Je viens de comprendre qu'Orange SAS ont configurés des adresses EUI-64 pour leurs livebox, c'est de l'auto-configuration sur l'adresse UNICAST GLOBAL Internet ; MOK !
Il aurait (mieux) fallu la mettre sur notre lien-local FE80:: entre eux et nous et déclarer que toutes adresse du bloc IPv6::/56 qui arrive par ce lien est autorisée à entrer et sortir , selon la configuration du pare-feu du routeur
Et hop.. c'est finit, Orange SAS réparé
Super simple !
CF :
MAC de ma LiveBox : C0:D7:AA:C0:F8:39
Bloc IPv6::/56 de ma LiveBox : 2a01:cb1d:02d4:8800::
IPv6 de ma LiveBox :
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr 2a01:cb1d:2d4:8800:: C0:D7:AA:C0:F8:39
2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839
What are EUI-48 and EUI-64?
- EUI-48 et MAC-48 : est la concaténation d'un OUI (Organizationally Unique Identifier) de 24 bits attribué par l'IEEE et d'un identifiant d'extension de 24 bits attribué par l'organisation/fournisseur avec cette attribution OUI (NIC).
- EUI-64 (64-bit Extended Unique Identifier format).
En implémentant l'EUI-64 (format d'identifiant unique étendu 64 bits), un hôte peut automatiquement s'attribuer un identifiant d'interface IPv6 64 bits unique sans avoir besoin de configuration manuelle ou de DHCP. C'est donc une question d'IPv6. Quoi qu'il en soit, si vous êtes intéressé par la façon dont il est calculé, il est appliqué à une adresse MAC comme celle-ci :
L'adresse MAC de 48 bits est divisée en deux, le groupe hexadécimal FFFE est inséré au milieu (après le 24e bit) et le septième bit le plus significatif est inversé.
RFC 4291 : IP Version 6 Addressing Architecture
IPV6 : 2000:
0000:0000:0000:
XXXX:XXFF:FEXX:XXXX == EUI-64
J'ajoute ces informations sur : IPv6
Address MAC -> EUI-64 ("Extended Unique Identifier" pour "identifiant unique étendu")
Méthode EUI64 pour expansion d'adresse.
Others links ->
IPv6 – SLAAC EUI-64 Address Form and
IPv6 Stateless Address Auto-configuration (SLAAC) and
How to Calculate an EUI-64 Address and
How to use shell to derive an IPv6 address from a MAC address?J'ajoute cette page au 20240324 :
RFC 4941 :
Privacy Extensions for Stateless Address Autoconfiguration in IPv6----
Exemple :
# IN MY LIVEBOX -> LE LIEN ENTRE ISP et MOI (EUI-64)
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr fe80:: C0:D7:AA:C0:F8:39
fe80::429c:a7ff:fec0:f839
# IN MY LIVEBOX -> ADDRESS ULA POUR EUX SUR LEUR RESEAU (EUI-64)
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr FDC0:cb1d:2d4:8800:: C0:D7:AA:C0:F8:39
FDC0:cb1d:2d4:8800:429c:a7ff:fec0:f839
# UN PC CHEZ MOI
# Pour mes liens (EUI-64)
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr fe80:: C2:9C:A7:5D:7D:25
fe80::c09c:a7ff:fe5d:7d25
# Pour mon network local (EUI-64)
# Au pire si je n'ai pas activé de DHCP sur la Livebox ou sur mon routeur, autoconfiguration
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr FC01:cb1d:2d4:8800:: C2:9C:A7:5D:7D:25
FC00:cb1d:2d4:8800:c09c:a7ff:fe5d:7d25
# Configuration static
2a01:cb1d:2d4:8800:0000:0000:0000:00001
Par rapport à notre lien-local fe80::/64 (EUI-64) dans la livebox, dès qu'elle est allumée et authentifiée, ils peuvent m'envoyer/recevoir (se dire, si çà arrive de là, de ce lien) toutes les adresses dans bloc IPv6::/56 peuvent entrer et sortir.
LA, ma passerelle est chez eux (ce n'est pas physiquement ma livebox).
