Auteur Sujet: Comment faire plusieurs réseaux IPv6::/64 dans le bloc d'Orange IPv6::/56 (Lu 5585 fois)

Nh3xus · « **Réponse #12 le:** 24 janvier 2024 à 17:33:09 »

Salut,

J'ai pas lu non plus car trop long et visiblement tu n'as pas vraiment compris la solution proposée par zoc.

Sur ton interface vmbr0 il faut faire tourner un client DHCPv6 en mode Prefix Delegation et spécifier la longueur de préfixe souhaitée ainsi que le préfix ID.

Cela peut se faire avec OPNSense par exemple.

Le fonctionnement ainsi que les limitations de la Livebox concernant le routage du préfixe /56 attribué par Orange sont expliqués ici :

https://x0r.fr/blog/76

Bonne lecture.

LAB3W.ORJ · « **Réponse #13 le:** 27 janvier 2024 à 16:35:15 »

Je reviens vers vous pour vous dire que j'arrive à accéder an NET depuis un VLAN.

Citation de: LAB3W.ORJ le 24 janvier 2024 à 12:26:38

[...]

Une autre machine sur le VLAN, celle qui n'est pas connecté sur la Livebox :

[...]

Il faut simplement activer le NDP sur la carte principale, celle connectée à la livebox et déclarer/proxyfier cette adresse IPv6 comme voisin.

En mode console :

La machine connectée à la carte ethernet (VMBR1) VLAN :

Code: [Sélectionner]

root@ns4:~ $ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.116.42.1  netmask 255.255.255.0  broadcast 0.0.0.255
        inet6 fe80::216:3eff:fe44:5610  prefixlen 64  scopeid 0x20<link>
        inet6 2a01:cb1d:2d4:8800:1ab3:1ac0:ff00:1  prefixlen 104  scopeid 0x0<global>
        ether 00:16:3e:44:56:10  txqueuelen 1000  (Ethernet)
        RX packets 6133  bytes 367536 (358.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1098  bytes 166552 (162.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Code: [Sélectionner]

root@ns4:~ $ ip -6 route show
2a01:cb1d:2d4:8800:1ab3:1ac0:ff00:0/104 dev eth0 proto kernel metric 256 pref medium
2a01:cb1d:2d4:8800:1ab3:1aff:ff:ffff dev eth0 metric 1024 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800:1ab3:1aff:ff:ffff dev eth0 metric 1024 pref medium

La machine connectée avec la carte ethernet (VMBR0) à la livebox :

Code: [Sélectionner]

root@bw:~ # ifconfig vmbr0
vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.254  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 2a01:cb1d:2d4:8800::1  prefixlen 56  scopeid 0x0<global>
        inet6 fe80::e825:b5ff:feab:55cc  prefixlen 64  scopeid 0x20<link>
        ether ea:25:b5:ab:55:cc  txqueuelen 1000  (Ethernet)
        RX packets 22026  bytes 2579996 (2.4 MiB)
        RX errors 0  dropped 1589  overruns 0  frame 0
        TX packets 15105  bytes 3052179 (2.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

La carte ethernet (VMBR1) pour le VLAN :

Code: [Sélectionner]

root@bw:~ # ifconfig vmbr1
vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.116.42.254  netmask 255.255.255.0  broadcast 10.116.42.255
        inet6 2a01:cb1d:2d4:8800:1ab3:1aff:ff:ffff  prefixlen 84  scopeid 0x0<global>
        inet6 fe80::88f5:2cff:fe38:e29a  prefixlen 64  scopeid 0x20<link>
        ether 8a:f5:2c:38:e2:9a  txqueuelen 1000  (Ethernet)
        RX packets 1084  bytes 149116 (145.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 797  bytes 89506 (87.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Code: [Sélectionner]

root@bw:~ # ip -6 route show
2a01:cb1d:2d4:8800:1ab3:1000::/84 dev vmbr1 proto kernel metric 256 pref medium
2a01:cb1d:2d4:8800::/64 dev vmbr0 proto kernel metric 256 expires 84666sec pref medium
2a01:cb1d:2d4:8800::/56 dev vmbr0 proto kernel metric 256 expires 84358sec pref medium
fe80::/64 dev vethRUv2dq proto kernel metric 256 pref medium
fe80::/64 dev vmbr0 proto kernel metric 256 pref medium
fe80::/64 dev vmbr1 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 dev vmbr0 metric 1024 pref medium

On active NDP (Network Discovery Protocol) :

Code: [Sélectionner]

root@bw:~ # sysctl -w net.ipv6.conf.vmbr0.proxy_ndp=1

On proxyfie le voisin vers la carte principale :

Code: [Sélectionner]

root@bw:~ # ip -6 neighbor add proxy 2a01:cb1d:2d4:8800:1ab3:1ac0:ff00:1 dev vmbr0

Et après depuis la machine VLAN j'arrive à ping/ponguer.

