La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: artemus24 le 20 décembre 2019 à 22:24:12
-
Salut à tous.
Je ne sais pas trop si j'ai déposé mon sujet dans le bon forum. Le déplacer s'il n'est pas au bon endroit. Merci !
J'ai une Raspberry Pi 2B sous Raspbian et j'essaye de me constituer un routeur.
J'utilise pour cela hostapd + dnsmasq + dhcpcd + sysctl + iptables.
J'ai branché deux dongles wifi (wlan0 & wlan1) afin d'avoir deux ssid distincts que je nomme mywapone et mywaptwo.
Si j'utilise séparément chaque interface (ou ssid), ils fonctionnent. Cela se passe dans le fichier "/etc/default/hostapd".
Le problème que je rencontre concerne l'ipv6 de chez Hurricane Electric.
Quand j'utilise en même temps wlan0 et wlan1, j'ai l'ipv6 sur wlan0 mais pas sur wlan1.
Je ne sais pas résoudre ce problème.
Tout ce que j'ai fait est de déclarer dans le fichier "/etc/dhcpcd.conf ceci :
interface wlan0
static ip_address=192.168.52.1/24
static ip6_address=2001:470:1f13:226:520::1/64
static routers=192.168.52.1 2001:470:1f13:226:520::1
nohook wpa_supplicant
interface wlan1
static ip_address=192.168.52.2/24
static ip6_address=2001:470:1f13:226:520::2/64
static routers=192.168.52.2 2001:470:1f13:226:520::2
nohook wpa_supplicant
Bien sûr, l'ipv6 de chez Hurricane Electric est activé.
Quand j'ai une seule adresse ipv6, ça fonctionne très bien.
Quand j'ai deux adresses ipv6, la seconde ne fonctionne pas et je ne sais pas pourquoi.
Comment résoudre ce problème ?
Est-ce un problème d'iptables ?
Ou bien compléter ma déclaration dans le fichier "/etc/dhcpcd.conf" ?
Pouvez-vous me donner la solution à ce problème ? Merci. :)
Cordialement.
Artemus24.
@+
-
Tu utilise le même subnet sur deux réseaux différents, ça ne marchera pas :)
-
Salut Hughes.
Merci de développer car je ne comprends pas ce que tu dis.
@+
-
Salut,
C'est assez bizarre d'utiliser le même sous-réseau (192.168.52.0/24 pour IPv4 et 2001:470:1f13:226:520::/64 pour IPv6) pour deux interfaces différentes (dans le cas d'un équipement de couche 3+ en tout cas). En gros, je vois deux solutions :
- Soit tu utilises des sous-réseaux différents (192.168.52.0/24 et 2001:470:1f13:226:520::/64 pour wlan0 et 192.168.53.0/24 et 2001:470:1f13:226:520::/64 pour wlan1 par exemple, si HE t'as fourni plus qu'un /64 (on peut demander un /48 si je ne m'abuse))
- Soit tu pontes (bridge) les deux interfaces, ce qui fera comme un petit switch interne à 3 ports : un vers wlan0, un vers wlan1 et un vers le cpu de ton raspberry. Ton raspberry voit donc plus qu'une seule interface.
Le choix de la solution va dépendre de la raison pour laquelle tu as fait deux réseaux Wi-Fi distincts, raison que tu vas devoir nous expliquer si tu veux que l'on puisse t'aider.
-
Salut à tous.
Merci lechercheur123 pour tes explications.
Je n'avais pas compris ce que signifiait "le même subnet" dans le commentaire de Hughes.
J'ai repris mes tests et voici ce que j'ai fait.
1) oui, pour Hurricane Electric, j'ai bien un routage /64 dont le prefixe est 2001:470:1f13:226.
2) l'adresse IPv4 de l'interface eth0 est 192.168.1.52.
C'est le point d'entrée d'internet dans ma raspberry.
3) pour l'ipv4, j'ai utilisé ses deux sous-réseaux :
--> wlan0 : 192.168.52.1
--> wlan1 : 192.168.53.1
Le masque du sous-réseau est "255.255.255.0".
Je ne sais pas si ma logique est bonne, mais la distinction de mes deux sous-réseaux se fait sur le 52 et le 53 de l'adresse Ipv4.
C'est le préfixe qui détermine le sous-réseau.
4) pour l'ipv6, j'ai utilisé ses deux autres sous-réseaux :
--> wlan0 : 2001:470:1f13:226:520::1
--> wlan1 : 2001:470:1f13:226:530::1
Le masque du sous-réseau est "/80".
J'ai appliqué le même raisonnement que pour l'ipv4.
5) j'ai fait les tests et ça fonctionne.
raison que tu vas devoir nous expliquer si tu veux que l'on puisse t'aider.
Oui, merci pour ton aide, lechercheur123.
L'année dernière, j'ai voulu me constitué un routeur (pas un pont) avec ma raspberry pi 2b.
J'ai pour cela utilisé un seul dongle wifi avec un seul ssid et ça fonctionne très bien.
J'ai introduit l'ipv6 et cela fonctionnait aussi. Pourquoi ?
A vrai dire, comme je n'ai qu'un seul ordinateur (windows 10 pro), je ne peux faire qu'une seule connexion.
J'ai repris mon projet afin d'introduire deux dongles wifi, deux interfaces (wlan0 & wlan1) et deux ssid (mywapone & mywaptwo).
La première difficulté a été de correctement configuré l'ipv6. Je pense maintenant que c'est bon.
La deuxième difficulté que je rencontre est de pouvoir utiliser les deux ssid en même temps.
Quand j'utilise wlan0 seul (ssid:mywapone) ça fonctionne correctement.
Quand j'utilise wlan1 seul (ssid:mywaptwo) ça fonctionne correctement aussi.
Quand je combien wlan0 & wlan1, un seul fonctionne correctement mais pas l'autre, et je n'ai pas compris pourquoi.
Troisième difficulté, quand les deux interfaces sont activés, depuis le ssid "mywapone", je vois aussi bien :
--> 192.168.52.1
--> 2001:470:1f13:226:520::1
ça, c'est normal car ce sont l'ipv4 & l'ipv6 du routeur qui est associé au ssid "mywapone".
mais je vois aussi :
--> 192.168.53.1
--> 2001:470:1f13:226:530::1
et ça, ce n'est pas normal car ce sont l'IPv4 & l'IPv6 de l'autre routeur, qui est associé au ssid "mywaptwo".
Comment puis-je faire pour isoler ces deux routeurs ?
Ou si vous préférez, le ssid mywapone ne doit pas avoir accès à ce que voit le ssid "mywaptwo" et vice-versa.
