Auteur Sujet: Firewall IPv6 & délégation de préfixe dans la nouvelle màj Bbox 18.2.12 (Lu 65964 fois)

mpnico · « **Réponse #144 le:** 23 mars 2025 à 01:05:08 »

Oui tu as exactement les mêmes symptômes que moi, je n'ai pas trouvé de solution, j'ai fini par juste laisser tomber l'IPv6 pour le moment.

Paul · « **Réponse #145 le:** 23 mars 2025 à 15:22:50 »

J'avais réussi à demander un préfixe avec une machine Debian pour un VPN, et le trafic fonctionnait. C'était le 4e de mon /60 par défaut. Avez-vous bien une route par défaut qui s'ajoute automatiquement ?

Je concède cependant que la fonction fait très implémentée à la va-vite, et la Bbox est juste rapidement paumée dès que le réseau sort de la complexité de celui de chez ma grand-mère. Dans la liste d'appareils pour une délégation manuelle, il y avait souvent des vides à la place du nom d'hôte ou de l'adresse MAC, et la moitié de mes VM n'apparaissaient pas. Je n'avais pas vu non plus d'endroit où la délégation en cours était confirmée, vers quel appareil et quand expire le bail.

ubune · « **Réponse #146 le:** 02 avril 2025 à 10:02:21 »

Même problème ici,

Prefixe ipv6 bien reçu sur le routeur perso via dhcpv6-pd.
Lan configuré avec le prefixe /64 obtenu.

Internet KO depuis le lan, tcpdump sur les interfaces du routeur perso :

Interface Lan : Je vois bien les pc initier des flux vers internet avec en ipv6 source dans le /64 (le prefixe obtenu).
Interface Wan : Je vois bien les flux à destination d'internet sortir sur l'interface wan, toujours ipv6 source du prefixe obtenu et avec la mac de destination correspondant à la mac de la bbox coté lan, donc tout est ok...

Mais jamais de retour :/
C'est comme si la bbox attribuait bien le préfixe mais n'appliquait pas la route pour joindre le préfixe délégué vers le routeur externe qui à reçu le préfixe...
Bon, du coup, demande d'ont externe depuis l'espace client...

Bbox 6E en version : 24.3.12
Edit, même problème également en attribution du préfixe "statique"

ubune · « **Réponse #147 le:** 04 avril 2025 à 14:17:50 »

J'ai bien reçu l'ONT, voyant synchro PON ok, par contre le port data reste down (même lorsqu'il est connecté au port 10G de la bbox).
La fibre se synchronise toujours correctement en direct sur la box, ainsi qu'avec l'ONT.

En revanche, si je réinitialise l'ONT sans brancher la fibre, le port data est up, mais il repasse down dès que la synchro PON s'établit.

Je suspecte que la configuration envoyée par Bouygues à l'ONT Nokia ONT XS-010X-Q place le port data en état "shutdown".

J'ai contacté le service client, qui a supprimé l'ONT externe de leur système. Depuis, il ne se synchronise plus (le voyant PON clignote au lieu de rester fixe), mais le port data est donc bien up avec la LED bleue indiquant 10 Gbps.
Y aurait-il quelqu'un de chez Bouygues ici qui pourrait prendre la main sur mon ticket ?
C'est compliqué avec le support, et ils ont carrément supprimé mon ticket/incident après que j’ai remis la box en direct...

Edit :
Après une longue bataille avec le support, ils m'ont demandé d'aller échanger l'ONT Nokia en magasin.
Ce que j'ai fait, et comme prévu, avec le nouvel ONT, le résultat est identique (le port Ethernet reste down).
Désormais, même après un reset complet de l'ONT, je n'arrive plus à le faire passer en mode "up" (j'appuie longuement sur le bouton de reset jusqu'à ce que toutes les LED clignotent).
Cependant, juste après un reset, au premier démarrage, la led ethernet/data s'allume pendant 2 secondes (LED Data bleue, donc négociation à 10 Gbps) avant de retomber... (j'ai le temps d'avoir la notif sur la bbox que le port ethernet 10G est up).
Pour le "fun", j'ai tenté après reset :
Premier démarrage sur un port de switch 2.5Gbps => led Data orange 2s.
Premier démarrage sur un port de switch 5Gbps => led Data white 2s

D'après la doc, Orange = 2.5Gbps, Blanc = 5Gbps, Bleu = 10Gbps, donc ça correspond.

