Auteur Sujet: Free va forcer l'IPv6 sur ses box  (Lu 45942 fois)

0 Membres et 1 Invité sur ce sujet

Myck205

  • Abonné Orange / Sosh 4G/5G
  • *
  • Messages: 6 253
  • Free FTTH 10G/SFR Box 9 8Gpartagé/Orange 5XGSPON
Free va forcer l'IPv6 sur ses box
« Réponse #108 le: 04 juin 2019 à 18:39:20 »
La puissance tx et rx du sfp en pon est disponible maintenant

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Free va forcer l'IPv6 sur ses box
« Réponse #109 le: 04 juin 2019 à 18:41:55 »
La nouvelle case
Il y a quoi sur la case "?" située à droite de la case "Activer le firewall IPv6" ?

Busyspider

  • Abonné Free fibre
  • *
  • Messages: 291
Free va forcer l'IPv6 sur ses box
« Réponse #110 le: 04 juin 2019 à 18:49:17 »
La puissance tx et rx du sfp en pon est disponible maintenant
  Bonsoir

Oui, mais uniquement pour les Freebox Delta  ;)

Busyspider

  • Abonné Free fibre
  • *
  • Messages: 291
Free va forcer l'IPv6 sur ses box
« Réponse #111 le: 04 juin 2019 à 18:54:38 »
Il y a quoi sur la case "?" située à droite de la case "Activer le firewall IPv6" ?
  Bonsoir ,

Ce qui est inscrit au survol de la souris sur le ?

"Cochez cette case si vous souhaitez que votre Freebox filtre  le traffic IPv6 entrant inconnu"

il y a bien 2 ff   inscrits pour trafic  ;)

Fric-Box

  • Abonné Free fibre
  • *
  • Messages: 181
  • RIP Hérault (34)
Free va forcer l'IPv6 sur ses box
« Réponse #112 le: 05 juin 2019 à 09:56:16 »
Sympa, cette option, même si c'est effectivement très rudimentaire pour le moment ! Je vais l'activer sur toutes les box de la famille, qui n'hébergent rien du tout. Chez moi, en revanche, je ne vais pas l'activer sinon mes serveurs et NAS ne seront plus accessibles en ipv6.

Fuli10

  • Abonné Free fibre
  • *
  • Messages: 1 004
  • Conflans Sainte Honorine (78)
Free va forcer l'IPv6 sur ses box
« Réponse #113 le: 05 juin 2019 à 11:50:38 »
ça ne fonctionne malheureusement pas (message d'erreur : pas de périphérique upnp-igd sur le réseau, comme tu en doutais).

à noter que même l'ICMP est bloqué.
L'UPnP-IGD existe sur la freebox, même en v2. Par contre il faut l'activer (désactivé chez moi).
Voir dans les paramètres de la freebox, mode avancé, UPnP-IGD.
Perso j'utilise mon propre routeur openWRT pour le firewall IPv6.

ubune

  • Abonné Orange Fibre
  • *
  • Messages: 315
Free va forcer l'IPv6 sur ses box
« Réponse #114 le: 05 juin 2019 à 16:25:07 »
On sait si l'activation du Firewall bloque l'icmpv6 ?

Si oui en suivant la RFC4890 ?
En laissant :

   o  Destination Unreachable (Type 1) - All codes
   o  Packet Too Big (Type 2)
   o  Time Exceeded (Type 3) - Code 0 only
   o  Parameter Problem (Type 4) - Codes 1 and 2 only
et
   o  Time Exceeded (Type 3) - Code 1
   o  Parameter Problem (Type 4) - Code 0

Garulf92

  • Abonné Free fibre
  • *
  • Messages: 24
  • Clamart 92
Free va forcer l'IPv6 sur ses box
« Réponse #115 le: 05 juin 2019 à 17:12:46 »
Je viens de faire l'essai "ping" de l'extérieur vers 3 adresses V6 internes :
  • n'existe pas
  • existe, répond au ping
  • existe, ne répond pas au ping

Avec Firewal actif, on n'a jamais de réponse ICMP

Sans Firewall, on a, classiquement :
  • unreachable (remonté par la freebox)
  • réponse
  • pas de réponse

@ubune, je ne sais pas si ça répond à ta question "RFC4890"...