J'utilise pour cela les fichiers de configurations suivants :
--> hostapd
--> dnsmasq
--> dhcpcd
--> sysctl
--> resolvconf
J'aimerai savoir si sur ma raspberry, je peux gérer en même temps deux dongle wifi ?
Je sais que l'on ne peux pas avoir le wifi en même temps que l'éthernet.
Est-ce la même chose, à savoir une seule interface réseau à la fois.
@+
-
Salut à tous.
Avec les scripts, c'est encore mieux :
1) le fichier hostadp.conf qui se nomme "/etc/hostapd/wlan.conf" :
# ================================== #
# Hostapd Configuration File #
# ================================== #
# ----------------- #
# Global Parameters #
# ----------------- #
interface=wlan0
# bridge=br0
driver=nl80211
# ---------------------------------- #
# Hostapd Event Logger Configuration #
# ---------------------------------- #
logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2
ctrl_interface=/var/run/hostapd
ctrl_interface_group=0
# --------------------------------- #
# IEEE 802.11 related configuration #
# --------------------------------- #
ssid=mywapone
country_code=FR
hw_mode=g
channel=7
# -------- #
# Defaults #
# -------- #
beacon_int=100
dtim_period=2
max_num_sta=255
rts_threshold=2347
fragm_threshold=2346
auth_algs=1
ignore_broadcast_ssid=0
# ---------------- #
# Wi-Fi Multimedia #
# ---------------- #
wmm_enabled=1
# Low priority / AC_BK = background
wmm_ac_bk_aifs=7
wmm_ac_bk_cwmin=4
wmm_ac_bk_cwmax=10
wmm_ac_bk_txop_limit=0
wmm_ac_bk_acm=0
# Normal priority / AC_BE = best effort
wmm_ac_be_aifs=3
wmm_ac_be_cwmin=4
wmm_ac_be_cwmax=10
wmm_ac_be_txop_limit=0
wmm_ac_be_acm=0
# High priority / AC_VI = video
wmm_ac_vi_aifs=2
wmm_ac_vi_cwmin=3
wmm_ac_vi_cwmax=4
wmm_ac_vi_txop_limit=94
wmm_ac_vi_acm=0
# Highest priority / AC_VO = voice
wmm_ac_vo_aifs=2
wmm_ac_vo_cwmin=2
wmm_ac_vo_cwmax=3
wmm_ac_vo_txop_limit=47
wmm_ac_vo_acm=0
# ----------------------- #
# Filtering MAC Addresses #
# ----------------------- #
macaddr_acl=1
accept_mac_file=/etc/hostapd/hostapd.accept
#deny_mac_file=/etc/hostapd/hostapd.deny
# ---------------------------------- #
# IEEE 802.11n related configuration #
# ---------------------------------- #
ieee80211d=1
ieee80211n=1
require_ht=1
wme_enabled=1
### ht_capab=[HT40+][SHORT-GI-20][SHORT-GI-40][DSSS_CCK-40][MAX-AMSDU-7935]
# ----------------------------------- #
# IEEE 802.11ac related configuration #
# ----------------------------------- #
# ieee80211ac=1
# ------------------------------ #
# WPA/IEEE 802.11i configuration #
# ------------------------------ #
wpa=2
wpa_passphrase=password_secret_one
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
rsn_pairwise=CCMP
wpa_group_rekey=86400
# --------------------------- #
# Wi-Fi Protected Setup (WPS) #
# --------------------------- #
wps_state=0
Pour le second fichier de nom "wlan1.conf", les différences sont :
--> interface=wlan1
--> ssid=mywaptwo
--> wpa_passphrase=password_secret_two
2) le fichier "/etc/default/hostapd" qui permet, en principe, de lancer deux instances de "hostapd".
# Defaults for hostapd initscript
#
# See /usr/share/doc/hostapd/README.Debian for information about alternative
# methods of managing hostapd.
#
# Uncomment and set DAEMON_CONF to the absolute path of a hostapd configuration
# file and hostapd will be started during system boot. An example configuration
# file can be found at /usr/share/doc/hostapd/examples/hostapd.conf.gz
#
DAEMON_CONF="/etc/hostapd/wlan0.conf /etc/hostapd/wlan1.conf"
# Additional daemon options to be appended to hostapd command:-
# -d show more debug messages (-dd for even more)
# -K include key data in debug messages
# -t include timestamps in some debug messages
#
# Note that -B (daemon mode) and -P (pidfile) options are automatically
# configured by the init.d script and must not be added to DAEMON_OPTS.
#
#DAEMON_OPTS="-dd"
~
3) le fichier "dnsmasq.conf" qui se nomme "/etc/dnsmasq.d/local.conf" :
# ============================== #
# Configuration File for Dnsmasq #
# ============================== #
# ---------------------- #
# Basic Server Operation #
# ---------------------- #
listen-address=::1,127.0.0.1,192.168.1.1
interface=wlan0,wlan1
except-interface=eth0,lo,sit0
port=53
# -------------- #
# User and Group #
# -------------- #
user=root
group=root
# ------- #
# Logging #
# ------- #
log-facility=/var/log/dnsmasq.log
log-queries
log-dhcp
log-async=25
# ------- #
# Options #
# ------- #
all-servers
bind-dynamic
bogus-priv
dns-forward-max=150
domain-needed
enable-ra
filterwin2k
no-negcache
neg-ttl=3600
strict-order
# expand-hosts
# no-hosts
# no-poll
# no-resolv
# read-ethers
# ================== #
# Domain Name Server #
# ================== #
domain=localhost
cache-size=1024
localise-queries
local=/localhost/127.0.0.1
# ========================================== #
# Dynamic Host Configuration Protocol Server #
# ========================================== #
dhcp-authoritative
dhcp-fqdn
dhcp-leasefile=/tmp/dhcp.leases
dhcp-lease-max=5
# -------------------- #
# For DHCP IPv4 Server #
# -------------------- #
dhcp-option=wlan0,option:router,192.168.52.1
