface graphique pour la délégation de préfixe vs un autre que je ne vois pas dans l'interface graphique c'est vraiment ce champ duid. Ce champ duid est d'ailleurs assez bizzare car quand il est renseigné il a toujours la même forme:
"0X:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52"
avec X étant le seul discriminant d'un device à l'autre et une suite monotone croissante.
A moins de mettre la main sur un développeur de la box je pense que ce sera difficile de deviner ce qu'encode et signifie vraiment ce duid (la version de la doc en ligne ne mentionne pas ce champ).
Ceci dit comme il a a une méthode PUT sur le même endpoint je pourrais toujours essayer de forcer à la main un duid sur ma gateway et voir ce qui se passe. Mais vu que je suis arrivé à mes fin en via le prefixdelegation je ne vois pas trop l'intérêt pour moi. Peut-être d'autre auront envie de poursuivre cette voie.
-
Un DUID est envoyé par le host lors d'une requete DHCPv6. Si le DUID est a vide ca veut dire que la bbox n'a pas recu OU pas honoré une requete DHCPv6 venant de ce host.
Le plus souvent, le DUID est construit avec l'adresse MAC ou l'adresse MAC et une valeur temporelle (datetime).
Y'a t'il des IPv6 dans les résultats de "api/v1/hosts" ? (en général pas que pour ton UniFiCloudGatewayMaxB) .
Ce sujet étant ancien et souvent confus, je rappelle qu'en IPv6 pour que la bbox 'connaisse' un host et l'affiche dans la liste déroulante, il faut que cet host ai fait une demande d'adresse (pas de préfixe) en IPV6. Donc une requête DHCPv6 de type IA_NA (donc envoyer un DUID a la bbox)
En SLAAC ou manuel ca ne fonctionne pas (on parle du WAN la) car la bbox ne connait pas cette machine.
Résumé de configuration pour le routeur derriere la bbox:
coté WAN:
- interface wan : DHPCv6 (requete de type adresse pas préfixe).
a partir de la, on 'devrait' voir la machine dans la liste de délégation de préfixe sur la bbox -> lui déléguer un préfix, par exemple le xxx1.
Si ca ne marche pas, peut-etre que le DUID envoyé n'est pas accepter, vu qu'il est transformé en adresse MAC dans la liste déroulante, il faut que ce soit un DUID de type 1 ou 3 (type1=LLT=Link-layer address plus time ou type3=Link-layer address, cf doc Unify si c'est configurable)
Si on ne franchit pas cette étape, tenter avec l'api.
coté LAN:
- interface LAN: lettre en statique avec un adresse dans xxx1 (2001:xxxx:xxxx:xxx1::1/64 par par exemple)
- annoncer le préfixe 2001:xxxx:xxxx:xxx1 (en jargon on parle de "radvd" souvent).
L'autre méthode c'est: full dynamique pas je n'ai pas réussi a la faire fonctionner (a priori y'a un bug de routage coté bbox).
-
"0X:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52"
En prenant X = 1 et en ajoutant un 0 devant, on dirait un type 1 (LLT):
python dec.py 00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
Input DUID Hex: 00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
Total DUID Length: 14 bytes
DUID Type: 1 [DUID-LLT - Link-layer address plus time]
Hardware Type: 1 [Ethernet]
Seconds since midnight (UTC), January 1, 2000: 775440733
Calculated Timestamp (UTC): 2024-07-28T00:12:13+00:00
Link-layer Address: 60:3e:5f:44:a4:52
Adresse mac (Link-layer Address) qui commence par 60:3e:5f -> Apple . C'est bien un appareil Apple qui a cette entrée ?
si tu as des entrée avec X=3 c'est du LL (type 3).
-
Merci pour cette explication DUID. Pour répondre aux questions il y a plusieurs chose à savoir:
* oui il s'agit bien d'un device Apple comme tu as pu le voire avec le code constructeur sur la MAC qui est bien dans la DUID
* s'agissant d'un portable il n'a plus de connecteur Ethernet et c'est donc via l'entremise d'un adaptateur USB ou Thunderbolt que je le connecter en cable pour mes tests.
