La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: LAB3W.ORJ le 23 janvier 2024 à 18:01:02
-
Bonjour,
Je souhaitais savoir si quelqu'un à réussis à faire fonctionner plusieurs réseaux IPv6::/64 dans le bloc d'Orange IPv6::/56.
J'ai essayé différentes manière mais rien n'y fait.
Premièrement j'ai activé sur un des PC la DMZ (çà rentre en IPv4).
Deuxièmement, j'ai dû activé TOUS les ports de 1 à 65535 en TCP et UDP sur le firewall de la livebox.
J'ai donc, configuré sur ma carte principale (bridge 0) l'adresse IPv6 pour la node globale à mon réseau.
Celle-ci :
2a01:cb1d:02d4:8800:0000:0000:0000:0001/56
J'arrive bien à me connecter en SSH par exemple sur l'adresse IPv6 ci-dessus.
J'ai essayé avec d'autres IPs ; çà fonctionne tant que je reste dans le "2a01:cb1d:2d4:8800::"
Si j'essaie : 2a01:cb1d:2d4:8851::1/64 sur le bridge principal "vmbr0" ou sur la carte d'un sous-réseau "vmbr1" ; je n'arrive pas à accéder à cette adresse.
Que me conseillez-vous !?
Ci-dessous des imprimes écrans :
(https://lafibre.info/images/ipv6/202401_orange_livebox5_interface_box_ipv6_1.webp)
(https://lafibre.info/images/ipv6/202401_orange_livebox5_interface_box_ipv6_2.webp)
(https://lafibre.info/images/ipv6/202401_orange_livebox5_interface_box_ipv6_3.webp)
Ci-dessous je vous ajoute la carte réseau d'un bloc IPv6::/56 -> la calculator IP : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
(https://lafibre.info/images/ipv6/202401_orange_livebox5_interface_box_ipv6_4.webp)
Qui peut m'expliquer comment vous faites ?
Sur un bloc IPv6::/56 ; j'ai 256 sous-réseaux IPv6::/64 !!
Salutations,
Romain.
Note de Moi-même 20240129 :
J'ai créé un sujet sur Debian-Fr.org par infos -> Comment faire plusieurs réseaux IPv6::/64 dans le bloc d’Orange IPv6::/56 (https://www.debian-fr.org/t/comment-faire-plusieurs-reseaux-ipv6-64-dans-le-bloc-dorange-ipv6-56/89475)
-
Bonjour,
Je souhaitais savoir si quelqu'un à réussis à faire fonctionner plusieurs réseaux IPv6::/64 dans le bloc d'Orange IPv6::/56.
[..]
Qui peut m'expliquer comment vous faites ?
Salutations,
Romain.
bonjour
soit :
a) demander à un ingénieur expert livebox ayant travaillé chez orange sur la conception de ce modèle
b) utiliser autre chose qu'une livebox pour ce faire
pour rappel, la livebox est la réincarnation du "tout-simplifié/maché/vulgarisé", appareil conçu spécialement pour les personnes qui veulent surtout pas mettre la main dans le cambouis, regarder sous le capot. C'est spectaculaire qu'elle intègre un logiciel de gestion des horaires de connexion, qui est "la cerise sur le gateau" de ce logiciel, de mon point de vue : c'est sa fonctionnalité la plus avancée, alors que sur des routeurs type tplink&co, c'est la fonctionnalité la plus..... basique.
(ndla: même le dhcp n'est pas personnalisable)
je laisse l'avis des autres apporter quelque chose de différent, mais pour moi, ca revient à ce combat :
https://une-tasse-de.cafe/blog/livebox-nat/
ce geek qui n'a pas compris que la livebox est surtout pas conçue pour les geeks/nerds/ingés, mais pour la michu de base qui veut du kimarche.
quelqu'un qui veut faire du sys/net admin devra s'éloigner de ce modèle.
-
pour rappel, la livebox est la réincarnation du "tout-simplifié/maché/vulgarisé", appareil conçu spécialement pour les personnes qui veulent surtout pas mettre la main dans le cambouis, regarder sous le capot. C'est spectaculaire qu'elle intègre un logiciel de gestion des horaires de connexion, qui est "la cerise sur le gateau" de ce logiciel, de mon point de vue : c'est sa fonctionnalité la plus avancée, alors que sur des routeurs type tplink&co, c'est la fonctionnalité la plus..... basique.
(ndla: même le dhcp n'est pas personnalisable)
C'est très simple pourtant, vous me sous entendez qu'il faudrait que j’achète un routeur Fibre optique, compatible Orange ?
ce geek qui n'a pas compris que la livebox est surtout pas conçue pour les geeks/nerds/ingés, mais pour la michu de base qui veut du kimarche.
Rien de g33k là dedans... utilisez les réseaux qu'ils nous proposent. "un" pour le réseau local "fc00::/8" (adresse ULA), "un" autres pour les adresses UNICAST GLOBAL (Publique, visible, accessible par Internet) sur mon bloc Internet 2a01:cb1d:02d4:8800::/56.
Merci pour la réponse @trekker92
-
En fait il est possible d'utiliser 2 /64: Celui annoncé directement sur le LAN (c'est du SLAAC, et c'est une mauvaise idée de configurer une IPv6 statique, vu que le /56 est stable et non fixe, et peut donc changer du jour au lendemain), et un second en configurant un client DHCP6-PD. Impossible de faire mieux pour l'instant avec la Livebox car il y a un bug de routage dés qu'on demande un /64 supplémentaire...
Et du coup effectivement la seule façon de faire pour exploiter tout le /56 est de virer la box et la remplacer par autre chose. Mais attention c'est d'un tout autre niveau vu les exigences d'Orange en terme d'authentification. Voir le(s) sujet(s) dédié(s) dans la section du forum "remplacer la livebox par un routeur".
Quant-à l'utilisation de préfixes ULA, la Livebox ne sera d'aucune aide et il ne faut pas espérer que ça change.
-
Bonjour,
En fait il est possible d'utiliser 2 /64:
Je n'ai pas trouvé comment-faire.
Je m'appercois qu'en configurant une adresse IP UNICAST GLOBALE V6, la route est toujours en :/64 que le service de la Livebox m'envoie.
Par exemple, sur la machine configurée en DMZ (Dé-Militarisée Zone, sans surveillance) -- alors donc -- DMZ que sur l'IPv4 Publique, j'ai dû rediriger tous les ports sur le "firewall IPv6" (par contre c'est débile) pour que je puisse accéder aux services (en IPv6) hébergés sur ma machine.
De plus cette machine me sert de "routeur" pour rediriger vers d'autres machines des réseaux internes pour d'autres services, des VLANs.
J'ai essayé d'installer un RadvD et un DHCPd pour qu'ils configurent mes adresses IPv6 comme je souhaite et ajoutent les passerelles.
J'ai essayé de configurer manuellement les adresses et passerelles, mais rien n'y fait.
J'arrive bien à sortir "je vois les adresses IP UNICAST GLOBAL v6" qui "request" et "reply" (en faisant un ping6) sur des TCPdump de machines sur Internet, mais rien ne "reply" sur mes machines internes. Je le répète (et cela toujours sur le réseau 2a01:cb1d:2d4:8800:: -- sur aucun autre.
Exemple de la machine DMZ :
root@bw:~ # ifconfig
[...]
vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.254 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fc3d::2:1 prefixlen 16 scopeid 0x0<global>
inet6 fec3::1 prefixlen 128 scopeid 0x40<site>
inet6 2a01:cb1d:2d4:8800::1 prefixlen 56 scopeid 0x0<global>
inet6 fe80::e825:b5ff:feab:55cc prefixlen 64 scopeid 0x20<link>
ether ea:25:b5:ab:55:cc txqueuelen 1000 (Ethernet)
RX packets 1149888 bytes 228249673 (217.6 MiB)
RX errors 0 dropped 52376 overruns 0 frame 0
TX packets 7941508 bytes 1439528957 (1.3 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.116.42.254 netmask 255.255.255.0 broadcast 10.116.42.255
inet6 fe80::88f5:2cff:fe38:e29a prefixlen 64 scopeid 0x20<link>
inet6 2a01:cb1d:2d4:8800::1ac0:ffff prefixlen 112 scopeid 0x0<global>
ether 8a:f5:2c:38:e2:9a txqueuelen 1000 (Ethernet)
RX packets 6478124 bytes 675098723 (643.8 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 7094 bytes 9520328 (9.0 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/56
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8800::1ac0:ffff/112 -> qui pourrait/devrait desservir un sous-réseau de "65,536" machines.
Les routes :
root@bw:~ # ip -6 route show
2a01:cb1d:2d4:8800::1ac0:0/112 dev vmbr1 proto kernel metric 256 pref medium
2a01:cb1d:2d4:8800::/64 dev vmbr0 proto kernel metric 256 expires 17194sec pref medium (ici il m'ajoute cette route)
2a01:cb1d:2d4:8800::/56 dev vmbr0 proto kernel metric 256 expires 17063sec pref medium
fc3d::/16 dev vmbr0 proto kernel metric 256 pref medium
fe80::/64 dev vmbr0 proto kernel metric 256 pref medium
fe80::/64 dev vmbr1 proto kernel metric 256 pref medium
fec3::1 dev vmbr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 dev vmbr0 metric 1024 pref medium
root@bw:~ # ping6 -n vps.ipv10.net -c 2
PING vps.ipv10.net(2001:41d0:701:1100::6530) 56 data bytes
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=1 ttl=46 time=28.5 ms
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=2 ttl=46 time=26.2 ms
--- vps.ipv10.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 26.233/27.374/28.515/1.141 ms
Les retours des paquets ICMPv6 ping (128 Echo Request & 129 Echo Reply) : CF, la doc : https://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml
Sur la machine qui reçois le PING :
# capturer les trafic IPv6
root@vps:~ # tcpdump -s0 -t -n ip6 or proto ipv6 and port ! 22 -i vmbr0
# capturer les trafic ICMPv6
root@vps:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
12:10:33.420274 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 1, length 64
12:10:33.420414 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 1, length 64
12:10:34.421836 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 2, length 64
12:10:34.421931 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 2, length 64
Sur la machine qui envoie le PING :
root@bw:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
12:10:33.407356 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 1, length 64
12:10:33.435825 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 1, length 64
12:10:34.408919 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 35841, seq 2, length 64
12:10:34.435113 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 35841, seq 2, length 64
Une autre machine sur le VLAN, celle qui n'est pas connecté sur la Livebox :
root@ns4:/ # ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.116.42.1 netmask 255.255.255.0 broadcast 0.0.0.255
inet6 2a01:cb1d:2d4:8800::1ac0:1 prefixlen 112 scopeid 0x0<global>
inet6 fe80::216:3eff:fe44:5610 prefixlen 64 scopeid 0x20<link>
ether 00:16:3e:44:56:10 txqueuelen 1000 (Ethernet)
RX packets 220776 bytes 20633664 (19.6 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 6478162 bytes 765802927 (730.3 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Boucle locale)
RX packets 19 bytes 1749 (1.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 19 bytes 1749 (1.7 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@ns4:/ # ip -6 route show
2a01:cb1d:2d4:8800::1ac0:0/112 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800::1ac0:ffff dev eth0 metric 1024 pref medium
root@ns4:/ # ping6 -n vps.ipv10.net -c 2
PING vps.ipv10.net(2001:41d0:701:1100::6530) 56 data bytes
--- vps.ipv10.net ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1013ms
Sur la machine qui reçois le PING :
root@vps:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
12:15:47.987695 IP6 2a01:cb1d:2d4:8800::1ac0:1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 52583, seq 1, length 64
12:15:47.987866 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1ac0:1: ICMP6, echo reply, id 52583, seq 1, length 64
12:15:49.001605 IP6 2a01:cb1d:2d4:8800::1ac0:1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 52583, seq 2, length 64
12:15:49.001722 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1ac0:1: ICMP6, echo reply, id 52583, seq 2, length 64
Pourtant, j'ai activé le "forwarding" entres les cartes réseaux sur ma machine qui fait office de "routeur" (et cette machine accède à Internet).
Pourquoi pas l'autre, la NS4 ?
-
Re, bonjour,
En passant un exemple typique de la configuration "obligatoire" pour le FAI/ISP qui distribue des bloc IPv6::/56 :
On voit bien les "passerelles" "ffff" et les levels (là où peuvent se trouver "firewall", "routage" du FAI/ISP) ;)
http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
(https://lafibre.info/images/ipv6/202401_orange_livebox5_interface_box_ipv6_5.webp)
J'ai le bloc client : 2a01:cb1d:2d4:8800::/56 -- déjà il faudrait inversé (je pense) -- je devrais avoir l'addresse "2a01:cb1d:2d4:ff00::/56" et non pas d4:8800 -> Cf doc : https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml
Je suis partis donc du réseau du FAI/ISP (sûrement plus haut, je prend le masque 42 exprès pour que ce soit plus simple à comprendre) :
* network 2a01:cb1d:2c0::
* Prefix length 42
* network range 2a01:cb1d:02c0:0000:0000:0000:0000:0000-2a01:cb1d:02ff:ffff:ffff:ffff:ffff:ffff
Donc, çà fait tous les clients à partir de "2a01:cb1d:2c0" donc, 16,384 networks /56 (16,384 clients en IPv6::/56), moi je suis dans ce bloc, j'ai le bloc 2a01:cb1d:2d4:8800:: ou plutôt 2a01:cb1d:2d4:8800:: celui-ci.
Donc le FAI/ISP si celui-ci à configurer sur son réseau l'adresse de la passerelle pour TOUTES nos boxes (livebox), nous les 16,384 clients Orange, exactement celle-ci 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:ffff ou celle-là 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:fffe ou 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:fffd -- sur cette machine, elle connaitra la disponibilité de toutes les "livebox" puis de tous nos sous-réseaux (au maximum elle pourrait voir 77,371,252,455,336,267,181,195,264 machines IPv6::/128) si on ne ferme rien sur nos réseaux IPv6::/56.
Parce que : les "FFFF" sont à EUX au FAI/ISP -> c'est eux qui créent les liens locaux fe80:: -- ils permettent de "scanner/identifier" se qu'il y a sur le réseau local.
Par exemple : 2a01:cb1d:02ff:ffff:ffff:ffff:ffff:ffff c'est à eux, 2a01:cb1d:2d4:88ff:ffff:ffff:ffff:ffff c'est à moi (sauf que eux sont plus grand, plus haut, avec l'IP 2a01:cb1d:02ff:ffff, ils savent que 22a01:cb1d:2d4:88ff est allumée - moi ou une de mes IPs plus basse par exemple 2a01:cb1d:2d4:8851:0000:1111:2222:3333 qui est dans le multicats "51::/64" - ils le savent par ce que "2d4:88ff" va leur dire - (mon "plus grand" réseau ::/56 (mon seul réseau) -> de 2a01:cb1d:02d4:8800:XXXX:XXXX:XXXX:XXXX à 2a01:cb1d:02d4:88ff:XXXX:XXXX:XXXX:XXXX
Pour ajouter il y a un lien local entre : 2a01:cb1d:02ff:: et moi 2a01:cb1d:02d4:88:: - celui-ci -> (pour l'exemple et la compréhension je vous l'écris sur l'adresse Unicast) 2a01:cb1d:02FE:80::
F == local
E == Encrypté
8 == Association (entre 2 choses)
0 == tout ce qui suit
J'ai un réseau (VLAN) multicast "2a01:cb1d:2d4:8851::/64" (moi un client) -> 18,446,744,073,709,551,616 IPv6::/128 multiplié par 256 réseaux IPv6::/64.
J'ai un réseau (VLAN) multicast "2a01:cb1d:2d4:8852::/64" (moi un client) -> 18,446,744,073,709,551,616 IPv6::/128 etc..
En subnet-level I (celui du ISP) 16,384 networks /56 -> (2a01:cb1d:2c0:00ff::/56 - 2a01:cb1d:2ff:ff00::/56)
Dans chacune des adresses réseau IPv6::/56 ci-dessous par exemple si nous prenons MON adresse/réseau client Orange 2a01:cb1d:2d4:8800 MA livebox devrait avoir l'addresse LIEN LOCAL "fe80::" (pour le réseau interne, sécurisé - avec permission de sortir, mais pas d'entrée) pour la "connectivité", l'identification avec le "DSLAM/Répartiteur Orange" et ma livebox (le cable optique dans la RUE) qui sont liés sur 2 "matièriels" "propriétaire" du réseau du FAI/ISP Orange, par exemple le répartiteur aurait cette address 2a01:cb1d:2d4:FFFF:FFFF:FFFF:FFFF ou plus grande 2a01:cb1d:2FF:FFFF:FFFF:FFFF:FFFF
Puis, moi dans mon petit réseau IPv6::/56 8) si je souhaite gèrer mon réseau je crérais un addresse de type 2a01:cb1d:2d4:88FF:FFFF:FFFF:FFFF et enverais mes annonces RA (Routeur Associations), sur mon NDP (Network Dicovery Protocol).. Je peut ou non le lier au FAI/ISP (selon la configuration de mon Firewall).
En subnet-level II (le notre) 256 networks /64 -> (2a01:cb1d:2c0:0000::/64 - 2a01:cb1d:2ff:ffff::/64)
En subnet-level III (un bloc IPv6::/64 à nous) où l'on peut associer d'autres blocs multicast IPv6::/104 avec des sous réseaux ; 256 networks /112 par bloc 104, 256 networks / 120 par bloc 112 (avec 256 addresses chacun) à sa convenance etc. etc.
Bonne journée, bonne continuation.
Romain - (LAB3W (https://www.lab3w.fr) Olivier Romain Jaillet-ramey) - Créateur ZW3B (https://www.zw3b.fr) avec des documentations informatique, vidéos, liens web ..
-
Sur-ce la passerelle (livebox) est placée sur le bloc IPv6::/64 -- "00" -- de mon adresse 2a01:cb1d:2d4:8800:: sois-disant ::/56 je trouve cela bizarre, c'est normal qu'il n'arrive pas à attraper les autres sous-réseaux etc...
Ma passerelle, la livebox ¿¿ 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 ?? :-\ On dirait une machine "normale" sur mon réseau "8800::/64" -- ce qui est le cas !
root@bw:/ # scan6 -i vmbr0 -L -e
[...]
fe80::c2d7:aaff:fec0:f839 @ c0:d7:aa:c0:f8:39
2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 @ c0:d7:aa:c0:f8:39
[...]
On voit la même MAC adresse.
root@bw:/ # ip -6 neighbor show
[...]
2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 dev vmbr0 lladdr c0:d7:aa:c0:f8:39 router REACHABLE
fe80::c2d7:aaff:fec0:f839 dev vmbr0 lladdr c0:d7:aa:c0:f8:39 router DELAY
[...]
