Auteur Sujet: Comment faire plusieurs réseaux IPv6::/64 dans le bloc d'Orange IPv6::/56 (Lu 5563 fois)

LAB3W.ORJ · « **le:** 23 janvier 2024 à 18:01:02 »

Bonjour,

Je souhaitais savoir si quelqu'un à réussis à faire fonctionner plusieurs réseaux IPv6::/64 dans le bloc d'Orange IPv6::/56.

J'ai essayé différentes manière mais rien n'y fait.

Premièrement j'ai activé sur un des PC la DMZ (çà rentre en IPv4).
Deuxièmement, j'ai dû activé TOUS les ports de 1 à 65535 en TCP et UDP sur le firewall de la livebox.

J'ai donc, configuré sur ma carte principale (bridge 0) l'adresse IPv6 pour la node globale à mon réseau.

Celle-ci :

2a01:cb1d:02d4:8800:0000:0000:0000:0001/56

J'arrive bien à me connecter en SSH par exemple sur l'adresse IPv6 ci-dessus.

J'ai essayé avec d'autres IPs ; çà fonctionne tant que je reste dans le "2a01:cb1d:2d4:8800::"

Si j'essaie : 2a01:cb1d:2d4:8851::1/64 sur le bridge principal "vmbr0" ou sur la carte d'un sous-réseau "vmbr1" ; je n'arrive pas à accéder à cette adresse.

Que me conseillez-vous !?

Ci-dessous des imprimes écrans :

Ci-dessous je vous ajoute la carte réseau d'un bloc IPv6::/56 -> la calculator IP : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

Qui peut m'expliquer comment vous faites ?

Sur un bloc IPv6::/56 ; j'ai 256 sous-réseaux IPv6::/64 !!

Salutations,
Romain.

Citer

Note de Moi-même 20240129 :

J'ai créé un sujet sur Debian-Fr.org par infos -> Comment faire plusieurs réseaux IPv6::/64 dans le bloc d’Orange IPv6::/56

trekker92 · « **Réponse #1 le:** 23 janvier 2024 à 18:08:48 »

Citation de: LAB3W.ORJ le 23 janvier 2024 à 18:01:02

Bonjour,

Je souhaitais savoir si quelqu'un à réussis à faire fonctionner plusieurs réseaux IPv6::/64 dans le bloc d'Orange IPv6::/56.
[..]
Qui peut m'expliquer comment vous faites ?

Salutations,
Romain.

bonjour
soit :
a) demander à un ingénieur expert livebox ayant travaillé chez orange sur la conception de ce modèle
b) utiliser autre chose qu'une livebox pour ce faire

pour rappel, la livebox est la réincarnation du "tout-simplifié/maché/vulgarisé", appareil conçu spécialement pour les personnes qui veulent surtout pas mettre la main dans le cambouis, regarder sous le capot. C'est spectaculaire qu'elle intègre un logiciel de gestion des horaires de connexion, qui est "la cerise sur le gateau" de ce logiciel, de mon point de vue : c'est sa fonctionnalité la plus avancée, alors que sur des routeurs type tplink&co, c'est la fonctionnalité la plus..... basique.
(ndla: même le dhcp n'est pas personnalisable)

je laisse l'avis des autres apporter quelque chose de différent, mais pour moi, ca revient à ce combat :
https://une-tasse-de.cafe/blog/livebox-nat/
ce geek qui n'a pas compris que la livebox est surtout pas conçue pour les geeks/nerds/ingés, mais pour la michu de base qui veut du kimarche.
quelqu'un qui veut faire du sys/net admin devra s'éloigner de ce modèle.

LAB3W.ORJ · « **Réponse #2 le:** 23 janvier 2024 à 18:16:12 »

Citation de: trekker92 le 23 janvier 2024 à 18:08:48

pour rappel, la livebox est la réincarnation du "tout-simplifié/maché/vulgarisé", appareil conçu spécialement pour les personnes qui veulent surtout pas mettre la main dans le cambouis, regarder sous le capot. C'est spectaculaire qu'elle intègre un logiciel de gestion des horaires de connexion, qui est "la cerise sur le gateau" de ce logiciel, de mon point de vue : c'est sa fonctionnalité la plus avancée, alors que sur des routeurs type tplink&co, c'est la fonctionnalité la plus..... basique.
(ndla: même le dhcp n'est pas personnalisable)

C'est très simple pourtant, vous me sous entendez qu'il faudrait que j’achète un routeur Fibre optique, compatible Orange ?