dhcp-option=wlan1,option:router,192.168.53.1
dhcp-option=wlan0,option:dns-server,192.168.52.1,8.8.8.8,8.8.4.4
dhcp-option=wlan1,option:dns-server,192.168.53.1,8.8.8.8,8.8.4.4
dhcp-option=option:netmask,255.255.255.0
dhcp-option=option:ntp-server,134.59.1.5
dhcp-option=option:domain-search,"localhost"
# -------------------- #
# Wlan0 IPv4 Addresses #
# -------------------- #
dhcp-range=wlan0,192.168.52.100,192.168.52.240,255.255.255.0,24h
dhcp-host=wlan0,00:21:6B:C8:16:10,W-Orion, 192.168.52.20,24h
dhcp-host=wlan0,DC:71:44:1D:FE:8A,W-TvSamsung,192.168.52.30,24h
dhcp-host=wlan0,DC:71:44:1D:FE:8A,E-TvSamsung,192.168.52.32,24h
dhcp-host=wlan0,00:E0:4C:08:AC:DB,W-Ourlink-1,192.168.52.40,24h
dhcp-host=wlan0,00:E0:4C:0B:F9:AF,W-Ourlink-2,192.168.52.42,24h
dhcp-host=wlan0,00:E0:4C:0E:80:7E,W-Ourlink-3,192.168.52.62,24h
dhcp-host=wlan0,00:E0:4C:0E:86:B9,W-Ourlink-4,192.168.52.64,24h
dhcp-host=wlan0,00:E0:4C:14:61:28,W-TnB-1, 192.168.52.44,24h
dhcp-host=wlan0,B8:27:EB:D0:D5:2C,W-Dongle-Pi,192.168.52.46,24h
# -------------------- #
# Wlan1 IPv4 Addresses #
# -------------------- #
dhcp-range=wlan1,192.168.53.100,192.168.53.240,255.255.255.0,24h
dhcp-host=wlan1,00:21:6B:C8:16:10,W-Orion, 192.168.53.20,24h
dhcp-host=wlan1,DC:71:44:1D:FE:8A,W-TvSamsung,192.168.53.30,24h
dhcp-host=wlan1,DC:71:44:1D:FE:8A,E-TvSamsung,192.168.53.32,24h
dhcp-host=wlan1,00:E0:4C:08:AC:DB,W-Ourlink-1,192.168.53.40,24h
dhcp-host=wlan1,00:E0:4C:0B:F9:AF,W-Ourlink-2,192.168.53.42,24h
dhcp-host=wlan1,00:E0:4C:0E:80:7E,W-Ourlink-3,192.168.53.62,24h
dhcp-host=wlan1,00:E0:4C:0E:86:B9,W-Ourlink-4,192.168.53.64,24h
dhcp-host=wlan1,00:E0:4C:14:61:28,W-TnB-1, 192.168.53.44,24h
dhcp-host=wlan1,B8:27:EB:D0:D5:2C,W-Dongle-Pi,192.168.53.46,24h
# -------------------- #
# For DHCP IPv6 Server #
# -------------------- #
dhcp-option=option6:domain-search,"localhost"
dhcp-option=wlan0,option6:dns-server,[2001:470:1f13:226:520::1],[2001:4860:4860::8888],[2001:4860:4860::8844]
dhcp-option=wlan1,option6:dns-server,[2001:470:1f13:226:530::1],[2001:4860:4860::8888],[2001:4860:4860::8844]
# -------------------- #
# Wlan0 IPv6 Addresses #
# -------------------- #
dhcp-range=wlan0,2001:470:1f13:226:520::1000,2001:470:1f13:226:520::2400,80,24h
dhcp-host=wlan0,00:21:6B:C8:16:10,W-Orion, [2001:470:1f13:226:520::200],24h
dhcp-host=wlan0,DC:71:44:1D:FE:8A,W-TvSamsung,[2001:470:1f13:226:520::300],24h
dhcp-host=wlan0,DC:71:44:1D:FE:8A,E-TvSamsung,[2001:470:1f13:226:520::320],24h
dhcp-host=wlan0,00:E0:4C:08:AC:DB,W-Ourlink-1,[2001:470:1f13:226:520::400],24h
dhcp-host=wlan0,00:E0:4C:0B:F9:AF,W-Ourlink-2,[2001:470:1f13:226:520::420],24h
dhcp-host=wlan0,00:E0:4C:0E:80:7E,W-Ourlink-3,[2001:470:1f13:226:520::620],24h
dhcp-host=wlan0,00:E0:4C:0E:86:B9,W-Ourlink-4,[2001:470:1f13:226:520::640],24h
dhcp-host=wlan0,00:E0:4C:14:61:28,W-TnB-1, [2001:470:1f13:226:520::440],24h
dhcp-host=wlan0,B8:27:EB:D0:D5:2C,W-Dongle-Pi,[2001:470:1f13:226:520::460],24h
# -------------------- #
# Wlan1 IPv6 Addresses #
# -------------------- #
dhcp-range=wlan1,2001:470:1f13:226:530::1000,2001:470:1f13:226:530::2400,80,24h
dhcp-host=wlan1,00:21:6B:C8:16:10,W-Orion, [2001:470:1f13:226:530::200],24h
dhcp-host=wlan1,DC:71:44:1D:FE:8A,W-TvSamsung,[2001:470:1f13:226:530::300],24h
dhcp-host=wlan1,DC:71:44:1D:FE:8A,E-TvSamsung,[2001:470:1f13:226:530::320],24h
dhcp-host=wlan1,00:E0:4C:08:AC:DB,W-Ourlink-1,[2001:470:1f13:226:530::400],24h
dhcp-host=wlan1,00:E0:4C:0B:F9:AF,W-Ourlink-2,[2001:470:1f13:226:530::420],24h
dhcp-host=wlan1,00:E0:4C:0E:80:7E,W-Ourlink-3,[2001:470:1f13:226:530::620],24h
dhcp-host=wlan1,00:E0:4C:0E:86:B9,W-Ourlink-4,[2001:470:1f13:226:530::640],24h
dhcp-host=wlan1,00:E0:4C:14:61:28,W-TnB-1, [2001:470:1f13:226:530::440],24h
dhcp-host=wlan1,B8:27:EB:D0:D5:2C,W-Dongle-Pi,[2001:470:1f13:226:530::460],24h
Il y a peut-être des choses à améliorer dans ce fichier de configuration.
4) le fichier firewall, de nom "/etc/iptables.sh" (.sh signifiant shell).
#!/bin/bash
iptv4=/sbin/iptables
iptv6=/sbin/ip6tables
# -------------- #
# Initialization #
# -------------- #
$iptv4 -F
$iptv4 -X
$iptv4 -F -t nat
$iptv4 -X -t nat
$iptv6 -F
$iptv6 -X
$iptv6 -F -t nat
$iptv6 -X -t nat
# ------------ #
# Device wlan0 #
# ------------ #
$iptv4 -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A FORWARD -i wlan0 -o eth0 -j ACCEPT
$iptv6 -A FORWARD -i he-ipv6 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A FORWARD -i wlan0 -o he-ipv6 -j ACCEPT
# ------------ #
# Device wlan1 #
# ------------ #
$iptv4 -A FORWARD -i eth0 -o wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A FORWARD -i wlan1 -o eth0 -j ACCEPT
$iptv6 -A FORWARD -i he-ipv6 -o wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A FORWARD -i wlan1 -o he-ipv6 -j ACCEPT
# --------------------------- #
# Network Address Translation #
# --------------------------- #
$iptv4 -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$iptv6 -t nat -A POSTROUTING -o eth0 -j MASQUERADE
exit
Ces derniers temps, j'ai surtout travailler ce fichier de configuration.
