Sinon pour ajouter -- vu que l'on n'arrive pas à UTILISER la délégation IPv6 correctement :
Je me suis fait un réseau ULA (Unique Local Address) et fait mon NAT comme avant en version IPv6 (par contre je n'ai qu'une seule IPv6 UNICAST d'active).
UNICAST : Unique sur le réseau CAST (du Global International Network - InterNet), on pourrait traduire aussi par Uni avec le CAST
----
Sur un ordinateur connecté à la livebox j'ai configuré en static une IPv6 - celle de mon bloc par defaut : celle-ci -> "2a01:cb1d:2d4:88
00::1" et puis j'ai configuré mes ULA IPv6 "fc11::/16" sur les autres machines - Certes c'est nul mais au moins la livebox, voit qu'une seule machine sortir (un PC routeur avec 2 cartes réseau ou un bridge). Aussi sur la livebox, j'ai TOUT envoyé les ports UDP et TCP de 1 à 65535 sur cette machine.
ns4:/etc/bind $ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.116.42.1 netmask 255.255.255.0 broadcast 0.0.0.255
inet6 fc11:cb1d:2d4:8800::CAFE prefixlen 16 scopeid 0x0<global>
inet6 fe80::216:3eff:fe44:5610 prefixlen 64 scopeid 0x20<link>
ether 00:16:3e:44:56:10 txqueuelen 1000 (Ethernet)
RX packets 29062 bytes 16349788 (15.5 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 9342 bytes 880162 (859.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Cette machine EST protégée d'internet, elle est dans un réseau ULA (privé IPv6) ; elle n'est pas accessible depuis Internet.
ns4:/etc/bind $ ip -6 route show
fc11::/16 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via fc11:cb1d:2d4:8800:ffff:ffff:ffff:ffff dev eth0 metric 1024 pref medium
Ci-dessus la route de ma passerelle "LAN" (le brigde ou la deuxième carte réseau de la machine "routeur") pour que la machine puisse naviguer sur Internet.
La machine "routeur" est configurée comme çà :
BR0 = "2a01:cb1d:2d4:8800:0000:0000:0000:0001" -> une adresse UNICAST GLOBAL
BR1 = "fc11:cb1d:2d4:8800:FFFF:FFFF:FFFF:FFFF" -> une adresse ULA
Ci-dessous un "ping6" vers l'extérieur :
ns4:/etc/bind $ ping6 -n vps.ipv10.net -c2
PING vps.ipv10.net(2001:41d0:701:1100::6530) 56 data bytes
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=1 ttl=45 time=28.4 ms
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=2 ttl=45 time=28.5 ms
--- vps.ipv10.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 56.9ms
rtt min/avg/max/mdev = 28.226/28.489/28.973/0.202 ms
Et la réponse du serveur que je ping :
vps:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
00:52:12.842514 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 62497, seq 1, length 64
00:52:12.842597 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 62497, seq 1, length 64
00:52:13.844111 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 62497, seq 2, length 64
00:52:13.844167 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 62497, seq 2, length 64
Donc si vous souhaitez être caché en version IPv6 c'est de cette manière. On ne voit et ne vera que la machine "8800::1" toujours ; pour toutes les adresses IPv6 LAN ULA "fc11::/16" (j'ai choisi fc11:: - mon VLAN est 10.11.0.0/24 dirais-je).