Elle est configurée comme çà :
Sur leur carte ethernet avec un link-local "fe80::" connecté à ma livebox "fe80::429c:a7ff:fec0:f839" l'adresse UNICAST GLOBALE de leur carte ethernet a l'IP "2a01:cb1d:2d4:88FF:00FF:00FF:00FF:00FF" pour mon réseau 2a01:cb1d:02d4:8800::/56.
Pas forcement besoin d'une adresse ULA fc00::/8 (EUI-64) pour ma livebox, sauf ou "mise à part" si dans la livebox ils ont ajouter un serveur DHCPv6 ULA.
Nos 2 réseaux ULA fc00::/8 ne peut pas communiquer parce qu'il y'a un "firewall". De toute façon c'est leur réseau et je ne suis pas visible d'internet sur cette IPv6 ULA.
Dès que je configure une adresse Internet (de mon bloc UNICAST GLOBAL IPv6::/56) celle-ci peut entrer et sortir, c'est le but d'une adresse GLOBAL.
Pas besoin d'ajouter de firewall sur le bloc GLOBAL (puisque c'est au poste, à la machine d'assumer son rôle en étant IPv6 UNICAST GLOBAL et d'avoir un firewall actif). Çà sert a çà l'IPv6 UNICAST GLOBAL (avoir une adresse publique visible de l'internet (pour ouvrir des ports et renvoyer des choses, des informations avec cette adresse IP).
Sur des postes "cachés" j'ai une address fc00:: avec passerelle l'adresse link-local IP fe80::
Sur des postes "non cachés" je suis dans mon bloc internet à moi valide 2a01:cb1d:2d4:88XX:: avec passerelle l'adresse link-local IP fe80:: ou UNICAST GLOBAL 2a01:cb1d:02d4:88FF:00FF:00FF:00FF:00FF
Eux, leur passerelle du dessus est celle-ci logiquement : 2a01:cb1d:00FF:00FF:00FF:00FF:00FF:00FF ; elle gère 2a01:cb1d:02d4:: et même peut gérer 2a01:cb1d:01d0:: par exemple.
Infos ULA ; SLAN ; Link-Local (
GestióIP : IPv4/IPv6 subnet calculator) :
Unique-Local Unicast :
- IP address : fdc0::/7
- type : Unique-Local Unicast (Unique Local Address (ULA)) (fc00::/7) [rfc4193][IANA]
- network : fc00::
- Prefix length : 7
- network range : fc00:0000:0000:0000:0000:0000:0000:0000-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- total IP addresses : 2,658,455,991,569,831,745,807,614,120,560,689,152
Site-Local Securisé :
- IP address : fec0::c09c:a7ff:fe5d:7d25/10
- type : Reserved by IETF (Deprecated by [rfc3879] in September 2004). Formerly a Site-Local scoped address prefix (fec0::/10) [rfc3879][IANA])
- network : fec0::
- Prefix length : 10
- network range : fec0:0000:0000:0000:0000:0000:0000:0000-feff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- total IP addresses : 332,306,998,946,228,968,225,951,765,070,086,144
Link-Local Unicast :
- IP address : fe80::c09c:a7ff:fe5d:7d25/10
- type : Link-Local Unicast (Linked-Scoped Unicast) (fe80::/10) [rfc4291][IANA])
- network fe80::
- Prefix length : 10
- network range : fe80:0000:0000:0000:0000:0000:0000:0000-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- total IP addresses : 332,306,998,946,228,968,225,951,765,070,086,144
Et j'ajoute parce que çà aussi c'est super important - L'histoire de "Déléguer de l'IPv6" - çà se gère sur le DNS autoritaire seulement et simplement et c'est fait pour les PTR ; rien d'autre !!!
Le serveur de noms du ISP qui gère tous ses blocs IPv6::/56 autorise "moi" à gèrer moi-même", il ME délègue POUR gérer mes enregistrements PTR (IP -> nom) (grâce à mon serveur DNS en LOCAL pour mes adresses UNICAST GLOBAL IPv6::/56 leur appartenant) pour que je puisse construire mes reverse DNS (simplement -- sans lui passer un coup de téléphone chaque fois que j'ajoute un ordinateur "stable" sur mon réseau).
Pour un nom de domaine qui nous appartenant, cela se gère chez la maison d'enregistrement, où l'on gère des enregistrements A ou AAAA (nom -> IP), on peut déléguer aussi, à un serveur DNS externe, c'est une autre histoire.