La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: Labure le 29 janvier 2025 à 00:11:25
-
Bonjour,
Toujours en quête d’une stratégie de load balancing IPv6 sur mon réseau local, composé d’une Freebox, d’une Livebox, et d’un routeur Ubiquiti EdgeRouter ER-8-XG.
Après avoir exploré divers documents sur le sujet et lu plusieurs discussions sur ce forum, j’aimerais avoir vos avis sur une solution potentielle.
solution NPTv6 :
• Mon réseau local serait configuré avec des adresses IPv6 en ULA (Unique Local Address) via SLAAC, avec un préfixe par exemple fd00:1234:5678::/64.
• Ensuite, je ferais une translation de préfixe (NPTv6) vers le préfixe global fourni par la Freebox et la Livebox. Ainsi, c’est le routeur qui gèrerait le load balancing entre les deux connexions WAN, et non les périphériques eux-mêmes.
Une autre solution serait d’envoyer une annonce SLAAC avec les deux préfixes globaux (Freebox et Livebox) sur le réseau local, pour que chaque périphérique obtienne une IPv6 de chaque connexion. Mais dans ce cas :
• Ce sont les périphériques eux-mêmes qui gèrent le pseudo load balancing (ce qui ressemblerait davantage à du failover).
• Selon la RFC 6724, les adresses ULA ont une priorité plus basse que les adresses IPv4, ce qui peut entraîner l’utilisation de la stack IPv4 par défaut, sauf si on est en full stack IPv6 enfin si j'ai bien compris ?
Pensez-vous que cette solution avec NPTv6 est viable ? des contraintes à anticiper ?
Ou bien, l’approche avec une annonce des préfixes globaux et un pseudo load balancing côté périphériques reste-t-elle plus adaptée ?
Merci pour vos idées et conseils ! :)
-
En effet, si tu veux faire de l'ULA en dual stack, tu verras plus de traffic v4 que nécessaire du fait de RFC6724.
Si tu passes ton LAN en v6-only (avec un NAT64 sur le routeur), ULA ne pose pas de problème particulier, à ceci près que tu perds l'adressage end-to-end.
La solution d'annoncer deux préfixes et de laisser les stations faire du load balancing ne fonctionne pas (du moins pas encore). Les stations n'ont pas de moyen de connaitre la charge de chaque lien, et les OS n'ont pas ce qu'il faut pour changer dynamiquement le préfixe source utilisé. Il vaut bien mieux annoncer un seul préfixe et faire ton load balancing au niveau du routeur, selon moi.
Ta première solution me semble donc plus pragmatique et moins risquée.
Si tu n'est pas attaché à utiliser un préfixe ULA et que tu désires garder la connectivité end-to-end, tu peux par exemple :
- annoncer l'un des deux préfixes sur le LAN (par exemple, celui de Free, qui devrait être fixe),
- gérer le load balancing sur le routeur,
- pour les paquets dans le sens LAN->WAN et WAN->LAN qui empruntent la connexion free, router simplement,
- pour les paquets dans le sens LAN -> WAN que le routeur veut envoyer par le lien Orange, faire du NPT afin de remplacer le préfixe source par celui attribué par Orange,
- pour les paquets dans le sens WAN->LAN qui viennent d'Orange, rempalcer le prefixe de destination par celui de free.
L'avantage est que tu gardes l'adressage de bout en bout, l'inconvénient est que tu lies la configuration de ton LAN au préfixe d'un opérateur, qui peut changer.
-
oui y'a pas de miracle.
Tu peux aussi demandé un préfixe IPv6 global (un PI) et l'utiliser en interne a la place d'un prefixe ULA (ou prendre un /64 dans 2001:db8::/32 mais c'est plus risqué) et faire du NPTv6 vers les 2 FAI.
ca corrige le souci de la priorité IPv4 sur ULA.
pour le PI: https://www.ripe.net/manage-ips-and-asns/ipv6/request-ipv6/how-to-request-an-ipv6-pi-assignment/
Apres le mieux c'est d'éviter le LB, voir pourquoi tu en as besoin et peut-être partitionner ton réseau en 2 par exemple ou autre solution.