Le routeur devrait être en "router STALE" et sur une autre adresse IPv6 ? N'est-ce pas ? comme je l'expliquais en Réponse #5.
Salutations,
Romain
-
J'ai pas tout lu (désolé trop long), vu la simplicité du problème et sa solution.
La Livebox annonce un seul préfixe (xxxx:xxxx:xxxx:xx00::/64) ainsi que la route par défaut (c'est du SLAAC et donc dans le paquet Router Advertisement envoyé par la box). C'est le seul /64 routable par défaut. La taille du préfixe annoncé n'est pas configurable, on se retrouve donc avec en pratique 2^8 réseaux différents de 2^64 adresses.
Pour utiliser les autres préfixes (tous les autres en théorie, 1 seul en pratique à cause d'un bug), il faut un client DHCP-PD obligatoirement. Pourquoi ?
Parce que la box par défaut ne sait pas où router les autres /64... L'utilisation de la délégation permet en effet 2 choses:
- Attribuer un préfixe au client qui le demande
- Configurer la table de routage de la box pour que les paquets à destination de ce préfixe soient envoyés à la machine qui a fait la demande de préfixe
-
On voit bien les "passerelles" "ffff" et les levels (là où peuvent se trouver "firewall", "routage" du FAI/ISP) ;)
Ce ne sont pas des passerelles. En IPv6 aucune adresse n'a de fonction spéciale (contrairement à IPv4).
Je pense qu'il y a une grande incompréhension du fonctionnement d'IPv6 et de la délégation de préfixe....
-
vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/56
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8800::1ac0:ffff/112 -> qui pourrait/devrait desservir un sous-réseau de "65,536" machines.
Mais ça ça ne peut pas marcher puisque l'adresse associée à vmbr1 est aussi dans le même réseau IPv6 que l'interface vmbr0. La bonne façon de faire, c'est:
vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/64
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8801::1/64
Mais encore une fois, ça ne fonctionnera pas comme ça en statique, la livebox ne sachant pas qu'elle doit router 2a01:cb1d:2d4:8801::/64 vers 2a01:cb1d:2d4:8800::1. D'où l'obligation d'utiliser un client DHCP6-PD.
-
Merci @zoc pour ces explications. je tiens à relever sur un truc -- le plus important du monde !
J'ai pas tout lu (désolé trop long), vu la simplicité du problème et sa solution.
La Livebox annonce un seul préfixe (xxxx:xxxx:xxxx:xx00::/64) ainsi que la route par défaut (c'est du SLAAC et donc dans le paquet Router Advertisement envoyé par la box). C'est le seul /64 routable par défaut. La taille du préfixe annoncé n'est pas configurable, on se retrouve donc avec en pratique 2^8 réseaux différents de 2^64 adresses.
Pour utiliser les autres préfixes (tous les autres en théorie, 1 seul en pratique à cause d'un bug), il faut un client DHCP-PD obligatoirement. Pourquoi ?
Parce que la box par défaut ne sait pas où router les autres /64... L'utilisation de la délégation permet en effet 2 choses:
- Attribuer un préfixe au client qui le demande
- Configurer la table de routage de la box pour que les paquets à destination de ce préfixe soient envoyés à la machine qui a fait la demande de préfixe
SUPER MERCI POUR CES EXPLICATIONS !
Ce ne sont pas des passerelles. En IPv6 aucune adresse n'a de fonction spéciale (contrairement à IPv4).
Vous vous trompez - CF les RFC -> https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml
C'est plutôt moi (Romain) qui me suis trompé, désolé çà (m')arrive. Enfin, je crois ^^
Par exemple sur "n'importe quel bloc" l'addresse si tu doit installer un serveur NTP (Network Time Protocol) -- il faut ajouter l'addressse "101" ;) pour que les scanneurs "mondial" puisse attraper l'UNICAST GLOBAL de ton service de serveurs de temps !
la machine :
1ere IP : 2a01:cb1d:2d4:8800:c2d7:0000:0000:0001 (l'address principale de la machine)
2eme IP : 2a01:cb1d:2d4:8851:c2d7:0000:0000:0101/64 (l'adresse du service NTP disponible pour le réseau 2a01:cb1d:2d4:8851::/64)
3eme IP : 2a01:cb1d:2d4:88ff:c2d7:aaff:fec0:f101//112 (l'address du service NTP disponible pour le réseau 2a01:cb1d:2d4:8800:c2d7:0000:0000::/112)
par exemple sur une machine avec l'adresse locale ULA (Unique Local Address, sur ton LAN équivalent au 10.0.0.0/8) fc01:0000:0000:00fe:eed7:aaff:fec0:00c1
Sur une est même carte réseau -> on config l'address de la NODE ffc"1" <- et le services NTP "0101".
Et, donc les "FFFF" par bloc de 4bits selon les réseau (pour faire simple) "FFFF" est égal à RESEAU LOCAL sur lequel, donc je peut configurer "0001" qui représente.... TOUT.TOUT.TOUT.1 ;)
Je vois assure ;)
Salutations,
Romain
-
Mais ça ça ne peut pas marcher puisque l'adresse associée à vmbr1 est aussi dans le même réseau IPv6 que l'interface vmbr0.
Non, il est dans le sous réseau 112 qui est dans mon multicast bloc /64 (DONC LE SEUL avec la LiveBox), dans mon bloc client /56 et donc dans le bloc du FAI /42 /32 ...
La bonne façon de faire, c'est:
vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/64
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8801::1/64
ici, la bonne facon serait :
vmbr0 = connecté à la livebox -> 2a01:cb1d:2d4:8800::1/56
vmbr1 = connecté au VLAN -> 2a01:cb1d:2d4:8801::1/64 Le réseau 01:0000:0000:0000:0000/64
Qui serait "lié" grâce au link-local "fe80" comme çà, il est accroché à la livebox et au répartiteur, respectivement :
2a01:cb1d:2d4:8800:0000:0000:0000:0000/56 (MOI)
2a01:cb1d:2d4:fe80:1000:0000:0000:0000/56 (comment la livebox pourait me voir - en fait c un lien-local fe80::)
2a01:cb1d:2df:e801:0000:0000:0000:0000/42 (répartiteur) si le lien est encodé (à la place de f:e80:01 yils doivent avoir un f:dc4 par exemple su je suis le client 4.
Mon IP appartient au réseau Orange 2a01:c000::/19
Pour expliquer un autre concept d'IPv6 -- on peut donc configurer plusieurs "route" selon l'adresse IPv6 du "sur" réseau :
Et si j'étais le roi d'Orange je pourrais avoir un lien local entre 2a01:c000::/19 et accéder à ma dernière machine sur une IPv6 :
2a01:cd1e:eeee:eeee:eeee:eeee:eeee:eee1/128 (exemple d'adresse accessible sur MY réseau Orange - je sais qu'il est sécurisé, si j'ai bien fais mon travail) ou l'adresse pour le public 2a01:cd10::1/128 (plus simple, mais moins rapide).
Whois 2a01:cb1d:2d4:8800::/56
http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
- IP address : 2a01:c000::/19
- network 2a01:c000::
- Prefix length 19
- network range 2a01:c000:0000:0000:0000:0000:0000:0000-2a01:dfff:ffff:ffff:ffff:ffff:ffff:ffff
En fait les liens locaux fe80::0000:0000:0000:0000 (remarqué le double ":") ;) Il n'y a pas 8 blocs de 4 bits (sur une adresse IPv6 normale ULA et UNICAST GLOBAL) mais seulement 4 blocs après le fe80 pour les LIENS.
* fe80 (la passerelle, le réseau du dessus, 2a01:cb1d:2d4::
* 0000:0000:0000:0000 (NOUS, nos adresses IPv6::/64)
Mais encore une fois, ça ne fonctionnera pas comme ça en statique, la livebox ne sachant pas qu'elle doit router 2a01:cb1d:2d4:8801::/64 vers 2a01:cb1d:2d4:8800::1. D'où l'obligation d'utiliser un client DHCP6-PD.
Oui çà j'ai compris, c'est histoire de discuter avec vous.
J'ai eu un réseau IPv6::/56 chez Online.net en louant un serveur dédié -> j'avais écris une documentation -> https://howto.zw3b.fr/linux/reseaux/comment-faire-un-reseau-ipv6-address-category -- essayez c'est fort.
Salutations,
Romain.
Au plaisir de vous re-parler avec vous et dire pas que n'importe quoi ;)
@+
-
Salut,
J'ai pas lu non plus car trop long et visiblement tu n'as pas vraiment compris la solution proposée par zoc.
Sur ton interface vmbr0 il faut faire tourner un client DHCPv6 en mode Prefix Delegation et spécifier la longueur de préfixe souhaitée ainsi que le préfix ID.
Cela peut se faire avec OPNSense par exemple.
Le fonctionnement ainsi que les limitations de la Livebox concernant le routage du préfixe /56 attribué par Orange sont expliqués ici :
https://x0r.fr/blog/76
Bonne lecture.
-
Je reviens vers vous pour vous dire que j'arrive à accéder an NET depuis un VLAN.
[...]
Une autre machine sur le VLAN, celle qui n'est pas connecté sur la Livebox :
[...]
Il faut simplement activer le NDP sur la carte principale, celle connectée à la livebox et déclarer/proxyfier cette adresse IPv6 comme voisin.
En mode console :
La machine connectée à la carte ethernet (VMBR1) VLAN :
root@ns4:~ $ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.116.42.1 netmask 255.255.255.0 broadcast 0.0.0.255
inet6 fe80::216:3eff:fe44:5610 prefixlen 64 scopeid 0x20<link>
inet6 2a01:cb1d:2d4:8800:1ab3:1ac0:ff00:1 prefixlen 104 scopeid 0x0<global>
ether 00:16:3e:44:56:10 txqueuelen 1000 (Ethernet)
RX packets 6133 bytes 367536 (358.9 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1098 bytes 166552 (162.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@ns4:~ $ ip -6 route show
2a01:cb1d:2d4:8800:1ab3:1ac0:ff00:0/104 dev eth0 proto kernel metric 256 pref medium
2a01:cb1d:2d4:8800:1ab3:1aff:ff:ffff dev eth0 metric 1024 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800:1ab3:1aff:ff:ffff dev eth0 metric 1024 pref medium
La machine connectée avec la carte ethernet (VMBR0) à la livebox :
root@bw:~ # ifconfig vmbr0
vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.254 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2a01:cb1d:2d4:8800::1 prefixlen 56 scopeid 0x0<global>
inet6 fe80::e825:b5ff:feab:55cc prefixlen 64 scopeid 0x20<link>
ether ea:25:b5:ab:55:cc txqueuelen 1000 (Ethernet)
RX packets 22026 bytes 2579996 (2.4 MiB)
RX errors 0 dropped 1589 overruns 0 frame 0
TX packets 15105 bytes 3052179 (2.9 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
La carte ethernet (VMBR1) pour le VLAN :
root@bw:~ # ifconfig vmbr1
vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.116.42.254 netmask 255.255.255.0 broadcast 10.116.42.255
inet6 2a01:cb1d:2d4:8800:1ab3:1aff:ff:ffff prefixlen 84 scopeid 0x0<global>
inet6 fe80::88f5:2cff:fe38:e29a prefixlen 64 scopeid 0x20<link>
ether 8a:f5:2c:38:e2:9a txqueuelen 1000 (Ethernet)
RX packets 1084 bytes 149116 (145.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 797 bytes 89506 (87.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@bw:~ # ip -6 route show
2a01:cb1d:2d4:8800:1ab3:1000::/84 dev vmbr1 proto kernel metric 256 pref medium
2a01:cb1d:2d4:8800::/64 dev vmbr0 proto kernel metric 256 expires 84666sec pref medium
2a01:cb1d:2d4:8800::/56 dev vmbr0 proto kernel metric 256 expires 84358sec pref medium
fe80::/64 dev vethRUv2dq proto kernel metric 256 pref medium
fe80::/64 dev vmbr0 proto kernel metric 256 pref medium
fe80::/64 dev vmbr1 proto kernel metric 256 pref medium
default via 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 dev vmbr0 metric 1024 pref medium
On active NDP (Network Discovery Protocol) :
root@bw:~ # sysctl -w net.ipv6.conf.vmbr0.proxy_ndp=1
On proxyfie le voisin vers la carte principale :
root@bw:~ # ip -6 neighbor add proxy 2a01:cb1d:2d4:8800:1ab3:1ac0:ff00:1 dev vmbr0
Et après depuis la machine VLAN j'arrive à ping/ponguer.
Par contre, je n'arrive toujours pas à rentrer sur un des services sur la machine NS4.
Chose normale (inadmissible), puisse que sur le firewall de la LIVEBOX ne me permet pas d'activer la DMZ (Zone Dé-militarisée) sur de l'IPv6.
Je ne peut que configurer des redirection de PORTs UDP/TCP vers une IPv6::/128.
Et, j'ajoute que vu que cette machine est dans un autre réseau que 192.168.1.0/24 je ne peut même pas gèrer la redirection de port IPv6 vers elle.
Truc qui ne sert à rien, donc. Mise à part pouvoir surfer en IPv6 depuis cette machine.
Bon weekend.
J'ajoute mes valeurs de la configuration des cartes pour info :
net.ipv6.conf.vmbr0.forwarding = 1
net.ipv6.conf.vmbr0.autoconf = 0
net.ipv6.conf.vmbr0.accept_redirects = 1
net.ipv6.conf.vmbr0.accept_ra = 2
net.ipv6.conf.vmbr0.proxy_ndp = 1
net.ipv6.conf.vmbr0.accept_source_route = 0
net.ipv6.conf.vmbr1.forwarding = 1
net.ipv6.conf.vmbr1.autoconf = 0
net.ipv6.conf.vmbr1.accept_redirects = 1
net.ipv6.conf.vmbr1.accept_ra = 2
net.ipv6.conf.vmbr1.proxy_ndp = 0
net.ipv6.conf.vmbr1.accept_source_route = 0
Romain
Bonjour, @Nh3xus
Sur ton interface vmbr0 il faut faire tourner un client DHCPv6 en mode Prefix Delegation et spécifier la longueur de préfixe souhaitée ainsi que le préfix ID.
Oui, je sais bien çà.
J'ai fais comme expliqué dessus (dans ce commentaire) pour pouvoir "surfer", sans client DHCPv6 - avec NDP ;)
Par contre, en commencant à lire le lien que vous vennez de m'envoyer, je crois comprendre, qu'on pourrait attribuer d'autres IPv6::/64 (je n'ai pas encore lu).
Merci.
Cela peut se faire avec OPNSense par exemple.
Je ne connais pas OPNSense je vais lire de la doc. Merci.
https://x0r.fr/blog/76
Merci pour le lien.
Bonne journée.
-
Je reviens vers vous pour vous transmettre ces infos :
[..]
Le fonctionnement ainsi que les limitations de la Livebox concernant le routage du préfixe /56 attribué par Orange sont expliqués ici :
https://x0r.fr/blog/76
Bonne lecture.
MERCI BEAUCOUP.
J'ai réussis à déléguer plusieurs blocs IPv6::/64 (sans pouvoir, les choisir comme expliqué sur la page 76 de x0r (https://x0r.fr/blog/76), j'ai perdu mon bloc 00::/64)
Ci-joint un imprime écran :
(https://www.zw3b.fr/pub/screens/orange/Screenshot%202024-01-27%20at%2017-48-21%20R%c3%a9seau%20-%20Livebox%205%20Orange%20-%20Network%20-%20IPv6%20Delegation.png)
En console :
J'ai créais ce fichier :
root@bw:~ # vim /etc/dhcp/dhclient6.conf
interface "vmbr0" {
send dhcp6.client-id "VOTRE_DUID";
request;
}
Cet DUID, je l'ai récupéré dans :
root@bw:~ # cat /var/lib/dhcp/dhclient6.leases
default-duid "\000\001\000\001-1\340\366\310\234\334..\034";
[...]
Puis premier test :
root@bw:~ # dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v vmbr0
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on Socket/vmbr0
Sending on Socket/vmbr0
Created duid "\000\001\000\001-G\352\026\352%\265\253U\314".
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT: X-- IA_PD b5:ab:55:cc
XMT: | X-- Request renew in +3600
XMT: | X-- Request rebind in +5400
XMT: Solicit on vmbr0, interval 1020ms.
RCV: Advertise message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV: X-- Preference 255.
RCV: X-- IA_PD b5:ab:55:cc
RCV: | X-- starts 1706372503
RCV: | X-- t1 - renew +300
RCV: | X-- t2 - rebind +480
RCV: | X-- [Options]
RCV: | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
RCV: | | | X-- Preferred lifetime 600.
RCV: | | | X-- Max lifetime 86400.
RCV: X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
RCV: Advertisement immediately selected.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC: X-- Initial candidate 00:01:00:01:2a:da:8f:ba:6c:19:8f:9a:42:35 (s: 10101, p: 0).
PRC: X-- Candidate 00:03:00:01:c0:d7:aa:c0:f8:39 (s: 10101, p: 255).
PRC: | X-- Selected, higher preference.
XMT: Forming Request, 0 ms elapsed.
XMT: X-- IA_PD b5:ab:55:cc
XMT: | X-- Requested renew +3600
XMT: | X-- Requested rebind +5400
XMT: | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
XMT: | | | X-- Preferred lifetime +7200
XMT: | | | X-- Max lifetime +7500
XMT: V IA_PD appended.
XMT: Request on vmbr0, interval 930ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV: X-- Preference 255.
RCV: X-- IA_PD b5:ab:55:cc
RCV: | X-- starts 1706372503
RCV: | X-- t1 - renew +300
RCV: | X-- t2 - rebind +480
RCV: | X-- [Options]
RCV: | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
RCV: | | | X-- Preferred lifetime 600.
RCV: | | | X-- Max lifetime 86400.
RCV: X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Bound to lease 00:03:00:01:c0:d7:aa:c0:f8:39.
On voit donc que :
IAPREFIX -> 2a01:cb1d:2d4:88fb::/64
J'ajoute un 2 ème "dhcp6.client-id" :
root@bw:~ # vim /etc/dhcp/dhclient6.conf
interface "vmbr0" {
send dhcp6.client-id "\000\001\000\001-1\340\366\310\234\334..\034";
send dhcp6.client-id "\000\001\000\001-G\352\026\352%\265\253U\314";
request;
}
Et relance la commande dhclient :
root@bw:~ # dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v vmbr0
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on Socket/vmbr0
Sending on Socket/vmbr0
PRC: Confirming active lease (INIT-REBOOT).
XMT: Forming Rebind, 0 ms elapsed.
XMT: X-- IA_PD b5:ab:55:cc
XMT: | X-- Requested renew +3600
XMT: | X-- Requested rebind +5400
XMT: | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
XMT: | | | X-- Preferred lifetime +7200
XMT: | | | X-- Max lifetime +7500
XMT: V IA_PD appended.