* l'adresse MAC de la carte Wifi est bien celle que tu as pu voir dans le DUID rapporté (et que je n'avais pas reconnu comme tel, plus là dessus ci-dessous)
On se retrouve donc dans la situation ou une même machine Apple portable se connecte et apparait avec plusieurs MAC adresses différentes: une fois la docking station Thunderbolt 3, une fois l'adaptateur combiné Satech en USB et une troisième fois avec l'adaptateur UBS Belkin. Du coup la seule chose invariante en terme d'adresse MAC de cette machine Apple est la MAC adresse de sa carte Wifi. Et à priori Apple fait ce qui semble être la chose la plus logique elle construit le DUID de cette machine avec la seule chose invariante qu'elle ait, la MAC de la Wifi et ce quel que soit la méthode de connexion (adaptateur 1, 2 ou 3 ou via le wifi).
Ce qui du coup m'a mis dedans car dans le champ MAC adresse de l'endpoint ""api/v1/hosts" on trouve l'adresse MAC de l'adaptateur utilisé et non pas celui de la carte Wifi. J'en ai donc conclu de manière erronée que le DUID avait des champs constants alors qu'en réalité je voyais simplement toujours la même machine connectée via des adaptateurs différents.
Au final je constate donc que en terme de DUID pour la même machine mais via 3 adaptateurs différent j'ai:
* 01:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
* 02:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
* 03:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
la partie finale du DUID étant la MAC adresse de la carte Wifi.
Du coup je ne suis pas sûr que le 01, 02 ou 03 soit vraiment le type. Cela me semble plutôt être le discriminant entre la même machine mais via un adaptateur différent.
Concernant les adresse IPv6, j'en ai effectivement pour chaque devices sur le style suivant:
"ip6address": [
{
"ipaddress": "fe80::xxxx:xxxx:xxxx:xxxx",
"status": "Preferred",
"lastseen": "2025-04-21T22:35:14+0200",
"lastscan": "2025-04-21T22:34:36+0200"
},
{
"ipaddress": "2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx",
"status": "Preferred",
"lastseen": "2025-04-21T22:35:56+0200",
"lastscan": "2025-04-21T22:34:36+0200"
},
{
"ipaddress": "2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx",
"status": "Preferred",
"lastseen": "2025-04-21T22:35:11+0200",
"lastscan": "2025-04-21T22:34:39+0200"
}
]
Du coup entre tes explications et mes observations, je pense que pense que la gateway n'arrive pas à faire une demande d'adresse IPv6 correct (soit sans délégation de préfixe) sur son port WAN et du coup la bbox ne la reconnait pas. Ce qui est à priori dépassable par le passage par l'API (et à ce stade ça me va ainsi).
Je vais essayer de voir maintenant si j'arrive à configurer le côté LAN de ma gateway de la manière décrite par kgersen et ainsi obtenir un connectivité IPv6 derrière cette dernière. Plus d'information quand j'aurai pu procéder à ces essais.
-
Au final je constate donc que en terme de DUID pour la même machine mais via 3 adaptateurs différent j'ai:
* 01:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
* 02:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
* 03:00:00:00:00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
la partie finale du DUID étant la MAC adresse de la carte Wifi.
Du coup je ne suis pas sûr que le 01, 02 ou 03 soit vraiment le type. Cela me semble plutôt être le discriminant entre la même machine mais via un adaptateur différent.
effectivement, j'ai mal regardé le nombre d'octets, il faut interpréter les infos comme suit:
* 01:00:00:00 00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
* 02:00:00:00 00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
* 03:00:00:00 00:01:00:01:2e:38:49:5d:60:3e:5f:44:a4:52
premiere partie un index sur 32 bits , et la deuxième le DUID, avec ici type 1 pour les 3.
