Auteur Sujet: iBloo: un nouveau FAI sur les DSP FTTH  (Lu 29185 fois)

0 Membres et 1 Invité sur ce sujet

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #72 le: 14 mai 2020 à 15:29:24 »
Non. Le routeur possède ses propres IPv6, différentes de celle(s) du routeur.

 ???
La je ne te suis plus.
Dans ma maison, j'ai un boitier ONT huawei HG8010H sur lequel la fibre est branché. Logiquement, si j'ai une adresse ipv4 ou/et ipv6 publique, elle tombe là, non ?  Il me sert derrière un sous-réseau ipv4.
On trouve donc derrière, le routeur ZTE dont le WAN est branhcé sur l'ONT, il reçoit une ipv4 en dhcp (le serveur est-il l'ont ou dans l'infra au dessus, je sais pas) et il a sa propre ipv6 si je te suis bien, indiqué GUA, mais qui n'est pas mon ipv6 publique, c'est bien çà que tu veux dire ?


buddy

  • Expert
  • Abonné Bbox fibre
  • *
  • Messages: 13 498
  • Alpes Maritimes (06)
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #73 le: 14 mai 2020 à 15:32:35 »
Attention tu récupères normalements 1 IPv4 avec ton abonnement, mais plusieurs milliards d'IPv6 ...

en IPv6 tu as 1 ip pour le routeur, et 1 (+1,2,3,... temporaires ) pour chaque périphérique ... il n'y a pas vraiment de notions d'adresse locales comme 192.168.x.y ou 10.x.y.z

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #74 le: 14 mai 2020 à 15:34:21 »
[user@ipfire37700 ~]# ss -plnt6
State        Recv-Q        Send-Q               Local Address:Port               Peer Address:Port                                                                                                               
LISTEN       0             128                              *:81                            *:*           users:(("httpd",pid=3026,fd=4),("httpd",pid=3023,fd=4))                                                 
LISTEN       0             128                              *:1013                          *:*           users:(("httpd",pid=3026,fd=8),("httpd",pid=3023,fd=8))                                                 
LISTEN       0             128                              *:444                           *:*           users:(("httpd",pid=3026,fd=6),("httpd",pid=3023,fd=6))                                                 


lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 279
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #75 le: 14 mai 2020 à 15:42:15 »
???
La je ne te suis plus.
Dans ma maison, j'ai un boitier ONT huawei HG8010H sur lequel la fibre est branché. Logiquement, si j'ai une adresse ipv4 ou/et ipv6 publique, elle tombe là, non ?  Il me sert derrière un sous-réseau ipv4.
On trouve donc derrière, le routeur ZTE dont le WAN est branhcé sur l'ONT, il reçoit une ipv4 en dhcp (le serveur est-il l'ont ou dans l'infra au dessus, je sais pas) et il a sa propre ipv6 si je te suis bien, indiqué GUA, mais qui n'est pas mon ipv6 publique, c'est bien çà que tu veux dire ?

En IPv6, le concept d'IP privée disparaît, avec le NAT qui disparaît lui aussi.

En IPv4, ton routeur a deux IP : une "publique" côté WAN, et une "privée" côté LAN. Côté LAN donc, toutes les IPv4 sont privées, puisqu'elles appartiennent toutes au même sous-réseau privé.
Lorsque le routeur reçoit un paquet, son adresse de destination est l'IPv4 publique du routeur. Alors, le NAT modifie l'adresse de destination pour mettre l'adresse IPv4 d'un de tes appareils (pas au hasard hein, il regarde avant qui a fait la requête qui a aboutit à l'arrivée de ce paquet, pour ne pas se tromper de destinataire). Ensuite, le routeur envoie le paquet sur le LAN, et la machine destinatrice reçoit le paquet.

En IPv6, tous les appareils ont une adresse IPv6 publique. Y compris le routeur (qui en a donc 2, une côté WAN, et une côté LAN). Ainsi, lorsque le routeur reçoit un paquet d'Internet, l'adresse de destination qu'il contient correspond déjà à un appareil de ton réseau. Le routeur a donc juste besoin de lui envoyer.

[user@ipfire37700 ~]# ss -plnt6
State        Recv-Q        Send-Q               Local Address:Port               Peer Address:Port                                                                                                               
LISTEN       0             128                              *:81                            *:*           users:(("httpd",pid=3026,fd=4),("httpd",pid=3023,fd=4))                                                 
LISTEN       0             128                              *:1013                          *:*           users:(("httpd",pid=3026,fd=8),("httpd",pid=3023,fd=8))                                                 
LISTEN       0             128                              *:444                           *:*           users:(("httpd",pid=3026,fd=6),("httpd",pid=3023,fd=6))                                                 

OpenVPN n'écoute donc pas en IPv6 (pas en TCP en tout cas). Et pour UDP ?
ss -plnu6

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #76 le: 14 mai 2020 à 15:50:47 »
Attention tu récupères normalements 1 IPv4 avec ton abonnement, mais plusieurs milliards d'IPv6 ...

en IPv6 tu as 1 ip pour le routeur, et 1 (+1,2,3,... temporaires ) pour chaque périphérique ... il n'y a pas vraiment de notions d'adresse locales comme 192.168.x.y ou 10.x.y.z
Merci pour l'éclairage. J'ai cru comprendre çà effectivement, plus besoin d'avoir un réseau local caché derrière une ip publique, chaque ipv6 est potentiellement publique, à condition qu'elle ne soit pas "caché" par une infrastructure adaptée.
Mais malgré tout, ne serait-il pas possible d'avoir juste l'appareil en "facade" avec une ipv6 publique, mon domaine qui pointe dessus en déclarant le AAAA chez le registar, et poser derrière un routeur logiciel qui distribue une réseau local en ipv4 et éventuellement des services accessibles de l'extérieur via du NAT ?