XMT: Rebind on vmbr0, interval 920ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV: X-- Preference 255.
RCV: X-- IA_PD b5:ab:55:cc
RCV: | X-- starts 1706372804
RCV: | X-- t1 - renew +3600
RCV: | X-- t2 - rebind +5400
RCV: | X-- [Options]
RCV: | !-- Status code of no prefix, IA_PD discarded.
RCV: X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT: X-- IA_PD b5:ab:55:cc
XMT: | X-- Request renew in +3600
XMT: | X-- Request rebind in +5400
XMT: | X-- Request prefix 2a01:cb1d:2d4:88fb::/64.
XMT: | | X-- Request preferred in +7200
XMT: | | X-- Request valid in +10800
XMT: Solicit on vmbr0, interval 1030ms.
RCV: Advertise message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV: X-- Preference 255.
RCV: X-- IA_PD b5:ab:55:cc
RCV: | X-- starts 1706372805
RCV: | X-- t1 - renew +300
RCV: | X-- t2 - rebind +480
RCV: | X-- [Options]
RCV: | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
RCV: | | | X-- Preferred lifetime 600.
RCV: | | | X-- Max lifetime 86400.
RCV: X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
RCV: Advertisement immediately selected.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC: X-- Initial candidate 00:03:00:01:c0:d7:aa:c0:f8:39 (s: 10101, p: 255).
XMT: Forming Request, 0 ms elapsed.
XMT: X-- IA_PD b5:ab:55:cc
XMT: | X-- Requested renew +3600
XMT: | X-- Requested rebind +5400
XMT: | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
XMT: | | | X-- Preferred lifetime +7200
XMT: | | | X-- Max lifetime +7500
XMT: V IA_PD appended.
XMT: Request on vmbr0, interval 950ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV: X-- Preference 255.
RCV: X-- IA_PD b5:ab:55:cc
RCV: | X-- starts 1706372805
RCV: | X-- t1 - renew +300
RCV: | X-- t2 - rebind +480
RCV: | X-- [Options]
RCV: | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
RCV: | | | X-- Preferred lifetime 600.
RCV: | | | X-- Max lifetime 86400.
RCV: X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Bound to lease 00:03:00:01:c0:d7:aa:c0:f8:39.
IAPREFIX -> 2a01:cb1d:2d4:88f6::/64 <- un nouveau prefix
OK .
root@bw:~ # dhclient -cf /etc/dhcp/dhclient6.conf -6 -P -v vmbr0
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on Socket/vmbr0
Sending on Socket/vmbr0
PRC: Confirming active lease (INIT-REBOOT).
XMT: Forming Rebind, 0 ms elapsed.
XMT: X-- IA_PD b5:ab:55:cc
XMT: | X-- Requested renew +3600
XMT: | X-- Requested rebind +5400
XMT: | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
XMT: | | | X-- Preferred lifetime +7200
XMT: | | | X-- Max lifetime +7500
XMT: | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
XMT: | | | X-- Preferred lifetime +7200
XMT: | | | X-- Max lifetime +7500
XMT: V IA_PD appended.
XMT: Rebind on vmbr0, interval 930ms.
RCV: Reply message on vmbr0 from fe80::c2d7:aaff:fec0:f839.
RCV: X-- Preference 255.
RCV: X-- IA_PD b5:ab:55:cc
RCV: | X-- starts 1706375475
RCV: | X-- t1 - renew +300
RCV: | X-- t2 - rebind +480
RCV: | X-- [Options]
RCV: | | X-- IAPREFIX 2a01:cb1d:2d4:88f6::/64
RCV: | | | X-- Preferred lifetime 600.
RCV: | | | X-- Max lifetime 86400.
RCV: | | X-- IAPREFIX 2a01:cb1d:2d4:88fb::/64
RCV: | | | X-- Preferred lifetime 0.
RCV: | | | X-- Max lifetime 0.
RCV: X-- Server ID: 00:03:00:01:c0:d7:aa:c0:f8:39
PRC: Bound to lease 00:03:00:01:c0:d7:aa:c0:f8:39.
J'ajoute :
root@bw:~ # cat /var/lib/dhcp/dhclient6.leases
default-duid "\000\001\000\001-G\352\026\352%\265\253U\314";
lease6 {
interface "vmbr0";
ia-pd b5:ab:55:cc {
starts 1706376075;
renew 300;
rebind 480;
iaprefix 2a01:cb1d:2d4:88fb::/64 {
starts 1706375475;
preferred-life 0;
max-life 0;
}
iaprefix 2a01:cb1d:2d4:88f6::/64 {
starts 1706376075;
preferred-life 600;
max-life 86400;
}
}
option dhcp6.client-id 0:1:0:1:2d:47:ea:16:ea:25:b5:ab:55:cc;
option dhcp6.server-id 0:3:0:1:c0:d7:aa:c0:f8:39;
option dhcp6.name-servers 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839;
option dhcp6.domain-search "home.";
}
J'arrive bien à pinguer avec les 2 réseaux IPv6::/64 par contre... Je n'arrive pas à rentrer sur les VLANs, me semble t'il, à tester.
Peut-être que l'on peut demander un réseau en particulier, je check çà, aussi :)
Romain.
-
Intéressant ton test.
Ils auraient donc corrigé le bug de routage lorsque une machine demande plusieurs préfixes.
Maintenant y'a plus qu'à attendre pour un vrai /60 et plus si affinité ^^ Et on pourra enfin étudier la possibilité de remettre la box :P
-
Intéressant ton test.
Ils auraient donc corrigé le bug de routage lorsque une machine demande plusieurs préfixes.
Maintenant y'a plus qu'à attendre pour un vrai /60 et plus si affinité ^^
Merci à x0r @renaud07 ;)
Mais non je ne crois pas, çà route en sortie MAIS PAS EN ENTRéE ! C'est super nul !
J'ai remarqué qu'il n'y a pas besoin de "proxyfier" les adresses "voisines" avec la délégation de bloc IPv6::/64
Par contre pour l'instant, comme je l'ai dis dans une autre commentaire, je n'arrive pas à accéder aux "services" sur les adresses d'un VLAN.
J'arrive bien à pinguer vers des serveurs externes Et en recevant le "reply" des ping6.
Par contre, de l'exterieur, je n'arrive pas à pinguer, sur aucune de mes IPv6 UNICAST GLOBAL. Certes c'est de ICMPv6...
J'ai activé le firewall en "sécurité faible" et ai rédirigé TOUS les ports TCP/UDP de 1-65535 vers la machine en DMZ. L'ICMPv6 c'est sur quel port déjà, je ne sais plus ?
En passant, j'ai concocté un firewall ICMPv6 (https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6) avec les docs des ingénieurs Stéphane Bortzmeyer (https://www.bortzmeyer.org/) et Stéphane Huc (https://doc.huc.fr.eu.org/) (@PengouinPdt sur Debian-FR.org) qui nous a expliqué les "ICMPv6 type Numbers (https://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml)" ;)
Pour finir, sur ma VMBR0 (config) :
J'arrive en SSH sur 2a01:cb1d:2d4:8800::1/128 -> OK (pas dans la délégation à proprement parlé (bloc IPv6::/64 par default)
Et sinon en SSH sur 2a01:cb1d:2d4:88f6::1/128 -> KO (délégation de bloc IPv6::/64)
Et sinon en SSH sur 2a01:cb1d:2d4:88fb::1/128 -> KO (délégation de bloc IPv6::/64)
Et sinon en SSH sur 2a01:cb1d:2d4:88d0::1/128 -> KO (délégation de bloc IPv6::/64) j'ai fais d'autres tests ;)
Et les containers sur le VMBR1 rien ne rentre non plus.
Romain
-----
J'ajoute ces liens DHCPv6 et la délégation de bloc IPv6 :
- Délégation de préfixes IPv6 avec la Livebox : expériences en profondeur -> https://x0r.fr/blog/76
- Délégation de préfixe IPv6 Debian -> https://wiki.debian.org/IPv6PrefixDelegation
- Demande de délégation d’un préfixe ipv6 via un fichier de configuration -> https://lists.isc.org/pipermail/dhcp-users/2021-December/022593.html
- Configuration du client DHCP ISC pour demander la délégation de préfixe ? -> https://www.reddit.com/r/ipv6/comments/jljgbt/configuring_isc_dhcp_client_to_request_prefix/?rdt=38312
- GitHub : jaymzh / v6-gw-scripts -> https://github.com/jaymzh/v6-gw-scripts/blob/master/dhclient-ipv6
Sur le blog de monsieur Bortzmeyer :
RFC 7078: Distributing Address Selection Policy using DHCPv6 (https://www.bortzmeyer.org/7078.html)
RFC 7227: Guidelines for Creating New DHCPv6 Options (https://www.bortzmeyer.org/7227.html)
RFC 8415: Dynamic Host Configuration Protocol for IPv6 (DHCPv6) (https://www.bortzmeyer.org/8415.html)
[...]
DHCP fonctionne par diffusion restreinte (https://fr.wikipedia.org/wiki/Multicast). Un client DHCP, c'est-à-dire une machine qui veut obtenir une adresse, diffuse (DHCP fonctionne au-dessus d'UDP (https://fr.wikipedia.org/wiki/User_Datagram_Protocol), RFC 768 (https://www.bortzmeyer.org/768.html), le port source est 546, le port de destination, où le serveur écoute, est 547) sa demande à l'adresse multicast locale au lien ff02::1:2. Le serveur se reconnait et lui répond. S'il n'y a pas de réponse, c'est, comme dans le DNS, c'est au client de réémettre (section 15). L'adresse IP source du client est également une adresse locale au lien.
(Notez qu'une autre adresse de diffusion restreinte est réservée, ff05::1:3 ; elle inclut également tous les serveurs DHCP mais, contrairement à la précédente, elle exclut les relais, qui transmettent les requêtes DHCP d'un réseau local à un autre.)
[...]
CF : (IPv6 Multicast Address Space Registry (https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml))
;)
-
ICMP n'a pas de notion de port, il n'utilise ni TCP ni UDP. Il fait partie intégrante d'IP, c'est de la couche 3.
Je crois qu'il faut aller dans le niveau personnalisé du pare feu.
-
ICMP n'a pas de notion de port, il n'utilise ni TCP ni UDP. Il fait partie intégrante d'IP, c'est de la couche 3.
Je crois qu'il faut aller dans le niveau personnalisé du pare feu.
Je n'aperçois aucun réglage « ICMP » dans les paramètres personnalisés du pare-feu IPv6.
Il y a un réglage au niveau de « Ouverture de protocoles dans le pare-feu (pour équipements IPv6). » Dans la première liste déroulante, on peut sélectionner « ICMP ».
Cela donne moyennement confiance car on n'a aucune granularité dans le filtrage des types de messages ICMP, et surtout, on ne sait pas ce qui est vraiment filtré.
Orange est en retard sur le support de IPv6. Puisque cela impose de devoir faire des tests manuels, en ne pouvant pas exploiter l'interface utilisateur.
Orange dissuade de modifier son pare-feu : « Réservé aux utilisateurs avancés qui comprennent les risques liés à la sécurité ».
-
Chose normale (inadmissible), puisse que sur le firewall de la LIVEBOX ne me permet pas d'activer la DMZ (Zone Dé-militarisée) sur de l'IPv6.
La DMZ Orange n'existe pas conceptuellement en IPv6 : c'est du NAT44 (ou NAPT) couplé au pare-feu IPv4. Cela ne correspond pas à une DMZ mais au concept d'hôte exposé.
-
Intéressant ton test.
Ils auraient donc corrigé le bug de routage lorsque une machine demande plusieurs préfixes.
Maintenant y'a plus qu'à attendre pour un vrai /60 et plus si affinité ^^ Et on pourra enfin étudier la possibilité de remettre la box :P
Ne se retrouverait-on pas avec un double NAT44 ? Le routeur devant communiquer avec la Livebox avec une adresse privée IPv4 ?
-
ICMP n'a pas de notion de port, il n'utilise ni TCP ni UDP. Il fait partie intégrante d'IP, c'est de la couche 3.
Je crois qu'il faut aller dans le niveau personnalisé du pare feu.
Okay pour l'ICMPv6 ;)
Ah oui pas bête, pour la section "pare-feux > personnalisé" :) Merci @renaud07 !
Je n'aperçois aucun réglage « ICMP » dans les paramètres personnalisés du pare-feu IPv6.
AH mince.
Il y a un réglage au niveau de « Ouverture de protocoles dans le pare-feu (pour équipements IPv6). » Dans la première liste déroulante, on peut sélectionner « ICMP ».
Okay :)
Cela donne moyennement confiance car on n'a aucune granularité dans le filtrage des types de messages ICMP, et surtout, on ne sait pas ce qui est vraiment filtré.
Orange est en retard sur le support de IPv6. Puisque cela impose de devoir faire des tests manuels, en ne pouvant pas exploiter l'interface utilisateur.
Orange dissuade de modifier son pare-feu : « Réservé aux utilisateurs avancés qui comprennent les risques liés à la sécurité ».
Ouais, ils vont y remédier @basilix ;) J'en suis sûr c'est tellement important.
La DMZ Orange n'existe pas conceptuellement en IPv6 : c'est du NAT44 (ou NAPT) couplé au pare-feu IPv4. Cela ne correspond pas à une DMZ mais au concept d'hôte exposé.
Okay, daccord, merci pour cette information @basilix.
Ne se retrouverait-on pas avec un double NAT44 ? Le routeur devant communiquer avec la Livebox avec une adresse privée IPv4 ?
Moi, j'en sais rien :o :-\
Merci à vous messieurs pour ces informations.
J'en suis toujours au même "point" je n'arrive pas à accéder à mes services "hébergées" dans les autres machines, celles dans le VLAN.
J'ai testé "Ouverture de protocoles dans le pare feu (pour équipements IPv6)" -> ICMPv6 ICMP PC-21 (là machine "DMZ") Toutes -- mais çà ne répond pas au ping de l'exterieur.
J'ai testé "Personnaliser les règles de filtrage (pour adresse IP statique)" > Autoriser votre Livebox à répondre aux requêtes de ping (çà oui çà fonctionne, sur l'IPv6 de la livebox) - la réponse au ping sur l'IPv4 depuis que j'ai activé la DMZ fonctionnée depuis.
Bonne dimanche.
Romain.
PS : Je vais m'abonner à la mailing list d'Orange Technique/Développement/System/Network Livebox en plus d'Orange Cyber-Défense (https://twitter.com/OrangeCyberFR/) (twitter).
À+
-
Ne se retrouverait-on pas avec un double NAT44 ? Le routeur devant communiquer avec la Livebox avec une adresse privée IPv4 ?
Oui, il faut faire avec le double NAT... Pas le choix.
-
@renaud07 : En fait, je n'en suis pas si sûr. On aurait peut-être pu utiliser la traduction NAT64. Cela ne fonctionnera pas sur les Livebox domestiques
car il aurait fallu annoncer une route vers un préfixe "pref64" dans la Livebox pour chacun des sous-réseaux IPv6 (routes statiques).
Je me dis qu'il faudrait que je fasse plus de pratique pour consolider mes bases en IPv6 (savoir-faire).
Mais c'est mieux, à mon avis, de remplacer la Livebox quand on peut le faire (réduction de la complexité de la topologie).
-
Bonjour,
Oui, il faut faire avec le double NAT... Pas le choix.
Vous parler de çà quand vous dites NAT44 -> https://fr.wikipedia.org/wiki/Carrier-grade_NAT ?
Le [..] NAT444 est un NAT à grande échelle utilisé par un fournisseur d'accès à Internet, dans le but de diminuer la quantité d'adresses IPv4 nécessaires aux clients, et ainsi faire face à l'épuisement des adresses IPv4.
Ha, ha ! On se demande à quoi sert la délégation IPv6 ou simplement la création du protocole de communication Internet version 6 - Si c'était seulement pour palier aux manques d'adresses IPv4.
Sinon pour infos pour les autres -> https://fr.wikipedia.org/wiki/Transition_d'IPv4_vers_IPv6 (NAT64 ou DNS64)
La transition d'IPv4 vers IPv6 est un processus qui vise au remplacement progressif du protocole IPv4 par IPv6 sur Internet.
Je me dis qu'il faudrait que je fasse plus de pratique pour consolider mes bases en IPv6 (savoir-faire).
Mais c'est mieux, à mon avis, de remplacer la Livebox quand on peut le faire (réduction de la complexité de la topologie).
Sinon pour vous (hihi) si vous ne connaissez pas le protocole IPv10 qui englobe tout çà, qui fait du 6to4 et du 4to6 un truc du genre -> j'ai acheté le nom de domaine en IPv10.net (https://www.ipv10.net) - y'a un lien vers le draft de l'ingénieur Omar Khaled de l'IETF. Je n'ai pas encore essayé de mettre tout çà en place.
Mais c'est mieux, à mon avis, de remplacer la Livebox quand on peut le faire (réduction de la complexité de la topologie).
C'est super contraignant, en plus j'ai pas très bien saisi, le fait du boitier ONT (c'est un boitier qui permet de branché le cable fibre (entre lui et le boitier du mur), avec un autre port, pour un cable RJ45 qui irait vers un routeur non fibre (çà doit être cela).
200€ ou plus pour acheter un boitier ONT ou un module SFP, un switch, un routeur.. Qué b0rd3L !
En plus, en passant, j'ai acheté il n'y a pas 2 ans déjà un switch 10/100 PoE voir 2 swiths (il faut que je vérifie l'autre), j'ai cru à l'époque qu'ils seraient tous en 1000 au minimum.
3 jours pour transférer 250 Giga d'un PC à un autre, çà fait flipper, une seule série, que j'ai acheté et encodé en MKV, "Battle Star Gallactica" le coffret !
Bonne journée.
----
Pour moi 8) ;D LaFibreEtMoi :
- Boitier ONT (Optical Network Termination) avec un papier des EchosDuNet du 19 janvier 2024 -> https://www.echosdunet.net/reseau-internet/fibre/ont-sfp ;)
- Module SFP (Small Form-factor Pluggable) ou module GBIC (Gigabit Interface Converter)
Un boîtier ONT ou un module SFP permet de transformer le signal optique de la fibre en signal électrique.
En France, la fibre FTTH (Fibre To The Home) est développée à travers deux types de technologie différentes : le FTTH GPON et le FTTH P2P. Parmi les grands opérateurs français, Free est le seul à avoir choisi de faire du FTTH P2P (ou FTTH en mode point-à-point) : chaque abonné bénéficie de son propre câble de fibre optique venant du Noeud de Raccordement Optique (NRO).