-
Après plusieurs tests et plusieurs configurations différentes côté gateway toujours impossible d'avoir de l'IPv6 fonctionnel (tester via ping6) sur le réseau derrière la gateway. En effet même si je supprime dans la bbox la délégation de préfixe (que j'avais rentré à la main via l'API), que je configure le côté WAN de la gateway avec du DHCPv6 et un préfixe de /64 et fait la configuration qui va bien côté LAN, je me retrouve toujours avec le même préfixe 2001:XXXX:XXXX:XXX3. Donc que je fasse de la délégation de préfixe dans la bbox ou pas, côté gateway c'est du pareil au même. Ma conclusion est que sans DUID il semble possible de faire une entrée de routage statique sur la gateway mais ce n'est qu'une impression car la bbox n'a, au final, rien rentré dans sa table de routage pour faire revenir le trafic en réponse des requêtes des machines provenant du réseau derrière la gateway. Cela est concordant avec la résolution de ping6 free.fr sur l'adrresse IPv6 de free et l'absence de paquet en retour:
PING6(56=40+8+8 bytes) 2001:861:204b:b393:2554:6b9b:413b:d188 --> 2a01:e0c:1::1
^C
--- free.fr ping6 statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
Fort de ce constat il ne me reste plus que deux options: soit la gateway Unifi ne transmet pas de DUID, soit celui qui est transmis par la gateway n'est pas reconnu par la bbox. Dans tous les cas la négociation en DHCPv6 semble fonctionner correctement et je vois dans les log de odcvp6c les traces suivantes:
Apr 25 08:10:43 HostName ubios-udapi-server[1079]: dhcp-client: (Re)starting odhcp6c (stateful) on eth4
Apr 25 08:10:43 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: (re)starting transaction on eth4
Apr 25 08:10:43 HostName odhcp6c[1590303]: (re)starting transaction on eth4
Apr 25 08:10:43 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: Starting SOLICIT transaction (timeout 4294967295s, max rc 0)
Apr 25 08:10:43 HostName odhcp6c[1590303]: Starting SOLICIT transaction (timeout 4294967295s, max rc 0)
Apr 25 08:10:44 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: Got a valid ADVERTISE after 1086ms
Apr 25 08:10:44 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: IA_NA 0001 T1 0 T2 0
Apr 25 08:10:44 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx preferred 54000 valid 86400
Apr 25 08:10:44 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: IA_PD 0001 T1 0 T2 0
Apr 25 08:10:44 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: 2001:xxxx:xxxx:xxxx::/64 preferred 54000 valid 86400
Apr 25 08:10:44 HostName odhcp6c[1590303]: Got a valid ADVERTISE after 1086ms
Apr 25 08:10:44 HostName odhcp6c[1590303]: IA_NA 0001 T1 0 T2 0
Apr 25 08:10:44 HostName odhcp6c[1590303]: 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx preferred 54000 valid 86400
Apr 25 08:10:44 HostName odhcp6c[1590303]: IA_PD 0001 T1 0 T2 0
Apr 25 08:10:44 HostName odhcp6c[1590303]: 2001:xxxx:xxxx:xxxx::/64 preferred 54000 valid 86400
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: Starting REQUEST transaction (timeout 4294967295s, max rc 10)
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: Send REQUEST message (elapsed 0ms, rc 0)
Apr 25 08:10:45 HostName odhcp6c[1590303]: Starting REQUEST transaction (timeout 4294967295s, max rc 10)
Apr 25 08:10:45 HostName odhcp6c[1590303]: Send REQUEST message (elapsed 0ms, rc 0)
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: Got a valid REPLY after 2ms
Apr 25 08:10:45 HostName odhcp6c[1590303]: Got a valid REPLY after 2ms
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: IA_NA 0001 T1 0 T2 0
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: 2001:xxxx:xxxx:xxx0:xxxx:xxxx:xxxx:xxxx preferred 41799 valid 74199
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: IA_PD 0001 T1 0 T2 0
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: 2001:xxxx:xxxx:xxx3::/64 preferred 41799 valid 74199
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: T1 20899s, T2 33439s, T3 74199s
Apr 25 08:10:45 HostName odhcp6c[1590303]: IA_NA 0001 T1 0 T2 0
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: entering stateful-mode on eth4
Apr 25 08:10:45 HostName ubios-udapi-server[1590303]: odhcp6c[1590303]: Starting <POLL> transaction (timeout 20899s, max rc 0)
Apr 25 08:10:45 HostName odhcp6c[1590303]: 2001:xxxx:xxxx:xxxx:xxx3:xxxx:xxxx:xxxx preferred 41799 valid 74199
Apr 25 08:10:45 HostName odhcp6c[1590303]: IA_PD 0001 T1 0 T2 0
Apr 25 08:10:45 HostName odhcp6c[1590303]: 2001:xxxx:xxxx:xxx3::/64 preferred 41799 valid 74199
Apr 25 08:10:45 HostName odhcp6c[1590303]: T1 20899s, T2 33439s, T3 74199s
Apr 25 08:10:45 HostName odhcp6c[1590303]: entering stateful-mode on eth4
Apr 25 08:10:45 HostName odhcp6c[1590303]: Starting <POLL> transaction (timeout 20899s, max rc 0)
Pour moi on voit donc bien le IA_NA avec une réponse dans le range 2001:XXXX:XXXX:XXX0 sur la patte WAN et ensuite via IA_PD la délégation de préfixe sur 2001:xxxx:xxxx:xxx3::/64.