Là aussi, à améliorer.
5) le fichier de configuration "dhcpcd" de nom "/etc/dhcpcd.conf" :
# A sample configuration for dhcpcd.
# See dhcpcd.conf(5) for details.
# Allow users of this group to interact with dhcpcd via the control socket.
#controlgroup wheel
# Inform the DHCP server of our hostname for DDNS.
hostname
# Use the hardware address of the interface for the Client ID.
clientid
# or
# Use the same DUID + IAID as set in DHCPv6 for DHCPv4 ClientID as per RFC4361.
# Some non-RFC compliant DHCP servers do not reply with this set.
# In this case, comment out duid and enable clientid above.
#duid
# Persist interface configuration when dhcpcd exits.
persistent
# Rapid commit support.
# Safe to enable by default because it requires the equivalent option set
# on the server to actually work.
option rapid_commit
# A list of options to request from the DHCP server.
option domain_name_servers, domain_name, domain_search, host_name
option classless_static_routes
# Most distributions have NTP support.
option ntp_servers
# Respect the network MTU. This is applied to DHCP routes.
option interface_mtu
# A ServerID is required by RFC2131.
require dhcp_server_identifier
# Generate Stable Private IPv6 Addresses instead of hardware based ones
slaac private
# Example static IP configuration:
#interface eth0
#static ip_address=192.168.0.10/24
#static ip6_address=fd51:42f8:caae:d92e::ff/64
#static routers=192.168.0.1
#static domain_name_servers=192.168.0.1 8.8.8.8 fd51:42f8:caae:d92e::1
# It is possible to fall back to a static IP if DHCP fails:
# define static profile
#profile static_eth0
#static ip_address=192.168.1.23/24
#static routers=192.168.1.1
#static domain_name_servers=192.168.1.1
# fallback to static profile on eth0
#interface eth0
#fallback static_eth0
###########################################################
interface wlan0
static ip_address=192.168.52.1/24
static ip6_address=2001:470:1f13:226:520::1/80
static routers=192.168.52.1 2001:470:1f13:226:520::1
nohook wpa_supplicant
interface wlan1
static ip_address=192.168.53.1/24
static ip6_address=2001:470:1f13:226:530::1/80
static routers=192.168.53.1 2001:470:1f13:226:530::1
nohook wpa_supplicant
J'ai juste ajouter ce qui se trouve à la fin (après la ligne ###), sans rien modifier du début.
6) le fichier de configuration de l'IPv6 de chez Hurricane Elctric, de nom "/etc/network/interfaces.d/h-ipv6" :
auto he-ipv6
iface he-ipv6 inet6 v4tunnel
gateway 2001:470:1f12:226::1
address 2001:470:1f12:226::2
netmask 64
endpoint 216.66.84.42
local 192.168.1.52
ttl 255
~
7) Voici le résultat de la commande "ifconfig -a" :
~> ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.52 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::459f:8ea9:a444:c26c prefixlen 64 scopeid 0x20<link>
ether b8:27:eb:96:7e:15 txqueuelen 1000 (Ethernet)
RX packets 4865 bytes 1897687 (1.8 MiB)
RX errors 0 dropped 21 overruns 0 frame 0
TX packets 4320 bytes 604991 (590.8 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
he-ipv6: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1480
inet6 2001:470:1f12:226::2 prefixlen 64 scopeid 0x0<global>
inet6 fe80::c0a8:134 prefixlen 64 scopeid 0x20<link>
sit txqueuelen 1000 (IPv6-dans-IPv4)
RX packets 1899 bytes 176264 (172.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1899 bytes 153345 (149.7 KiB)
TX errors 2 dropped 0 overruns 0 carrier 2 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Boucle locale)
RX packets 208 bytes 22556 (22.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 208 bytes 22556 (22.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
sit0: flags=128<NOARP> mtu 1480
sit txqueuelen 1000 (IPv6-dans-IPv4)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.52.1 netmask 255.255.255.0 broadcast 192.168.52.255
inet6 2001:470:1f13:226:520::1 prefixlen 80 scopeid 0x0<global>
inet6 fe80::76e1:5c61:7f7a:14e4 prefixlen 64 scopeid 0x20<link>
ether 00:e0:4c:0b:f9:af txqueuelen 1000 (Ethernet)
RX packets 3959 bytes 430004 (419.9 KiB)
RX errors 0 dropped 56 overruns 0 frame 0
TX packets 4578 bytes 903743 (882.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.53.1 netmask 255.255.255.0 broadcast 192.168.53.255
inet6 fe80::ed60:7e24:3933:4ac5 prefixlen 64 scopeid 0x20<link>
inet6 2001:470:1f13:226:530::1 prefixlen 80 scopeid 0x0<global>
ether 00:e0:4c:0e:86:b9 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 31 bytes 4973 (4.8 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
~>
Comme dit dans mon dernier message, je cherche à faire fonctionner ensemble, le ssid:MyWapOne et le ssid:MyWapTwo, ce que je n'arrive pas à faire.
S'il y a des améliorations à faire ou des corrections, je suis preneur.
Merci de vous intéresser à mes problèmes. :)
@+
-
Salut à tous.
Quelques explications de ce que j'essaye, tant bien que mal, d'entreprendre. Voici un dessin de mon montage :
+===========+ +=========================+ +=======================+
| | | Wlan1 |<-- dongle wifi 1 -->| Wifi / Ordinateur 1 |
| Box SFR | | | +=======================+
Internet -->| |<-- câble éthernet -->| Eth0 Raspberry Pi 2B |
| en ADSL | | | +=======================+
| | | Wlan2 |<-- dongle wifi 2 -->| Wifi / Ordinateur 2 |
+===========+ +=========================+ +=======================+
Je cherche à faire deux sous-réseaux, indépendant l'un de l'autre.
Chaque sous-réseau utilisera sa propre interface :
Wlan0 --> ssid:MyWapOne
Wlan1 --> ssid:MyWapTwo
Le premier sous-réseau (ssid:MyWapOne) aura accès à plein de chose.
Le second sous-réseau (ssid:MyWapTwo) aura uniquement accès à internet (wifi guest)
1) Comment isoler les deux sous-réseaux ?
Peut-être un réseau VLAN ? Je ne sais pas comment en créer un.
2) Comment faire fonctionner en même temps sur ma raspberry les deux points d'accès wifi ?