Le chemin parcouru par la fibre optique se déroule ainsi : le terminal de ligne optique envoie le signal optique vers les points de distribution de zone qui sont situés dans les quartiers, qui redirigent ensuite le signal vers les points d'éclatement présents dans les rues (aussi appelés points de branchement optique), qui redirigent une nouvelle fois le signal vers les OLT (Optical Link Terminal) et les splitter (ou “diviseurs” en français) installés dans les immeubles, avant que le signal arrive dans les boîtiers de terminaison optique situés chez les abonnés, puis dans les fameux boîtiers ONT et modules SFP.
J'ajoute ce lien : Qu’Est ce qu’un Port SFP? | Chad Wilken’s (https://chadwilken.com/fr/quest-ce-quun-port-sfp/)
----
Sinon personne n'a fait une documentation dans le style :
1. T'as une carte réseau fibre Optique sur un PC
2. T'as une carte RJ45 sur ce même PC.
3. Tu configures le lien DHCP client vers le fournisseurs d'accés en mode FTI (orange.fr) / FBX (Free.fr)
5. Tu fais ton NAT (IPv4)
6. Tu gères les délégation IPv6 etc..
7. Tu configures tes routes Ipv4 et IPv6
8. Tu fais un firewall de foli ;)
Et hop t'es heureux.
Cà existait les tutos comme çà à l'époque - Bon c'était sur de l'ADSL mais bon.
Pour l'instant Search "linux howto fai dhcp-pd authentication client" :
J'ai trouvé çà sur le forum -> https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg395490/#msg395490
C'est un linux brut je ne sais pas il est doux et mignon ;)
le fichier dhclient
=>cat /etc/dhcp/dhclient-vlan832.conf
interface "vlan832" {
send vendor-class-identifier "sagem";
#send dhcp-client-identifier xx:xx:xx:xx:xx:xx;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:x:x:x:x:x:x:x;
request subnet-mask, routers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time,
rfc3118-authentication;
prepend domain-name-servers 8.8.8.8, 8.8.4.4;
}
Bon, à priori on dirait que cela peut se faire, merci à @pci du forum.
# ba0bab -> https://github.com/pci06/ba0bab
Ces scripts visent à configurer facilement un boîtier IPv4/IPv6 (avec préfixe dynamique) pour Orange ISP pour une distribution de type Debian.
CF : https://github.com/pci06/ba0bab/blob/master/original/etc/dhcp/orange/832-6.conf
=>cat /etc/dhcp/dhclient-vlan832-6.conf
option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;
interface "vlan832" {
# Options speciales pour orange
send dhcp6.client-id 00:03:00:01:_LB_MACADDR_;
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:_ORANGEID_;
request dhcp6.auth, dhcp6.name-servers, dhcp6.sip-servers-names;
# supersede dhcp-lease-time 60;
}
Avez-vous déjà essayé ? Je vous ai lu, lui répondre @renaud07, discuter avec l'utilisateur du forum @pci :D
----
Si je vous dis, m'acheter seulement une carte réseau SFP / Fibre (même pas un switch avec port SPF) et configurer le lien avec l'ISP Orange, à votre avis, cela fonctionnerait.
J'ajoute ces liens parce que je n'aurais plus de téléphone si je vire ma livebox ~x0r - Configurer une passerelle FXO AudioCodes avec Asterisk (https://x0r.fr/blog/80) et celui-ci Que sont les ports FXS et FXO ? À quoi servent-ils? - VoIP Insider | Mex Alex (https://mexalex.com/fr/voip-insider-fran%C3%A7ais/)
Merci.
Salutations,
Romain
-
Bonsoir @LAB3W.ORJ !
Je ne vois pas ce qu'il y a de drôle ?
Ce dont nous parlions c'est de la juxtaposition du routeur et de la Livebox. Laquelle génère deux NAT44 en IPv4.
Je ne pense pas que ce soit la peine de délayer sur ce forum.
-
Bonsoir @LAB3W.ORJ !
Je ne vois pas ce qu'il y a de drôle ?
Rien !
Ce dont nous parlions c'est de la juxtaposition du routeur et de la Livebox. Laquelle génère deux NAT44 en IPv4.
Je ne pense pas que ce soit la peine de délayer sur ce forum.
C'est de pouvoir gérer son IPv6 normalement, dirais-je plutôt.
Bonne soirée à vous @basilix !
Je reviens quand j'aurais acheté ce module SFP !
-
Bonsoir,
Sinon pour parler de "Délégation d'IPv6"
J'ai installé un serveur DNS BIND9/NAMED et j'essaie voir/faire le reverse de mes adresses IPv6.
-----
Par exemple sur mon serveur OVH j'ai le bloc 2607:5300:60:9389::/64
Je peut déléguer mon bloc d'adressse IPv6 pour faire le "reverse" sur toute cette plage d'addresses (cela permet d'identifier les machines, pendant un "traceroute" ou un "ping", c'est super important) :
dig -x 2607:5300:60:9389::1 @dns.google
; <<>> DiG 9.16.44-Debian <<>> -x 2607:5300:60:9389::1 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1198
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa. 55 IN PTR wan.ipv10.net.
;; Query time: 4 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Thu Feb 01 22:49:47 CET 2024
;; MSG SIZE rcvd: 128
Ou encore toujours mon mon bloc IPv6::/64:
dig -x 2607:5300:60:9389:15:2:a:1000 @dns.google
; <<>> DiG 9.16.44-Debian <<>> -x 2607:5300:60:9389:15:2:a:1000 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65040
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa. 60 IN PTR ns2.ipv10.net.
0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa. 60 IN PTR ns2.ipv01.net.
;; Query time: 92 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Feb 01 22:50:55 CET 2024
;; MSG SIZE rcvd: 152
Et ici au dessus de mon bloc IPv6::/64 -- sur le bloc IPv6::/56 :
ns4:~ $ dig -x 2607:5300:60:9300::1 @dns.google
; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> -x 2607:5300:60:9300::1 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 1223
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
0.0.3.5.7.0.6.2.ip6.arpa. 1800 IN SOA dns10.ovh.ca. tech.ovh.net. 2024020199 43200 4320 2419200 86400
;; Query time: 128 msec
;; SERVER: 8.8.4.4#53(dns.google) (UDP)
;; WHEN: Thu Feb 01 23:15:53 CET 2024
;; MSG SIZE rcvd: 161
donc ;
J'aimerais faire la même chose sur mon réseau (WAN) à moi celui de mon domicile (en france) et de tous ces blocs, adresses, machines pour mieux les identifier.
Par contre je m'aperçois que rien n'est délégué sur l'IPV6 (vous savez).
Pour montrer un exemple :
1. Sur mon serveur DNS local -- je créais le fichier "/etc/bind/masters/8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa" de ma zone "reverse" IPv6 :
En passant pour trouver facilement l'addresse reverse d'une adresse cette commande est utile : host address_IPv6
ns4:~ $ host 2a01:cb1d:2d4:8800::1
Host 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa not found: 3(NXDOMAIN)On ajoute un " . " après " arpa " et on configure le "nom" du pointer "PTR"(qui décrit généralement une machine).
ns4:~ $ cat /etc/bind/masters/8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa
$ttl 60
@ IN SOA ns4.ipv10.net. hostmaster.lab3w.fr. (
2024020103 ; serial, yearmonthdayserial# 604800
20 ; refresh, seconds / default:21600
5 ; retry, seconds / default:3600
420 ; expire, seconds / default:604800
60 ) ; minimum, seconds / default:3600
;--------------------------------------------------------------
@ IN NS ns1.ipv10.net.
@ IN NS ns2.ipv10.net.
@ IN NS ns3.ipv10.net.
@ IN NS ns4.ipv10.net.
;--------------------------------------------------------------
;------------------------------
; IPV6[ORANGE]REVERSE
;------------------------------
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR ns4.ipv10.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR ns4.ipv01.net.
2. Et je créais la "zone en master" puisque c'est chez moi (tout ce réseau IPv6).
ns4:~ $ cat /etc/bind/named.conf.masters.ns4
//-----------------------------------------------------------------
// REVERSE MASTERs ADDR IPv6 UNICAST
//-----------------------------
zone "8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa" {
type master;
file "/etc/bind/masters/8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa";
allow-transfer { key "ns-ldap"; };
// notify master-only;
notify yes;
};
Si maintenant (pour vérifier que tout fonctionne) je vérifie avec la commande "dig" en interrogeant ce serveur sur l'adresse "lo" -- OK -- çà fonctionne normalement :
ns4:~ $ ns4:~ $ dig -x 2a01:cb1d:2d4:8800::1 @::1
; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> -x 2a01:cb1d:2d4:8800::1 @::1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13000
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 1035c2f99ed2b9650100000065bc1605ac4864c28ed69a38 (good)
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN PTR ns4.ipv10.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN PTR ns4.ipv01.net.
;; Query time: 0 msec
;; SERVER: ::1#53(::1) (UDP)
;; WHEN: Thu Feb 01 23:07:01 CET 2024
;; MSG SIZE rcvd: 183
Ou depuis l'extérieur sur mon IPv4 et IPv6 Orange -- OK
dig -x 2a01:cb1d:2d4:8800::1 @109.210.56.240
; <<>> DiG 9.16.44-Debian <<>> -x 2a01:cb1d:2d4:8800::1 @109.210.56.240
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13335
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 9995815a03332aee0100000065bc1648518de2648896f00f (good)
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN PTR ns4.ipv01.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN PTR ns4.ipv10.net.
;; Query time: 32 msec
;; SERVER: 109.210.56.240#53(109.210.56.240)
;; WHEN: Thu Feb 01 23:08:08 CET 2024
;; MSG SIZE rcvd: 183
par contre -- ce que je voulais remonter comme information -- si j'interroge un serveur DNS comme "google" :
ns4:~ $ dig -x 2a01:cb1d:2d4:8800::1 @dns.google
; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> -x 2a01:cb1d:2d4:8800::1 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 62120
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
c.1.0.a.2.ip6.arpa. 1800 IN SOA dns1.equant.net. hostmaster.ipv6.opentransit.net. 2015082426 3600 1800 2419200 7200
;; Query time: 36 msec
;; SERVER: 8.8.4.4#53(dns.google) (UDP)
;; WHEN: Thu Feb 01 23:10:00 CET 2024
;; MSG SIZE rcvd: 180
J'ajoute le bloc IPv6::/64 délégué "88fc::/64" par la commande "dhclient" (en plus de "8800::/64") :
dig -x 2a01:cb1d:2d4:88fc::1 @dns.google
; <<>> DiG 9.16.44-Debian <<>> -x 2a01:cb1d:2d4:88fc::1 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 32730
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.f.8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
c.1.0.a.2.ip6.arpa. 1800 IN SOA dns1.equant.net. hostmaster.ipv6.opentransit.net. 2015082426 3600 1800 2419200 7200
;; Query time: 20 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Thu Feb 01 23:33:22 CET 2024
;; MSG SIZE rcvd: 180
C'est qu'on voit bien la/une zone IPv6 Orange -> "c.1.0.a.2.ip6.arpa." qui correspond à "2a01:c000::/25" -- PAS de délégation IPv6 DNS pour nous, depuis leur AUTHORITY SEVER DNS "dns1.equant.net." !
Y'a du boulot les gars, on s'active, on nous active la délégation des adresses IPv6 ;) Merci !
ns4:~ # whois 2a01:c000::
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '2a01:c000::/25'
% Abuse contact for '2a01:c000::/25' is 'gestionip.ft@orange.com'
inet6num: 2a01:c000::/25
netname: FR-OBS-ADDED-VALUE-SERVICES-20090128
descr: Orange Business Services
country: FR
admin-c: PHC757-RIPE
tech-c: PHC757-RIPE
status: ALLOCATED-BY-LIR
remarks: abuse@orange-business.com
mnt-by: FT-BRX
mnt-lower: RAIN-TRANSPAC
mnt-irt: IRT-OBS
created: 2010-05-18T09:02:26Z
last-modified: 2013-06-13T09:05:47Z
source: RIPE
person: Gestion IP RAEI
address: IMT/OINIS/ADPR
address: Orange Business Services
address: 9, Rue du chene germain
address: 35510 Cesson Sevigne
phone: +33 223064561
nic-hdl: PHC757-RIPE
mnt-by: RAIN-TRANSPAC
created: 2003-04-02T09:31:46Z
last-modified: 2017-11-15T15:44:48Z
source: RIPE # Filtered
% Information related to '2a01:c000::/48AS5511'
route6: 2a01:c000::/48
descr: France Telecom
descr: OPENTRANSIT
origin: AS5511
mnt-by: FT-BRX
created: 2008-05-19T14:01:15Z
last-modified: 2008-05-19T14:01:15Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.109.1 (BUSA)
CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
IP address : 2a01:c000::/25
type : GLOBAL-UNICAST
network : 2a01:c000::
Prefix length : 25
network range : 2a01:c000:0000:0000:0000:0000:0000:0000-2a01:c07f:ffff:ffff:ffff:ffff:ffff:ffff
total IP addresses : 10,141,204,801,825,835,211,973,625,643,008
IP address (full) : 2a01:c000:0000:0000:0000:0000:0000:0000
----
J'ajoute ; qu'en essayant de transférer/récupérer la zone sur mon serveur chez OVH, j'ai un "not authoritative" ;)
Le serveur chez moi (donc avec la zone reverse -- master -- de mon bloc IPv6::/56 :
==> /var/log/named/zone_transfers.log <==
01-Feb-2024 22:36:36.925 notify: info: zone 8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa/IN: sending notifies (serial 2024020103)
Le serveur OVH qui réceptionne les zones :
==> /var/log/named/zone_transfers.log <==
01-Feb-2024 22:36:37.473 notify: notice: client @0x7f2670100da0 109.210.56.240#37182/key ns-ldap: received notify for zone '8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa': TSIG 'ns-ldap': not authoritative
01-Feb-2024 22:36:37.480 notify: notice: client @0x7f26600020b0 2a01:cb1d:2d4:8800::1#49124/key ns-ldap: received notify for zone '8.8.4.d.2.0.d.1.b.c.1.0.a.2.ip6.arpa': TSIG 'ns-ldap': not authoritative
----
Pour passer le mot, j'ai fais une documentation sur mon site web il y quelques temps : https://howto.zw3b.fr/linux/serveurs/configuration-bind9-master-and-slaves (Configuration BIND9 Masters et Slaves), et celle-ci : How To Setup DNSSEC on an Authoritative BIND DNS Server (https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-2) (pour sécuriser notre serveurs DNS - en plus, ceux qui est bien, c'est qu'il n'y a pas de Tierce personne (l'algorithme de cryptage est créait avec "openssl" selon nos eXigences). Ce n'est pas comme un certificats Web ou mail, FTP.. et çà permet de sécuriser (validité et conformité..) "nos champs/nos entités" DNS de nom de domaine sur le réseau Internet.
PS : J'ai commandé du matos fibre -- je vous dirais si je ne me suis pas trompé dans "tout ce bordel" de câbles, de modules SFP Fibre Optique..
Bonne soirée.
Romain
-
Sinon pour ajouter -- vu que l'on n'arrive pas à UTILISER la délégation IPv6 correctement :
Je me suis fait un réseau ULA (Unique Local Address) et fait mon NAT comme avant en version IPv6 (par contre je n'ai qu'une seule IPv6 UNICAST d'active).
UNICAST : Unique sur le réseau CAST (du Global International Network - InterNet), on pourrait traduire aussi par Uni avec le CAST ;D
----
Sur un ordinateur connecté à la livebox j'ai configuré en static une IPv6 - celle de mon bloc par defaut : celle-ci -> "2a01:cb1d:2d4:8800::1" et puis j'ai configuré mes ULA IPv6 "fc11::/16" sur les autres machines - Certes c'est nul mais au moins la livebox, voit qu'une seule machine sortir (un PC routeur avec 2 cartes réseau ou un bridge). Aussi sur la livebox, j'ai TOUT envoyé les ports UDP et TCP de 1 à 65535 sur cette machine.
ns4:/etc/bind $ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.116.42.1 netmask 255.255.255.0 broadcast 0.0.0.255
inet6 fc11:cb1d:2d4:8800::CAFE prefixlen 16 scopeid 0x0<global>
inet6 fe80::216:3eff:fe44:5610 prefixlen 64 scopeid 0x20<link>
ether 00:16:3e:44:56:10 txqueuelen 1000 (Ethernet)
RX packets 29062 bytes 16349788 (15.5 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 9342 bytes 880162 (859.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Cette machine EST protégée d'internet, elle est dans un réseau ULA (privé IPv6) ; elle n'est pas accessible depuis Internet.
ns4:/etc/bind $ ip -6 route show
fc11::/16 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via fc11:cb1d:2d4:8800:ffff:ffff:ffff:ffff dev eth0 metric 1024 pref medium
Ci-dessus la route de ma passerelle "LAN" (le brigde ou la deuxième carte réseau de la machine "routeur") pour que la machine puisse naviguer sur Internet.
La machine "routeur" est configurée comme çà :
BR0 = "2a01:cb1d:2d4:8800:0000:0000:0000:0001" -> une adresse UNICAST GLOBAL
BR1 = "fc11:cb1d:2d4:8800:FFFF:FFFF:FFFF:FFFF" -> une adresse ULA
Ci-dessous un "ping6" vers l'extérieur :
ns4:/etc/bind $ ping6 -n vps.ipv10.net -c2
PING vps.ipv10.net(2001:41d0:701:1100::6530) 56 data bytes
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=1 ttl=45 time=28.4 ms
64 bytes from 2001:41d0:701:1100::6530: icmp_seq=2 ttl=45 time=28.5 ms
--- vps.ipv10.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 56.9ms
rtt min/avg/max/mdev = 28.226/28.489/28.973/0.202 ms
Et la réponse du serveur que je ping :
vps:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
00:52:12.842514 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 62497, seq 1, length 64
00:52:12.842597 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 62497, seq 1, length 64
00:52:13.844111 IP6 2a01:cb1d:2d4:8800::1 > 2001:41d0:701:1100::6530: ICMP6, echo request, id 62497, seq 2, length 64
00:52:13.844167 IP6 2001:41d0:701:1100::6530 > 2a01:cb1d:2d4:8800::1: ICMP6, echo reply, id 62497, seq 2, length 64
Donc si vous souhaitez être caché en version IPv6 c'est de cette manière.
On ne voit et ne vera que la machine "8800::1" toujours ; pour toutes les adresses IPv6 LAN ULA "fc11::/16" (j'ai choisi fc11:: - mon VLAN est 10.11.0.0/24 dirais-je).