Citation de: trekker92 le 23 janvier 2024 à 18:08:48

ce geek qui n'a pas compris que la livebox est surtout pas conçue pour les geeks/nerds/ingés, mais pour la michu de base qui veut du kimarche.

Rien de g33k là dedans... utilisez les réseaux qu'ils nous proposent. "un" pour le réseau local "fc00::/8" (adresse ULA), "un" autres pour les adresses UNICAST GLOBAL (Publique, visible, accessible par Internet) sur mon bloc Internet 2a01:cb1d:02d4:8800::/56.

Merci pour la réponse @trekker92

zoc · « **Réponse #3 le:** 23 janvier 2024 à 21:11:13 »

En fait il est possible d'utiliser 2 /64: Celui annoncé directement sur le LAN (c'est du SLAAC, et c'est une mauvaise idée de configurer une IPv6 statique, vu que le /56 est stable et non fixe, et peut donc changer du jour au lendemain), et un second en configurant un client DHCP6-PD. Impossible de faire mieux pour l'instant avec la Livebox car il y a un bug de routage dés qu'on demande un /64 supplémentaire...

Et du coup effectivement la seule façon de faire pour exploiter tout le /56 est de virer la box et la remplacer par autre chose. Mais attention c'est d'un tout autre niveau vu les exigences d'Orange en terme d'authentification. Voir le(s) sujet(s) dédié(s) dans la section du forum "remplacer la livebox par un routeur".

Quant-à l'utilisation de préfixes ULA, la Livebox ne sera d'aucune aide et il ne faut pas espérer que ça change.

LAB3W.ORJ · « **Réponse #4 le:** 24 janvier 2024 à 12:26:38 »

Bonjour,

Citation de: zoc le 23 janvier 2024 à 21:11:13

En fait il est possible d'utiliser 2 /64:

Je n'ai pas trouvé comment-faire.

Je m'appercois qu'en configurant une adresse IP UNICAST GLOBALE V6, la route est toujours en :/64 que le service de la Livebox m'envoie.

Par exemple, sur la machine configurée en DMZ (Dé-Militarisée Zone, sans surveillance) -- alors donc -- DMZ que sur l'IPv4 Publique, j'ai dû rediriger tous les ports sur le "firewall IPv6" (par contre c'est débile) pour que je puisse accéder aux services (en IPv6) hébergés sur ma machine.

De plus cette machine me sert de "routeur" pour rediriger vers d'autres machines des réseaux internes pour d'autres services, des VLANs.

J'ai essayé d'installer un RadvD et un DHCPd pour qu'ils configurent mes adresses IPv6 comme je souhaite et ajoutent les passerelles.
J'ai essayé de configurer manuellement les adresses et passerelles, mais rien n'y fait.

J'arrive bien à sortir "je vois les adresses IP UNICAST GLOBAL v6" qui "request" et "reply" (en faisant un ping6) sur des TCPdump de machines sur Internet, mais rien ne "reply" sur mes machines internes. Je le répète (et cela toujours sur le réseau 2a01:cb1d:2d4:8800:: -- sur aucun autre.

Exemple de la machine DMZ :

Code: [Sélectionner]