C'est le principale problème que je rencontre avec hostapd.
@+
-
Troisième difficulté, quand les deux interfaces sont activés, depuis le ssid "mywapone", je vois aussi bien :
--> 192.168.52.1
--> 2001:470:1f13:226:520::1
ça, c'est normal car ce sont l'ipv4 & l'ipv6 du routeur qui est associé au ssid "mywapone".
mais je vois aussi :
--> 192.168.53.1
--> 2001:470:1f13:226:530::1
et ça, ce n'est pas normal car ce sont l'IPv4 & l'IPv6 de l'autre routeur, qui est associé au ssid "mywaptwo".
Comment puis-je faire pour isoler ces deux routeurs ?
Ou si vous préférez, le ssid mywapone ne doit pas avoir accès à ce que voit le ssid "mywaptwo" et vice-versa.
Coucou,
Je vais répondre à cette partie, car en fait cette réaction est normale.
Si tu ping 192.168.53.1 depuis 192.168.52.1 (ou 2001:470:1f13:226:530::1 depuis 2001:470:1f13:226:520::1 en ipv6), ce qui se passe c'est que "mywapone" va en fait questionner le raspberry (qui est son maître en 192.168.1.52/2001:470:1f13:226:xxx) et lui demander "connais-tu cette ip ?", ce dernier répondant "oui" et fait alors l'intermédiaire pour que l'information passe bien entre les deux dongles.
Un moyen (le seul ?) pour isoler les interfaces, c'est un firewall sur le raspberry (iptables?) avec les règles adéquates.
-
Salut frederic09.
Merci pour ton intervention.
Je suis désolé si j'ai commis des erreurs de débutant, car c'est ce que je suis en ce domaine.
Je recherche de l'aide pour terminer ce projet.
Un moyen (le seul ?) pour isoler les interfaces, c'est un firewall sur le raspberry (iptables?) avec les règles adéquates.
J'ai un script firewall de nom "iptables.sh" où j'ai appliqué quelques règles (voir mon message #6 au paragraphe 4).
Que dois-je ajouter pour résoudre ce problème ?
Dois-je créer un VLAN ? (je ne sais pas si c'est ainsi que l'on nomme un tunnel pour isoler ce sous-réseau du reste du réseau)
@+
-
je ne connais pas iptables ou linux.
ce serait un truc du genre :
$iptv4 -A FORWARD -i wlan0 -o wlan1 -j DROP
$iptv6 -A FORWARD -i wlan0 -o wlan1 -j DROP
$iptv4 -A FORWARD -i wlan1 -o wlan0 -j DROP
$iptv6 -A FORWARD -i wlan1 -o wlan0 -j DROP
Tu "vois" ce que je veux faire ?
-
Salut frederic09.
Tu "vois" ce que je veux faire ?
Tu veux que j'interdise le flux transversal wlan0 <--> wlan1.
J'ai testé, cela ne me provoque aucune erreur, mais ça ne fonctionne pas.
Je peux quand même faire un "ping -4 192.168.53.1" depuis ma connexion "192.168.52.44".
@+
-
Salut frederic09.
Tu veux que j'interdise le flux transversal wlan0 <--> wlan1.
J'ai testé, cela ne me provoque aucune erreur, mais ça ne fonctionne pas.
Je peux quand même faire un "ping -4 192.168.53.1" depuis ma connexion "192.168.52.44".
@+
PING, c'est de l'ICMP, et on laisse passer ICMP en firewalling, pour le débugage et le bon fonctionnement d'IP.
Donc si tu veux tester qu'un firewall bloque bien 2 réseaux entre eux, il faut tester avec tout, sauf de l'ICMP ;D
Par exemple un scan de port, Nmap ?
-
Je peux quand même faire un "ping -4 192.168.53.1" depuis ma connexion "192.168.52.44".
192.168.53.1 c'est une adresse du Raspberry. Dans ce cas là, c'est pas la table "FORWARD" qui est utilisée mais la table "INPUT"...
La table FORWARD, c'est juste pour les paquets dont ni la source ni la destination ne sont le "routeur" (ici le raspberry pi).
-
Il est mieux d'activer le 'routed /48' chez Hurricane et d'utiliser deux /64 distincts plutôt que de couper le 'routed /64' en deux /80.
-
Salut à tous.
Un moyen (le seul ?) pour isoler les interfaces, c'est un firewall sur le raspberry (iptables?) avec les règles adéquates.
J'aimerai savoir si le firewall (iptables) est la solution qui me convient pour isoler mes interfaces ?
Si je me pose cette question, c'est à cause de la remarque de frederic09 : "(le seul ?)"
Le firewall est t-il la solution à ce que je cherche à faire ?
Je me suis fait déjà un firewall (iptables ipv4 & ipv6) avec des difficultés mais je n'avais qu'une seule interface.
Maintenant, qu'il y en a trois (eth0, wlan0 & wlan1) c'est beaucoup plus compliqué.
Auriez-vous un exemple à me communiquer ?
Donc si tu veux tester qu'un firewall bloque bien 2 réseaux entre eux, il faut tester avec tout, sauf de l'ICMP ;D
Je ne comprends pas pourquoi je ne devrai pas tester avec l'ICMP (ping) ?
Bloquer n'est peut-être pas le mot le plus adéquate de ce que je désire faire.
J'avais pensé à un vlan, mais je ne suis pas sûr que cela soit le cas.
C'est comme si j'avais deux canaux (le terme n'est peut-être pas le bon) indépendant (ou dissocier) l'un de l'autre.
Si le ping permet de voir l'adresse 192.168.53.1 alors que je me trouve en 192.168.52.44, ce n'est pas bon.
Dois-je comprendre que l'ICMP peut aussi être contrôler comme un flux ?
92.168.53.1 c'est une adresse du Raspberry. Dans ce cas là, c'est pas la table "FORWARD" qui est utilisée mais la table "INPUT"...
Dois-je canaliser l'INPUT et l'OUTPUT de la même façon que le FORWARD ?
Interdire tout, puis autoriser seulement eth0 <--> wlan0 et eth0 <--> wlan1 pour les INPUT, OUTPUT et FORWARD.
Ainsi la partie transversale wlan0 <--> wlan1 ne fonctionnera pas. Est-ce bien cela ?
Il est mieux d'activer le 'routed /48' chez Hurricane et d'utiliser deux /64 distincts plutôt que de couper le 'routed /64' en deux /80.
Ce n'est pas un réseau d'entreprise que je fais, mais juste un petit routeur pour mon usage personnel.
Avec 250 addresses Ip, c'est largement suffisant pour ce que je fais.