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #77 le: 14 mai 2020 à 15:52:39 »
OpenVPN n'écoute donc pas en IPv6 (pas en TCP en tout cas). Et pour UDP ?
ss -plnu6

[user@ipfire37700 ~]# ss -plnu6
State        Recv-Q        Send-Q               Local Address:Port               Peer Address:Port       
UNCONN       0             0                             [::]:123                        [::]:*     

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #78 le: 14 mai 2020 à 15:58:15 »
Je vois bien que la logique ipv6 est très différente. Si toutes les infras était nativement ipv6, çà serait bien plus simple, mais l'existant ne l'est pas.
Si j'avais juste à rendre publique mon NAS, je vois bien ce qu'il faudrait que je fasse en l'état :
- utiliser le routeur ZTE fourni par ibloo servant des ipv6 avec un serveur dhcpv6,
- tous mes postes obtiennent une ipv6,
- créer un sous-domaine avec déclaration d'un DNS AAAA sur l'adresse ipv6 de mon nas chez mon registar,
et hop le tour est joué (sécurité mise à part bien sur, autre débat car du coup tous les ordis doivent avoir un parefeu à eux au lieu d'en partager un)

Mais mon soucis, ce sont ces fameux pont VPN qui me permettes d'accéder à toute mon infra du taf qui elle est full-ipv4, et que je peux pas changer comme çà en quelques minutes  :-\

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 279
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #79 le: 14 mai 2020 à 16:12:40 »
Merci pour l'éclairage. J'ai cru comprendre çà effectivement, plus besoin d'avoir un réseau local caché derrière une ip publique, chaque ipv6 est potentiellement publique, à condition qu'elle ne soit pas "caché" par une infrastructure adaptée.

Cahché ?  ???

Mais malgré tout, ne serait-il pas possible d'avoir juste l'appareil en "facade" avec une ipv6 publique, mon domaine qui pointe dessus en déclarant le AAAA chez le registar, et poser derrière un routeur logiciel qui distribue une réseau local en ipv4 et éventuellement des services accessibles de l'extérieur via du NAT ?

Non. Enfin, ça doit être techniquement faisable, mais cette usine à gaz n'est pas souhaitable. Il faut cependant noté que tes appareils auront une IPv6 ("publique") ET une IPv4 privée. Tu pourras donc joindre un serveur local depuis ton réseau local avec son IPv4 privée.

- utiliser le routeur ZTE fourni par ibloo servant des ipv6 avec un serveur dhcpv6,

Probablement SLAAC plutôt.

et hop le tour est joué (sécurité mise à part bien sur, autre débat car du coup tous les ordis doivent avoir un parefeu à eux au lieu d'en partager un)

Par contre, c'est possible d'avoir un parefeu directement sur le routeur. Ce qui évite de configurer un parefeu sur chaque appareil, surtout lorsque l'on a pas la main dessus (IoT...)

Mais mon soucis, ce sont ces fameux pont VPN qui me permettes d'accéder à toute mon infra du taf qui elle est full-ipv4, et que je peux pas changer comme çà en quelques minutes  :-\

Quel est le soucis ? Tu peux garder tes VPN en IPv4 (à l'intérieur du VPN en tout cas). Par contre, le client OpenVPN placé dans l'infra de ton taf doit pouvoir se connecter en IPv6 à ton ipfire

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #80 le: 14 mai 2020 à 16:29:58 »
Quel est le soucis ? Tu peux garder tes VPN en IPv4 (à l'intérieur du VPN en tout cas). Par contre, le client OpenVPN placé dans l'infra de ton taf doit pouvoir se connecter en IPv6 à ton ipfire
Et pour cela, il faut que mon ipfire chez moi est une ipv6 publique ? Avec un AAAA déclaré dessus ?
Et faut-il que le client à l'autre extrémité soit branché sur une connection internet qui a l'ipv6 activé ?

Je suis désolé si j'ai l'air un peu paumé, c'est chaud de rentrer dans cette logique, surtout quand est autodidacte !

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 279
  • Montauban (82)
    • AS208261 - Pomme Télécom
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #81 le: 14 mai 2020 à 16:31:00 »
Et pour cela, il faut que mon ipfire chez moi est une ipv6 publique ? Avec un AAAA déclaré dessus ?
Et faut-il que le client à l'autre extrémité soit branché sur une connection internet qui a l'ipv6 activé ?

C'est ça

ludodo

  • Abonné iBloo
  • *
  • Messages: 32
iBloo: un nouveau FAI sur les DSP FTTH
« Réponse #82 le: 14 mai 2020 à 16:38:10 »
Ok, donc j'avance.
Du coup faut-il que l'interface WAN de mon ipfire est une adresse ipv6 ? De mémoire, j'ai que 2 options de config avec ipfire, manuel ou dhcp, et j'ai pas ipv6 possible d'ailleurs, si je fais ip a s çà donne çà :
2: red0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 50:3e:aa:0e:ee:51 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.10/24 brd 192.168.1.255 scope global noprefixroute red0
       valid_lft forever preferred_lft forever
3: green0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:21:85:5f:13:d9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.24.1/24 brd 192.168.24.255 scope global green0
       valid_lft forever preferred_lft forever