-
Oui, utiliser le bloc réservé pour la rédaction de documents (2001:db8::/32) est une possibilité même si c’est franchement pas beau.
-
Merci pour vos réponses
J’ai essayé d’annoncer les deux préfixes sur le réseau local, mais pour ça, j’ai dû sortir de la conf officielle du EdgeRouter en créant deux tables de routage en mode Linux, une pour la Livebox et une pour Free, avec en source route les préfixes de chacun. Ça fonctionne, mais effectivement, ça ne sert que pour du failover, car les périphériques choisissent eux-mêmes leur chemin sans contrôle du routeur, comme tu l’expliques bien @simon.
Mon but pour plus tard, c’est un load balancing + failover (comme en NAT IPv4).
Si tu n’es pas attaché à utiliser un préfixe ULA et que tu désires garder la connectivité end-to-end, tu peux par exemple :
• annoncer l’un des deux préfixes sur le LAN (par exemple, celui de Free, qui devrait être fixe),
• gérer le load balancing sur le routeur,
• pour les paquets dans le sens LAN->WAN et WAN->LAN qui empruntent la connexion Free, router simplement,
• pour les paquets dans le sens LAN->WAN que le routeur veut envoyer par le lien Orange, faire du NPT afin de remplacer le préfixe source par celui attribué par Orange,
• pour les paquets dans le sens WAN->LAN qui viennent d’Orange, remplacer le préfixe de destination par celui de Free.
L’avantage est que tu gardes l’adressage de bout en bout, l’inconvénient est que tu lies la configuration de ton LAN au préfixe d’un opérateur, qui peut changer.
Mais dans ce cas, il n’y aura pas de load balancing, juste du failover. Ça revient un peu à ce que j’ai déjà testé en annonçant les deux préfixes ?
Oui, il n’y a pas de miracle.
Tu peux aussi demander un préfixe IPv6 global (un PI) et l’utiliser en interne à la place d’un préfixe ULA (ou prendre un /64 dans 2001:db8::/32, mais c’est plus risqué) et faire du NPTv6 vers les 2 FAI.
Ça corrige le souci de la priorité IPv4 sur ULA.
Pour le PI : https://www.ripe.net/manage-ips-and-asns/ipv6/request-ipv6/how-to-request-an-ipv6-pi-assignment/
Si je comprends ton idée @kgersen, je peux demander un préfixe GLA vierge uniquement pour moi et l’utiliser en interne, même s’il n’est pas connu des routeurs des FAI. Donc, je fais du NPTv6 de ce préfixe vers les deux préfixes des box, comme ça, je suis prioritaire sur l’IPv4. Est-ce que je peux demander un préfixe en tant que particulier ? Ou via mon association ? Et combien ça coûte ?
J’ai vu aussi sur un autre post que tu disais d' essayer de prendre des adresses GLA type 4000::. Si c’est faisable, je tenterais bien la chose ?
Apres le mieux c'est d'éviter le LB, voir pourquoi tu en as besoin et peut-être partitionner ton réseau en 2 par exemple ou autre solution.
Pour l’instant, j’ai juste du round-robin DNS avec les deux IP publiques sur les sites web que je gère. Pour le réseau local en IPv4, je suis en mode failover, car j’ai du 8 Gb sur la Freebox, mais pas encore de XGS-PON sur la Livebox. Mais je devrais passer, dans un futur proche, sur du 8 Gb aussi avec la Livebox, et là, j’aimerais bien, dans ce cas, avoir un vrai LB.
(ou prendre un /64 dans 2001:db8::/32 mais c'est plus risqué) et faire du NPTv6 vers les 2 FAI.
Oui, utiliser le bloc réservé pour la rédaction de documents (2001:db8::/32) est une possibilité même si c’est franchement pas beau.
A voir :)
-
Si je comprends ton idée @kgersen, je peux demander un préfixe GLA vierge uniquement pour moi et l’utiliser en interne, même s’il n’est pas connu des routeurs des FAI. Donc, je fais du NPTv6 de ce préfixe vers les deux préfixes des box, comme ça, je suis prioritaire sur l’IPv4. Est-ce que je peux demander un préfixe en tant que particulier ? Ou via mon association ? Et combien ça coûte ?
oui c'est le principe.
en tant que particulier il faut trouver un "sponsor LIR". https://milkywan.fr/services/lir/ est parmis nous donc on leur fait de la pub ;)
mais y'en a d'autre en général c'est dans cet ordre de prix (100€/an).