C'est exactement pareil qu'avec notre adresse IPv4 (public) et nos adresses sur notre réseau local "192.168.1.0/24" ; sauf qu'on a plus d'adressesss en IPv6 ;)
CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
IP address : fc11:cb1d:2d4:8800::cafe/16
type : Unique-Local Unicast (Unique Local Address (ULA)) (fc00::/7) [rfc4193 (https://www.bortzmeyer.org/4193.html)][IANA]
network : fc11::
Prefix length : 16
network range : fc11:0000:0000:0000:0000:0000:0000:0000-fc11:ffff:ffff:ffff:ffff:ffff:ffff:ffff
total IP addresses : 519,229,68,585,348,276,285,30,496,329,220,096
IP address (full) : fc11:cb1d:02d4:8800:0000:0000:0000:cafe
----
IP address : fc11:cb1d:2d4:8800::cafe/120
type : Unique-Local Unicast (Unique Local Address (ULA)) (fc00::/7) [rfc4193 (https://www.bortzmeyer.org/4193.html)][IANA]
network : fc11:cb1d:2d4:8800::ca00
Prefix length : 120
network range : fc11:cb1d:02d4:8800:0000:0000:0000:ca00-fc11:cb1d:02d4:8800:0000:0000:0000:caff
total IP addresses : 256
IP address (full) : fc11:cb1d:02d4:8800:0000:0000:0000:cafe
----
IP address : 192.168.1.10
class : C
type : PRIVATE (For Use in a private network. Not routable in the Internet [rfc1918 (https://www.bortzmeyer.org/1918.html)])
network : 192.168.1.0
bitmask : 24
netmask : 255.255.255.0
wildcardmask : 0.0.0.255
host range : 192.168.1.1-192.168.1.254
broadcast address : 192.168.1.255
total IP addresses : 254
----
Et je vous ajoute "comme avant" si vous avez un "serveur Web" HTTPS sur la machine "fc11:cb1d:2d4:8800::CAFE" qui est cachée derrière, il faut NATé le port (ici le TCP:443) :
ip6tables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j LOG --log-prefix "INPUT-T-HTTPS:"
ip6tables -t nat -A PREROUTING -d 2a01:cb1d:2d4:8800::1 -p tcp --dport 443 -j DNAT --to-destination [fc11:cb1d:2d4:8800::CAFE]:443
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -m tcp -p tcp --sport 443 -j ACCEPT
ip6tables -A OUTPUT -p tcp --sport 443 -j LOG --log-prefix "OUTPUT-T-HTTPS:"
Ma documentation sur le firewall ICMPv6 : https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6
:)
----
Ci-dessous un "traceroute6" depuis mon "VLAN 1" <-> "VLAN 0" -> qui fait le tout de la planète ;)
ns4:~ $ traceroute6 2607:5300:60:9389:58:0:1:10
traceroute to 2607:5300:60:9389:58:0:1:10 (2607:5300:60:9389:58:0:1:10), 30 hops max, 80 byte packets
# MAISON STD -> SLAN (IPv6 ULA) - VLAN 1 <-> MY GATEWAY
1 fc11:cb1d:2d4:8800:ffff:ffff:ffff:ffff (fc11:cb1d:2d4:8800:ffff:ffff:ffff:ffff) 0.936 ms 0.827 ms 0.770 ms
# MAISON STD -> WAN (IPv6 UNCAST) LIVEBOX ??? JE LE REPETE - QU'EST-CE QUE CETTE IP EN PLEIN MILIEU ????
2 2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839 (2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839) 11.604 ms 11.562 ms 11.527 ms
# INTERNET
3 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 9.741 ms 10.165 ms 10.598 ms
4 * * *
5 bundle-ether103.martr1.marseille.opentransit.net (2a01:cfc4:0:2000::9) 10.991 ms 11.978 ms *
6 be102.mrs-mrs1-pb1-nc5.fr.eu (2001:41d0::25a8) 28.980 ms 19.239 ms 19.619 ms
7 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5) 26.222 ms 40.555 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3) 33.911 ms
8 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5) 31.463 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3) 50.451 ms 51.264 ms
9 2001:41d0:aaaa:100::4 (2001:41d0:aaaa:100::4) 24.783 ms 2001:41d0:aaaa:100::2 (2001:41d0:aaaa:100::2) 26.874 ms 2001:41d0:aaaa:100::4 (2001:41d0:aaaa:100::4) 26.185 ms
10 * * *
11 * * *
12 * lon-drch-sbb1-nc5.uk.eu (2001:41d0::25ea) 30.550 ms 31.759 ms
13 * * *
14 * * *
15 vl100.bhs-d1-a75.qc.ca (2607:5300::1c3) 109.469 ms 105.547 ms vl100.bhs-d2-a75.qc.ca (2607:5300::1cd) 107.669 ms
16 2001:41d0:0:50::6:84f (2001:41d0:0:50::6:84f) 113.723 ms vl100.bhs-d1-a75.qc.ca (2607:5300::1c3) 107.068 ms 2001:41d0:0:50::6:959 (2001:41d0:0:50::6:959) 109.590 ms
17 2001:41d0:0:50::2:163 (2001:41d0:0:50::2:163) 116.014 ms 2001:41d0:0:50::2:15f (2001:41d0:0:50::2:15f) 113.988 ms 2001:41d0:0:50::6:95d (2001:41d0:0:50::6:95d) 109.908 ms
# CANADA MY DEDICATED SERVER
18 wan.ipv10.net (2607:5300:60:9389::1) 110.342 ms 2001:41d0:0:50::2:15f (2001:41d0:0:50::2:15f) 116.261 ms wan.ipv10.net (2607:5300:60:9389::1) 107.166 ms
# -> SWAN -> MAISON STD
19 swan.std.ipv10.net (2607:5300:60:9389:0:1:0:1) 215.373 ms 217.583 ms 213.399 ms
# -> SWAN -> MAISON STD -> SLAN (UNICAST) - VLAN0
20 w1c.lab3w.com (2607:5300:60:9389:58:0:1:10) 220.042 ms swan.std.ipv10.net (2607:5300:60:9389:0:1:0:1) 217.250 ms 211.923 ms
Je n'ai pas fait mes "routes" pour que VLAN0 aille à VLAN1 sans partir/sortir sur Internet -- C'est juste pour exemple - donc c'est normal le tour de la planète (c'est un autre machine sur mon LAN avec des IPv6 d'un autre FAI/ISP) :)
Sinon moi j'attends le bloc IPv6::/56 avec la délégation des adresses UNICAST !
----
Tout çà parce que ces adresses sont à eux (les blocs du dessus, ceux qui nous gèrent) ; ils ne veulent pas nous "donner" qu'on récupère de l'argent.
Parce qu'en ayant des adresses publiques sur le web et des adresses "temporaires" publiques çà leur payent les factures (pourtant, le protocole IPv6 a aussi était créé pour que l'utilisateur LAMBDA (celui à qui appartient, celui qui loue donc les blocs IPv6::/64 ou même IPv6::/56) puisse à son tour gagner de l'argent en consommant de publicité ou en m'étant en place des services chez lui, en son nom d'abonné - un peu comme avant avec "les barres de pub dans les explorateurs" que l'on installait soi-même pour se rémunérer). Ils nous piques tout !!!!!
Même dans les datacenters, j'ai la mauvaise impression qu'aussi (en tant que client "particulier") !!
C'est honteux tous ces avantages... Cela ne devrait pas être comme çà. C'était écrit autrement ! Et oui, oui on sort par une adresse IPv6 à VOUS et oui oui vous continuerez à récupérer de l'argent, sur notre navigation, utilisation d'internet !!! Et NOUS ??? ??
C'est comme si moi j'avais 200 potes ou 2 000 000 (millions) d'abonnés, 68 000 000 (millions) de français !!! combien de tablettes par maison ? haha... çà va bien la vie pour eux, multi-milliardaires en moins de 50 ans !!!
Moi, j'suis dans ma montagne, je ne vais pas pouvoir faire bouger çà, il faut en parler avec vos amis, patrons, responsables, supérieurs etc. On veut du blé, fruit de notre travail !!!
Merci !
Romain
----
Note de Moi-même : Comment changer activer/des-activer l'IPv6 temporaire ?
Linux : https://superuser.com/questions/1373638/change-ipv6-temporary-address-interval-generate-new-ipv6-address
use_tempaddr - INTEGER
Preference for Privacy Extensions (RFC3041).
<= 0 : disable Privacy Extensions
== 1 : enable Privacy Extensions, but prefer public
addresses over temporary addresses.
> 1 : enable Privacy Extensions and prefer temporary
addresses over public addresses.
Default: 0 (for most devices)
-1 (for point-to-point devices and loopback devices)
temp_valid_lft - INTEGER
valid lifetime (in seconds) for temporary addresses.
Default: 604800 (7 days)
temp_prefered_lft - INTEGER
Preferred lifetime (in seconds) for temporary addresses.
Default: 86400 (1 day)
Windows : https://learn.microsoft.com/en-us/answers/questions/382377/how-to-force-a-new-temporary-ipv6-address-in-windo
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
MaxTemporaryValidLifetime : 7.00:00:00
MaxTemporaryPreferredLifetime : 1.00:00:00
Korben -> Préservez votre anonymat sur un réseau en IPv6 (https://korben.info/ipv6-anonymat.html) - OK ;)
Bonne journée.
----
Je vous ajoute cet alias -> cat .bash_aliases <- qui me sert bien -- qui permet de voir certaines configurations liées au network et aux cartes réseaux ;)
Dans un Linux çà change les fichiers "par ici" par exemple -> cat /proc/sys/net/ipv6/conf/all/accept_source_route
[...]
alias ipv6_options="sysctl net.ipv6.conf.default.forwarding && sysctl net.ipv6.conf.default.autoconf && sysctl net.ipv6.conf.default.accept_redirects && sysctl net.ipv6.conf.default.accept_ra && sysctl net.ipv6.conf.default.proxy_ndp && sysctl net.ipv6.conf.default.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.all.forwarding && sysctl net.ipv6.conf.all.autoconf && sysctl net.ipv6.conf.all.accept_redirects && sysctl net.ipv6.conf.all.accept_ra && sysctl net.ipv6.conf.all.proxy_ndp && sysctl net.ipv6.conf.all.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.enp3s0.forwarding && sysctl net.ipv6.conf.enp3s0.autoconf && sysctl net.ipv6.conf.enp3s0.accept_redirects && sysctl net.ipv6.conf.enp3s0.accept_ra && sysctl net.ipv6.conf.enp3s0.proxy_ndp && sysctl net.ipv6.conf.enp3s0.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.vmbr0.forwarding && sysctl net.ipv6.conf.vmbr0.autoconf && sysctl net.ipv6.conf.vmbr0.accept_redirects && sysctl net.ipv6.conf.vmbr0.accept_ra && sysctl net.ipv6.conf.vmbr0.proxy_ndp && sysctl net.ipv6.conf.vmbr0.accept_source_route \
&& echo '' && sysctl net.ipv6.conf.vmbr1.forwarding && sysctl net.ipv6.conf.vmbr1.autoconf && sysctl net.ipv6.conf.vmbr1.accept_redirects && sysctl net.ipv6.conf.vmbr1.accept_ra && sysctl net.ipv6.conf.vmbr1.proxy_ndp && sysctl net.ipv6.conf.vmbr1.accept_source_route"
[...]
Qui me ressort çà :
root@uc1:~ # ipv6_options
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.default.autoconf = 1
net.ipv6.conf.default.accept_redirects = 1
net.ipv6.conf.default.accept_ra = 1
net.ipv6.conf.default.proxy_ndp = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_ra = 1
net.ipv6.conf.all.proxy_ndp = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.enp3s0.forwarding = 1
net.ipv6.conf.enp3s0.autoconf = 1
net.ipv6.conf.enp3s0.accept_redirects = 1
net.ipv6.conf.enp3s0.accept_ra = 1
net.ipv6.conf.enp3s0.proxy_ndp = 0
net.ipv6.conf.enp3s0.accept_source_route = 0
net.ipv6.conf.vmbr0.forwarding = 1
net.ipv6.conf.vmbr0.autoconf = 0
net.ipv6.conf.vmbr0.accept_redirects = 1
net.ipv6.conf.vmbr0.accept_ra = 0
net.ipv6.conf.vmbr0.proxy_ndp = 0
net.ipv6.conf.vmbr0.accept_source_route = 0
net.ipv6.conf.vmbr1.forwarding = 1
net.ipv6.conf.vmbr1.autoconf = 0
net.ipv6.conf.vmbr1.accept_redirects = 1
net.ipv6.conf.vmbr1.accept_ra = 0
net.ipv6.conf.vmbr1.proxy_ndp = 1
net.ipv6.conf.vmbr1.accept_source_route = 0
sysctl -w net.ipv6.conf.vmbr1.proxy_ndp=0 pour changer par exemple ;)
-
Bonjour à tous.
J'ai trouvé une super documentation sur l'IPv6 et en français.
:o https://p-fb.net/master1/audit_secures/cours/Cours_Audit_SecuRes.pdf (Audit & Sécurité Réseaux - :: Site pédagogique P-F. Bonnefoi) - Version du 10 janvier 2023 - Faculté de Sciences et Techniques - Université de Limoges - Master 1ère année.
Merci à eux pour cette documentation très clair.
Bonne soirée.
Romain
-
Salut,
j'ai trouvé çà, sans çà avoir essayé, si vous ne n'êtes pas courant.
https://github.com/fgero/dhcpv6-mod/blob/main/README.md qui permettrait d'utiliser l'IPv6::/56 d'Orange depuis un OpenWRT (je crois), depuis le forum, d'ici, lafibre.info ;) @fgero son nom d'utilisateur du forum. Merci.
Quelqu'un utilise cette solution ?
----
Sinon moi je suis en mode "apprendre à créer des VLANs" :o sur un Linux, sur des switchs managed (j'en ai un, norme 802.1Q (VLANs)), celui-ci achat en 2019, NETGEAR GS108PE Switch Prosafe+ 8 Gigabit /4 PoE manageable (https://www.amazon.fr/gp/product/B00J8NAWZ8/ref=ppx_yo_dt_b_asin_title_o07_s00?ie=UTF8&psc=1). Les commandes "bridge" "vlan" "vconfig"..
Des infos que j'ai lu :
1. https://connect.ed-diamond.com/GNU-Linux-Magazine/glmf-198/les-reseaux-logiques-vlans
2. https://www.redhat.com/sysadmin/vlans-configuration
3. https://doc.ycharbi.fr/index.php/Vlan_-_linux
4. https://www.bicomm.fr/vlan-quest-ce-que-le-pvid/
;D :-[
Déjà je crois que le switch que j'ai acheté ne gère pas le concept que j'essayé de vouloir faire.
1. Branché du mur sur le boitier "prise terminale optique (PTO)" (est-ce cela ?), au switch (unmanaged, sans touche VLAN : qui permet si j'ai bien compris de séparer les ports SPF des RJ45.
2. Ce switch qui je croyais, identifierait automatiquement, si j'envoyé une demande "dhclient" d'un PC connecté à un des ports RJ45 et qui monterait vers Orange, comment dit-on, vers le OLT ?).
J'apprend.
----
J'ai acheté çà (la semaine dernière) - Premier achat Fibre !
1. Jarretière Simplex Monomode SC-APC à SC-UPC (https://www.amazon.fr/dp/B07WMXBJ8Z?ref=ppx_yo2ov_dt_b_product_details&th=1)
2. Module SFP 1.25G, Connecteur Câble à Fibre Optique Monomode SC (https://www.amazon.fr/dp/B07ZKL74Y4?psc=1&ref=ppx_yo2ov_dt_b_product_details)
3. NICGIGA nic-s25-0402P 4 Port 2.5G PoE Switch Unmanaged (https://www.amazon.fr/dp/B0CDH12CVK?psc=1&ref=ppx_yo2ov_dt_b_product_details)
----
La LB5 :
(https://www.zw3b.fr/pub/screens/orange/livebox5-fibre-downlink.jpg)
Est-ce le PTO le nom de ce boitier ? ou dit-on un ONT (je crois sur un ONT y'a une prise RJ45 en plus de la prise fibre "version" ?).
(https://www.zw3b.fr/pub/screens/orange/boitier-mur-orange-fibre.jpg)
Mon switch nic-s25-0402P unmanaged :
(https://www.zw3b.fr/pub/screens/orange/swith-nic-s25-0402P-unmanaged.jpg)
En vidéo ;)
https://www.zw3b.fr/pub/screens/orange/PTO-SWITCH-FIBRE.mp4
8)
----
Pour mémo :
ODN : Optical Distribution Network -> https://fr.wikipedia.org/wiki/Optical_Distribution_Network
Un Optical Distribution Network (abrév. ODN) permet de réaliser la transmission optique de la terminaison OLT vers les ONT des utilisateurs et vice versa. Il emploie des fibres optiques et des composants optiques passifs
OLT : Optical Line Termination -> https://fr.wikipedia.org/wiki/Optical_Line_Termination
C'est l'équipement situé dans le central téléphonique du fournisseur de services. L'OLT joue un rôle essentiel dans la coordination des signaux de données entre le réseau du fournisseur et les différents ONT connectés à l'ODN.
ONT (Optical Network Terminal) -> https://fr.wikipedia.org/wiki/Optical_Network_Termination
C'est le dispositif situé chez l'utilisateur final. L'ONT convertit les signaux optiques en signaux électriques pour les appareils de l'utilisateur et inversement.
ONU : Optical Network Unit -> https://fr.wikipedia.org/wiki/Optical_Network_Unit
L'optical network unit (abrév. ONU) est l'équipement utilisateur chargé de terminer la fibre optique dans un réseau d'accès à Internet de type FTTH.
Il fait la conversion du signal optique en signal électrique.
----
Merci pour vos réponses.
Romain
-
Je crois que le technicien SETA, Orange a fait çà le jour du branchement fibre optique, cà s'appelle un boitier PTO.
https://www.youtube.com/watch?v=IZnU5bRmH-Y
:)
-
Bon j'ai trouvé une documentation complète sur le matériel à acheter avec des explications technique par ici :
+ LaFibre.info : La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/) (LinuxFR.org : La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (https://linuxfr.org/users/rafael/journaux/la-fibre-orange-a-2gbps-sur-un-routeur-mikrotik-10gbps-ccr2004-via-un-ont-sfp))
\_ - Temple de la renommée -> https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg944948/#msg944948
----
Bon sinon, avant d'essayer d'utiliser le bloc l'IPv6::/56. Il faudrait que j'arrive à m'identifier et m'authentifier sur le réseau Orange sans livebox.
Si j’achète çà :
Mikrotik hEX PoE Routeur connecté Blanc
https://www.senetic.fr/product/RB960PGS 88,93 € TTC
A vos humbles avis, pourrais-je utiliser les commandes de RouterOS (https://help.mikrotik.com/docs/) ?
Est-ce utile d'acheter ce routeur, que cela fonctionnerait ? ou est-ce qu'une carte réseau dans une machine avec le module ci-dessous ferait l'affaire ?