A moins qu'il y a un autre raison de choisir le 'routed /48' plutôt que le '/routed /64' .
@+
-
Ce n'est pas un réseau d'entreprise que je fais, mais juste un petit routeur pour mon usage personnel.
Avec 250 addresses Ip, c'est largement suffisant pour ce que je fais.
A moins qu'il y a un autre raison de choisir le 'routed /48' plutôt que le '/routed /64' .
@+
Ce n'est pas une question de nombres d'adresses ou entreprise/usage perso.
C'est juste que c'est de la bidouille d'aller au dela de /64 (/80 par exemple). Ca empêche plein de chose de fonctionner correctement notamment le SLAAC et les 'privacy extensions'.
-
Salut
Qu'est-ce qui ne va pas avec ma connexion ?
+------------------------------------+------------------------------------+
| Propriétés | Valeurs |
+------------------------------------+------------------------------------+
| Suffixe DNS propre à la connexion: | localhost |
| Description: | Intel(R) WiFi Link 5100 AGN |
| Adresse physique: | 00-21-6B-C8-16-10 |
| DHCP activé: | Oui |
| Adresse IPv4: | 192.168.52.20 |
| Masque de sous-réseau IPv4: | 255.255.255.0 |
| Bail obtenu: | mardi 24 décembre 2019 13:48:42 |
| Bail expirant: | mercredi 25 décembre 2019 13:48:45 |
| Passerelle par défaut IPv4: | 192.168.52.1 |
| Serveur DHCP IPv4: | 192.168.52.1 |
| Serveurs DNS IPv4: | 192.168.52.1, |
| | 8.8.8.8, |
| | 8.8.4.4 |
| Serveur WINS IPv4: | |
| NetBIOS sur TCP/IP activé: | Oui |
| Adresse IPv6: | 2001:470:1f13:226:520::200 |
| Bail obtenu: | mardi 24 décembre 2019 13:48:45 |
| Bail expirant: | mercredi 25 décembre 2019 13:35:36 |
| Adresse IPv6 locale de lien: | fe80::e4a9:a982:ddaa:6902%12 |
| Passerelle par défaut IPv6: | fe80::76e1:5c61:7f7a:14e4%12 |
| Serveurs DNS IPv6: | 2001:470:1f13:226:520::1, |
| | 2001:4860:4860::8888, |
| | 2001:4860:4860::8844 |
+------------------------------------+------------------------------------+
+------------------------------------+------------------------------------+
| Propriété | Valeur |
+------------------------------------+------------------------------------+
| Suffixe DNS propre à la connexion: | localhost |
| Description: | Intel(R) WiFi Link 5100 AGN |
| Adresse physique: | 00-21-6B-C8-16-10 |
| DHCP activé: | Oui |
| Adresse IPv4: | 192.168.52.20 |
| Masque de sous-réseau IPv4: | 255.255.255.0 |
| Bail obtenu: | mardi 24 décembre 2019 14:28:33 |
| Bail expirant: | mercredi 25 décembre 2019 14:36:39 |
| Passerelle par défaut IPv4: | 192.168.52.1 |
| Serveur DHCP IPv4: | 192.168.52.1 |
| Serveurs DNS IPv4: | 192.168.52.1, |
| | 8.8.8.8, |
| | 8.8.4.4 |
| Serveur WINS IPv4: | |
| NetBIOS sur TCP/IP activé: | Oui |
| Adresse IPv6: | 2001:470:c974:520::200 |
| Bail obtenu: | mardi 24 décembre 2019 14:28:36 |
| Bail expirant: | mercredi 25 décembre 2019 14:28:36 |
| Adresse IPv6 locale de lien: | fe80::e4a9:a982:ddaa:6902%12 |
| Passerelle par défaut IPv6: | fe80::76e1:5c61:7f7a:14e4%12 |
| Serveurs DNS IPv6: | 2001:470:c974:520::1, |
| | 2001:4860:4860::8888, |
| | 2001:4860:4860::8844 |
+------------------------------------+------------------------------------+
J'ai remplacé les adresses 'Routed /64' par 'Routed /48' dans dnsmasq.
Désolé de le dire, mais je ne vois pas trop la différence.
@+
-
Désolé de le dire, mais je ne vois pas trop la différence.
Sur le serveur ou sur des configurations statiques il n'y aura pas de différence notables.
L'important c'est sur les postes clients et autres périphériques Wifi.
-
Salut à tous.
J'apprécierai que l'on réponde à mes questions afin que je puisse poursuivre mon projet, surtout celles concernant l'iptables.
Entre autre, me donner un exemple pour isoler mes deux sous-réseaux.
Concernant les deux ssid, je constate quand ma raspberry redémarre, j'ai le comportement suivant :
--> je peux me connecter indifféremment à MyWapOne ou à MyWapTwo, la première fois.
--> si je me déconnecte et que je fais une tentative sur l'autre ssid, la connexion ne se fait pas.
--> si je me reconnecte à mon premier ssid, cela fonctionne.
Il semble que ma première connexion à l'un des ssid m'empêche de pouvoir utiliser l'autre depuis le même ordinateur.
Je peux me tromper, mais tout ce passe comme si ma connexion était persistante.
Comment puis-je résoudre ce problème ?
@+
-
Une alternative a iptables c'est d'utiliser du 'policy routing' pour faire du 'source routing' spécifique. Par exemple faire une 'policy' qui établi une table de routage spécifique pour l'interface wlan1.
pre-requis: le kernel doit supporté CONFIG_IP_ADVANCED_ROUTER et CONFIG_IP_MULTIPLE_TABLES
zcat /proc/config.gz | grep "CONFIG_IP_MULTIPLE_TABLES\|CONFIG_IP_ADVANCED_ROUTER"doit afficher:
CONFIG_IP_ADVANCED_ROUTER=y
CONFIG_IP_MULTIPLE_TABLES=y
si ok:
# ajout de la table 'guestrouting' d'index 100 dans la liste des noms des tables de routages
echo -e "100\guestrouting" >> /etc/iproute2/rt_tables
# faire en sorte que tout ce qui vient de l'interface wlan1 utilise la table de routage guestrouting
ip rule add iif wlan1 table guestrouting # ou "from 192.168.53.0/24"
# dropper les paquets vers 192.168.52.0/24
ip route add blackhole to 192.168.52.0/24 table guestrouting
# ajouter la route par défaut
ip route add default ...
idem pour IPv6.
une lecture de 'man ip-rule' est recommandé.
Par contre dans ton fichier "/etc/iptables.sh", la ligne:
$iptv6 -t nat -A POSTROUTING -o eth0 -j MASQUERADE
euh non ! on ne fait pas de NAT/masquerade en IPv6 !