Apres t'as pas forcement besoin d'un PI car il ne sera pas router dans les faits.
J’ai vu aussi sur un autre post que tu disais d' essayer de prendre des adresses GLA type 4000::. Si c’est faisable, je tenterais bien la chose ?
oui n'importe quel préfix dans l'espace non encore utilisé (dans le reserved en bleu clair (https://observablehq.com/@vasturiano/hilbert-map-of-ipv6-address-space)) peut faire l'affaire.
Pour l’instant, j’ai juste du round-robin DNS avec les deux IP publiques sur les sites web que je gère. Pour le réseau local en IPv4, je suis en mode failover, car j’ai du 8 Gb sur la Freebox, mais pas encore de XGS-PON sur la Livebox. Mais je devrais passer, dans un futur proche, sur du 8 Gb aussi avec la Livebox, et là, j’aimerais bien, dans ce cas, avoir un vrai LB.
A voir :)
Attention a la précision: du LB en entrée et du LB en sortie ce sont deux choses différentes.
Dans ton cas en entrée c'est plus simple à faire. il suffit que tes services aient 2 IPv6 publiques, une de chaque opérateur et que ton routeur sache "source router" en sortie les paquets réponses.
La difficulté c'est du LB en sortie qui oblige à faire du NPTv6 car chaque équipement ne connait pas la charge des liens.
-
Oui, n’importe quel préfixe dans l’espace non encore utilisé (dans le reserved en bleu clair) peut faire l’affaire.
Je pense que ça va être la solution la plus simple (cool, le lien, je le garde dans mes signets 😉).
Attention à la précision : du LB en entrée et du LB en sortie, ce sont deux choses différentes.
Dans ton cas, en entrée, c’est plus simple à faire. Il suffit que tes services aient 2 IPv6 publiques, une de chaque opérateur, et que ton routeur sache “source router” en sortie les paquets de réponse.
La difficulté, c’est du LB en sortie, qui oblige à faire du NPTv6, car chaque équipement ne connaît pas la charge des liens.
Oui, en entrée, tout est déjà configuré, et pour l’instant, je ne fais qu’un simple round-robin, rien de compliqué, sauf l’IP d’Orange qu’un script surveille et, avec l’API d’OVH, modifie directement les champs A et AAAA correspondants.
Pour la sortie, c’est bon en IPv4, mais pour l’IPv6, c’est plus compliqué de répartir la charge. Je vais essayer la méthode NPTv6 avec un GLA en 4000.
-
Je pense que ça va être la solution la plus simple (cool, le lien, je le garde dans mes signets 😉).
Pour la sortie, c’est bon en IPv4, mais pour l’IPv6, c’est plus compliqué de répartir la charge. Je vais essayer la méthode NPTv6 avec un GLA en 4000.
Si tu veux squatter, utilises 2001:db8:: comme le proposais kgersen. Je fais ca sur des VM (où il y a NAT sur l'hote) et ca fonctionne.
Tu risques d'avoir des soucis de connectivité en squattant dans 4000:: car beaucoup de code teste la présence d'IPv6 en cherchant si une adresse assignée aux interfaces tombe dans 2000::/3.
EDIT: ou utilises 3ffe::/16, qui était assigné au 6bone et a été démantelé il y a fort longtemps.
-
Mais dans ce cas, il n’y aura pas de load balancing, juste du failover. Ça revient un peu à ce que j’ai déjà testé en annonçant les deux préfixes ?
Dans ce que je proposais plus haut, c'est le routeur qui choisit si il NAT et route la connexion par Orange, ou si il route sans NAT par Free.
Tu peux tout à fait faire du load balancing, c'est le routeur qui décide.
Ca sera la même chose si tu squattes finalement : les machines ne voient qu'un seul prefixe (GUA squatté), c'est le routeur qui va nater vers le préfixe d'Orange ou de Free, en fonction de ce qu'il décide.