Par contre, je n'arrive toujours pas à rentrer sur un des services sur la machine NS4.

Chose normale (inadmissible), puisse que sur le firewall de la LIVEBOX ne me permet pas d'activer la DMZ (Zone Dé-militarisée) sur de l'IPv6.

Je ne peut que configurer des redirection de PORTs UDP/TCP vers une IPv6::/128.

Et, j'ajoute que vu que cette machine est dans un autre réseau que 192.168.1.0/24 je ne peut même pas gèrer la redirection de port IPv6 vers elle.

Truc qui ne sert à rien, donc. Mise à part pouvoir surfer en IPv6 depuis cette machine.

Bon weekend.

J'ajoute mes valeurs de la configuration des cartes pour info :

Code: [Sélectionner]

net.ipv6.conf.vmbr0.forwarding = 1
net.ipv6.conf.vmbr0.autoconf = 0
net.ipv6.conf.vmbr0.accept_redirects = 1
net.ipv6.conf.vmbr0.accept_ra = 2
net.ipv6.conf.vmbr0.proxy_ndp = 1
net.ipv6.conf.vmbr0.accept_source_route = 0

net.ipv6.conf.vmbr1.forwarding = 1
net.ipv6.conf.vmbr1.autoconf = 0
net.ipv6.conf.vmbr1.accept_redirects = 1
net.ipv6.conf.vmbr1.accept_ra = 2
net.ipv6.conf.vmbr1.proxy_ndp = 0
net.ipv6.conf.vmbr1.accept_source_route = 0

Romain

Bonjour, @Nh3xus

Citation de: Nh3xus le 24 janvier 2024 à 17:33:09

Sur ton interface vmbr0 il faut faire tourner un client DHCPv6 en mode Prefix Delegation et spécifier la longueur de préfixe souhaitée ainsi que le préfix ID.

Oui, je sais bien çà.

J'ai fais comme expliqué dessus (dans ce commentaire) pour pouvoir "surfer", sans client DHCPv6 - avec NDP

Par contre, en commencant à lire le lien que vous vennez de m'envoyer, je crois comprendre, qu'on pourrait attribuer d'autres IPv6::/64 (je n'ai pas encore lu).

Merci.

Citation de: Nh3xus le 24 janvier 2024 à 17:33:09

Cela peut se faire avec OPNSense par exemple.

Je ne connais pas OPNSense je vais lire de la doc. Merci.

Citation de: Nh3xus le 24 janvier 2024 à 17:33:09

https://x0r.fr/blog/76

Merci pour le lien.

Bonne journée.

LAB3W.ORJ · « **Réponse #14 le:** 27 janvier 2024 à 18:27:20 »

Je reviens vers vous pour vous transmettre ces infos :

Citation de: Nh3xus le 24 janvier 2024 à 17:33:09

[..]

Le fonctionnement ainsi que les limitations de la Livebox concernant le routage du préfixe /56 attribué par Orange sont expliqués ici :

https://x0r.fr/blog/76

Bonne lecture.

MERCI BEAUCOUP.

J'ai réussis à déléguer plusieurs blocs IPv6::/64 (sans pouvoir, les choisir comme expliqué sur la page 76 de x0r, j'ai perdu mon bloc 00::/64)

Ci-joint un imprime écran :

En console :

J'ai créais ce fichier :

Code: [Sélectionner]

root@bw:~ # vim /etc/dhcp/dhclient6.conf

interface "vmbr0" {
        send dhcp6.client-id "VOTRE_DUID";
        request;
}

Cet DUID, je l'ai récupéré dans :

Code: [Sélectionner]

root@bw:~ #  cat /var/lib/dhcp/dhclient6.leases
default-duid "\000\001\000\001-1\340\366\310\234\334..\034";
[...]