-
Salut kgersen.
Je préfère des règles issues de l'iptables et l'ip6tables.
J'ai trouvé ceci :
$iptv4 -P INPUT DROP
$iptv4 -A INPUT wlan0 -d 192.168.52.0/24 -j ACCEPT
$iptv4 -A INPUT wlan1 -d 192.168.53.0/24 -j ACCEPT
$iptv6 -P INPUT DROP
$iptv6 -A INPUT wlan0 -d 2001:470:c974:520::/64 -j ACCEPT
$iptv6 -A INPUT wlan1 -d 2001:470:c974:530::/64 -j ACCEPTPour l'IPv4, ça fonctionne.
Mais pour l'IPv6, je n'ai plus d'ipv6.
Inversement, si je fais :
$iptv6 -P INPUT ACCEPT
$iptv6 -A INPUT wlan0 -d 2001:470:c974:530::/64 -j DROP
$iptv6 -A INPUT wlan1 -d 2001:470:c974:520::/64 -j DROPça fonctionne. Le seul problème est que j'aurai aimé plutôt mon premier exemple, c'est-à-dire "tout interdit sauf".
Qu'est-ce qui fait que l'IPv6 ne fonctionne plus ?
J'ai modifié mon fichier iptables.sh afin de supprimer la règle NAT sur l'IPv6.
@+
-
tu fais comment les tests de 'marche/marche pas' ? iptables c'est compliqué et faut pas improviser a copier/coller des regles qu'on trouve sur le Net sans comprendre comment ca fonctionne ...
iptables fonctionne avec 5 chaines de traitement situées a différents endroits de la pile réseau:
(https://i.imgur.com/ltUWWDR.png)
la chaine INPUT ne concerne donc que les paquets qui vont entrer dans le systeme du routeur (le cpu du routeur). Un paquet qui entre depuis le port ethernet et est routé sur une autre port (wlan0 par exemple) ne va pas traverser la chaine INPUT mais la chaine FORWARD.
Donc ce qui marche/marche pas depuis le routeur lui-meme ne teste en rien ce qui marche/marche pas quand on traverse le routeur.
iptables utilise 4 tables de regles avec les 5 chaines:
- une table "filter" utilisable sur 3 chaines seulement: INPUT,OUTPUT et FORWARD. 'filter' sert a filtrer les paquets. On peut les rejeter (DROP) sans rien dire, les bloquer (BLOCK) en signalant a l'émetteur un refus ou les laisser passer (ACCEPT).
- une table "nat" utilisable sur 3 chaines seulement : PREROUTING , OUTPUT et POSTROUTING
- les tables "raw" et "mangle" qui ne nous concernent pas pour ce sujet donc on ne va pas en parler ;)
(https://i.imgur.com/2HIw5OE.png)
Donc une rêgle doit être dans une table et concerné une chaine.
Si tu veux une regle qui 'filtre' a la fois INPUT et FORWARD pour que le fonctionnement soit similaire entre le routeur lui-meme et un réseau entier sur une interface il faut dupliquer la regle. (on peut aussi faire une nouvelle chaine personalisée et l'utiliser dans INPUT et FORWARD. ce qui evite de devoir dupliquer les modifs quand on veut changer quelque chose mais ca complexifie un peu les choses...).
A 2 endroits (en vert sur le schéma), un suivi des connections (conntrack) est fait ce qui permet d'avoir un 'état' (state) et c'est ce qui est primordiale pour faire un statefull firewall (a savoir laissé entrer les flux qui correspondent au paquets de retour d'un flux autorisé).
Je te conseille donc de lire plus de doc sur iptables, par exemple : https://www.booleanworld.com/depth-guide-iptables-linux-firewall/ (y'a surement des guides en francais aussi) avant d'aller plus loin.
-
Salut kgersen.
tu fais comment les tests de 'marche/marche pas' ?
Je teste depuis mon ordinateur windows qui est connecté au travers de mon routeur/raspberry.
1) je teste l'accès en ipv4 et en ipv6 (ping) sur un site, google par exemple.
2) je teste les accès au dns (nslookup). J'ai trois niveaux : la raspberry, ma box et internet.
3) j'ai le nom "RaspberryPi" que je teste pour accèder en ssh à la raspberry.
Il contient 192.168.52.1, 192.168.53.1, 2001:470:c974:520::1, 2001:470:c974:530::1.
Si je suis en ssid:MyWapOne, je ne dois pas pouvoir accéder à 192.168.53.1 et 2001:470:c974:530::1.
Si je suis en ssid:MyWapTwo, je ne dois pas pouvoir accéder à 192.168.52.1 et 2001:470:c974:520::1.
4) je teste "https://ipv6-test.com/" afin d'avoir 20/20 pour l'accès ipv6.
Dans "IPv6 connectivity", ICMP est FILTERED, ce qui n'est pas bon.
Le problème ne vient pas de Windows car quand j'avais l'IPv6 dans ma box/sfr, j'avais 20/20.
5) les accès au web en http/https. A cause du FORWARD, je n'ai pas de problème.
En dehors de ce routeur/raspberry, j'avais déjà créé un "firewall" juste pour augmenter la sécurité quand je travaille dans ma raspberry.
Comment je m'y suis pris ?
J'ai interdit tous les accès :
$iptv4 -P INPUT DROP
$iptv4 -P OUTPUT DROP
$iptv4 -P FORWARD DROP
$iptv6 -P INPUT DROP
$iptv6 -P OUTPUT DROP
$iptv6 -P FORWARD DROPEt dans ce service firewall, j'ai placé ces règles-ci :
# --- #
# LOG #
# --- #
$IPTv4 -A INPUT -j LOG --LOG-PREFIX 'IN4: '
$IPTv4 -A OUTPUT -j LOG --LOG-PREFIX 'OUT4: '
$IPTv4 -A FORWARD -j LOG --LOG-PREFIX 'FOR4: '
$IPTv6 -A INPUT -j LOG --LOG-PREFIX 'IN6: '
$IPTv6 -A OUTPUT -j LOG --LOG-PREFIX 'OUT6: '
$IPTv6 -A FORWARD -j LOG --LOG-PREFIX 'FOR6: 'Cela me permettait d'identifier le flux qui était bloqué et de l'ajouter dans le service.
Je ne sais pas si c'était la bonne méthode mais cela fonctionnait au moins pour ce qui était simple.
HTTP/https (port 80, 443, 8080), SSH (port 22), outlook (ports 25,143,465,587,993), DNS (port 53) ...
Je n'avais pas de difficulté à comprendre INPUT (ce qui vient de eth0), OUTPUT (ce qui retourne vers eth0) et FORWARD (ou routage pour les règles NAT).