-
Tu risques d'avoir des soucis de connectivité en squattant dans 4000:: car beaucoup de code teste la présence d'IPv6 en cherchant si une adresse assignée aux interfaces tombe dans 2000::/3.
t'as un exemple de code qui test que 2000::/3 ?
-
Dans ce que je proposais plus haut, c'est le routeur qui choisit si il NAT et route la connexion par Orange, ou si il route sans NAT par Free.
Tu peux tout à fait faire du load balancing, c'est le routeur qui décide.
Ca sera la même chose si tu squattes finalement : les machines ne voient qu'un seul prefixe (GUA squatté), c'est le routeur qui va nater vers le préfixe d'Orange ou de Free, en fonction de ce qu'il décide.
Ok, je comprends mieux, mais j’ai du mal à visualiser comment le routeur peut répartir la charge dans le sens LAN → WAN, car il va recevoir des demandes sortantes du préfixe de Free. Donc, comment lui dire de répartir 50 % directement sur Free en routage simple et 50 % en traduisant vers le préfixe d’Orange ?
Mes connaissances en IPv6 (je l’étudie seulement depuis trois semaines) sont trop limitées. Quel protocole ou quelle stratégie puis-je mettre en place ? Et surtout, est-ce que mon EdgeRouter pourra le gérer ? Car ces routeurs sont très IPv4-friendly. Pour l’IPv6, tout se fait en CLI, ce qui ne me gêne absolument pas, mais montre bien que la priorité d’Ubiquiti à la conception était surtout l’IPv4.
En tout cas, cette solution serait la meilleure pour moi, sachant que pour l’end-to-end, j’ai déjà d’autres préfixes de Free, gérés entièrement en statique pour mes serveurs. Le load balancing sera surtout pour mon réseau local, qui est séparé du réseau (VLAN) des serveurs.
-
franchement il faudrait vérifier avant ce qu'il est possible de faire avec ton routeur...
Ce qu'on arrive à faire en IPv4 n'est pas toujours possible en IPv6 souvent parce que le soft des routeurs n'a pas prévu le cas...
surtout si y'a du NPTv6 en plus (sur chaque WAN ou que sur un des 2 WAN).
le point important, vu qu'on tourne a 8Gbps est de vérifier le NPTv6 est accéléré matériellement (offload) sinon ca va ramer... a une époque EdgeOS ne supportait pas cet offload, depuis ca a peut-etre changer, c'est le 1er point a tester avant de faire autre chose.
-
franchement il faudrait vérifier avant ce qu'il est possible de faire avec ton routeur...
Ce qu'on arrive à faire en IPv4 n'est pas toujours possible en IPv6 souvent parce que le soft des routeurs n'a pas prévu le cas...
surtout si y'a du NPTv6 en plus (sur chaque WAN ou que sur un des 2 WAN).
le point important, vu qu'on tourne a 8Gbps est de vérifier le NPTv6 est accéléré matériellement (offload) sinon ca va ramer... a une époque EdgeOS ne supportait pas cet offload, depuis ca a peut-etre changer, c'est le 1er point a tester avant de faire autre chose.
IPv6
forwarding: enabled
vlan : enabled
pppoe : disabled
bonding : enabled
IPSec offload module: loaded
Si NTPv6 fait du surtout du forward, ça devrait être offloadé. En théorie, le routeur devrait être capable de faire ce load balancing, mais peut-être en sortant une fois de plus de la configuration CLI officielle et en passant par les commandes Linux.
Je vais tester ça sur un VLAN de test et je vous tiendrai au courant. :)
-
Salut à tous.
juste une petite remarque.
Ce n'est pas NTPv6 mais NPTv6 pour "IPv6-to-IPv6 Network Prefix Translation".
Quel est le but ? Doubler la vitesse ?
-
IPv6
forwarding: enabled
vlan : enabled
pppoe : disabled
bonding : enabled
IPSec offload module: loaded
Si NTPv6 fait du surtout du forward, ça devrait être offloadé.
ce n'est pas certain. "offload du forwarding" c'est juste le routage, passer des paquets d'une interface a une autre une fois que le premier paquet d'une session a été valider par le firewall. Ca peut se faire en cpu (offload logiciel, souvent appelé "fastpath") ou par le matériel lui-meme (SoC supportant la fonctionnalité). en IPv6 le forwarding ne touche pas au paquet eux-même (seul le ttl est décrémenté).