root@bw:~ # ifconfig
[...]
vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.254  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fc3d::2:1  prefixlen 16  scopeid 0x0<global>
        inet6 fec3::1  prefixlen 128  scopeid 0x40<site>
        inet6 2a01:cb1d:2d4:8800::1  prefixlen 56  scopeid 0x0<global>
        inet6 fe80::e825:b5ff:feab:55cc  prefixlen 64  scopeid 0x20<link>
        ether ea:25:b5:ab:55:cc  txqueuelen 1000  (Ethernet)
        RX packets 1149888  bytes 228249673 (217.6 MiB)
        RX errors 0  dropped 52376  overruns 0  frame 0
        TX packets 7941508  bytes 1439528957 (1.3 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.116.42.254  netmask 255.255.255.0  broadcast 10.116.42.255
        inet6 fe80::88f5:2cff:fe38:e29a  prefixlen 64  scopeid 0x20<link>
        inet6 2a01:cb1d:2d4:8800::1ac0:ffff  prefixlen 112  scopeid 0x0<global>
        ether 8a:f5:2c:38:e2:9a  txqueuelen 1000  (Ethernet)
        RX packets 6478124  bytes 675098723 (643.8 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 7094  bytes 9520328 (9.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/56
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8800::1ac0:ffff/112 -> qui pourrait/devrait desservir un sous-réseau de "65,536" machines.

Les routes :

Code: [Sélectionner]

root@bw:~ # ip -6 route show
2a01:cb1d:2d4:8800::1ac0:0/112 dev vmbr1 proto kernel metric 256 pref medium
2a01:cb1d:2d4:8800::/64 dev vmbr0 proto kernel metric 256 expires 17194sec pref medium (ici il m'ajoute cette route)
2a01:cb1d:2d4:8800::/56 dev vmbr0 proto kernel metric 256 expires 17063sec pref medium
fc3d::/16 dev vmbr0 proto kernel metric 256 pref medium
fe80::/64 dev vmbr0 proto kernel metric 256 pref medium
fe80::/64 dev vmbr1 proto kernel metric 256 pref medium
fec3::1 dev vmbr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 dev vmbr0 metric 1024 pref medium

Code: [Sélectionner]

root@bw:~ # ping6 -n vps.ipv10.net -c 2
PING vps.ipv10.net(2001:41d0:701:1100::6530) 56 data bytes
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=1 ttl=46 time=28.5 ms
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=2 ttl=46 time=26.2 ms

--- vps.ipv10.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 26.233/27.374/28.515/1.141 ms

Les retours des paquets ICMPv6 ping (128 Echo Request & 129 Echo Reply) : CF, la doc : https://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml

Sur la machine qui reçois le PING :

Code: [Sélectionner]

# capturer les trafic IPv6
root@vps:~ # tcpdump -s0 -t -n ip6 or proto ipv6 and port ! 22 -i vmbr0

# capturer les trafic ICMPv6
root@vps:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

12:10:33.420274 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 1, length 64
12:10:33.420414 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 1, length 64
12:10:34.421836 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 2, length 64
12:10:34.421931 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 2, length 64

Sur la machine qui envoie le PING :

Code: [Sélectionner]

root@bw:~ #  tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

12:10:33.407356 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 1, length 64
12:10:33.435825 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 1, length 64
12:10:34.408919 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 2, length 64
12:10:34.435113 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 2, length 64

Une autre machine sur le VLAN, celle qui n'est pas connecté sur la Livebox :

Code: [Sélectionner]

root@ns4:/ # ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.116.42.1  netmask 255.255.255.0  broadcast 0.0.0.255
        inet6 2a01:cb1d:2d4:8800::1ac0:1  prefixlen 112  scopeid 0x0<global>
        inet6 fe80::216:3eff:fe44:5610  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:44:56:10  txqueuelen 1000  (Ethernet)
        RX packets 220776  bytes 20633664 (19.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6478162  bytes 765802927 (730.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 19  bytes 1749 (1.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 19  bytes 1749 (1.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Code: [Sélectionner]

root@ns4:/ # ip -6 route show
2a01:cb1d:2d4:8800::1ac0:0/112 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800::1ac0:ffff dev eth0 metric 1024 pref medium

Code: [Sélectionner]

root@ns4:/ # ping6 -n vps.ipv10.net -c 2
PING vps.ipv10.net(2001:41d0:701:1100::6530) 56 data bytes

--- vps.ipv10.net ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1013ms

Sur la machine qui reçois le PING :

Code: [Sélectionner]

root@vps:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

12:15:47.987695 IP6 2a01:cb1d:2d4:8800::1ac0:1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 52583, seq 1, length 64
12:15:47.987866 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1ac0:1: ICMP6, echo reply, id 52583, seq 1, length 64
12:15:49.001605 IP6 2a01:cb1d:2d4:8800::1ac0:1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 52583, seq 2, length 64
12:15:49.001722 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1ac0:1: ICMP6, echo reply, id 52583, seq 2, length 64

Pourtant, j'ai activé le "forwarding" entres les cartes réseaux sur ma machine qui fait office de "routeur" (et cette machine accède à Internet).