Mais sans reset,
Voyant PON ok vert fixe, port ethernet toujours down.
Je précise que j'ai testé divers cordons cat6/cat6a, en plus de la connexion Ont/Bbox, j'ai testé ONT vers un autre switch sur les ports 1/2.5/5/10 Gbps en face, avec ou sans autonego mais le résultat reste le même.

Je suspecte donc que le firmware du Nokia est personnalisé par Bouygues, avec le port Ethernet désactivé avant le provisionnement fibre, et que mon provisionnement fibre ne l'active pas.
Bon et vu que sur ce nouvel ont le port ne passe plus up après reset sans fibre connecté, impossible d'essayer d'y acceder https://hack-gpon.org/xgs/ont-nokia-xs-010x-q/, à moins de le démonter pour accéder au port serie...

Edit 2 : en fait je ne suis pas le seul dans ce cas => https://lafibre.info/incidents-ftth/demande-dun-boitier-ont-xgs-pon-avec-offre-pure-fibre-debit/msg1112370/#msg1112370

remii · « **Réponse #148 le:** 10 avril 2025 à 14:32:30 »

Bonjour à tous,

J'ai l'impression que ce sujet mélange un peu tout, mais pour ceux qui n'arrivent pas à obtenir un préfixe délégué sur leur opnsense derrière une bbox, voici ce que j'ai réussi à faire :

Mon réseau est : bbox -> opnsense -> WAN -> LAN

L'interface WAN :
IPv6 Configuration Type -> DHCPv6
DHCPv6 client configuration -> Configuration Mode : Basic, ne rien cocher, laisser la taille du préfixe en /64

L'interface LAN :
IPv6 Configuration Type -> Track interface
Track IPv6 Interface -> Parent interface : WAN, Assign prefix ID : 0, Allow manual adjustment of DHCPv6 and Router Advertisements j'ai coché parce que j'avais ensuite besoin de configurer des statics leases et que ça buggait sur ma version d'opnsense donc à tester

Ensuite dans firewall / rules / WAN, il faut ajouter une règle pour débloquer un certain type de paquet (icmp ?).

Par flemme et pour d'autres besoins, j'ai donc créer une règle qui laisse passer tout le trafic depuis WAN net (qui n'est pas vraiment du WAN ici, mais tout le réseau privé qui se trouve derrière la bbox) :

Protocol Source Port Destination Port Gateway Schedule
IPv4+6 * WAN net * * * * *

Après avoir tout configuré je suis allé voir l'interface d'admin de la bbox et j'ai ENFIN vu mon opnsense dans la conf des préfixes délégués statiques. J'ai pris le premier préfixe et l'ai affecté à mon opnsense.

Maintenant tout fonctionne, j'ai une adresse du préfixe géré par la box sur la patte WAN, et une adresse du préfixe délégué sur la patte LAN. Les clients du LAN récupèrent bien une adresse du préfixe délégué et tout marche dans les 2 sens.

mpnico · « **Réponse #149 le:** 10 avril 2025 à 17:56:13 »

Hello remii

Merci pour ton partage. Peux-tu nous dire ce que tu as comme configuration dans la partie Services > Router Advertisements ? Comme tu as coché "Allow manual adjustment of DHCPv6 and Router Advertisements" il y a peut-être un paramétrage magique qui débloque la situation ? Car en l'occurrence j'ai appliqué la config que tu as très bien décrite, sans cocher "Allow manual adjustment of DHCPv6 and Router Advertisements" dans un premier temps et malheureusement la situation est tjs la même à savoir rien dans la liste déroulante des équipements dans la délégation statique de préfixe. Cocher la case ne change rien mais j'ai tellement touché les configs de partout que je pense que ma config "Router Advertisements" n'est plus très propre.

Merci !

remii · « **Réponse #150 le:** 10 avril 2025 à 18:56:20 »

Citation de: mpnico le 10 avril 2025 à 17:56:13

Hello remii

Merci pour ton partage. Peux-tu nous dire ce que tu as comme configuration dans la partie Services > Router Advertisements ? Comme tu as coché "Allow manual adjustment of DHCPv6 and Router Advertisements" il y a peut-être un paramétrage magique qui débloque la situation ? Car en l'occurrence j'ai appliqué la config que tu as très bien décrite, sans cocher "Allow manual adjustment of DHCPv6 and Router Advertisements" dans un premier temps et malheureusement la situation est tjs la même à savoir rien dans la liste déroulante des équipements dans la délégation statique de préfixe. Cocher la case ne change rien mais j'ai tellement touché les configs de partout que je pense que ma config "Router Advertisements" n'est plus très propre.