NPTv6 c'est plus que du forwarding, ca se fait avant ou après le forwarding: il faut changer l'adresse source ou destination suivant le sens. ca peut-etre couteux en cpu si le matériel ne permet pas cela et donc effondrer le débit.
Il y a aussi des interactions incompatibles a l'instar par exemple du DPI qui est souvent incompatible avec l'offload. Donc meme si NPTv6 est offloadé il se peut qu'avec le load balancing il ne le soit plus... .
Le diable est dans les détails il faut tout vérifier en faisant des tests si aucun retex pour ce routeur n'est dispo sur le Net.
-
Quel est le but ? Doubler la vitesse ?
J'imagine que son but est double :
- Éviter de saturer un lien en répartissant la charge entre les deux
- Ne pas avoir de coupures d'accès Internet sur les machines en cas de coupure d'un lien (et que ses services soient toujours joignables de l'extérieur, d'où le round-robin DNS)
-
t'as un exemple de code qui test que 2000::/3 ?
J'en ai déjà vu dans des projets ici et là, oui. Mais en cherchant sur github, on se rend compte que c'est bien plus pervasif que je ne le pensais...
https://github.com/chromium/chromium/blob/2300b6428a64cb8ad4970deb17e9529ee6c5f79f/net/base/ip_address.cc#L149
https://github.com/CZ-NIC/bird/blob/a47b6c71953c5f139a332dc7c0e6837a8ab6463f/lib/ip.c#L118
https://github.com/wereHamster/transmission/blob/101293b782a8831dc9bb343f8b93f8f19794bb51/libtransmission/net.c#L503
https://github.com/tailscale/tailscale/blob/4e7f4086b2b7ded76e43bdb4ad12d9dd253edba4/ipn/ipnlocal/peerapi.go#L887
https://github.com/cloudnativelabs/kube-router/blob/4a2537babff3b29509b01d68ca1f364f0343f468/pkg/controllers/netpol/policy.go#L845
https://github.com/pfsense/pfsense/blob/495d44d0de5c813d624f8550a7f0c1f14c9bd0a6/src/etc/inc/util.inc#L1121
pour n'en citer que quelques uns.
-
J'en ai déjà vu dans des projets ici et là, oui. Mais en cherchant sur github, on se rend compte que c'est bien plus pervasif que je ne le pensais...
https://github.com/chromium/chromium/blob/2300b6428a64cb8ad4970deb17e9529ee6c5f79f/net/base/ip_address.cc#L149
https://github.com/CZ-NIC/bird/blob/a47b6c71953c5f139a332dc7c0e6837a8ab6463f/lib/ip.c#L118
https://github.com/wereHamster/transmission/blob/101293b782a8831dc9bb343f8b93f8f19794bb51/libtransmission/net.c#L503
https://github.com/tailscale/tailscale/blob/4e7f4086b2b7ded76e43bdb4ad12d9dd253edba4/ipn/ipnlocal/peerapi.go#L887
https://github.com/cloudnativelabs/kube-router/blob/4a2537babff3b29509b01d68ca1f364f0343f468/pkg/controllers/netpol/policy.go#L845
https://github.com/pfsense/pfsense/blob/495d44d0de5c813d624f8550a7f0c1f14c9bd0a6/src/etc/inc/util.inc#L1121
pour n'en citer que quelques uns.
intéressant pour Chrome c'est un DCHECK donc a priori pas utiliser en production juste en test.
pour Tailscale c'est un test pour savoir si c'est l'internet public donc pas génant pour le cas ici.
idem pour pfsense.
Tant qu'on est en interne ca ne gene pas vraiment d'utiliser un préfixe dans 4000:: par exemple car des qu'on sort en public on est en 2000:: via le NPTv6 de toute facon.
Faudrait un exemple qui plante vraiment si on est en 4000:: en adresse source (pas destination). J'avais cherché aussi et pas trouver de cas (mais bon y'en a surement un...).