Pourquoi pas l'autre, la NS4 ?

LAB3W.ORJ · « **Réponse #5 le:** 24 janvier 2024 à 13:21:14 »

Re, bonjour,

En passant un exemple typique de la configuration "obligatoire" pour le FAI/ISP qui distribue des bloc IPv6::/56 :

On voit bien les "passerelles" "ffff" et les levels (là où peuvent se trouver "firewall", "routage" du FAI/ISP)

http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

J'ai le bloc client : 2a01:cb1d:2d4:8800::/56 -- déjà il faudrait inversé (je pense) -- je devrais avoir l'addresse "2a01:cb1d:2d4:ff00::/56" et non pas d4:8800 -> Cf doc : https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml

Je suis partis donc du réseau du FAI/ISP (sûrement plus haut, je prend le masque 42 exprès pour que ce soit plus simple à comprendre) :

* network   2a01:cb1d:2c0::
* Prefix length   42
* network range   2a01:cb1d:02c0:0000:0000:0000:0000:0000-2a01:cb1d:02ff:ffff:ffff:ffff:ffff:ffff

Donc, çà fait tous les clients à partir de "2a01:cb1d:2c0" donc, 16,384 networks /56 (16,384 clients en IPv6::/56), moi je suis dans ce bloc, j'ai le bloc 2a01:cb1d:2d4:8800:: ou plutôt 2a01:cb1d:2d4:8800:: celui-ci.

Donc le FAI/ISP si celui-ci à configurer sur son réseau l'adresse de la passerelle pour TOUTES nos boxes (livebox), nous les 16,384 clients Orange, exactement celle-ci 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:ffff ou celle-là 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:fffe ou 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:fffd -- sur cette machine, elle connaitra la disponibilité de toutes les "livebox" puis de tous nos sous-réseaux (au maximum elle pourrait voir 77,371,252,455,336,267,181,195,264 machines IPv6::/128) si on ne ferme rien sur nos réseaux IPv6::/56.

Parce que : les "FFFF" sont à EUX au FAI/ISP -> c'est eux qui créent les liens locaux fe80:: -- ils permettent de "scanner/identifier" se qu'il y a sur le réseau local.

Par exemple : 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:ffff c'est à eux, 2a01:cb1d:2d4:88ff:ffff:ffff:ffff:ffff c'est à moi (sauf que eux sont plus grand, plus haut, avec l'IP 2a01:cb1d:02ff:ffff, ils savent que 22a01:cb1d:2d4:88ff est allumée - moi ou une de mes IPs plus basse par exemple 2a01:cb1d:2d4:8851:0000:1111:2222:3333 qui est dans le multicats "51::/64" - ils le savent par ce que "2d4:88ff" va leur dire - (mon "plus grand" réseau ::/56 (mon seul réseau) -> de 2a01:cb1d:02d4:8800:XXXX:XXXX:XXXX:XXXX à 2a01:cb1d:02d4:88ff:XXXX:XXXX:XXXX:XXXX

Pour ajouter il y a un lien local entre : 2a01:cb1d:02ff:: et moi 2a01:cb1d:02d4:88:: - celui-ci -> (pour l'exemple et la compréhension je vous l'écris sur l'adresse Unicast) 2a01:cb1d:02FE:80::
F == local
E == Encrypté
8 == Association (entre 2 choses)
0 == tout ce qui suit

J'ai un réseau (VLAN) multicast "2a01:cb1d:2d4:8851::/64" (moi un client) -> 18,446,744,073,709,551,616 IPv6::/128 multiplié par 256 réseaux IPv6::/64.
J'ai un réseau (VLAN) multicast "2a01:cb1d:2d4:8852::/64" (moi un client) -> 18,446,744,073,709,551,616 IPv6::/128 etc..