Puis premier test :

Code: [Sélectionner]

root@bw:~ # dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v vmbr0
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on Socket/vmbr0
Sending on   Socket/vmbr0
Created duid "\000\001\000\001-G\352\026\352%\265\253U\314".
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT:  X-- IA_PD b5:ab:55:cc
XMT:  | X-- Request renew in  +3600
XMT:  | X-- Request rebind in +5400
XMT: Solicit on vmbr0, interval 1020ms.
RCV: Advertise message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV:  X-- Preference 255.
RCV:  X-- IA_PD b5:ab:55:cc
RCV:  | X-- starts 1706372503
RCV:  | X-- t1 - renew  +300
RCV:  | X-- t2 - rebind +480
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
RCV:  | | | X-- Preferred lifetime 600.
RCV:  | | | X-- Max lifetime 86400.
RCV:  X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
RCV:  Advertisement immediately selected.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC:  X-- Initial candidate 00:01:00:01:2a:da:8f:ba:6c:19:8f:9a:42:35 (s: 10101, p: 0).
PRC:  X-- Candidate 00:03:00:01:c0:d7:aa:c0:f8:39 (s: 10101, p: 255).
PRC:  | X-- Selected, higher preference.
XMT: Forming Request, 0 ms elapsed.
XMT:  X-- IA_PD b5:ab:55:cc
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Request on vmbr0, interval 930ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV:  X-- Preference 255.
RCV:  X-- IA_PD b5:ab:55:cc
RCV:  | X-- starts 1706372503
RCV:  | X-- t1 - renew  +300
RCV:  | X-- t2 - rebind +480
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
RCV:  | | | X-- Preferred lifetime 600.
RCV:  | | | X-- Max lifetime 86400.
RCV:  X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Bound to lease 00:03:00:01:c0:d7:aa:c0:f8:39.

On voit donc que :

IAPREFIX -> 2a01:cb1d:2d4:88fb::/64

J'ajoute un 2 ème "dhcp6.client-id" :

Code: [Sélectionner]

root@bw:~ # vim /etc/dhcp/dhclient6.conf

interface "vmbr0" {
        send dhcp6.client-id "\000\001\000\001-1\340\366\310\234\334..\034";
        send dhcp6.client-id "\000\001\000\001-G\352\026\352%\265\253U\314";
        request;
}

Et relance la commande dhclient :

Code: [Sélectionner]

root@bw:~ # dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v vmbr0
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on Socket/vmbr0
Sending on   Socket/vmbr0
PRC: Confirming active lease (INIT-REBOOT).
XMT: Forming Rebind, 0 ms elapsed.
XMT:  X-- IA_PD b5:ab:55:cc
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Rebind on vmbr0, interval 920ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV:  X-- Preference 255.
RCV:  X-- IA_PD b5:ab:55:cc
RCV:  | X-- starts 1706372804
RCV:  | X-- t1 - renew  +3600
RCV:  | X-- t2 - rebind +5400
RCV:  | X-- [Options]
RCV:  | !-- Status code of no prefix, IA_PD discarded.
RCV:  X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT:  X-- IA_PD b5:ab:55:cc
XMT:  | X-- Request renew in  +3600
XMT:  | X-- Request rebind in +5400
XMT:  | X-- Request prefix 2a01:cb1d:2d4:88fb::/64.
XMT:  | | X-- Request preferred in +7200
XMT:  | | X-- Request valid in     +10800
XMT: Solicit on vmbr0, interval 1030ms.
RCV: Advertise message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV:  X-- Preference 255.
RCV:  X-- IA_PD b5:ab:55:cc
RCV:  | X-- starts 1706372805
RCV:  | X-- t1 - renew  +300
RCV:  | X-- t2 - rebind +480
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
RCV:  | | | X-- Preferred lifetime 600.
RCV:  | | | X-- Max lifetime 86400.
RCV:  X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
RCV:  Advertisement immediately selected.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC:  X-- Initial candidate 00:03:00:01:c0:d7:aa:c0:f8:39 (s: 10101, p: 255).
XMT: Forming Request, 0 ms elapsed.
XMT:  X-- IA_PD b5:ab:55:cc
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Request on vmbr0, interval 950ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV:  X-- Preference 255.
RCV:  X-- IA_PD b5:ab:55:cc
RCV:  | X-- starts 1706372805
RCV:  | X-- t1 - renew  +300
RCV:  | X-- t2 - rebind +480
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
RCV:  | | | X-- Preferred lifetime 600.
RCV:  | | | X-- Max lifetime 86400.
RCV:  X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Bound to lease 00:03:00:01:c0:d7:aa:c0:f8:39.

IAPREFIX -> 2a01:cb1d:2d4:88f6::/64 <- un nouveau prefix

OK .