Oyodo

  • Professionnel des télécoms
  • Abonné Orange Fibre
  • *
  • Messages: 372
  • Lyon - 69
Free va forcer l'IPv6 sur ses box
« Réponse #116 le: 05 juin 2019 à 17:37:44 »
L'UPnP-IGD existe sur la freebox, même en v2. Par contre il faut l'activer (désactivé chez moi).
Voir dans les paramètres de la freebox, mode avancé, UPnP-IGD.
Perso j'utilise mon propre routeur openWRT pour le firewall IPv6.

Oui, cependant même après activation dans sa version 2 + reboot, le message d'erreur reste le même.

ubune

  • Abonné Orange Fibre
  • *
  • Messages: 315
Free va forcer l'IPv6 sur ses box
« Réponse #117 le: 06 juin 2019 à 07:56:56 »
Je viens de faire l'essai "ping" de l'extérieur vers 3 adresses V6 internes :
  • n'existe pas
  • existe, répond au ping
  • existe, ne répond pas au ping

Avec Firewal actif, on n'a jamais de réponse ICMP

Sans Firewall, on a, classiquement :
  • unreachable (remonté par la freebox)
  • réponse
  • pas de réponse

@ubune, je ne sais pas si ça répond à ta question "RFC4890"...

Merci Garulf
Ta réponse me permet de voir que Free bloque l'icmp v6 pour les echo request (Type 128) provenant de l'exterieur.
Mais le protocole icmpv6 ne se résume pas au ping, surtout en ipv6 car par exemple il prend le role de ARP et IGMP qu'on a en ipv4 pour ipv6 (NDP, MLD sont inclus dans icmpv6).
Il faudrait juste vérifier que Free ne bloque pas les codes indiqués sur mon post précédent, au moins pour le "path mtu discovery" avec le type 2, car la ça serait pas malin, d'ou la RFC 4890 "Recommendations for Filtering ICMPv6 Messages in Firewalls".

Garulf92

  • Abonné Free fibre
  • *
  • Messages: 24
  • Clamart 92
Free va forcer l'IPv6 sur ses box
« Réponse #118 le: 06 juin 2019 à 21:10:12 »
@ubune, j'ai fait les tests suivants sur un Win10 derrière Freebox, toujours avec le firewall actif

C:\WINDOWS\system32>ping 2001:4b99:1:3:216:3eff:1:1
Envoi d’une requête 'Ping'  2001:4b99:1:3:216:3eff:1:1 avec 32 octets de données :
Impossible de joindre l’hôte de destination.
Ce qui me semble prouver que un packet ICMP Type 1 passe le firewall

C:\WINDOWS\system32>ping -6 mtu1280.test-ipv6.com -l 1280
Envoi d’une requête 'ping' sur mtu1280.test-ipv6.com [2001:470:1:18::1280] avec 1280 octets de données :
Défaillance générale.
Je ne comprends pas ce résultat et ne sais pas l'analyser. Je m'attendais à avoir une message d'erreur concernant la fragmentation.
Le même test sur, par exemple, ipv6.test-ipv6.com fonctionne normalement (Réponses ICMP reçues)

Par ailleurs, le test http://www.test-ipv6.com/ est tout vert (donc y compris le "Test grand paquet IPv6" qui nécessite que les packets ICMPv6 Type 2 ne soient pas filtrés)

N'hésite pas à me suggérer d'autres tests. Je dispose à Windows 10 interne et d'un serveur LINUX externe.

ubune

  • Abonné Orange Fibre
  • *
  • Messages: 315
Free va forcer l'IPv6 sur ses box
« Réponse #119 le: 06 juin 2019 à 22:51:19 »
Merci pour le test !
En effet si ça te dit impossible de joindre l'hote c'est surement que ta machine a bien reçu le message icmp6 type 1, mais une trace wireshark ou un tcpdump sur ton linux permettrait de l'affirmer.

Pour le deuxieme test, pour joindre mtu1280.test-ipv6.com tu peux avoir une MTU de 1280 max !
Donc ton ping à 1280 ne peut pas passer :

1280 octet = taille d'un paquet maximum reçu par le site (mtu distante qui est, au passage, la mtu minimal autorisée sur le protocole ipv6)
1240 = paquet - l'entete ipv6
1232 = paquet - l'entete ipv6 - l'entete icmpv6

Si tu test avec un -l 1232 ça devrait passer, mais pas avec un -l 1233

Pour le path mtu faudrait des captures wireshark/tcpdump en faisant un autre type de flux qu'un ping chargé je pense.
A+