Merci !

Salut,

J'ai fait des captures d'écran (je sais pas trop comment ça marche, au pire j'éditerai mon message).

Si ton opnsense n'est pas reconnu dans la liste des préfixes statiques sur la bbox, ça n'a pas de lien avec le RA.

Assure toi que tu n'as pas bloqué les private networks dans l'interface WAN, et que tu as bien une règle de firewall qui permet le trafic entre ta bbox et ton opnsense sur des adresses privées.

Pour en être certain, ouvre deux fenêtres : une avec firewall / log / live view, et l'autre avec la conf de ton interface WAN pour cliquer sur Save, ce qui va permettre un down / up de ton interface et tu verras si des paquets sont bloqués dans le live view des logs de firewall au moment où ton WAN essaie de récupérer une ipv6.

mpnico · « **Réponse #151 le:** 10 avril 2025 à 23:00:16 »

Merci pour le détail.

Non y'a rien qui est bloqué d'après les logs du firewall, après tu es en DHCPv6 aussi sur ton LAN, ce que je ne cherche pas à faire et je n'ai pas l'impression que tu as plusieurs VLAN, ce qui est mon cas. Après va savoir si ces différences expliquent pourquoi la bbox ne voit rien dans mon cas, ca je ne sais pas

jurbain · « **Réponse #152 le:** 19 avril 2025 à 17:48:40 »

Hello,

Il semblerait que je ne sois pas le seul à avoir des soucis avec la BBOX et la liste des devices auxquels la BBOX peut déléguer un préfixe. Je suis dans une configuration somme toute simple puisque j'ai la BBOX en frontale sur laquelle la TV et le téléphone reste branché et ensuite j'ai un gateway (UnifiClougGateway Max) qui elle est devant tout le reste de mon infrastructure réseau. C'est un choix assumé dans le sens ou, idéalement, je supprimerai la BBOX et passerait via un ONT directement sur la gateway mais je n'ai ni envie de configurer la TV et le téléphone sur la gateway ni l'intention de me priver d'une solution de secours que représente la BBOX si mon infrastructure réseau (gateway et ce qu'il y a derrière) tombe (je suis souvent loin et les personnes locales seraient bien en peine débuger les soucis).

En l'état j'ai donc côté BBOX (version du firmware 24.4.12) dans la liste des devices pouvant recevoir la délégation de préfixe tout un tas de devices (allant de la montre connectée en passant par l'adaptateur CPL) mais pas ma gateway (cf copie d'écran). Ensuite il semblerait qu'il y a déjà quelque chose qui ne fonctionne pas très bien entre la BBOX et la gateway car dans le même menu tout en bas, quand j'essaye d'ajouter une adresse IPv6 statique sur cette dernière j'ai une info comme quoi le "périphérique est non compatible IPv6" (cf copie d'écran).

Du côté gateway la configuration a été faite pour l'IPv6 et IPv4 avec une délégation de préfixe de 60 (cf copie) d'écran. La gateway a bien une IPv6 sur son port WAN.

Il s'agit pour moi donc de déterminer qui de la BBOX ou de la gateway est fautive. Je penche assez pour la BBOX sachant que j'ai eu d'autre expérience avec du matériel Unifi en IPv6 et DHCP et que cela c'est passé sans soucis.

Je suis preneur de toute idée car à ce stade de sèche totalement.

Paul · « **Réponse #153 le:** 20 avril 2025 à 10:31:34 »

La Bbox n’est pas capable de déléguer le /60 entier mais /64 par /64. Il faut modifier ça dans ton client, c’est peut-être ce qui fait afficher « non compatible ».

jurbain · « **Réponse #154 le:** 21 avril 2025 à 07:52:53 »

Effectivement j'ai aussi essayé de modifier la configuration en /64 sur la gateway pour strictement le même résultat. J'ai par contre réussi à "forcer" la BBOX en passant par l'API (/api/v1/dhcp6/prefixdelegation). Ceci m'a permis de renseigner l'adresse MAC de ma gateway comme destination de la délégation de préfixe. J'ai demandé à déléguer le prefixe 2001:XXXX:XXXX:XXX1 (qui est effectivement du /64) et de manière suprenante ma gateway obtient le prefixe 2001:XXXX:XXXX:XXX3.