Code: [Sélectionner]

root@bw:~ # dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v vmbr0
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on Socket/vmbr0
Sending on   Socket/vmbr0
PRC: Confirming active lease (INIT-REBOOT).
XMT: Forming Rebind, 0 ms elapsed.
XMT:  X-- IA_PD b5:ab:55:cc
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Rebind on vmbr0, interval 930ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV:  X-- Preference 255.
RCV:  X-- IA_PD b5:ab:55:cc
RCV:  | X-- starts 1706375475
RCV:  | X-- t1 - renew  +300
RCV:  | X-- t2 - rebind +480
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
RCV:  | | | X-- Preferred lifetime 600.
RCV:  | | | X-- Max lifetime 86400.
RCV:  | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
RCV:  | | | X-- Preferred lifetime 0.
RCV:  | | | X-- Max lifetime 0.
RCV:  X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Bound to lease 00:03:00:01:c0:d7:aa:c0:f8:39.

J'ajoute :

Code: [Sélectionner]

root@bw:~ # cat /var/lib/dhcp/dhclient6.leases
default-duid "\000\001\000\001-G\352\026\352%\265\253U\314";
lease6 {
  interface "vmbr0";
  ia-pd b5:ab:55:cc {
    starts 1706376075;
    renew 300;
    rebind 480;
    iaprefix 2a01:cb1d:2d4:88fb::/64 {
      starts 1706375475;
      preferred-life 0;
      max-life 0;
    }
    iaprefix 2a01:cb1d:2d4:88f6::/64 {
      starts 1706376075;
      preferred-life 600;
      max-life 86400;
    }
  }
  option dhcp6.client-id 0:1:0:1:2d:47:ea:16:ea:25:b5:ab:55:cc;
  option dhcp6.server-id 0:3:0:1:c0:d7:aa:c0:f8:39;
  option dhcp6.name-servers 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839;
  option dhcp6.domain-search "home.";
}

J'arrive bien à pinguer avec les 2 réseaux IPv6::/64 par contre... Je n'arrive pas à rentrer sur les VLANs, me semble t'il, à tester.

Peut-être que l'on peut demander un réseau en particulier, je check çà, aussi

Romain.

renaud07 · « **Réponse #15 le:** 27 janvier 2024 à 20:17:37 »

Intéressant ton test.

Ils auraient donc corrigé le bug de routage lorsque une machine demande plusieurs préfixes.

Maintenant y'a plus qu'à attendre pour un vrai /60 et plus si affinité ^^ Et on pourra enfin étudier la possibilité de remettre la box

LAB3W.ORJ · « **Réponse #16 le:** 27 janvier 2024 à 20:35:23 »

Citation de: renaud07 le 27 janvier 2024 à 20:17:37

Intéressant ton test.

Ils auraient donc corrigé le bug de routage lorsque une machine demande plusieurs préfixes.

Maintenant y'a plus qu'à attendre pour un vrai /60 et plus si affinité ^^

Merci à x0r @renaud07

Mais non je ne crois pas, çà route en sortie MAIS PAS EN ENTRéE ! C'est super nul !

J'ai remarqué qu'il n'y a pas besoin de "proxyfier" les adresses "voisines" avec la délégation de bloc IPv6::/64

Par contre pour l'instant, comme je l'ai dis dans une autre commentaire, je n'arrive pas à accéder aux "services" sur les adresses d'un VLAN.

J'arrive bien à pinguer vers des serveurs externes Et en recevant le "reply" des ping6.

Par contre, de l'exterieur, je n'arrive pas à pinguer, sur aucune de mes IPv6 UNICAST GLOBAL. Certes c'est de ICMPv6...

J'ai activé le firewall en "sécurité faible" et ai rédirigé TOUS les ports TCP/UDP de 1-65535 vers la machine en DMZ. L'ICMPv6 c'est sur quel port déjà, je ne sais plus ?

En passant, j'ai concocté un firewall ICMPv6 avec les docs des ingénieurs Stéphane Bortzmeyer et Stéphane Huc (@PengouinPdt sur Debian-FR.org) qui nous a expliqué les "ICMPv6 type Numbers"

Pour finir, sur ma VMBR0 (config) :

J'arrive en SSH sur 2a01:cb1d:2d4:8800::1/128 -> OK (pas dans la délégation à proprement parlé (bloc IPv6::/64 par default)
Et sinon en SSH sur 2a01:cb1d:2d4:88f6::1/128 -> KO (délégation de bloc IPv6::/64)
Et sinon en SSH sur 2a01:cb1d:2d4:88fb::1/128 -> KO (délégation de bloc IPv6::/64)
Et sinon en SSH sur 2a01:cb1d:2d4:88d0::1/128 -> KO (délégation de bloc IPv6::/64) j'ai fais d'autres tests

Et les containers sur le VMBR1 rien ne rentre non plus.