En subnet-level I (celui du ISP) 16,384 networks /56 -> (2a01:cb1d:2c0:00ff::/56 - 2a01:cb1d:2ff:ff00::/56)

Dans chacune des adresses réseau IPv6::/56 ci-dessous par exemple si nous prenons MON adresse/réseau client Orange 2a01:cb1d:2d4:8800 MA livebox devrait avoir l'addresse LIEN LOCAL "fe80::" (pour le réseau interne, sécurisé - avec permission de sortir, mais pas d'entrée) pour la "connectivité", l'identification avec le "DSLAM/Répartiteur Orange" et ma livebox (le cable optique dans la RUE) qui sont liés sur 2 "matièriels" "propriétaire" du réseau du FAI/ISP Orange, par exemple le répartiteur aurait cette address 2a01:cb1d:2d4:FFFF:FFFF:FFFF:FFFF ou plus grande 2a01:cb1d:2FF:FFFF:FFFF:FFFF:FFFF

Puis, moi dans mon petit réseau IPv6::/56

si je souhaite gèrer mon réseau je crérais un addresse de type 2a01:cb1d:2d4:88FF:FFFF:FFFF:FFFF et enverais mes annonces RA (Routeur Associations), sur mon NDP (Network Dicovery Protocol).. Je peut ou non le lier au FAI/ISP (selon la configuration de mon Firewall).

En subnet-level II (le notre) 256 networks /64 -> (2a01:cb1d:2c0:0000::/64 - 2a01:cb1d:2ff:ffff::/64)

En subnet-level III (un bloc IPv6::/64 à nous) où l'on peut associer d'autres blocs multicast IPv6::/104 avec des sous réseaux ; 256 networks /112 par bloc 104, 256 networks / 120 par bloc 112 (avec 256 addresses chacun) à sa convenance etc. etc.

Bonne journée, bonne continuation.

Romain - (LAB3W Olivier Romain Jaillet-ramey) - Créateur ZW3B avec des documentations informatique, vidéos, liens web ..

LAB3W.ORJ · « **Réponse #6 le:** 24 janvier 2024 à 14:30:23 »

Sur-ce la passerelle (livebox) est placée sur le bloc IPv6::/64 -- "00" -- de mon adresse 2a01:cb1d:2d4:8800:: sois-disant ::/56 je trouve cela bizarre, c'est normal qu'il n'arrive pas à attraper les autres sous-réseaux etc...

Ma passerelle, la livebox ¿¿ 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 ?? $:-\$ On dirait une machine "normale" sur mon réseau "8800::/64" -- ce qui est le cas !

Code: [Sélectionner]

root@bw:/ # scan6 -i vmbr0 -L -e
[...]
fe80::c2d7:aaff:fec0:f839 @ c0:d7:aa:c0:f8:39
2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 @ c0:d7:aa:c0:f8:39
[...]

On voit la même MAC adresse.

Code: [Sélectionner]

root@bw:/ # ip -6 neighbor show
[...]
2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 dev vmbr0 lladdr c0:d7:aa:c0:f8:39 router REACHABLE
fe80::c2d7:aaff:fec0:f839 dev vmbr0 lladdr c0:d7:aa:c0:f8:39 router DELAY
[...]

Le routeur devrait être en "router STALE" et sur une autre adresse IPv6 ? N'est-ce pas ? comme je l'expliquais en Réponse #5.

Salutations,
Romain

zoc · « **Réponse #7 le:** 24 janvier 2024 à 16:09:05 »

J'ai pas tout lu (désolé trop long), vu la simplicité du problème et sa solution.

La Livebox annonce un seul préfixe (xxxx:xxxx:xxxx:xx00::/64) ainsi que la route par défaut (c'est du SLAAC et donc dans le paquet Router Advertisement envoyé par la box). C'est le seul /64 routable par défaut. La taille du préfixe annoncé n'est pas configurable, on se retrouve donc avec en pratique 2^8 réseaux différents de 2^64 adresses.

Pour utiliser les autres préfixes (tous les autres en théorie, 1 seul en pratique à cause d'un bug), il faut un client DHCP-PD obligatoirement. Pourquoi ?