Donc les prochaines étapes:
* trouver le DUID générer la gateway
* s'assurer que ce DUID est bien envoyé à destination de la bbox
-
si ton routeur demande un IA_PD c'est qu'il fait du dynamique... il reçoit bien xxxx:3 qu'il configure ensuite sur son LAN. Le IA_NA est optionnel dans ce cas.
pour la configuration dynamique:
si ca ne marche depuis ton LAN: soit les ping sont bloqués (firewall quelque part) soit la bbox ne route pas correctement les paquets de retour (bug bbox éventuellement repéré déjà par d'autres gens du forum mais on n'a pas de certitude car chez certains ca fonctionne (cf remii notamment)).
-> désactive tout firewall pour tester (dans la bbox et dans ton routeur), ne teste pas que des pings mais plutot https://test-ipv6.com/ depuis un PC avec navigateur ou en ligne de commande sur ton routeur ou un PC :
curl api6.ipify.org(ca doit afficher ton IPv6) (sur Windows c'est curl.exe pas "curl" tout court).
pour la config statique:
as tu moyen de faire une capture sur le port WAN ? si oui tu verra le DUID envoyé.
en configuration statique, on ne devrait voir que IA_NA pas de IA_PD.
Ta config WAN ipv6 doit être DHCPv6 (pour IA_NA) et "single network" (pas de demande de délégation).
dans la bbox ajouter un entrée delegation statique vers ton routeur (manuellement si ca marche sinon avec l'api?). choisir xxxx:1 par exemple
Ta config LAN ipv6 doit être "static", mettre le prefix xxxx:1 et surtout cocher IPv6 RA pour le distribuer sur le LAN.
si tu peux poster des captures des pages de configuration de tes interface pour WAN et LAN ca aiderai aussi. je n'ai pas de Cloud Gateway sous la main.
pour resumer: soit tu essais de faire marcher la configuration dynamique , soit la statique mais pas les 2 meme temps...
-
Voici donc la configuration de la gateway Unifi pour le WAN en mode DHCPv6 (dynamique donc) avec la bbox en mode délégation de préfixe (une seule entrée, dynamique et préfixe auto, sécurité faible, rien dans la délégation statique). Pare-feu laissé sur normal et sa règle pour le port 25 et 445 (cf copie d'écran)
Dans cette configuration et en direct (ligne de commande sur la gateway), voici la négociation DHCPv6 (Solicit, Advertise, Request et Reply) via tcpdump:
12:34:32.963420 IP6 (flowlabel 0xeb848, hlim 1, next-header UDP (17) payload length: 154) fe80::eea:14ff:fecd:848b.546 > ff02::1:2.547: [bad udp cksum 0xa574 -> 0x5eee!] dhcp6 solicit (xid=161c88 (elapsed-time 0) (option-request SIP-servers-domain SIP-servers-address DNS-server DNS-search-list SNTP-servers NTP-server AFTR-Name opt_67 opt_82) (client-ID hwaddr type 1 zzzzzzzz848b) (reconfigure-accept) (Client-FQDN) (IA_NA IAID:1 T1:0 T2:0) (IA_PD IAID:1 T1:0 T2:0 (IA_PD-prefix ::/64 pltime:0 vltime:0)))
12:34:32.964829 IP6 (class 0xc0, flowlabel 0x1877f, hlim 64, next-header UDP (17) payload length: 162) fe80::56c4:5bff:feb1:11ac.547 > fe80::eea:14ff:fecd:848b.546: [udp sum ok] dhcp6 advertise (xid=161c88 (IA_NA IAID:1 T1:0 T2:0 (IA_ADDR 2001:xxxx:xxxx:xxxx0:a81f:6cac:11b7:f046 pltime:54000 vltime:86400)) (IA_PD IAID:1 T1:0 T2:0 (IA_PD-prefix 2001:xxxx:xxxx:xxx3::/64 pltime:54000 vltime:86400)) (client-ID hwaddr type 1 zzzzzzzz848b) (server-ID hwaddr type 1 zzzzzzzz11ac) (reconfigure-accept) (DNS-server 2001:xxxx:xxxx:xxx0:56c4:5bff:feb1:11ac) (DNS-search-list lan.))