Romain

-----

J'ajoute ces liens DHCPv6 et la délégation de bloc IPv6 :

Délégation de préfixes IPv6 avec la Livebox : expériences en profondeur -> https://x0r.fr/blog/76
Délégation de préfixe IPv6 Debian -> https://wiki.debian.org/IPv6PrefixDelegation
Demande de délégation d’un préfixe ipv6 via un fichier de configuration -> https://lists.isc.org/pipermail/dhcp-users/2021-December/022593.html
Configuration du client DHCP ISC pour demander la délégation de préfixe ? -> https://www.reddit.com/r/ipv6/comments/jljgbt/configuring_isc_dhcp_client_to_request_prefix/?rdt=38312
GitHub : jaymzh / v6-gw-scripts -> https://github.com/jaymzh/v6-gw-scripts/blob/master/dhclient-ipv6

Citer

Sur le blog de monsieur Bortzmeyer :

RFC 7078: Distributing Address Selection Policy using DHCPv6
RFC 7227: Guidelines for Creating New DHCPv6 Options
RFC 8415: Dynamic Host Configuration Protocol for IPv6 (DHCPv6)

[...]
DHCP fonctionne par diffusion restreinte. Un client DHCP, c'est-à-dire une machine qui veut obtenir une adresse, diffuse (DHCP fonctionne au-dessus d'UDP, RFC 768, le port source est 546, le port de destination, où le serveur écoute, est 547) sa demande à l'adresse multicast locale au lien ff02::1:2. Le serveur se reconnait et lui répond. S'il n'y a pas de réponse, c'est, comme dans le DNS, c'est au client de réémettre (section 15). L'adresse IP source du client est également une adresse locale au lien.

(Notez qu'une autre adresse de diffusion restreinte est réservée, ff05::1:3 ; elle inclut également tous les serveurs DHCP mais, contrairement à la précédente, elle exclut les relais, qui transmettent les requêtes DHCP d'un réseau local à un autre.)
[...]

CF : (IPv6 Multicast Address Space Registry)

renaud07 · « **Réponse #17 le:** 27 janvier 2024 à 22:20:56 »

ICMP n'a pas de notion de port, il n'utilise ni TCP ni UDP. Il fait partie intégrante d'IP, c'est de la couche 3.

Je crois qu'il faut aller dans le niveau personnalisé du pare feu.

basilix · « **Réponse #18 le:** 28 janvier 2024 à 06:23:47 »

Citation de: renaud07 le 27 janvier 2024 à 22:20:56

ICMP n'a pas de notion de port, il n'utilise ni TCP ni UDP. Il fait partie intégrante d'IP, c'est de la couche 3.

Je crois qu'il faut aller dans le niveau personnalisé du pare feu.

Je n'aperçois aucun réglage « ICMP » dans les paramètres personnalisés du pare-feu IPv6.

Il y a un réglage au niveau de « Ouverture de protocoles dans le pare-feu (pour équipements IPv6). » Dans la première liste déroulante, on peut sélectionner « ICMP ».

Cela donne moyennement confiance car on n'a aucune granularité dans le filtrage des types de messages ICMP, et surtout, on ne sait pas ce qui est vraiment filtré.
Orange est en retard sur le support de IPv6. Puisque cela impose de devoir faire des tests manuels, en ne pouvant pas exploiter l'interface utilisateur.

Orange dissuade de modifier son pare-feu : « Réservé aux utilisateurs avancés qui comprennent les risques liés à la sécurité ».

basilix · « **Réponse #19 le:** 28 janvier 2024 à 06:49:00 »

Citation de: LAB3W.ORJ

Chose normale (inadmissible), puisse que sur le firewall de la LIVEBOX ne me permet pas d'activer la DMZ (Zone Dé-militarisée) sur de l'IPv6.

La DMZ Orange n'existe pas conceptuellement en IPv6 : c'est du NAT44 (ou NAPT) couplé au pare-feu IPv4. Cela ne correspond pas à une DMZ mais au concept d'hôte exposé.

basilix · « **Réponse #20 le:** 28 janvier 2024 à 07:35:13 »

Citation de: renaud07 le 27 janvier 2024 à 20:17:37

Intéressant ton test.

Ils auraient donc corrigé le bug de routage lorsque une machine demande plusieurs préfixes.