Module ONU SFP GPON avec Mac 70,80 € TTC
https://www.fs.com/fr/products/133619.html
-> pour la liasion MACADDR pour la connexion hardware au réseau Orange <- qui se brancherai de la prise PTO au routeur ? Est-ce bien cela ?
Pour que je puisse lancer l'authentification DHCP Client depuis une machine connecté à ce routeur ?
Merci pour vos suggestions.
Romain.
-
Un Hex c'est un peu léger sur une FTTH...
Vaut mieux viser un RB5009 par exemple, c'est plus pérenne
-
Un Hex c'est un peu léger sur une FTTH...
Vaut mieux viser un RB5009 par exemple, c'est plus pérenne
Okay merci. Cà va faire moche sur ma table basse ::)
C'est juste pour "essayer" les commandes RouterOS et d'attraper la connexion.
Pensez-vous que je pourrais techniquement y arriver, avec seulement c'est 2 accessoires ?
J'ai l'abonnement fibre le plus bas niveau bande passante 100mg au lieu de 350mg.
Je lisais cette page -> https://help.mikrotik.com/docs/display/ROS/MikroTik+wired+interface+compatibility (avec leurs routeurs/switch).
-
Pourquoi ne pas plutôt mettre ce message ici (https://lafibre.info/evolution/), et surtout pourquoi vouloir le supprimer ?
-
J'ai fais des tests :
1. Website test: lafibre.info (63%) https://internet.nl/site/lafibre.info/2629107/ (2024-02-15 03:08 UTC) - super important si vous travailler avec des informations "type Carte Bleu"
Salut,
Tu penses que le forum gère vraiment des paiements via carte bleue ? Continue de faire un tour dessus...
-
Pourquoi ne pas plutôt mettre ce message ici (https://lafibre.info/evolution/), et surtout pourquoi vouloir le supprimer ?
Je ne connaissais pas la rubrique "evolution" -- J'ai supprimé le message. Je sais bien qu'il y a pas de CB.. Mais sinon, connaitriez-vous peut-être d'autres sites web ou serveurs des mails, des vos amis, collaborateurs, associés. Vous travaillez dans le réseaux et la sécurité et vous êtes français, c'est tout ce qui m'importe.
Donc, https://internet.nl et on se met en conformité.
Greets,
Romain.
-
Bonjour, je vous transmet cela par ici :
J'ai remarqué sur mon tout nouveau OS Windows 11 Home Edition qu'en désactivant l'IPv6 dans les options, j'ai toujours l'IPv6.
(https://www.zw3b.fr/pub/screens/others/Capture-d'%c3%a9cran-2024-02-18-135015.png)
(https://www.zw3b.fr/pub/screens/others/Capture-d'%c3%a9cran-2024-02-18-135052.png)
(https://www.zw3b.fr/pub/screens/others/Capture-d'%c3%a9cran-2024-02-18-135812.png)
:-\
Bonne journée.
Romain
-
Je crois que Microsoft recommande de ne pas désactiver IPv6 depuis plusieurs années, mais je n'ai jamais utilisé Windows 11.
-
Je confirme, ça pète des trucs, notamment dans un AD.
-
Je crois que Microsoft recommande de ne pas désactiver IPv6 depuis plusieurs années, mais je n'ai jamais utilisé Windows 11.
çà c'est leur problème. Moi, j'ai une option "désactiver l'IPv6" dans leur OS mais toujours l'IPv6 !!!!
:o
Je confirme, ça pète des trucs, notamment dans un AD.
C'est dangereux ???
Bonne journée.
-
Je ré-ajoute çà, je n'ai pas essayé -- encore -- vu que je fais des tests réseau IPv6.
Histoire d'IPv6 Windows/Linux d'adresses temporaire :
Note de Moi-même : Comment changer activer/des-activer l'IPv6 temporaire ?
Linux : https://superuser.com/questions/1373638/change-ipv6-temporary-address-interval-generate-new-ipv6-address
use_tempaddr - INTEGER
Preference for Privacy Extensions (RFC3041).
<= 0 : disable Privacy Extensions
== 1 : enable Privacy Extensions, but prefer public
addresses over temporary addresses.
> 1 : enable Privacy Extensions and prefer temporary
addresses over public addresses.
Default: 0 (for most devices)
-1 (for point-to-point devices and loopback devices)
temp_valid_lft - INTEGER
valid lifetime (in seconds) for temporary addresses.
Default: 604800 (7 days)
temp_prefered_lft - INTEGER
Preferred lifetime (in seconds) for temporary addresses.
Default: 86400 (1 day)
Windows : https://learn.microsoft.com/en-us/answers/questions/382377/how-to-force-a-new-temporary-ipv6-address-in-windo
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
MaxTemporaryValidLifetime : 7.00:00:00
MaxTemporaryPreferredLifetime : 1.00:00:00
Korben -> Préservez votre anonymat sur un réseau en IPv6 (https://korben.info/ipv6-anonymat.html) - OK ;)
Bonne journée.
-
çà c'est leur problème. Moi, j'ai une option "désactiver l'IPv6" dans leur OS mais toujours l'IPv6 !!!!
:o
C'est dangereux ???
Bonne journée.
l'option que tu montre dans la capture d'écran est pour mettre une adresse fixe !
il y'a pas mal de clics à faire depuis la refonte de la gestion du réseau sous Windows 11 ....
si tu souhaites désactiver l'IPV6 il faut aller ouvrir l'ancien panneau de configuration des carte réseaux elle se situe dans "Paramètre réseau avancés" > Cliquer sur la carte réseau a configurer > "Autres options d'adaptateur" > décocher "Protocole internet Version 6 (TCP/IPv6)
pour aller plus vite > Win+R > ncpa.cpl > double clic sur la carte réseau > Propriété > décocher "Protocole internet Version 6 (TCP/IPv6)
sinon autrement il vaut mieux appréhender et apprendre a utiliser IPv6 ! ( suivez le Mooc Ipv6 ! )
-
Je confirme, ça pète des trucs, notamment dans un AD.
Ah ? J'ai un AD chez moi, et aucun soucis il marche très bien en v4 only (du moins pour mon utilisation). J'ai viré l'ipv6 car j'avais des soucis de routage de préfixe (le DC principal est chez mes parents via VPN, j'ai aussi un DC de mon côté pour compenser la lenteur de mon ADSL) et il faudrait que je route le préfixe à travers le VPN ; hors ça ne m'arrange pas, lorsque par ex j'ai des problèmes de co, je veux pouvoir vérifier que c'est bien UP chez mes parents, et pas le VPN qui déconne.
Je ne sais pas s'il y a une solution plus pratique à ce genre de cas.
J'ai voulu faire un truc à base d'ULA, mais vu qu'il faudrait changer la précédence sur toutes les machines... j'ai laissé tomber.
-
l'option que tu montre dans la capture d'écran est pour mettre une adresse fixe !
Pourtant il y a écrit -> configuration MANUEL -> Désactiver l'IPv6
il y'a pas mal de clics à faire depuis la refonte de la gestion du réseau sous Windows 11 ....
si tu souhaites désactiver l'IPV6 il faut aller ouvrir l'ancien panneau de configuration des carte réseaux elle se situe dans "Paramètre réseau avancés" > Cliquer sur la carte réseau a configurer > "Autres options d'adaptateur" > décocher "Protocole internet Version 6 (TCP/IPv6)
pour aller plus vite > Win+R > ncpa.cpl > double clic sur la carte réseau > Propriété > décocher "Protocole internet Version 6 (TCP/IPv6)
Merci beaucoup.
sinon autrement il vaut mieux appréhender et apprendre a utiliser IPv6 ! ( suivez le Mooc Ipv6 ! )
:D J'apprend l'Ipv6 toute les jours depuis 2009 .... Quel MOOC (Massive open online course) par exemple ?
Ah ? J'ai un AD chez moi....
Oui je pensais à toi hier soir ^^ (à çà :D ), et l'IPv6 ... Faudrait tester sur des petit blocs "cafe".
# Site 2 (chez tes parents)
fc00:0000:0000:0000:0002:0000:0000:0adX/64
# Site 1 (chez toi)
fc00:0000:0000:0000:0001:0000:0000:0ad1/64
fc00:0000:0000:0000:0001:0000:0000:0ad2/64
Pour dans l'optique de pouvoir joindre un autre bloc dans ce bloc "fc00:0000:0000:0000::/64" par exemple (toi, tes parents et/ou tes potes vous avez tous le "même réseau", la même configuration réseau en "fc00:0000:0000:0000::/64" pour le local par exemple, mais les routes VPN entre chaque site sont plus basses en réseau IPv6::/80 (de fc00:0000:0000:0000:0001:0000:0000:0000 à fc00:0000:0000:0000:0001:FFFF:FFFF:FFFF) CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
- par accéder à chez toi depuis chez tes parents -> fc00::1:0:0:0/80
- par accéder à chez tes parents depuis chez toi -> fc00::2:0:0:0/80
Pour ajouter tes liens VPN pouraient-être ceux-là :
fe00:eeee:eeee:eeee:eee1:0:0:1/80 et fe00:eeee:eeee:eeee:eee2:0:0:1/7 (network range : fe00:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)
La gateway entre ton PDC (ad1) et BDC (ad2) -> sur ton local.
fc00:0000:0000:0000:0001:0000:0000:cafe/112 ou fc00:0000:0000:0000:0001:0000:00ff:00fe/104 ou fc00:0000:0000:0000:0001:0000:0000:0afe/120
Je t'avoue, je n'sais pas trop, mais normalement tu devrais voir la puissante de l'IPv6 .. en transitant très rapidement sans chercher sur tout le bloc IPv6::/64).
Ton PC pourrait peut-être, avoir l'adresse :
fc00:0000:0000:0000:0001:0000:0000:00c1/120 ou fc00:0000:0000:0000:0001:0000:0000:00c1/64 ou pleins d'autres address IPv6 ; tout dépend des mask ou en ajoutant la route de la passerelle à la main.
----
Tu peut commencer par tout mettre en /64 pour voir se qui transites et si les machines et les DC (contrôleurs de domaines) s'associent.
----
Ce qui est bien avec des Active Directory c'est que le protocole "scann/recherche" dans son masque de sous-réseau son "clone" primaire / secondaire / tertiaire.
Çà m'a l'air parfait pour apprendre/tester l'IPv6, les masques, et sa rapidité à vérifier/trouver/s'accrocher aux machines accessible sur son/ses sous-réseaux.
----
Et une fois que çà fonctionne tu ajoutes là où tu le souhaites des adresses UNICAST GLOBAL de vos blocs IPv6::/64 en laissant la configuration ULA (si par exemple chez tes parents tu ne souhaites pas avoir de domaine contrôleur accessible depuis Internet, sur la machine "ADX" tu n'ajoute aucune UNICAST GLABAL.
----
Romain
Note de Moi-même, bien que "la phrase" soit difficile à lire/comprendre :
Et si par "magie" on arrive à pouvoir gérer le bloc IPv6::/56 chez Orange ; et bien on pourra monter d'un cran, d'un bloc. ":XXFF:" et pouvoir configurer "de 00 à FF" du XXFF pour plusieurs multicast UNICAST GLOBAL IPv6::/64 pour nos 2 machines de notre réseau "local" (mais avec des adresses publiques) et avoir 2 liens "FE80::/64" depuis notre routeur principal.
# Moi
2a01:cb1d:2d4:8800::/56 -> network 2a01:cb1d:2d4:8800-FF::/56 et mon réseau d'administration 2a01:cb1d:2d4:88FF:FFFF:FFFF:FFFF:FFFF
# Orange (son réseau d'administration, sûrement (je ne suis pas FAI, moi ^^)
2a01:cb1d:2fe:80XX::/48 -> pour orange -> fe:80XX: - pour orange je suis -> cX:XFXX: en l'occcurence c8:8FXX:
# Network range IPv6::/48
2a01:cb1d:02fe:0000:0000:0000:0000:0000
2a01:cb1d:02fe:FFFF:FFFF:FFFF:FFFF:FFFF
PS : Orange n'est pas en blocs iPv6::/48 il est plus haut... pour mon addresse 2a01:cb1d:2d4:8800::/56 je suis sur/dans le bloc "2a01:c000::/19" (commande whois/rdap IPv6).
-> mais pour le routeur "2D4" (2a01:cb1d:2d4:CLIENT) qui normalement comme je l'expliqué au dessus doit avoir par exemple une adresse ULA de type fd00:XXXX:2d4::/7 ::/8 ::/16 je n'en sais rien - ce routeur ne gère/gérerai qu'un bloc ::/48
En plus :
Le site 2 d'Orange 2a01:cb1d:2XXXXXXX a le netmask -> 2a01:cb1d:2d0::/44 ->
LE réseau :
2a01:cb1d:02d0:0000:0000:0000:0000:0000
2a01:cb1d:02dF:FFFF:FFFF:FFFF:FFFF:FFFF
à 4 routeurs ou plus... :
2a01:cb1d:2d1:0000:0000:0000:0000:0000/48
2a01:cb1d:2d2:0000:0000:0000:0000:0000/48
2a01:cb1d:2d3:0000:0000:0000:0000:0000/48
2a01:cb1d:2d4:0000:0000:0000:0000:0000/48
Et nous on est client accroché à un de ces routeurs, moi sur le D4 réfléchissons :
Sur :
2a01:cb1d:2d4:0000:0000:0000:0000:0000/48 (routeur D4 orange)
2a01:cb1d:2d4:8800:0000:0000:0000:0000/56 (moi)
donc :
2a01:cb1d:2dF:E800:0000:0000:0000:0000/64 -> F:E8:MACADDR_PC_0 -> "en vrai" -> FC01:cb1d:2FE:80XX:0000:0000:0000:0000/7
2a01:cb1d:2dF:E801:0000:0000:0000:0000/64 -> F:E8:MACADDR_PC_1
Je me trompe de bit -- il faut déplacer de 2 bits vers le haut et non pas 1 seul bit, mais, je fais exprès d'expliquer comme cela.
F == local (routeur)
E == le lien sécurisé (entre le local (routeur) et l'association de ces 2 "sites/réseaux").
8 == association (du local -> et du client) -> qui correpondant à mon 1er F pour moi le client.
0 == tout ce qui en dessous ; le client (enfin les premiers liens-local, ceux accrochés au routeur "livebox), mon 2ème F.
Et mes machines... 1er "F" et 2ème "F" se transforment en "FE" pour moi et mes associations (80)...
PS : Une fois que t'as réussis les blocs "cafe" tu peut passer au bloc "beef" :D
Le local est au dessus :D du bloc 112 -> CF XXXX:XXXX:XXXX:XXXX:0000:0000:BEEF:CAFE/LEQUEL ? Sur site B ou A ; encrypté ; ou juste au dessus ; où çà ? dans le bloc mulitcast 104 ou/et 64 ? du "fake bloc" 2a01:cb1d:2d4:8800::8000:0/98.
Exemple en configurant sur le routeur :
ip -6 route add 2a01:cb1d:2d4:8800:0000:0000:8000:0000/98 dev vmbr1
si la machine "2a01:cb1d:2d4:8800:0000:0000:BEEF:CAFE/98" est connectée à VMBR1 elles se pingueront. Même si elle était configurer en ::/128 (mais en ajoutant une route manuellement à la "beef:cafe").
;D
:)
Chaud ;)
PS : Sinon moi je galère à faire voir mes routes clients IPvX (initiateur) par le serveur (recepteur) dans strongSwan :/ table 220 ;)
Note de Moi-même 20240221 :
- Le masque 96 (on pourrait dire c'est un 56 en plus petit) - ADMINISTRATION
- Le masque 104 (on pourrait dire c'est un 64 en plus petit) - MULTICAST
Pour expliquer :
- dans le IPv6::/56 y'a plusieurs multicast IPv6::/64
- dans le IPv6::/96 y'a plusieurs multicast IPv6::/104
cooL :D
Exemple :
- Routeur -> VMBR1 : fc74::1:0:00FF:FFFF/96 (je suis la "livebox" avec mon link-local vers le haut, je suis la passerelle de tout les blocs /64 ^^ /104)
Machines connectée à cette interface (je configure la passerelle manuellement ou j'utilise le lien fe80 de la passerelle si j'ai "accept_ra")
- ETH0 machine : fc74::1:0:FF00:0001/104 qui peut configurer fc74::1:0:FF01:0001/104 ; fc74::1:0:FF02:0001/104 ; fc74::1:0:FF51:0001/104 etc etc..
-
J'ai déjà un préfixe ULA sur mon LAN, ce n'est pas vraiment la mise en place qui pose problème.
Oui je pourrais utiliser que des ULA et pas de GUA sur les 2 AD, mais il y a surtout le problème des clients qui eux ont une GUA.
Et dans le DNS toutes les adresses remontent (impossible de choisir celles qu'on veut ou non enregistrer), tu vois venir le soucis ? Lorsque je vais essayer d'accéder à un client (au hasard pour une session RDP), je vais avoir la GUA qui va être prioritaire et paf : ça va sortir sur le net et pas par le VPN. D'où mon histoire de précédence à modifier partout (et c'est franchement pas pratique).
Le seule solution que je vois, c'est de ne pas utiliser le premier /64, et de mettre tout le LAN sur un autre et router celui-ci par le VPN, idem de l'autre côté. De cette manière le 1er /64 serait toujours accessible par le net si j'ai besoin de diagnostiquer la connexion. Et plus important encore dans un contexte ipv6 only, pouvoir monter le VPN, ce qui est un peu beaucoup indispensable.
-
J'ai déjà un préfixe ULA sur mon LAN, ce n'est pas vraiment la mise en place qui pose problème.
Oui je pourrais utiliser que des ULA et pas de GUA sur les 2 AD, mais il y a surtout le problème des clients qui eux ont une GUA.
OK
Et dans le DNS toutes les adresses remontent (impossible de choisir celles qu'on veut ou non enregistrer), tu vois venir le soucis ? Lorsque je vais essayer d'accéder à un client (au hasard pour une session RDP), je vais avoir la GUA qui va être prioritaire et paf : ça va sortir sur le net et pas par le VPN. D'où mon histoire de précédence à modifier partout (et c'est franchement pas pratique).
Comme tu le dis ce n'est vraiment pas pratique.
Le seule solution que je vois, c'est de ne pas utiliser le premier /64, et de mettre tout le LAN sur un autre et router celui-ci par le VPN, idem de l'autre côté. De cette manière le 1er /64 serait toujours accessible par le net si j'ai besoin de diagnostiquer la connexion. Et plus important encore dans un contexte ipv6 only, pouvoir monter le VPN, ce qui est un peu beaucoup indispensable.
Ouais je comprend.
Je ne pas de donner de conseil, je n'ai pas assez "travailler" avec le/les blocs IPv6 d'Orange.