C'est exactement pareil qu'avec notre adresse IPv4 (public) et nos adresses sur notre réseau local "192.168.1.0/24" ; sauf qu'on a plus d'adressesss en IPv6
CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
IP address : fc11:cb1d:2d4:8800::cafe/16
type : Unique-Local Unicast (Unique Local Address (ULA)) (fc00::/7) [rfc4193][IANA]
network : fc11::
Prefix length : 16
network range : fc11:0000:0000:0000:0000:0000:0000:0000-fc11:ffff:ffff:ffff:ffff:ffff:ffff:ffff
total IP addresses : 519,229,68,585,348,276,285,30,496,329,220,096
IP address (full) : fc11:cb1d:02d4:8800:0000:0000:0000:cafe
----
IP address : fc11:cb1d:2d4:8800::cafe/120
type : Unique-Local Unicast (Unique Local Address (ULA)) (fc00::/7) [rfc4193][IANA]
network : fc11:cb1d:2d4:8800::ca00
Prefix length : 120
network range : fc11:cb1d:02d4:8800:0000:0000:0000:ca00-fc11:cb1d:02d4:8800:0000:0000:0000:caff
total IP addresses : 256
IP address (full) : fc11:cb1d:02d4:8800:0000:0000:0000:cafe
----
IP address : 192.168.1.10
class : C
type : PRIVATE (For Use in a private network. Not routable in the Internet [rfc1918])
network : 192.168.1.0
bitmask : 24
netmask : 255.255.255.0
wildcardmask : 0.0.0.255
host range : 192.168.1.1-192.168.1.254
broadcast address : 192.168.1.255
total IP addresses : 254
----
Et je vous ajoute "comme avant" si vous avez un "serveur Web" HTTPS sur la machine "fc11:cb1d:2d4:8800::CAFE" qui est cachée derrière, il faut NATé le port (ici le TCP:443) :
ip6tables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j LOG --log-prefix "INPUT-T-HTTPS:"
ip6tables -t nat -A PREROUTING -d 2a01:cb1d:2d4:8800::1 -p tcp --dport 443 -j DNAT --to-destination [fc11:cb1d:2d4:8800::CAFE]:443
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -m tcp -p tcp --sport 443 -j ACCEPT
ip6tables -A OUTPUT -p tcp --sport 443 -j LOG --log-prefix "OUTPUT-T-HTTPS:"
Ma documentation sur le firewall ICMPv6 :
https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6----
Ci-dessous un "traceroute6" depuis mon "VLAN 1" <-> "VLAN 0" -> qui fait le tout de la planète
ns4:~ $ traceroute6 2607:5300:60:9389:58:0:1:10
traceroute to 2607:5300:60:9389:58:0:1:10 (2607:5300:60:9389:58:0:1:10), 30 hops max, 80 byte packets
# MAISON STD -> SLAN (IPv6 ULA) - VLAN 1 <-> MY GATEWAY
1 fc11:cb1d:2d4:8800:ffff:ffff:ffff:ffff (fc11:cb1d:2d4:8800:ffff:ffff:ffff:ffff) 0.936 ms 0.827 ms 0.770 ms
# MAISON STD -> WAN (IPv6 UNCAST) LIVEBOX ??? JE LE REPETE - QU'EST-CE QUE CETTE IP EN PLEIN MILIEU ????
2 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 (2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839) 11.604 ms 11.562 ms 11.527 ms
# INTERNET
3 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 9.741 ms 10.165 ms 10.598 ms
4 * * *
5 bundle-ether103.martr1.marseille.opentransit.net (2a01:cfc4:0:2000::9) 10.991 ms 11.978 ms *
6 be102.mrs-mrs1-pb1-nc5.fr.eu (2001:41d0::25a8) 28.980 ms 19.239 ms 19.619 ms
7 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5) 26.222 ms 40.555 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3) 33.911 ms
8 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5) 31.463 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3) 50.451 ms 51.264 ms
9 2001:41d0:aaaa:100::4 (2001:41d0:aaaa:100::4) 24.783 ms 2001:41d0:aaaa:100::2 (2001:41d0:aaaa:100::2) 26.874 ms 2001:41d0:aaaa:100::4 (2001:41d0:aaaa:100::4) 26.185 ms
10 * * *
11 * * *
12 * lon-drch-sbb1-nc5.uk.eu (2001:41d0::25ea) 30.550 ms 31.759 ms