Maintenant y'a plus qu'à attendre pour un vrai /60 et plus si affinité ^^ Et on pourra enfin étudier la possibilité de remettre la box

Ne se retrouverait-on pas avec un double NAT44 ? Le routeur devant communiquer avec la Livebox avec une adresse privée IPv4 ?

LAB3W.ORJ · « **Réponse #21 le:** 28 janvier 2024 à 14:56:02 »

Citation de: renaud07 le 27 janvier 2024 à 22:20:56

ICMP n'a pas de notion de port, il n'utilise ni TCP ni UDP. Il fait partie intégrante d'IP, c'est de la couche 3.

Je crois qu'il faut aller dans le niveau personnalisé du pare feu.

Okay pour l'ICMPv6

Ah oui pas bête, pour la section "pare-feux > personnalisé"

Merci @renaud07 !

Citation de: basilix le 28 janvier 2024 à 06:23:47

Je n'aperçois aucun réglage « ICMP » dans les paramètres personnalisés du pare-feu IPv6.

AH mince.

Citation de: basilix le 28 janvier 2024 à 06:23:47

Il y a un réglage au niveau de « Ouverture de protocoles dans le pare-feu (pour équipements IPv6). » Dans la première liste déroulante, on peut sélectionner « ICMP ».

Okay

Citation de: basilix le 28 janvier 2024 à 06:23:47

Cela donne moyennement confiance car on n'a aucune granularité dans le filtrage des types de messages ICMP, et surtout, on ne sait pas ce qui est vraiment filtré.
Orange est en retard sur le support de IPv6. Puisque cela impose de devoir faire des tests manuels, en ne pouvant pas exploiter l'interface utilisateur.

Orange dissuade de modifier son pare-feu : « Réservé aux utilisateurs avancés qui comprennent les risques liés à la sécurité ».

Ouais, ils vont y remédier @basilix

J'en suis sûr c'est tellement important.

Citation de: basilix le 28 janvier 2024 à 06:49:00

La DMZ Orange n'existe pas conceptuellement en IPv6 : c'est du NAT44 (ou NAPT) couplé au pare-feu IPv4. Cela ne correspond pas à une DMZ mais au concept d'hôte exposé.

Okay, daccord, merci pour cette information @basilix.

Citation de: basilix le 28 janvier 2024 à 07:35:13

Ne se retrouverait-on pas avec un double NAT44 ? Le routeur devant communiquer avec la Livebox avec une adresse privée IPv4 ?

Moi, j'en sais rien

$:-\$

Merci à vous messieurs pour ces informations.

J'en suis toujours au même "point" je n'arrive pas à accéder à mes services "hébergées" dans les autres machines, celles dans le VLAN.

J'ai testé "Ouverture de protocoles dans le pare feu (pour équipements IPv6)" -> ICMPv6 ICMP PC-21 (là machine "DMZ") Toutes -- mais çà ne répond pas au ping de l'exterieur.

J'ai testé "Personnaliser les règles de filtrage (pour adresse IP statique)" > Autoriser votre Livebox à répondre aux requêtes de ping (çà oui çà fonctionne, sur l'IPv6 de la livebox) - la réponse au ping sur l'IPv4 depuis que j'ai activé la DMZ fonctionnée depuis.

Bonne dimanche.

Romain.

PS : Je vais m'abonner à la mailing list d'Orange Technique/Développement/System/Network Livebox en plus d'Orange Cyber-Défense (twitter).

À+

renaud07 · « **Réponse #22 le:** 28 janvier 2024 à 16:48:45 »

Citation de: basilix le 28 janvier 2024 à 07:35:13

Ne se retrouverait-on pas avec un double NAT44 ? Le routeur devant communiquer avec la Livebox avec une adresse privée IPv4 ?

Oui, il faut faire avec le double NAT... Pas le choix.

basilix · « **Réponse #23 le:** 29 janvier 2024 à 06:10:11 »

@renaud07 : En fait, je n'en suis pas si sûr. On aurait peut-être pu utiliser la traduction NAT64. Cela ne fonctionnera pas sur les Livebox domestiques
car il aurait fallu annoncer une route vers un préfixe "pref64" dans la Livebox pour chacun des sous-réseaux IPv6 (routes statiques).

Je me dis qu'il faudrait que je fasse plus de pratique pour consolider mes bases en IPv6 (savoir-faire).

Mais c'est mieux, à mon avis, de remplacer la Livebox quand on peut le faire (réduction de la complexité de la topologie).