Bonne journée à toi @renaud07.
Romain
Note de Moi-même 20240221 : J'ajoute un truc dans mon commentaire Réponse #45 du dessus (#post_msg1058748) - à la fin.
-
Bonjour rien à voir et ce n'est pas non plus un forum Windows's friends dedicated - mais pour parler de "réseau" dans windows 11 !!!
Un truc lourd qui rend dingue ; c'est qu'en tu configures une carte réseau en manuel, par exemple l'IPv4 et qu'en tu supprimes ta passerelle internet et que toutes tes connexions SSH locales (donc sur ton LAN) se coupent... Le truc qui n'a rien à voir...
Avant dans Windows 7 (mon dernier windows) çà coupait que les connexions internet SSH connectées sur leurs adresses IPv4. Celles connectées sur l'IPv6 restées UP ; et les locales IPv4 aussi restées UP, çà va de soit.
Là, c'est lourdingue !
Sinon bonne journée à toutes et à tous.
Romain
----
Et pour parler d'IPv6 (sans appliquer ce que LeNuageux me conseillait de faire pour désactiver l'IPv6) ; seulement en "Configuration Network -> manuel -> IPv6 Désactivé", l'adresse de link-local fe80:: reste sur ma carte réseau - MAIS surtout, la gateway IPv6 en link-local reste aussi "active" - Et, donc même en configurant une autre adresse d'un serveur DHCPv6/gateway de son réseau local (autre que celui/celle de la livebox par exemple (je parle d'un problème dans Window11)) ; l'ancienne "gateway" IPv6 en link-local est accrochée au link-local IPv6 à mon protocole réseau "désactivé".
Même en tapant de ipconfig /renew6 ; ipconfig /release6 ; rien n'y fait - J'ai même désactivé l'IPv6 de la "livebox" ; le DHCPv4 ; et redémarré Windows 11.
----
Sinon le DUID çà fonctionne bien par rapport à une , par carte réseau et non pas par ordinateur (entier) ? N'est-ce pas ?!
Par ce que par exemple sur cette machine Windows 11 ; j'ai 2 cartes réseaux ; elles ont presque les même MACADDRESS
XX-XX-XX-XX-X0-7F (carte branchée active)
XX-XX-XX-XX-X0-7E (carte non branchée - Je l'ai déjà branchée sur le réseau au switch - j'ai changé de port ethernet)
Et je vois le "DUID de client DHCPv6 (donc ma carte)" qui est 00-01-00-01-2D-19-C1-01-XX-XX-XX-XX-X0-7E
Je n'ai pas re-changé de passerelle hein ^^ mais je vous jure le fe80:: de la passerelle ne change pas.
(https://www.zw3b.fr/pub/screens/others/Capture%20d'%c3%a9cran%202024-02-26%20141330-ethernet-card.png)
Sinon, c'est tout...
-
Je vous ajoute ce lien vers la communauté d'OVH : https://community.ovh.com/t/Ipv6-avec-LAN-et-pfSense/56309/ où j'ai posté une réponse à la question posée.
En plus ; pour un exemple de configuration IPv6 de boxe d'ISP (SFR.FR)
(https://howto.zw3b.fr/var/contents/docs/318/sfr-routeur-reseauv6-dhcp.jpg)
Romain
-
Je viens de comprendre qu'Orange SAS ont configurés des adresses EUI-64 pour leurs livebox, c'est de l'auto-configuration sur l'adresse UNICAST GLOBAL Internet ; MOK !
Il aurait (mieux) fallu la mettre sur notre lien-local FE80:: entre eux et nous et déclarer que toutes adresse du bloc IPv6::/56 qui arrive par ce lien est autorisée à entrer et sortir , selon la configuration du pare-feu du routeur :)
Et hop.. c'est finit, Orange SAS réparé :D
Super simple !
CF :
MAC de ma LiveBox : C0:D7:AA:C0:F8:39
Bloc IPv6::/56 de ma LiveBox : 2a01:cb1d:02d4:8800::
IPv6 de ma LiveBox :
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr 2a01:cb1d:2d4:8800:: C0:D7:AA:C0:F8:39
2a01:cb1d:2d4:8800:c2d7:aaff:fec0:f839
What are EUI-48 and EUI-64? (https://networkengineering.stackexchange.com/questions/23566/what-are-eui-48-and-eui-64)
- EUI-48 et MAC-48 : est la concaténation d'un OUI (Organizationally Unique Identifier) de 24 bits attribué par l'IEEE et d'un identifiant d'extension de 24 bits attribué par l'organisation/fournisseur avec cette attribution OUI (NIC).
- EUI-64 (64-bit Extended Unique Identifier format).
En implémentant l'EUI-64 (format d'identifiant unique étendu 64 bits), un hôte peut automatiquement s'attribuer un identifiant d'interface IPv6 64 bits unique sans avoir besoin de configuration manuelle ou de DHCP. C'est donc une question d'IPv6. Quoi qu'il en soit, si vous êtes intéressé par la façon dont il est calculé, il est appliqué à une adresse MAC comme celle-ci :
L'adresse MAC de 48 bits est divisée en deux, le groupe hexadécimal FFFE est inséré au milieu (après le 24e bit) et le septième bit le plus significatif est inversé.
RFC 4291 : IP Version 6 Addressing Architecture (https://www.rfc-editor.org/rfc/rfc4291)
IPV6 : 2000:0000:0000:0000:XXXX:XXFF:FEXX:XXXX == EUI-64
J'ajoute ces informations sur : IPv6 Address MAC -> EUI-64 (https://fr.wikipedia.org/wiki/Adresse_MAC#EUI-64) ("Extended Unique Identifier" pour "identifiant unique étendu")
Méthode EUI64 pour expansion d'adresse (https://www.formip.com/pages/blog/m%C3%A9thode-eui64).
Others links -> IPv6 – SLAAC EUI-64 Address Form (https://howdoesinternetwork.com/2013/slaac-ipv6-stateless-address-autoconfiguration) and IPv6 Stateless Address Auto-configuration (SLAAC) (https://www.networkacademy.io/ccna/ipv6/stateless-address-autoconfiguration-slaac) and How to Calculate an EUI-64 Address (https://www.kwtrain.com/blog/how-to-calculate-an-eui-64-address) and How to use shell to derive an IPv6 address from a MAC address? (https://unix.stackexchange.com/questions/136674/how-to-use-shell-to-derive-an-ipv6-address-from-a-mac-address)
J'ajoute cette page au 20240324 : RFC 4941 (http://www.rfc-editor.org/info/rfc4941) : Privacy Extensions for Stateless Address Autoconfiguration in IPv6 (https://www.bortzmeyer.org/4941.html)
----
Exemple :
# IN MY LIVEBOX -> LE LIEN ENTRE ISP et MOI (EUI-64)
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr fe80:: C0:D7:AA:C0:F8:39
fe80::429c:a7ff:fec0:f839
# IN MY LIVEBOX -> ADDRESS ULA POUR EUX SUR LEUR RESEAU (EUI-64)
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr FDC0:cb1d:2d4:8800:: C0:D7:AA:C0:F8:39
FDC0:cb1d:2d4:8800:429c:a7ff:fec0:f839
# UN PC CHEZ MOI
# Pour mes liens (EUI-64)
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr fe80:: C2:9C:A7:5D:7D:25
fe80::c09c:a7ff:fe5d:7d25
# Pour mon network local (EUI-64)
# Au pire si je n'ai pas activé de DHCP sur la Livebox ou sur mon routeur, autoconfiguration
$ ipv6calc --action prefixmac2ipv6 --in prefix+mac --out ipv6addr FC01:cb1d:2d4:8800:: C2:9C:A7:5D:7D:25
FC00:cb1d:2d4:8800:c09c:a7ff:fe5d:7d25
# Configuration static
2a01:cb1d:2d4:8800:0000:0000:0000:00001
Par rapport à notre lien-local fe80::/64 (EUI-64) dans la livebox, dès qu'elle est allumée et authentifiée, ils peuvent m'envoyer/recevoir (se dire, si çà arrive de là, de ce lien) toutes les adresses dans bloc IPv6::/56 peuvent entrer et sortir.
LA, ma passerelle est chez eux (ce n'est pas physiquement ma livebox).
Elle est configurée comme çà :
Sur leur carte ethernet avec un link-local "fe80::" connecté à ma livebox "fe80::429c:a7ff:fec0:f839" l'adresse UNICAST GLOBALE de leur carte ethernet a l'IP "2a01:cb1d:2d4:88FF:00FF:00FF:00FF:00FF" pour mon réseau 2a01:cb1d:02d4:8800::/56.
Pas forcement besoin d'une adresse ULA fc00::/8 (EUI-64) pour ma livebox, sauf ou "mise à part" si dans la livebox ils ont ajouter un serveur DHCPv6 ULA.
Nos 2 réseaux ULA fc00::/8 ne peut pas communiquer parce qu'il y'a un "firewall". De toute façon c'est leur réseau et je ne suis pas visible d'internet sur cette IPv6 ULA.
Dès que je configure une adresse Internet (de mon bloc UNICAST GLOBAL IPv6::/56) celle-ci peut entrer et sortir, c'est le but d'une adresse GLOBAL.
Pas besoin d'ajouter de firewall sur le bloc GLOBAL (puisque c'est au poste, à la machine d'assumer son rôle en étant IPv6 UNICAST GLOBAL et d'avoir un firewall actif). Çà sert a çà l'IPv6 UNICAST GLOBAL (avoir une adresse publique visible de l'internet (pour ouvrir des ports et renvoyer des choses, des informations avec cette adresse IP).
Sur des postes "cachés" j'ai une address fc00:: avec passerelle l'adresse link-local IP fe80::
Sur des postes "non cachés" je suis dans mon bloc internet à moi valide 2a01:cb1d:2d4:88XX:: avec passerelle l'adresse link-local IP fe80:: ou UNICAST GLOBAL 2a01:cb1d:02d4:88FF:00FF:00FF:00FF:00FF
Eux, leur passerelle du dessus est celle-ci logiquement : 2a01:cb1d:00FF:00FF:00FF:00FF:00FF:00FF ; elle gère 2a01:cb1d:02d4:: et même peut gérer 2a01:cb1d:01d0:: par exemple.
;)
Infos ULA ; SLAN ; Link-Local (GestióIP : IPv4/IPv6 subnet calculator (http://www.gestioip.net/cgi-bin/subnet_calculator.cgi)) :
Unique-Local Unicast :
- IP address : fdc0::/7
- type : Unique-Local Unicast (Unique Local Address (ULA)) (fc00::/7) [rfc4193 (https://www.rfc-editor.org/rfc/rfc4193)][IANA (http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml)]
- network : fc00::
- Prefix length : 7
- network range : fc00:0000:0000:0000:0000:0000:0000:0000-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- total IP addresses : 2,658,455,991,569,831,745,807,614,120,560,689,152
Site-Local Securisé :
- IP address : fec0::c09c:a7ff:fe5d:7d25/10
- type : Reserved by IETF (Deprecated by [rfc3879] in September 2004). Formerly a Site-Local scoped address prefix (fec0::/10) [rfc3879 (https://www.rfc-editor.org/rfc/rfc3879)][IANA (http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml)])
- network : fec0::
- Prefix length : 10
- network range : fec0:0000:0000:0000:0000:0000:0000:0000-feff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- total IP addresses : 332,306,998,946,228,968,225,951,765,070,086,144
Link-Local Unicast :
- IP address : fe80::c09c:a7ff:fe5d:7d25/10
- type : Link-Local Unicast (Linked-Scoped Unicast) (fe80::/10) [rfc4291 (https://www.rfc-editor.org/rfc/rfc4291)][IANA (http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml)])
- network fe80::
- Prefix length : 10
- network range : fe80:0000:0000:0000:0000:0000:0000:0000-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- total IP addresses : 332,306,998,946,228,968,225,951,765,070,086,144
Et j'ajoute parce que çà aussi c'est super important - L'histoire de "Déléguer de l'IPv6" - çà se gère sur le DNS autoritaire seulement et simplement et c'est fait pour les PTR ; rien d'autre !!!
Le serveur de noms du ISP qui gère tous ses blocs IPv6::/56 autorise "moi" à gèrer moi-même", il ME délègue POUR gérer mes enregistrements PTR (IP -> nom) (grâce à mon serveur DNS en LOCAL pour mes adresses UNICAST GLOBAL IPv6::/56 leur appartenant) pour que je puisse construire mes reverse DNS (simplement -- sans lui passer un coup de téléphone chaque fois que j'ajoute un ordinateur "stable" sur mon réseau).
Pour un nom de domaine qui nous appartenant, cela se gère chez la maison d'enregistrement, où l'on gère des enregistrements A ou AAAA (nom -> IP), on peut déléguer aussi, à un serveur DNS externe, c'est une autre histoire.
-
@LAB3W.ORJ:
Comme tout le monde n'est pas néophyte, pourquoi exagérez-vous vos paroles ? Je trouve que cela fait mauvais effet.
Vos déclarations emphatiques sous forme de leçons sont assez approximatives, superficielles ou même erronées.
Honnêtement, j'ai du mal à vous comprendre.
Je viens de comprendre qu'Orange SAS ont configurés des adresses EUI-64 pour leurs livebox, c'est de l'auto-configuration sur l'adresse UNICAST GLOBAL Internet ; MOK !
Le sigle EUI-64 fait référence à un identificateur standard définit sur 64 bits. Il peut servir à définir l'identifiant d'interface (IID) d'une adresse IPv6 associée à une interface réseau.
Une interface réseau peut être auto-configurée avec état (DHCPv6) ou sans (SLAAC) et avoir plusieurs sortes d'adresses IPv6 (globale, locale au site administratif, locale au lien).
Ce que vous dîtes n'a pas vraiment de sens.
-
Quels sont mes écrits erronés @basilix ?
Votre livebox est configurée en EUI-64 n'est-ce pas ? Sur une adresse IPv6 UNICAST GLOBALE, on dirait un client (machine quelconque) qui s'auto-configure (SLAAC) sans état,, par rapport à sa MACAddress au milieu du bloc IPv6::/56 alloué au client dans un bloc IPv6 ::/64.
Il faudrait que la passerelle soit au debut de nos blocs IPv6::/56, donc en FF.
C'est tout.
Romain.
-
Votre livebox est configurée en EUI-64 n'est-ce pas ?
Non, ce n'est pas le routeur qui fait de l'EUI-64...
-
C'est la livebox qui s'auto configure en version EUI-64 !!!
Vous êtes à la ramasse les gars. Auto configuration, qui veut dire ?
Salutations,
Romain.
-
@LAB3W.ORJ :
Oui, il semblerait que la Livebox ait une adresse IPv6 globale sur l'interface WAN avec un IID EUI-64. On peut générer un IID de plusieurs façons.
Mais ce n'est pas clair ce que vous dites. Ce genre d'info n'est pas très significative (c'est futile).
-
@basilix on est d'accord.
J'expliquais comment Orange SAS pourrait gérer toutes nos adresses IPv6::/128 et nos 256 réseaux multicast IPv6::/64 du bloc IPv6::/56 - et c'est a seule façon !
Cordialement,
Romain.
-
C'est la livebox qui s'auto configure en version EUI-64 !!!
Non. La livebox annonce un préfixe dans des paquets « router advertisement » et chaque poste est libre d’auto configurer les 64 bits restant selon la méthode qu’il veut (et EUI-64) est une méthode comme une autre.
Vous êtes à la ramasse les gars. Auto configuration, qui veut dire ?
lol. Manifestement tu ne sais pas qui est @hugues sinon tu ne dirais pas ça
-
J'expliquais comment Orange SAS pourrait gérer toutes nos adresses IPv6::/128 et nos 256 réseaux multicast IPv6::/64 du bloc IPv6::/56 - et c'est a seule façon !
Charabia incompréhensible (même pour quelqu’un comme moi avec une certification IPv6).
-
Pour le coup c'est tout à fait possible que la Livebox ait une IP WAN en EUI-64, mais honnêtement, on s'en fiche complètement, cette ip n'est pas utilisée pour le routage.
-
@zoc, je parle de la livebox qui s'auto configure en EUI-64 ; rien a voir avec se qu'elle annoce ou distribue (un serveur DHCPv6 ou/et RADvD pour "ses" clients (machines de son réseau local). Si c'est du charabia, il faudrait apprendre un peu plus C'est quoi le charabia que vous ne comprennez pas ?
Je ne connais pas @huggues, mais j'essaie de parler entre personne compétentes, qui peuvent comprendre se que j'explique justement.
Sinon @huggues monsieur, non on ne s'en fout pas, c'est de l'IPv6 des masques, des multicast, des sous reseaux joignable nativement.
Si une machine est dans un reseau, le reseau peut y accèder facilement, donc notre réseau IPv6::/64, mais les autres réseaux IPv6::/64 ne vont pas y accéder. Donc, il faut une machine dans le sur-reseau qui puisse communiquer avec tout ses sous réseaux.
Comprenez-vous messieurs ? C'est assez simple..
En version humaine, c'est l'Élysé le sur-reseau et moi je suis dans mon sous réseau...
Romain.
Sinon moi j'ai 15 ans de pratique IPv6. D'Ipv6 de datacenter /56 , qui s'accroche a des routeurs dans des sous-sous réseaux 104 jusqu'à leurs postes connectés.
-
Mort de rire :)
-
Très très, mais vraiment très, perché le gars ;)
-
Très très, mais vraiment très, perché le gars ;)
Tout là haut perché, au fond de la montagne.. Bhale Bacce Crew
Tout là haut perché :
https://youtu.be/JM9s_kiSaSs
-
Non mais vraiment, va falloir songer à arrêter de prendre les experts de ce forum pour des crétins par contre :)
-
Ou faut arrêter de vous foutre de moi, moi jsuis expert reseaux IPv6..
-
Je suis expert en réseaux (IPv6 mais pas que) et je me permets de douter de cette affirmation :p
Après ce n'est que mon métier après tout... :D
-
Si une machine est dans un reseau, le reseau peut y accèder facilement, donc notre réseau IPv6::/64, mais les autres réseaux IPv6::/64 ne vont pas y accéder. Donc, il faut une machine dans le sur-reseau qui puisse communiquer avec tout ses sous réseaux.
Bah ouai, même que ça s'appelle un routeur, et qu'il a une interface dans chacun des réseaux. Ça passe pas par un sur-réseau.
Bon je vais zapper la partie link-local ça va faire trop d'un coup.
-
Oui il y a beaucoup d'experts sur ce forum.
Enfin ce sont surtout des experts de l'expertise, ou des spécialistes de la spécialité au choix, comme j'aime les appeler.
A part prendre les gens de haut, reprendre des phrases par oui/non sans apporter de réponses aux questions, ou affirmer des choses sans les expliquer, ils n'apportent pour la plupart aucune plus value aux discussions.