12:34:34.414816 IP6 (flowlabel 0xeb848, hlim 1, next-header UDP (17) payload length: 194) fe80::eea:14ff:fecd:848b.546 > ff02::1:2.547: [bad udp cksum 0xa59c -> 0x5cb1!] dhcp6 request (xid=4638ca (elapsed-time 0) (option-request SIP-servers-domain SIP-servers-address DNS-server DNS-search-list SNTP-servers NTP-server AFTR-Name opt_67) (client-ID hwaddr type 1 zzzzzzzz848b) (server-ID hwaddr type 1 zzzzzzzz11ac) (reconfigure-accept) (Client-FQDN) (IA_NA IAID:1 T1:0 T2:0 (IA_ADDR 2001:xxxx:xxxx:xxx0:a81f:6cac:11b7:f046 pltime:54000 vltime:86400)) (IA_PD IAID:1 T1:0 T2:0 (IA_PD-prefix 2001:xxxx:xxxx:xxx3::/64 pltime:54000 vltime:86400)))
12:34:34.417307 IP6 (class 0xc0, flowlabel 0x1877f, hlim 64, next-header UDP (17) payload length: 162) fe80::56c4:5bff:feb1:11ac.547 > fe80::eea:14ff:fecd:848b.546: [udp sum ok] dhcp6 reply (xid=4638ca (IA_NA IAID:1 T1:0 T2:0 (IA_ADDR 2001:xxxx:xxxx:xxx0:a81f:6cac:11b7:f046 pltime:54000 vltime:86400)) (IA_PD IAID:1 T1:0 T2:0 (IA_PD-prefix 2001:xxxx:xxxx:xxx3::/64 pltime:54000 vltime:86400)) (client-ID hwaddr type 1 zzzzzzzz848b) (server-ID hwaddr type 1 zzzzzzzz11ac) (reconfigure-accept) (DNS-server 2001:xxxx:xxxx:xxx0:56c4:5bff:feb1:11ac) (DNS-search-list lan.))
Dans cette configuration et en direct (ligne de commande sur la gateway), j'obtiens ceci:
root@UniFiCloudGatewayMaxBruguier:/data/udapi-config# ping6 free.fr
PING free.fr(www.free.fr (2a01:e0c:1::1)) 56 data bytes
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=1 ttl=55 time=12.5 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=2 ttl=55 time=12.1 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=3 ttl=55 time=12.7 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=4 ttl=55 time=12.8 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=5 ttl=55 time=12.6 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=6 ttl=55 time=12.6 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=7 ttl=55 time=12.3 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=8 ttl=55 time=12.8 ms
^C
--- free.fr ping statistics ---
8 packets transmitted, 8 received, 0% packet loss, time 7010ms
rtt min/avg/max/mdev = 12.095/12.541/12.767/0.218 ms
root@UniFiCloudGatewayMaxBruguier:/data/udapi-config# curl api6.ipify.org
2001:xxxx:xxxx:xxxx0:a81f:6cac:11b7:f046
Donc une connectivité IPv6 complète (même en laissant les règles de pare-feu telle que présentée) pour la gateway.
Maintenant côté LAN c'est autre chose. La configuration est telle que présentée dans le copie d'écran (soit délégation de préfixe et le reste en automatique). On voit d'ailleurs bien la que le préfixe qui va être utilisé pour le côté LAN est le 2001:xxxx:xxxx:xxx3::/64 qui correspond au IA_PD-prefix. Pas de firewall configurer sur la gateway.
Dans cette configuration, si je prend une machine du réseau LAN et que je refais mes tests tel quel je les avaient effectué sur la gateway c'est le néant:
user@Machine ~ % ping6 free.fr
PING6(56=40+8+8 bytes) 2001:xxxx:xxxx:xxx3:bc4e:fb03:88ae:ef57 --> 2a01:e0c:1::1
^C
--- free.fr ping6 statistics ---
6 packets transmitted, 0 packets received, 100.0% packet loss
user@Machine ~ % curl api6.ipify.org
curl: (28) Failed to connect to api6.ipify.org port 80 after 75012 ms: Couldn't connect to server
Donc dans cette configuration plus de connectivité IPv6. Idem sur le site https://test-ipv6.com/. Idem d'ailleurs si je change la configuration d'automatique (SLAAC) à DHCPv6.