Parce que la box par défaut ne sait pas où router les autres /64... L'utilisation de la délégation permet en effet 2 choses:

Attribuer un préfixe au client qui le demande
Configurer la table de routage de la box pour que les paquets à destination de ce préfixe soient envoyés à la machine qui a fait la demande de préfixe

zoc · « **Réponse #8 le:** 24 janvier 2024 à 16:10:47 »

Citation de: LAB3W.ORJ le 24 janvier 2024 à 13:21:14

On voit bien les "passerelles" "ffff" et les levels (là où peuvent se trouver "firewall", "routage" du FAI/ISP)

Ce ne sont pas des passerelles. En IPv6 aucune adresse n'a de fonction spéciale (contrairement à IPv4).

Je pense qu'il y a une grande incompréhension du fonctionnement d'IPv6 et de la délégation de préfixe....

zoc · « **Réponse #9 le:** 24 janvier 2024 à 16:21:58 »

Citation de: LAB3W.ORJ le 24 janvier 2024 à 12:26:38

vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/56
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8800::1ac0:ffff/112 -> qui pourrait/devrait desservir un sous-réseau de "65,536" machines.

Mais ça ça ne peut pas marcher puisque l'adresse associée à vmbr1 est aussi dans le même réseau IPv6 que l'interface vmbr0. La bonne façon de faire, c'est:

vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/64
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8801::1/64

Mais encore une fois, ça ne fonctionnera pas comme ça en statique, la livebox ne sachant pas qu'elle doit router 2a01:cb1d:2d4:8801::/64 vers 2a01:cb1d:2d4:8800::1. D'où l'obligation d'utiliser un client DHCP6-PD.

LAB3W.ORJ · « **Réponse #10 le:** 24 janvier 2024 à 16:31:30 »

Merci @zoc pour ces explications. je tiens à relever sur un truc -- le plus important du monde !

Citation de: zoc le 24 janvier 2024 à 16:09:05

J'ai pas tout lu (désolé trop long), vu la simplicité du problème et sa solution.

La Livebox annonce un seul préfixe (xxxx:xxxx:xxxx:xx00::/64) ainsi que la route par défaut (c'est du SLAAC et donc dans le paquet Router Advertisement envoyé par la box). C'est le seul /64 routable par défaut. La taille du préfixe annoncé n'est pas configurable, on se retrouve donc avec en pratique 2^8 réseaux différents de 2^64 adresses.

Pour utiliser les autres préfixes (tous les autres en théorie, 1 seul en pratique à cause d'un bug), il faut un client DHCP-PD obligatoirement. Pourquoi ?

Parce que la box par défaut ne sait pas où router les autres /64... L'utilisation de la délégation permet en effet 2 choses:
Attribuer un préfixe au client qui le demande
Configurer la table de routage de la box pour que les paquets à destination de ce préfixe soient envoyés à la machine qui a fait la demande de préfixe

SUPER MERCI POUR CES EXPLICATIONS !

Citation de: zoc le 24 janvier 2024 à 16:10:47

Ce ne sont pas des passerelles. En IPv6 aucune adresse n'a de fonction spéciale (contrairement à IPv4).

~~Vous vous trompez~~ - CF les RFC -> https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml
C'est plutôt moi (Romain) qui me suis trompé, désolé çà (m')arrive. Enfin, je crois ^^

Par exemple sur "n'importe quel bloc" l'addresse si tu doit installer un serveur NTP (Network Time Protocol) -- il faut ajouter l'addressse "101" pour que les scanneurs "mondial" puisse attraper l'UNICAST GLOBAL de ton service de serveurs de temps !

la machine :
1ere IP : 2a01:cb1d:2d4:8800:c2d7:0000:0000:0001 (l'address principale de la machine)
2eme IP : 2a01:cb1d:2d4:8851:c2d7:0000:0000:0101/64 (l'adresse du service NTP disponible pour le réseau 2a01:cb1d:2d4:8851::/64)
3eme IP : 2a01:cb1d:2d4:88ff:c2d7:aaff:fec0:f101//112 (l'address du service NTP disponible pour le réseau 2a01:cb1d:2d4:8800:c2d7:0000:0000::/112)

par exemple sur une machine avec l'adresse locale ULA (Unique Local Address, sur ton LAN équivalent au 10.0.0.0/8) fc01:0000:0000:00fe:eed7:aaff:fec0:00c1

Sur une est même carte réseau -> on config l'address de la NODE ffc"1" <- et le services NTP "0101".

