Auteur Sujet: iBloo: un nouveau FAI sur les DSP FTTH  (Lu 28745 fois)

0 Membres et 1 Invité sur ce sujet

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #60 le: 14 mai 2020 à 11:17:12 »
Exactement, j'utilise depuis un bout de temps ipfire comme routeur (mode RED+GREEN), mais le contexte ipv6 ne s'était pas encore posé.
Quand j'ai su que j'allais devoir passer en ipv6 chez moi, je savais que j'allais avoir des soucis.

La page que tu m'indiques devrait me permettre de rendre visible un NAS par exemple à l'extérieur. C'est déjà intéressant. J'ai lu quelque part qu'Ipfire n'aura pas le support natif ipv6 avant la version 3, un peu comme tout le monde, il s'y mettront quand ils n'auront pas le choix.

L'autre utilisation que je fais d'ipfire, c'est de créer des liaisons VPN site à site avec openvpn. Et là, je savais que j'allais avoir des surprises, mais pas comme çà. Sur 6 liaisons j'en ai 2 qui passent comme avec mon ancienne connexion (ADSL free avec ipv4 fixe), les 4 autres, la liaison peut donner l'impression d'être opérationnelle, mais en fait pas de ping possible (et tout le reste). Je m'attendais plutôt à du tout ou rien.
Les liaisons qui marchent sont avec :
- une connexion fibre orange ipv4 fixe, ipv6 actif ?->je sais pas,
- une connexion VDSL Free ipv4 fixe, ipv6 actif logiquement chez free.

Les liaisons qui marchent pas sont :
- une fibre OVH ipv4 fixe, ipv6 actif,
- une ADSL orange, ipv4 dynamique (utilisation no-ip), ipv6 inconnu,
- une ADSL NERIM je pense (sous-traité opérateur tel), ip dynamque  (utilisation no-ip), ivp6 inconnu,
- un serveur dédié dédibox chez online, ipv4 fixe, ipv6 non activable

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 303
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #61 le: 14 mai 2020 à 11:41:17 »
La page que tu m'indiques devrait me permettre de rendre visible un NAS par exemple à l'extérieur. C'est déjà intéressant.

Attention par contre, je pense que par défaut il n'y a pas de règles dans le parefeu IPv6 #openbar : https://wiki.ipfire.org/add-ipv6/extend/firewall?revision=2015-10-12T08:49:28

L'autre utilisation que je fais d'ipfire, c'est de créer des liaisons VPN site à site avec openvpn. Et là, je savais que j'allais avoir des surprises, mais pas comme çà. Sur 6 liaisons j'en ai 2 qui passent comme avec mon ancienne connexion (ADSL free avec ipv4 fixe), les 4 autres, la liaison peut donner l'impression d'être opérationnelle, mais en fait pas de ping possible (et tout le reste). Je m'attendais plutôt à du tout ou rien.

L2 ou L3 ?

On peut voir la configuration des VPN ?

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #62 le: 14 mai 2020 à 12:08:57 »
Oui, c'est des règles de base à affiner pour le parefeu.

Pour openvpn, je ne suis pas un expert, j'utilise la fonction interfacé dans ipfire de connexion site à site (https://wiki.ipfire.org/configuration/services/openvpn/add_n2n).
Ci-joint un fichier de conf pour une liaison

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 303
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #63 le: 14 mai 2020 à 12:32:59 »
Ipfire est le serveur VPN si j'ai bien compris ? (ou le client ?)

Le nom de domaine du serveur dans la configuration du VPN n'a pas de champ AAAA, donc ce client ne peux pas utiliser IPv6 pour se connecter au serveur VPN. Est-ce la même chose chez les autres clients VPN ?

iBloo utilise du CG-NAT, ce qui rend impossible l'hébergement d'un serveur (web, mail, VPN...) en IPv4. Apparemment, il doit être possible de demander une IPv4 fixe (contre €).

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #64 le: 14 mai 2020 à 13:09:10 »
Ipfire est le serveur VPN si j'ai bien compris ? (ou le client ?)
Ipfire t'aide à configurer openvpn, mais c'est bien openvpn qui fait le taf. Et il fait les deux, d'un côté serveur, de l'autre client. Quand tu déclares ta configuration tu définis le comportement de l'ipfire sur lequel tu déclares la config (serveur ou client). Ensuite tu exportes la conf dans un fichier que tu importes à l'autre extrémité, sur l'autre ipfire qui prendra le comportement opposé (client ou serveur).

Le nom de domaine du serveur dans la configuration du VPN n'a pas de champ AAAA, donc ce client ne peux pas utiliser IPv6 pour se connecter au serveur VPN. Est-ce la même chose chez les autres clients VPN ?
Ah, comment peut-on ajouter ce champ AAAA ?

iBloo utilise du CG-NAT, ce qui rend impossible l'hébergement d'un serveur (web, mail, VPN...) en IPv4. Apparemment, il doit être possible de demander une IPv4 fixe (contre €).
Ils ont du le faire, mais quand j'ai demandé on m'a dit niet, que ipv6, après çà peut venir du contexte de l'opérateur de réseau, valdeloirefibre ici, filiale de TDF.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 303
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #65 le: 14 mai 2020 à 13:54:41 »
Ipfire t'aide à configurer openvpn, mais c'est bien openvpn qui fait le taf. Et il fait les deux, d'un côté serveur, de l'autre client. Quand tu déclares ta configuration tu définis le comportement de l'ipfire sur lequel tu déclares la config (serveur ou client). Ensuite tu exportes la conf dans un fichier que tu importes à l'autre extrémité, sur l'autre ipfire qui prendra le comportement opposé (client ou serveur).