-
si tu fais un tcpdump (coté wan) pendant un ping ou un curl (depuis le lan) vois-tu passer le trafic vers la bbox et pas revenir ?
Le but est de savoir ou ca "coince" (a ton routeur ou au delà). Tu peux aussi si tu as une machine extérieur tenter des ping ou curl entrant vers une IPv6 du LAN (xxx3) et voir en capture sur wan si tu vois passer ou pas le paquet (mais faut ouvrir dans la bbox "parefeu faible" je crois ou créer une regle)
En mode dynamique, je ne mettrai pas DHCPv6 coté WAN, juste SLAAC c'est la config que remii utilise et qui marche ( y'a peut-etre un bug dans la bbox si la meme machine fait une demande IA_NA et IA_PD en meme temps ?).
Apres je ne sais pas si ton routeur supporte SLAAC+prefix delegation en temps meme coté WAN.. ton interface est différente des captures d'écran qu'on trouve sur le Net ou sur ce forum.
par exemple: https://lafibre.info/ubiquiti/probleme-avec-lipv6-de-free-via-la-cloud-gateway-fibre-dubiquiti/msg1109514/#msg1109514
t'es bien a jour niveau OS de ton routeur ?
-
Concernant ma version de la gateway je suis super à jour. J'étais en 9.0.114 qui date de janvier de cette année (les versions et antérieures avaient sans doute une interface graphique différente). La seule chose qui diffère avec le post que tu mentionnes est le thème graphique sombre.
La je suis en train de passer 9.1.120 sortie ce jour et pour lequel il est indiqué: "Improved the IPv6 Server validation and improved the WAN IPv6 settings user experience."
Selon tes conseils j'ai passé sur la config suivante côté WAN: SLAAC, Prefix delegation 64 (cf copie d'écran) et suis resté en auto sur la partie LAN (idem à la copie d'écran du poste précédent)
Voici la trace d'un ping6 free.fr depuis une machine du LAN derrière la gateway et pris via un tcpdump sur l'interface WAN de la gateway:
23:07:03.604340 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 0
23:07:04.609686 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 1
23:07:05.612709 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 2
23:07:06.614913 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 3
23:07:07.618144 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 4
23:07:08.618460 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 5
23:07:09.619501 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 6
23:07:10.623262 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 7
23:07:11.625252 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 8
23:07:12.626642 IP6 (flowlabel 0x40e00, hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:xxxx:xxxx:xxx3:c16:f0ae:c45a:e238 > 2a01:e0c:1::1: [icmp6 sum ok] ICMP6, echo request, id 32959, seq 9
Pas l'ombre d'un "echo reply" comme je peux le voire quand je ping depuis la gateway en ligne de commande en directe.
-
oui deja mise a jour puis reteste.
Pas l'ombre d'un "echo reply" comme je peux le voire quand je ping depuis la gateway en ligne de commande en directe.
il peut y avoir 2 causes:
A - la bbox ne laisse pas entrer les paquets de retour (firewall) -> il faut être certain que ce n'est pas cela.
B - la bbox ne route pas xxxx:3 vers l'interface wan de ton routeur (bug?) - perso j'avais ce souci a l'époque et j'ai du passé en délégation statique pour que ca marche. peut etre en rebootant la bbox aussi ?
Tu peux diagnostiquer B avec une machine extérieur en faisant un traceroute vers une IP en xxxx:3 (LAN routeur) ou en mettant un PC directement sur la bbox. Si la bbox ne route ce prefix tu aura une erreur icmpv6 (destination unreachable).
Sinon essai en délégation statique mais il faut que la bbox te laisse sélectionner ton routeur comme cible de délégation... ce qui était ton souci initial...peut etre par l'api ?
config routeur wan:
-IPv6 connection: DHCPv6
-IPv6 type: single network
config routeur lan:
- static
- prefix xxxx:1/64 (celui choisi dans la bbox)
et check les firewall (bbox et routeur).