Tant que j'étais dans l'API j'ai aussi regardé dans la liste de device pour voir si je voyais quelque chose de différent entre les devices proposé dans l'interface graphique et ma gateway et je n'ai rien trouvé de très probant. Les seules attributs qui différent est le duid (que je suppose être device unique id) une fois rempli pour les devices visible dans la gui et vide pour ma gateway. Ensuit, partant de l'idée que c'est l'interface graphique qui bloquait le choix de ma gateway (puisque par API c'est passé) et que dans les appels que j'ai pu intercepté en faisant de l’ingénieure inverse de la page de configuration je ne vois pas vraiment d'autres appels intéressant à l'API hormis ce (/api/v1/hosts) je suppose que c'est bien ce duid qui pose souci. Il faudrait que je fasse quelques autres test pour essayer 1) de valider que tout ce qui est propos dans l'interface a bien un duid et 2) tenter de trouver ce qui fait que le duid est généré ou pas.

Ceci dit l'impression qui en ressort c'est que l'interface de cette box n'est pas sèche. Déjà la validation des champs d'entrées uniquement dans l'interface graphique me semble assez léger (en plus d'a priori être erronée), ensuite les APIs qui sont très mal documentées (seulement une veille page https://api.bbox.fr/doc/apirouter/index.html) et pas complète (rien sur api/v1/dhcp6/prefixdelegation qu'il faut retrouvé en regardant les appels réseaux de l'interface graphique sic)

kgersen · « **Réponse #155 le:** 21 avril 2025 à 10:26:08 »

Citation de: jurbain le 21 avril 2025 à 07:52:53

Effectivement j'ai aussi essayé de modifier la configuration en /64 sur la gateway pour strictement le même résultat. J'ai par contre réussi à "forcer" la BBOX en passant par l'API (/api/v1/dhcp6/prefixdelegation). Ceci m'a permis de renseigner l'adresse MAC de ma gateway comme destination de la délégation de préfixe. J'ai demandé à déléguer le prefixe 2001:XXXX:XXXX:XXX1 (qui est effectivement du /64) et de manière suprenante ma gateway obtient le prefixe 2001:XXXX:XXXX:XXX3.

Tant que j'étais dans l'API j'ai aussi regardé dans la liste de device pour voir si je voyais quelque chose de différent entre les devices proposé dans l'interface graphique et ma gateway et je n'ai rien trouvé de très probant. Les seules attributs qui différent est le duid (que je suppose être device unique id) une fois rempli pour les devices visible dans la gui et vide pour ma gateway. Ensuit, partant de l'idée que c'est l'interface graphique qui bloquait le choix de ma gateway (puisque par API c'est passé) et que dans les appels que j'ai pu intercepté en faisant de l’ingénieure inverse de la page de configuration je ne vois pas vraiment d'autres appels intéressant à l'API hormis ce (/api/v1/hosts) je suppose que c'est bien ce duid qui pose souci. Il faudrait que je fasse quelques autres test pour essayer 1) de valider que tout ce qui est propos dans l'interface a bien un duid et 2) tenter de trouver ce qui fait que le duid est généré ou pas.

Ceci dit l'impression qui en ressort c'est que l'interface de cette box n'est pas sèche. Déjà la validation des champs d'entrées uniquement dans l'interface graphique me semble assez léger (en plus d'a priori être erronée), ensuite les APIs qui sont très mal documentées (seulement une veille page https://api.bbox.fr/doc/apirouter/index.html) et pas complète (rien sur api/v1/dhcp6/prefixdelegation qu'il faut retrouvé en regardant les appels réseaux de l'interface graphique sic)

ah merci ! n'ayant plus de bbox j'attendais avec impatience que quelqu'un utilise l'API

Si tu pouvais nous donner les détails de l'appel en question ( prefixdelegation et éventuellement s'il y a de quoi read et delete aussi) .
Dela on pourra faire un script simple (bash avec curl par exemple) pour que tout le monde puisse se configurer la délégation.

Apres si c'est une question de DUID, peut-être que l'interface attend une format particulier et que la version dynamique aussi dans ce cas ?