13 * * *
14 * * *
15 vl100.bhs-d1-a75.qc.ca (2607:5300::1c3) 109.469 ms 105.547 ms vl100.bhs-d2-a75.qc.ca (2607:5300::1cd) 107.669 ms
16 2001:41d0:0:50::6:84f (2001:41d0:0:50::6:84f) 113.723 ms vl100.bhs-d1-a75.qc.ca (2607:5300::1c3) 107.068 ms 2001:41d0:0:50::6:959 (2001:41d0:0:50::6:959) 109.590 ms
17 2001:41d0:0:50::2:163 (2001:41d0:0:50::2:163) 116.014 ms 2001:41d0:0:50::2:15f (2001:41d0:0:50::2:15f) 113.988 ms 2001:41d0:0:50::6:95d (2001:41d0:0:50::6:95d) 109.908 ms
# CANADA MY DEDICATED SERVER
18 wan.ipv10.net (2607:5300:60:9389::1) 110.342 ms 2001:41d0:0:50::2:15f (2001:41d0:0:50::2:15f) 116.261 ms wan.ipv10.net (2607:5300:60:9389::1) 107.166 ms
# -> SWAN -> MAISON STD
19 swan.std.ipv10.net (2607:5300:60:9389:0:1:0:1) 215.373 ms 217.583 ms 213.399 ms
# -> SWAN -> MAISON STD -> SLAN (UNICAST) - VLAN0
20 w1c.lab3w.com (2607:5300:60:9389:58:0:1:10) 220.042 ms swan.std.ipv10.net (2607:5300:60:9389:0:1:0:1) 217.250 ms 211.923 ms
Je n'ai pas fait mes "routes" pour que VLAN0 aille à VLAN1 sans partir/sortir sur Internet -- C'est juste pour exemple - donc c'est normal le tour de la planète (c'est un autre machine sur mon LAN avec des IPv6 d'un autre FAI/ISP)
Sinon moi j'attends le bloc IPv6::/56 avec la délégation des adresses UNICAST !
----
Tout çà parce que ces adresses sont à eux (les blocs du dessus, ceux qui nous gèrent) ; ils ne veulent pas
nous "donner" qu'on récupère de l'argent.
Parce qu'en ayant des adresses publiques sur le web et des adresses "temporaires" publiques çà leur payent les factures (pourtant, le protocole IPv6 a aussi était créé pour que l'utilisateur LAMBDA (celui à qui appartient, celui qui loue donc les blocs IPv6::/64 ou même IPv6::/56) puisse à son tour gagner de l'argent en consommant de publicité ou en m'étant en place des services chez lui, en son nom d'abonné - un peu comme avant avec "les barres de pub dans les explorateurs" que l'on installait soi-même pour se rémunérer). Ils nous piques tout !!!!!
Même dans les datacenters, j'ai la mauvaise impression qu'aussi (en tant que client "particulier") !!
C'est honteux tous ces avantages... Cela ne devrait pas être comme çà. C'était écrit autrement ! Et oui, oui on sort par une adresse IPv6 à VOUS et oui oui vous continuerez à récupérer de l'argent, sur notre navigation, utilisation d'internet !!! Et NOUS
??
C'est comme si moi j'avais 200 potes ou 2 000 000 (millions) d'abonnés, 68 000 000 (millions) de français !!! combien de tablettes par maison ? haha... çà va bien la vie pour eux, multi-milliardaires en moins de 50 ans !!!
Moi, j'suis dans ma montagne, je ne vais pas pouvoir faire bouger çà, il faut en parler avec vos amis, patrons, responsables, supérieurs etc. On veut du blé, fruit de notre travail !!!
Merci !
Romain
----
Note de Moi-même :
Comment changer activer/des-activer l'IPv6 temporaire ? Linux : https://superuser.com/questions/1373638/change-ipv6-temporary-address-interval-generate-new-ipv6-address
use_tempaddr - INTEGER
Preference for Privacy Extensions (RFC3041).
<= 0 : disable Privacy Extensions
== 1 : enable Privacy Extensions, but prefer public
addresses over temporary addresses.
> 1 : enable Privacy Extensions and prefer temporary
addresses over public addresses.
Default: 0 (for most devices)
-1 (for point-to-point devices and loopback devices)
temp_valid_lft - INTEGER
valid lifetime (in seconds) for temporary addresses.