-
Voici le résultat des tests :
Pour la partie dynamique, rien. J'ai vérifié que je n'avais aucun firewall actif (ni sur la Bbox, ni sur la gateway). J'ai connecté une machine sur le réseau de la Bbox (donc *devant* la gateway, avec une adresse en 2001:xxxx:xxxx:xxx0:/64) et tenté de pinguer une machine derrière la gateway (donc sur le subnet 2001:xxxx:xxxx:xxx3:/64). Pas de réponse au ping et rien d'observable via tcpdump sur la gateway. Pour moi, il n'y a donc pas de trafic qui passe ; c'est la Bbox qui est en cause et qui ne route pas correctement le trafic.
Il y a d'ailleurs une vraie cafouillage entre la Bbox et la gateway : j'avais demandé à déléguer le préfixe 2001:xxxx:xxxx:xxx1:/64, mais la gateway utilise sur son port WAN le préfixe 2001:xxxx:xxxx:xxx3:/64. Il y a donc une incompréhension manifeste entre les deux.
En version statique :
J'ai configuré la Bbox avec une délégation statique pour un préfixe 2001:xxxx:xxxx:xxx1:/64. J'ai configuré la partie WAN en DHCPv6, mais il est impossible de demander un simple réseau /64 ; je me suis donc rabattu sur un préfixe /64.
La partie LAN est également configurée en statique avec le même préfixe (2001:xxxx:xxxx:xxx1:/64), comme indiqué. Ici non plus, rien ne fonctionne : je n'arrive même pas à obtenir une adresse IPv6 sur le port WAN de la gateway.
Au final, la seule configuration qui "fonctionne" est de supprimer tout type de délégation de préfixe sur la Bbox, de repasser la sécurité en mode normal, et de configurer la gateway avec :
- sur la partie WAN : SLAAC en mode "single network",
- sur la partie LAN : idem, "single network".
Dans ce cas, je retrouve le même préfixe (2001:xxxx:xxxx:xxx1:/64) aussi bien du côté de la Bbox que de celui de la gateway. Donc pas de séparation de sous-réseau entre avant et après la gateway.
Ma conclusion à ce stade est la suivante:
L'absence de DUID au niveau de la Bbox signifie qu'aucune délégation de préfixe (dynamique ou statique) ne fonctionne. Cela semble confirmé par la RFC 8415, sections 6.1 et 11 (en tout cas pour le mode dynamique selon la RFC, et également en statique d'après mes tests).
Même en parvenant via un appel API à contourner le refus de l'interface graphique pour une délégation statique, cela ne semble rien apporter (d'ailleurs, une simple désactivation de la règle — sans suppression via l'interface graphique — remet la MAC adresse de destination à vide).
Ce qui reste ouvert pour moi :
- Pourquoi la Bbox refuse-t-elle obstinément de générer un DUID pour ma gateway alors que tcpdump montre que la gateway fournit bien sa MAC adresse ?
- Est-ce que je tente de *spoofer* la MAC adresse d'une machine qui négocie correctement un DUID avec la Bbox, pour ensuite essayer de faire de la délégation de préfixe sur cette entrée spoofée avec la MAC de ma gateway ?
J'ai passé beaucoup trop de temps à essayer de faire fonctionner quelque chose qui, en théorie, devrait être simple. J'ai fini par faire de la rétro-ingénierie pour arriver à mes fins (délégation statique via API), utilisé tcpdump pour analyser les échanges réseau, pour finalement aboutir à rien.
À ce stade, je suis intimement convaincu que c'est la Bbox qui est fautive (sans toutefois en avoir une preuve absolue).
J'ai une solution de repli qui me donne de l'IPv6 derrière la gateway (SLAAC en single network), et j'arrête les frais ici.
Si je retrouve un peu de motivation, je tenterai peut-être du spoofing de MAC, et dans tous les cas, je réessaierai ponctuellement lors de la sortie d'une nouvelle version de firmware pour la Bbox ou la gateway.
Dans tous les cas, un grand merci à @kgersen pour toutes ses informations éclairantes !
-
Ici la délégation fonctionne (Mikrotik derrière), mais si quelqu'un a le courage d'aller remonter ça sur bbox-forum, quelqu'un de chez BT remonte les soucis recontrés, si jamais ça peut améliorer la situation ...