Il vaudra toujours mieux avoir un sachant avec 20 ans d'expérience non qualifié d'expert, qu'un gamin expert de 25 ans qui se prend pour ce qu'il n'est pas, à savoir quelqu'un qui sait.. ;)
-
A bon entendeur .. ciao !! Moi jsuis plutôt Analyse - Smile ;)
-
Oui il y a beaucoup d'experts sur ce forum.
Enfin ce sont surtout des experts de l'expertise, ou des spécialistes de la spécialité au choix, comme j'aime les appeler.
A part prendre les gens de haut, reprendre des phrases par oui/non sans apporter de réponses aux questions, ou affirmer des choses sans les expliquer, ils n'apportent pour la plupart aucune plus value aux discussions.
Il vaudra toujours mieux avoir un sachant avec 20 ans d'expérience non qualifié d'expert, qu'un gamin expert de 25 ans qui se prend pour ce qu'il n'est pas, à savoir quelqu'un qui sait.. ;)
Je t'invite à lire les dizaines de sujets que j'ai ouvert avec tout un tas d'explications techniques alors :)
Et les remarques sur l'âge, c'est généralement là où les gens tombent quand ils n'ont plus d'arguments :p
En tout cas c'est pas avec tes 120 posts en 6 ans que tu feras mieux que nous en termes d'aide / vulgarisation, c'est clair :)
à bon entendeur :)
-
J'suis Canadien maintenant..... 8)
Le traceroute6 :D
11:05:05 root@untu:~ $ traceroute6 lafibre.info
traceroute to lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0) from 2607:5300:60:9389:74::50a, 30 hops max, 16 byte packets
1 wifi.zw3b.net (2607:5300:60:9389:74::1) 1.148 ms 1.023 ms 1.055 ms
2 wlan.zw3b.net (2607:5300:60:9389:74:0:ff:ffff) 67.139 ms 153.016 ms 54.303 ms
3 xwan.ipv10.net (2607:5300:60:9389:0:1:0:137) 207.321 ms 307.138 ms 204.9 ms
4 ovh.ipv10.net (2607:5300:60:93ff:ff:ff:ff:fe) 204.768 ms 203.862 ms 204.877 ms
5 2001:41d0:0:50::2:15e (2001:41d0:0:50::2:15e) 204.601 ms 340.395 ms 204.901 ms
6 2001:41d0:0:50::6:84e (2001:41d0:0:50::6:84e) 204.739 ms 204.538 ms 204.768 ms
7 be100-100.bhs-g1-nc5.qc.ca (2607:5300::1c2) 205.617 ms * 322.632 ms
8 * * *
9 * lon-thw-sbb1-nc5.uk.eu (2607:5300::18a) 460.572 ms 408.693 ms
10 * be101.rbx-g3-nc5.fr.eu (2001:41d0::25f1) 274.971 ms *
11 rbx-5-a72.fr.eu (2001:41d0::2616) 362.554 ms 614.363 ms 307.196 ms
12 milkywan-as2027.lillix.fr (2001:7f8:6d::2027:1) 307.93 ms 311.535 ms 409.585 ms
13 vl53.a7050qxs.core.lyn.bb.ip6.milkywan.net (2a0b:cbc0:1::269) 275.381 ms 306.696 ms 306.799 ms
14 lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0) 306.973 ms 409.347 ms 512.071 ms
11:06:12 root@untu:~ $
Mon routeur wifi est dans le datacenter du Canada avec l'IPv6 -> 2607:5300:60:9389:74::1 et moi je suis sur le toit du datacenter avec l'IPv6 suivante -> 2607:5300:60:9389:74::50a - celle enregistrée comme mon IP du commentaire.
Et tout çà dans un bloc multicast IPv6::/64 divisé en bloc IPv6:/96 pour distribuer "des/un" bloc multicast IPv6::/104.. Il faudrait que je vous envoie les logs tcpdump peut-être ;)
J'ajoute que OVH propose un bloc IPv6::/56 indirectement (qu'en configurant un bloc IPv6::/64 autre que celui de l'interface web ; on arrive bien dans le serveur et non pas à péta-ouchnock).
Mon bloc chez OVH :
2607:5300:60:9389::/64
Je viens de configurer cette IPv6 9300::cafe par exemple :
2607:5300:60:9300::cafe
Mon bloc IPv6::/56 chez OVH -> 2607:5300:60:9300::/56 --> ma passerelle (seulement la mienne) 2607:5300:60:93ff:00FF:00FF:00FF:00F(E-F-D) D
11:38:48 root@untu:~ $ ping6 -c1 2607:5300:60:9300::cafe
PING 2607:5300:60:9300::cafe(2607:5300:60:9300::cafe) 56 data bytes
64 bytes from 2607:5300:60:9300::cafe: icmp_seq=1 ttl=63 time=284 ms
--- 2607:5300:60:9300::cafe ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 284.093/284.093/284.093/0.000 ms
ou "la même signature SSH"
14:45:29 orj@untu:~ $ ssh 2607:5300:60:9300::cafe
The authenticity of host '2607:5300:60:9300::cafe (2607:5300:60:9300::cafe)' can't be established.
ECDSA key fingerprint is SHA256:5lKHcbyqrlye9P3JAh/2HI02meK2q3KQVJFYu6hukA4.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
16:26:56 orj@untu:~ $ ssh 2607:5300:60:9389::cafe
The authenticity of host '2607:5300:60:9389::cafe (2607:5300:60:9389::cafe)' can't be established.
ECDSA key fingerprint is SHA256:5lKHcbyqrlye9P3JAh/2HI02meK2q3KQVJFYu6hukA4.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
J'ai configuré la passerelle non pas sur le link-local de leur routeur (le lien connecté à ma carte "eth0") mais sur l'adresse UNNICATS GLOBAL et de plus je l'ai configuré sur le "FE" à la place du "FF" ou "FD" en l'occurence pour OVH ; Et vous remarquerez quelle est dans le "sur réseau". Au dessus de moi (c'est l'authorité) elle n'est pas dans mon bloc IPv6::/64 -- ce serait n'importe quoi ; ce n'est pas de l'IPv4 !!!!
il y a une super commende comme "ip -6 neighbor show" - c'est la commande "scan6 "..
11:32:12 root@lab3w:~ # ip -6 neigh show dev vmbr0 | grep router
fe80::3e26:e4ff:fe31:7f63 lladdr 3c:26:e4:31:7f:63 router STALE
2607:5300:60:93ff:ff:ff:ff:fe lladdr 3c:26:e4:2a:b9:1b router REACHABLE
fe80::3e26:e4ff:fe2a:b91b lladdr 3c:26:e4:2a:b9:1b router STALE
2607:5300:60:93ff:ff:ff:ff:fd lladdr 3c:26:e4:31:7f:63 router STALE
11:27:04 root@lab3w:~ # scan6 -i vmbr0 -L -e
fe80::3e26:e4ff:fe31:7f63 @ 3c:26:e4:31:7f:63
fe80::3e26:e4ff:fe2a:b91b @ 3c:26:e4:2a:b9:1b
2607:5300:60:93ff:ff:ff:ff:fd @ 3c:26:e4:31:7f:63
2607:5300:60:93ff:ff:ff:ff:fe @ 3c:26:e4:2a:b9:1b
J'essaie de vous faire une super config et vous envoie çà dans l'année ;)
Romain
-
Il n'y a aucune adresse multicast sur ce traceroute.
Les adresses IPv6 multicast sont dans le bloc ff00::/8.
-
Je t'invite à lire les dizaines de sujets que j'ai ouvert avec tout un tas d'explications techniques alors :)
Et les remarques sur l'âge, c'est généralement là où les gens tombent quand ils n'ont plus d'arguments :p
En tout cas c'est pas avec tes 120 posts en 6 ans que tu feras mieux que nous en termes d'aide / vulgarisation, c'est clair :)
à bon entendeur :)
Tu n'étais pas spécialement visé mais si tu te sent concerné c'est que quelque part, tu t'y retrouve.
L'age n'était ni une remarque ni un argument, mais une simple vérité, d'ailleurs ca dérange souvent les jeunes qui se croient plus intelligents que les autres, qui préfèrent dire ce que tu dis plutôt que démontrer l'inverse et prouver leur valeur ;)
Tu n'as pas l'air de déroger à la règle.
Quant à mes 120 posts, comment dire.. Tu ne sais rien de ma vie ni du pourquoi du comment, alors redescends d'un cran, sois humble, tu n'es pas un roi.
-
Il n'y a aucune adresse multicast sur ce traceroute.
Les adresses IPv6 multicast sont dans le bloc ff00::/8.
Mais mince @huggues monsieur !!
Le multicast représsente dans chaque "bloc" (16 bits) de :FFFF: à :0000: c'est tout. c'est a dire que le "routeur", l'interface qui gère ces liens FE80:: sont disponible soit sur "site" soit sur lien seulement
https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml
Le annonces "Neighbor Discovery Protocol" permettent d'envoyer, de scanner les sous-réseau, pour qu'une configuration soit appliquée ou q'un service soit identifié ; pour savoir et proposer aux hôtes du multicast (IPv6:/64 64bits) ou IPv6::/104 (24 bits) des services.
Dans les sur-réseaux "authoritaire" au dessus des blocs -- il y a des services comme DHCPv6 ou RADvD :)
-
Non du tout, tu as du mal comprendre le doc que tu m'envoies, il ne parle que du bloc ff00::/8
-
Tu n'étais pas spécialement visé mais si tu te sent concerné c'est que quelque part, tu t'y retrouve.
Lol, à d'autres, tu réponds à mon message, tu mentionnes mon âge exact et tu remets en question mon expertise, arrêtes un peu :)
L'age n'était ni une remarque ni un argument, mais une simple vérité, d'ailleurs ca dérange souvent les jeunes qui se croient plus intelligents que les autres, qui préfèrent dire ce que tu dis plutôt que démontrer l'inverse et prouver leur valeur ;)
Bof, je n'en fais pas un argument ni en faveur ni en défaveur, je ne parle quasiment jamais de mon âge ici, so ?
Quant à mes 120 posts, comment dire.. Tu ne sais rien de ma vie ni du pourquoi du comment, alors redescends d'un cran, sois humble, tu n'es pas un roi.
C'est plutôt toi qui devrait redescendre d'un ton au lieu d'agresser les gens qui contribuent sur ce forum bien plus que toi.
-
Non du tout, tu as du mal comprendre le doc que tu m'envoies, il ne parle que du bloc ff00::/8
C'est quoi le bloc multicats ff00::/8 pour vous ? combien de machines ?
Par exemple dans mon bloc IPv6::/64 celui-ci : 2607:5300:60:9301:0000:0000:0000:0000/64
Si je configure une carte connectée disont BR1 en 2607:5300:60:9301:0000:0000:0000:FFFF/64 son lien est celui-ci fe80::1:2:3:4/64
J'ai une machine connectée à BR1 disont : fe80::2:3:4:5/64 le multicast 01:0000:0000:0000:FFFF/64 va trouvé cette machine..
je peut lui attribuer cette IPv6 2607:5300:60:9301:0000:0000:0000:0001/112 et le réseau 112 appartient au 64..
-
C'est quoi le bloc multicats ff00::/8 pour vous ? combien de machines ?
Ce bloc là :
(https://pix.milkywan.fr/WTZW1oTj.png)
-
Ce bloc là :
(https://pix.milkywan.fr/WTZW1oTj.png)
yep !!
http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ;D c'est nimporte où disont. Et pourquoi parce que :
FF00::/8 multicast
FC00::/7 local
FE00::/10 swan
FE80::/10 links
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml
Remarqué sur le calculateur IPv6 GestioIP les adresses link-local "donc des liens dans nos PCs" sont en fe80::0000:0000:0000:0000/64 par contre ils sont dans la plage maximal FE80::/10 ;)
-
y'a pas confusion entre broadcast ipv4 et multicast ipv6 chez certains la...
-
Je pense oui, c'est pas du tout pareil et il n'y a aucune adresse multicast dans un bloc IPv6, quelque soit la taille, sauf bien évidemment le bloc multicast.
-
Je ne crois pas ; non @kgersen :o
Je pense oui, c'est pas du tout pareil et il n'y a aucune adresse multicast dans un bloc IPv6, quelque soit la taille, sauf bien évidemment le bloc multicast.
lol ^^
Je pense oui, c'est pas du tout pareil et il n'y a aucune adresse broadcast ".255" dans un bloc IPv6, quelque soit la taille, sauf bien évidemment le bloc multicast entier qui est MULTI-PASS-PARTOUT
C'est çà qui est bon, très bon en IPv6 c'est que les adresses PUBLIQUES (visibles d'Internet) SONT AUSSI MULTICAST !!! si d'un endroit du monde d'un réseau -- prenons celui, un d'Orange SAS celui-ci "2a01:c000::/19"
root@untu:~ $ whois 2a01:cb1d:2d4:8800::
inet6num: 2a01:c000::/19
netname: FR-TELECOM-20051230
country: FR
Depuis son réseau de départ, le plus haut, cette machine par exemple 2a01:c000::1 ils peuvent accéder à moi 2a01:cb1d:2d4:8800::1 en scannant leur multicast... pour cela il faut qu'il configure un réseau ULA "caché" pour leurs routeurs "généraux" avec pour chaque "VLANx" des Link-local FE80::
EUX : 2a01:c000::1 == fc00::1/7 qui fait partit du multicast FF00::/8
MOI : 2a01:cb1d:2d4:8800::1 == fcb1:00d2:00d4:0088::1/64 qui fait partit du multicast FF00::/8
C'est vraiment au piff là je ne connais pas leur réseau mais c'est un exemple.
-
Il n'y a plus de broadcast en tant que tel en IPv6 non :)
Bref, toutes les IP de ton traceroute sont bien des IP Unicast et non Multicast :)
-
Il n'y a plus de broadcast en tant que tel en IPv6 non :)
C'est çà oui, il n'y a pas d'adresse spécifique pour contacter le broadcast en IPv6 :)
Broadcast : une connexion multipoint dans les réseaux IP qui atteint automatiquement tous les participants du réseau sans connaître les adresses des destinataires. Il existe pour cela dans chaque réseau ou sous-réseau une adresse de broadcast qui est en permanence réservée.
Bref, toutes les IP de ton traceroute sont bien des IP Unicast et non Multicast :)
Certes toutes mes IPv6 sont UNIQUEs DANS LE CAST (MULTICAST) Internationnal. Elles sont TOUTES disponibles dans un multicast (celui d'Orange) et même plus haut.
Le multicast (qu'on pourrait traduire par « multidiffusion ») est une forme de diffusion d'un émetteur (source unique) vers un groupe de récepteurs.
-
Certes toutes mes IPv6 sont UNIQUEs DANS LE CAST (MULTICAST) Internationnal. Elles sont TOUTES disponibles dans un multicast (celui d'Orange) et même plus haut.
Non. Multicast ne fonctionne pas comme ça.
-
Non. Multicast ne fonctionne pas comme ça.
J'essaie de vous faire une super config et vous envoie çà dans l'année ;)
Romain
Avec strongSwan (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/) (pour lier nos différents sites) "normalement" le NDP (Network Discovery Protocol) va fonctionné à merveille -- je vais pouvoir attraper tous les sous-réseaux en faisant un ping sur ff02::1 ceux en link-local, nodes-local et site-locaux. Il faut que j'essaie.
Note 20240324 15H :
Bon il y a que le routeur "OVH" et ma carte. Les liens-local fe80:: SWAN ne répondent pas.
Pourtant les Sites Sécurisés sont liés sur "ETH0" (en forwarding) et "ETH0" a un link-local (qui est connecté au routeur, certes) alors que sur une interface "PPP0" il n'y a pas de "link-local".
Peut-être qu'il y a une solution, il faut que je recherche.
Bon c'est hors sujet ;)
Ce tuto (https://www.bortzmeyer.org/hacking-ipv6.html) peut vous éclairer - C'est pour illuminer Nos cervelles ^^ ce n'est pas pour faire de méchantes choses hein.
-
multicast entier qui est MULTI-PASS-PARTOUT
Comme çui là ?
-
ca devient collector ce sujet...
-
Oui @Fyr , je voulais voir ses jolies yeux de l'actrice Milla Jovovich (https://fr.wikipedia.org/wiki/Milla_Jovovich) Merci pour la photo ;)
Le 5ème Elément (https://fr.wikipedia.org/wiki/Le_Cinqui%C3%A8me_%C3%89l%C3%A9ment) @kgersen Yes Collector !
;D
-
Avec strongSwan (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/) (pour lier nos différents sites) "normalement" le NDP (Network Discovery Protocol) va fonctionné à merveille -- je vais pouvoir attraper tous les sous-réseaux en faisant un ping sur ff02::1 ceux en link-local, nodes-local et site-locaux. Il faut que j'essaie.
Note 20240324 15H :
Bon il y a que le routeur "OVH" et ma carte. Les liens-local fe80:: SWAN ne répondent pas.
Pourtant les Sites Sécurisés sont liés sur "ETH0" (en forwarding) et "ETH0" a un link-local (qui est connecté au routeur, certes) alors que sur une interface "PPP0" il n'y a pas de "link-local".
Peut-être qu'il y a une solution, il faut que je recherche.
Bon c'est hors sujet ;)
J'ajoute ce lien PDF pour informations sur le multicast :
TP Interconnexions de Réseaux - Etude de la communication de groupe dans Internet: le Multicast (Pascal Sicard - 11 février 2022) (https://lig-membres.imag.fr/sicard/tpRES/TP3-Inter-Res-Multicast.pdf) Page perso LIG - Université Grenoble Alpes
MBone signifie ”Multicast BackBone ” : Le multicast est implémenté dans l’interface classique des sockets. A l’heure actuelle, seules les sockets AF INET (pour IPv4) ou AF INET6 (pour IPV6) de type SOCK DGRAM (UDP) ou SOCK RAW (IP) sont supportées.
Et celui-ci : https://www.iana.org/assignments/ipv6-parameters/ipv6-parameters.xhtml et lire cette RFC2473 (https://www.rfc-editor.org/rfc/rfc2473.html).
Il faut que j'installe RADvD quelque part dirais-je :)
:)
-
Ou faut arrêter de vous foutre de moi, moi jsuis expert reseaux IPv6..
lol
-
@zoc j'apprend lol
Un bon article français https://www.techno-science.net/glossaire-definition/IPv6-page-2.html pour le marketing ;)
Et un autre plus pour les Tech.OS : https://www.juniper.net/documentation/fr/fr/software/junos/multicast/topics/concept/ipv6-multicast-flow-overview.html
Et celui-ci : http://livre.g6.asso.fr/index.php?title=Exemples_de_configuration_dans_un_routeur_Cisco&oldid=4444
:)