Default: 604800 (7 days)
temp_prefered_lft - INTEGER
Preferred lifetime (in seconds) for temporary addresses.
Default: 86400 (1 day)
Windows : https://learn.microsoft.com/en-us/answers/questions/382377/how-to-force-a-new-temporary-ipv6-address-in-windo
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
MaxTemporaryValidLifetime : 7.00:00:00
MaxTemporaryPreferredLifetime : 1.00:00:00
Korben -> Préservez votre anonymat sur un réseau en IPv6 - OK
Bonne journée.
----
Je vous ajoute cet alias ->
cat .bash_aliases <- qui me sert bien -- qui permet de voir certaines configurations liées au network et aux cartes réseaux
Dans un Linux çà change les fichiers "par ici" par exemple ->
cat /proc/sys/net/ipv6/conf/all/accept_source_route[...]
alias ipv6_options="sysctl net.ipv6.conf.default.forwarding && sysctl net.ipv6.conf.default.autoconf && sysctl net.ipv6.conf.default.accept_redirects && sysctl net.ipv6.conf.default.accept_ra && sysctl net.ipv6.conf.default.proxy_ndp && sysctl net.ipv6.conf.default.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.all.forwarding && sysctl net.ipv6.conf.all.autoconf && sysctl net.ipv6.conf.all.accept_redirects && sysctl net.ipv6.conf.all.accept_ra && sysctl net.ipv6.conf.all.proxy_ndp && sysctl net.ipv6.conf.all.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.enp3s0.forwarding && sysctl net.ipv6.conf.enp3s0.autoconf && sysctl net.ipv6.conf.enp3s0.accept_redirects && sysctl net.ipv6.conf.enp3s0.accept_ra && sysctl net.ipv6.conf.enp3s0.proxy_ndp && sysctl net.ipv6.conf.enp3s0.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.vmbr0.forwarding && sysctl net.ipv6.conf.vmbr0.autoconf && sysctl net.ipv6.conf.vmbr0.accept_redirects && sysctl net.ipv6.conf.vmbr0.accept_ra && sysctl net.ipv6.conf.vmbr0.proxy_ndp && sysctl net.ipv6.conf.vmbr0.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.vmbr1.forwarding && sysctl net.ipv6.conf.vmbr1.autoconf && sysctl net.ipv6.conf.vmbr1.accept_redirects && sysctl net.ipv6.conf.vmbr1.accept_ra && sysctl net.ipv6.conf.vmbr1.proxy_ndp && sysctl net.ipv6.conf.vmbr1.accept_source_route"
[...]
Qui me ressort çà :
root@uc1:~ # ipv6_options
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.default.autoconf = 1
net.ipv6.conf.default.accept_redirects = 1
net.ipv6.conf.default.accept_ra = 1
net.ipv6.conf.default.proxy_ndp = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_ra = 1
net.ipv6.conf.all.proxy_ndp = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.enp3s0.forwarding = 1
net.ipv6.conf.enp3s0.autoconf = 1
net.ipv6.conf.enp3s0.accept_redirects = 1
net.ipv6.conf.enp3s0.accept_ra = 1
net.ipv6.conf.enp3s0.proxy_ndp = 0
net.ipv6.conf.enp3s0.accept_source_route = 0
net.ipv6.conf.vmbr0.forwarding = 1
net.ipv6.conf.vmbr0.autoconf = 0
net.ipv6.conf.vmbr0.accept_redirects = 1
net.ipv6.conf.vmbr0.accept_ra = 0
net.ipv6.conf.vmbr0.proxy_ndp = 0
net.ipv6.conf.vmbr0.accept_source_route = 0
net.ipv6.conf.vmbr1.forwarding = 1
net.ipv6.conf.vmbr1.autoconf = 0
net.ipv6.conf.vmbr1.accept_redirects = 1
net.ipv6.conf.vmbr1.accept_ra = 0
net.ipv6.conf.vmbr1.proxy_ndp = 1
net.ipv6.conf.vmbr1.accept_source_route = 0
sysctl -w net.ipv6.conf.vmbr1.proxy_ndp=0 pour changer par exemple