-
Au final, la seule configuration qui "fonctionne" est de supprimer tout type de délégation de préfixe sur la Bbox, de repasser la sécurité en mode normal, et de configurer la gateway avec :
- sur la partie WAN : SLAAC en mode "single network",
- sur la partie LAN : idem, "single network".
Dans ce cas, je retrouve le même préfixe (2001:xxxx:xxxx:xxx1:/64) aussi bien du côté de la Bbox que de celui de la gateway. Donc pas de séparation de sous-réseau entre avant et après la gateway.
...
J'ai une solution de repli qui me donne de l'IPv6 derrière la gateway (SLAAC en single network), et j'arrête les frais ici.
t'as aussi xxxx1 sur l'interface wan en slaac ?
Le meme /64 de chaque coté (lan et wan) ca ne peut fonctionner sauf à faire du "ndproxy".
donc si ca fonctionne avec xxxx1 coté LAN c'est que tu es en délégation statique. un appareil en wifi sur la bbox est en xxxx1 ou autre chose ?
sinon ce n'est pas tres clair...
-
Désolé, je n'étais pas claire.
La configuration qui fonctionne me donne du 2001:xxxx:xxxx:xxx0:/64 (j'ai écris pas erreur dans mon post précédent 2001:xxxx:xxxx:xxx1:/64) aussi bien derrière la bbox (et donc devant la gateway) comme par exemple pour la BouygeTV. Ma gateway elle a une adresse WAN sur le subnet 2001:xxxx:xxxx:xxx0:/64 et le même préfixe est utilisé sur la partie LAN (derrière la gateway donc). Au final cette configuration fonctionne et j'ai tout le monde sur 2001:xxxx:xxxx:xxx0:/64. Pour moi cela signifie que c'est la bbox qui distribue les IPv6 à tout le monde y inclus derrière la gateway car dans la bbox il n'y a aucune délégation de préfixe demandé (ni statique, ni dynamique).
J'espère que c'est plus claire ainsi.
-
Désolé, je n'étais pas claire.
La configuration qui fonctionne me donne du 2001:xxxx:xxxx:xxx0:/64 (j'ai écris pas erreur dans mon post précédent 2001:xxxx:xxxx:xxx1:/64) aussi bien derrière la bbox (et donc devant la gateway) comme par exemple pour la BouygeTV. Ma gateway elle a une adresse WAN sur le subnet 2001:xxxx:xxxx:xxx0:/64 et le même préfixe est utilisé sur la partie LAN (derrière la gateway donc). Au final cette configuration fonctionne et j'ai tout le monde sur 2001:xxxx:xxxx:xxx0:/64. Pour moi cela signifie que c'est la bbox qui distribue les IPv6 à tout le monde y inclus derrière la gateway car dans la bbox il n'y a aucune délégation de préfixe demandé (ni statique, ni dynamique).
J'espère que c'est plus claire ainsi.
ah curieux que ca fonctionne ;D
-
ah curieux que ca fonctionne ;D
Pourquoi étrange ? C'est le mode "normal" de l'ipv6 sur bbox qui fait des annonces RA en utilisant le ::0/64 dès qu'elle reçoit son prefix /60 du serveur DHCPv6 de Bouygues.
-
Pourquoi étrange ? C'est le mode "normal" de l'ipv6 sur bbox qui fait des annonces RA en utilisant le ::0/64 dès qu'elle reçoit son prefix /60 du serveur DHCPv6 de Bouygues.
Ce n'est pas ca qui est curieux.
Ce qui est curieux c'est son routeur qui fait du NDProxy (ou alors c'est du bridge) entre son LAN et son WAN.
bbox -- lan 1 (xxx:0::/64) -- routeur -- lan 2 (xxx:0::/64) -- pc
Il a 2 LAN avec le meme préfixe.
-
Y'a forcement une config sur le UnifiClougGateway Max qui soit proxy soit laisse passer les annonces RA, soit bridge pour que ce soit le cas... Du coup les périphériques du lan recoivent toute l'annonce RA ? Y compris le DNS ipv6 de Bouygues ?
-
Y'a forcement une config sur le UnifiClougGateway Max qui soit proxy soit laisse passer les annonces RA, soit bridge pour que ce soit le cas... Du coup les périphériques du lan recoivent toute l'annonce RA ? Y compris le DNS ipv6 de Bouygues ?
oui on peut présumer cela mais comme Ubiquiti et la doc technique précise ca fait 4 ...