OK. Pour tes 6 liaisons, quel est le rôle de ta machine/firewall ? (par exemple, 2 liaisons où ta machine agit en tant que serveur openvpn, et 4 où ta machine agit en tant que client openvpn)

Ah, comment peut-on ajouter ce champ AAAA ?

De la même façon que tu as mis le champ A. Tu as acheté ton nom de domaine chez Gandi, non ? https://www.dsfc.net/infrastructure/dns-infrastructure/enregistrements-dns/#Lrsquoenregistrement_DNS_IPv6

Astuce : A = IPv4, AAAA = IPv6

Par contre, ça ne garantit pas que le serveur OpenVPN fonctionnera en IPv6. Ça dépend de sa configuration. Tu peux voir s'il écoute en IPv6 en regardant ces commandes :
Pour TCP :
netstat -plnt ou ss -plnt
Pour UDP :
netstat -plnu ou ss -plnu

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #66 le: 14 mai 2020 à 14:23:54 »
Sur mes 6 liaisons, ce n'est pas toujours dans le meme sens. Et pour celles qui fonctionnent, j'ai les deux cas possibles, et pour celles qui fonctionnent pas idem. J'ai essayé d'inverser ce qui ne fonctionnait pas, çà n'a rien changé.

Oui domaine chez gandi. Effectivement, j'avais enregistré un AAAA sur mon ipv6 de chez free et... je me rends compte que je ne l'ai pas actualisé depuis le passage à Ibloo. Sauf que je retombes sur mon problème initiale, je ne trouve pas mon ipv6 public !

En envoyant les commandes que tu m'indiques, j'ai les retours suivants qui tendent à prouver que openvpn fonctionne uniquement en ipv4 :
ss -plnu
UNCONN  0       0          192.168.1.10:8024           0.0.0.0:*      users:(("openvpn",pid=2253,fd=7)) 
UNCONN  0       0          192.168.1.10:8045           0.0.0.0:*      users:(("openvpn",pid=2202,fd=7))
netstat -plnt
tcp        0      0 127.0.0.1:8100          0.0.0.0:*               LISTEN      2552/openvpn       
tcp        0      0 127.0.0.1:8045          0.0.0.0:*               LISTEN      2202/openvpn       
tcp        0      0 127.0.0.1:8018          0.0.0.0:*               LISTEN      2462/openvpn   
tcp        0      0 127.0.0.1:8024          0.0.0.0:*               LISTEN      2253/openvpn
tcp        0      0 127.0.0.1:8058          0.0.0.0:*               LISTEN      2642/openvpn       
tcp        0      0 127.0.0.1:8028          0.0.0.0:*               LISTEN      5159/openvpn

totof49120

  • Abonné iBloo
  • *
  • Messages: 55
  • 49120 - Chemillé-en-Anjou - TDF/Anjou-Fibre
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #67 le: 14 mai 2020 à 14:27:18 »
Bizarre que tu n'as pas de connectivité ipv6 en faisant le test sur https://ip.lafibre.info/
Je te conseille de contacter iBloo pour vérifier ce point. Tu pourras ainsi obtenir ton IP publique v6

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #68 le: 14 mai 2020 à 14:51:31 »
En remontant le fil des réponses apporté par @lechercheur123 (que je remercie pour son soutien), mon adresse publique peut être indiqué en GUA dans le stauts du routeur, non ?
ci-dessous le retour de la page Ethernet Connection Status :

LLA fe80::b2ac:d2ff:fe76:c8e7
GUA 2a0c:8c80:110:1002:b2ac:d2ff:fe76:c8e7
Prefix 2a0c:8c80:11:c010::/64
DNS 2620:119:35::35/2620:119:53::53/::
IPv6 Gatewayfe80::c2bf:c0ff:fe5e:bcc2
IPv6 Connection StatusConnected
IPv6 Online Duration46 h 20 min 36 s

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #69 le: 14 mai 2020 à 14:52:27 »
Bizarre que tu n'as pas de connectivité ipv6 en faisant le test sur https://ip.lafibre.info/
Je te conseille de contacter iBloo pour vérifier ce point. Tu pourras ainsi obtenir ton IP publique v6

Je viens de contater mon commercial, j'attends un appel de son collègue technicien.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 303
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #70 le: 14 mai 2020 à 14:54:37 »
Sur mes 6 liaisons, ce n'est pas toujours dans le meme sens. Et pour celles qui fonctionnent, j'ai les deux cas possibles, et pour celles qui fonctionnent pas idem. J'ai essayé d'inverser ce qui ne fonctionnait pas, çà n'a rien changé.

Oui domaine chez gandi. Effectivement, j'avais enregistré un AAAA sur mon ipv6 de chez free et... je me rends compte que je ne l'ai pas actualisé depuis le passage à Ibloo. Sauf que je retombes sur mon problème initiale, je ne trouve pas mon ipv6 public !

Le truc qui change avec IPv6, c'est que chaque appareil a sa propre IPv6 publique. Il faut donc voir directement sur le Firewall son IPv6 avec la commande suivante :

ip -6 a s
Tant qu'à faire, je serais curieux de voir la configuration de tes interfaces :

cat /etc/network/interfaces
En envoyant les commandes que tu m'indiques, j'ai les retours suivants qui tendent à prouver que openvpn fonctionne uniquement en ipv4 :

On dirait bien oui. tu peux ajouter un 6 aux options pour n'afficher que les processus écoutant au moins en IPv6. Exemple :
ss -plnt6

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 303
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #71 le: 14 mai 2020 à 14:56:37 »
En remontant le fil des réponses apporté par @lechercheur123 (que je remercie pour son soutien), mon adresse publique peut être indiqué en GUA dans le stauts du routeur, non ?

Non. Le routeur possède ses propres IPv6, différentes de celle(s) du routeur.