Et, donc les "FFFF" par bloc de 4bits selon les réseau (pour faire simple) "FFFF" est égal à RESEAU LOCAL sur lequel, donc je peut configurer "0001" qui représente.... TOUT.TOUT.TOUT.1

Je vois assure

Salutations,
Romain

LAB3W.ORJ · « **Réponse #11 le:** 24 janvier 2024 à 16:37:45 »

Citation de: zoc le 24 janvier 2024 à 16:21:58

Mais ça ça ne peut pas marcher puisque l'adresse associée à vmbr1 est aussi dans le même réseau IPv6 que l'interface vmbr0.

Non, il est dans le sous réseau 112 qui est dans mon multicast bloc /64 (DONC LE SEUL avec la LiveBox), dans mon bloc client /56 et donc dans le bloc du FAI /42 /32 ...

Citation de: zoc le 24 janvier 2024 à 16:21:58

La bonne façon de faire, c'est:

vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/64
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8801::1/64

ici, la bonne facon serait :

vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/56
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8801::1/64 Le réseau 01:0000:0000:0000:0000/64

Qui serait "lié" grâce au link-local "fe80" comme çà, il est accroché à la livebox et au répartiteur, respectivement :
2a01:cb1d:2d4:8800:0000:0000:0000:0000/56 (MOI)
2a01:cb1d:2d4:fe80:1000:0000:0000:0000/56 (comment la livebox pourait me voir - en fait c un lien-local fe80:

2a01:cb1d:2df:e801:0000:0000:0000:0000/42 (répartiteur) si le lien est encodé (à la place de f:e80:01 yils doivent avoir un f:dc4 par exemple su je suis le client 4.

Mon IP appartient au réseau Orange 2a01:c000::/19

Pour expliquer un autre concept d'IPv6 -- on peut donc configurer plusieurs "route" selon l'adresse IPv6 du "sur" réseau :

Et si j'étais le roi d'Orange je pourrais avoir un lien local entre 2a01:c000::/19 et accéder à ma dernière machine sur une IPv6 :
2a01:cd1e:eeee:eeee:eeee:eeee:eeee:eee1/128 (exemple d'adresse accessible sur MY réseau Orange - je sais qu'il est sécurisé, si j'ai bien fais mon travail) ou l'adresse pour le public 2a01:cd10::1/128 (plus simple, mais moins rapide).

Whois 2a01:cb1d:2d4:8800::/56

http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

- IP address   : 2a01:c000::/19
- network   2a01:c000::
- Prefix length   19
- network range   2a01:c000:0000:0000:0000:0000:0000:0000-2a01:dfff:ffff:ffff:ffff:ffff:ffff:ffff

En fait les liens locaux fe80::0000:0000:0000:0000 (remarqué le double ":")

Il n'y a pas 8 blocs de 4 bits (sur une adresse IPv6 normale ULA et UNICAST GLOBAL) mais seulement 4 blocs après le fe80 pour les LIENS.

* fe80 (la passerelle, le réseau du dessus, 2a01:cb1d:2d4::
* 0000:0000:0000:0000 (NOUS, nos adresses IPv6::/64)

Citation de: zoc le 24 janvier 2024 à 16:21:58

Mais encore une fois, ça ne fonctionnera pas comme ça en statique, la livebox ne sachant pas qu'elle doit router 2a01:cb1d:2d4:8801::/64 vers 2a01:cb1d:2d4:8800::1. D'où l'obligation d'utiliser un client DHCP6-PD.

Oui çà j'ai compris, c'est histoire de discuter avec vous.

J'ai eu un réseau IPv6::/56 chez Online.net en louant un serveur dédié -> j'avais écris une documentation -> https://howto.zw3b.fr/linux/reseaux/comment-faire-un-reseau-ipv6-address-category -- essayez c'est fort.

Salutations,
Romain.

Au plaisir de vous re-parler avec vous et dire pas que n'importe quoi

@+