Mais effectivement par sureté il faut mieux être dans 2000::/3 ce n'est pas la place qui y manque.
-
J'imagine que son but est double :
- Éviter de saturer un lien en répartissant la charge entre les deux
- Ne pas avoir de coupures d'accès Internet sur les machines en cas de coupure d'un lien (et que ses services soient toujours joignables de l'extérieur, d'où le round-robin DNS)
Oui, j'ai la chance d'avoir deux fibres a disposition donc autant en profiter, et surtout perso le but principal et de me former et rester a jour.
ce n'est pas certain. "offload du forwarding" c'est juste le routage, passer des paquets d'une interface a une autre une fois que le premier paquet d'une session a été valider par le firewall. Ca peut se faire en cpu (offload logiciel, souvent appelé "fastpath") ou par le matériel lui-meme (SoC supportant la fonctionnalité). en IPv6 le forwarding ne touche pas au paquet eux-même (seul le ttl est décrémenté).
NPTv6 c'est plus que du forwarding, ca se fait avant ou après le forwarding: il faut changer l'adresse source ou destination suivant le sens. ca peut-etre couteux en cpu si le matériel ne permet pas cela et donc effondrer le débit.
Il y a aussi des interactions incompatibles a l'instar par exemple du DPI qui est souvent incompatible avec l'offload. Donc meme si NPTv6 est offloadé il se peut qu'avec le load balancing il ne le soit plus... .
Le diable est dans les détails il faut tout vérifier en faisant des tests si aucun retex pour ce routeur n'est dispo sur le Net.
Oui, j’ai regardé la partie NPTv6 (translation), elle sera forcément gérée par le CPU. Par contre, le renvoi une fois transformé sera sûrement offloadé. Je testerai ça ce week-end.
Pour info, les spécifications CPU du routeur sont quand même élevées : 16 cœurs à 3,6 GHz et 16 Go de RAM DDR4. Sachant que pour l’instant tout est offloadé, le CPU ne monte jamais au-dessus de 2 % en utilisation normale. Si je lance un speedtest, il peut monter à 12 %, donc j’ai de la marge. Ça vaut le coup d’essayer.
-
Mais effectivement par sureté il faut mieux être dans 2000::/3 ce n'est pas la place qui y manque.
Oui, c'était le sens de ma remarque : déjà qu'on sort des sentiers battus en faisant du NPT, si on squatte en dehors de 2000::/3, on risque fort de s'attirer des ennuis.
C'est un peu comme vouloir utiliser la classe E en v4: c'est possible, mais c'est un bon moyen de se tirer une balle dans le pied.
-
Avis sur NTPv6 pour un dual wan en IPv6
Perso je pense que NTPv6 c'est bien pour récupérer l'heure sur un serveur de temps, j'irais pas m'en servir pour faire du Dual Wan :p
-
IP over NTP? je suis sur que ca se fait :-)
-
Perso je pense que NTPv6 c'est bien pour récupérer l'heure sur un serveur de temps, j'irais pas m'en servir pour faire du Dual Wan :p
Arf j'avais pas remarqué le titre ;D j'ai corrigé :P
-
Je suis en train de lire ceci : https://datatracker.ietf.org/doc/html/rfc8801
ça etait mi en place en 2020 les PvDs, j'en suis au début ça l'air intéressant.
Quelqu'un à déjà essayer ?
-
Dans ce que je proposais plus haut, c'est le routeur qui choisit si il NAT et route la connexion par Orange, ou si il route sans NAT par Free.
Tu peux tout à fait faire du load balancing, c'est le routeur qui décide.
Ca sera la même chose si tu squattes finalement : les machines ne voient qu'un seul prefixe (GUA squatté), c'est le routeur qui va nater vers le préfixe d'Orange ou de Free, en fonction de ce qu'il décide.
J'ai essayer hier soir de metre en place cette solution mais malheureusement le edge router dans la version actuelle v2.0.9-hotfix.7 ne permet pas de faire du NPTv6 ou NAT66. Meme avec les commande iptable6 ca fonctionne pas car les fonctions ne sont pas présente dans le noyau.
J'attend la version 3.0.0 qui sortira peut être un jours !! en croisant les doigts qu'il rajoute ces fonctions :-)