Pour l'essentiel, je l'avais fait que pour l'IPv4. A l'époque, j'avais l'ipv6 de SFR mais je n'arrivais pas à formuler correctement les règles.
Puis j'ai laissé tombé car mon firewall ralentissait énormement ma raspberry.
Bien sûr, je n'ai pas recopié bêtement les règles que je trouvais sur le net.
Je m'en servais pour comprendre comment créer mes règles. J'ai aussi compris que l'ordre des règles à de l'importance.
Dans mon routeur/raspberry, je n'arrive pas à comprendre qui est qui, avec trois interface eth0, wla0 et wlan1 et avec l'IPv4 et l'IPv6 (6in4).
En fait, j'ai d'autre interfaces, comme lo, he-ipv6, et sit0.
Je n'utilise pas pour l'instant de service, car j'ai ajouté le script "iptables.sh" à la fin de "/etc/rc.local".
Dans ton exemple (le schema coloré), j'ai d'un coté "Network interface" et de l'autre "local process".
Si j'ai une seule interface et ipv4, disons eth0, je n'ai pas de problème. Mais si j'ai plusieurs interfaces avec en plus l'Ipv6, là je suis complètement perdu.
Comment autoriser l'Ipv6, si je mets "$iptv6 -P INPUT DROP" ?
D'une part, il est encapsulé dans l'IPv4 et d'autre part, ne récupérer que ce que est pour les branches "2001:470:c974:520::" et "2001:470:c974:530::".
@+
-
Il a l'air de te manquer l'aspect statefull. Tu bloque tout par défaut ce qui n'est pas forcement bon. Le sens a l'importance pour un firewall/routeur.
pour iptables, ipv4 ou ipv6 c'est quasi pareil sans le NAT en plus.
Dans ton exemple (le schema coloré), j'ai d'un coté "Network interface" et de l'autre "local process".
Si j'ai une seule interface et ipv4, disons eth0, je n'ai pas de problème. Mais si j'ai plusieurs interfaces avec en plus l'Ipv6, là je suis complètement perdu.
le schéma est fléché, la boite 'noire' a droite 'network interface' ne représente pas qu'une seule interface mais peut-etre plusieurs suivant la destination de sortie.
Exemple: un flux venant d'Internet va entrer dans eth0 traverser pre-routing, forward, postrouting puis sortir sur wlan0.
Un statefull firewall va par défaut:
- autoriser tout les flux sortants (sauf si tu veux vraiment bloquer des trucs en sortie mais c'est pas reco)
- ne rien autoriser en entrer sauf si ca correspond au retour d'un flux sortant
Le premier point est d'identifier les noms des interfaces: eth0,wlan0,wlan1,he-ipv6 et leur roles en terme de sécurité/sens du traffic (WAN ou LAN)
typiquement en IPv6, pour firewaller entre $LAN et $WAN:
ip6tables -P FORWARD DROP # 0. on drop par défaut
ip6tables -A FORWARD -i $LAN -o $WAN -j ACCEPT # 1. on accept les flux sortants donc venant de LAN vers WAN
ip6tables -A FORWARD -i $WAN -o $LAN -p icmpv6 -j ACCEPT # 2. on accept les icmp6 entrants
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # 3. on accept les flux de retour
La regle difficile a comprendre est la 3 : cela utilise le 'conntrack' voir "man iptables-extensions" pour les détails.
Ceci ne concerne que le FORWARD (trafic d'une interface a l'autre) il faut aussi protéger le routeur lui-meme en mettant les meme genre de regles mais avec INPUT.
En IPv4 vient se rajouter le NAT ce qui complique les choses.
Dans ton cas, ton interface WAN est eth0 pour l'IPv4 et he-ipv6 pour l'IPv6 et tu as 2 interfaces LAN différentes (wlan0 et wlan1) donc 2 groupes de regles à faire puis un autre groupe si tu veux controller le traffic entre wlan0 et wlan1.
Ensuite il faut ouvrir les ports qu'on souhaite acceder de l'exterieur sans conntrack , par exemple ssh ou un serveur web.
-
Salut kgersen.
Merci de m'aider. :)
Si je mets :
$iptv6 -P INPUT DROP
je n'ai plus l'IPv6 et je ne sais pas pourquoi. C'est le dernier point que je n'arrive pas à faire.
Tout se passe comme s'il y avait un lien entre eth0 et he-ipv6 que je n'arrive pas à traduire sous la forme d'une règle ip6tables.
Voici l'amélioration de mon script iptables.sh :
#!/bin/bash
iptv4=/sbin/iptables
iptv6=/sbin/ip6tables
# ============== #
# Initialization #
# ============== #
$iptv4 -F
$iptv4 -X
$iptv4 -Z
$iptv4 -F -t nat
$iptv4 -X -t nat
$iptv4 -Z -t nat
$iptv6 -F
$iptv6 -X
$iptv6 -Z
$iptv6 -F -t nat
$iptv6 -X -t nat
$iptv6 -Z -t nat
# ============= #
# Default Rules #
# ============= #
$iptv4 -P INPUT DROP
$iptv4 -P OUTPUT DROP
$iptv4 -P FORWARD DROP
$iptv6 -P INPUT ACCEPT
$iptv6 -P OUTPUT DROP
$iptv6 -P FORWARD DROP
# =============== #
# Device Loopback #
# =============== #
$iptv4 -A INPUT -i lo -j ACCEPT
$iptv4 -A OUTPUT -o lo -j ACCEPT
$iptv6 -A INPUT -i lo -j ACCEPT
$iptv6 -A OUTPUT -o lo -j ACCEPT
# =========== #
# Device eth0 #
# =========== #
$iptv4 -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A OUTPUT -o eth0 -j ACCEPT
# --- #
# SSH #
# --- #
$iptv4 -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$iptv4 -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
$iptv6 -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$iptv6 -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
# ----- #
# Samba #
# ----- #
$iptv4 -A INPUT -i eth0 -p tcp -m multiport --dport 139,445 -j ACCEPT
$iptv4 -A OUTPUT -o eth0 -p tcp -m multiport --sport 139,445 -j ACCEPT
$iptv6 -A INPUT -i eth0 -p tcp -m multiport --dport 139,445 -j ACCEPT
$iptv6 -A OUTPUT -i eth0 -p tcp -m multiport --sport 139,445 -j ACCEPT
# ============== #
# Device he-ipv6 #
# ============== #
# $iptv6 -A INPUT -i he-ipv6 -m state --state RELATED,ESTABLISHED -j ACCEPT
# $iptv6 -A OUTPUT -o he-ipv6 -j ACCEPT
# ============ #
# Device wlan0 #
# ============ #
$iptv4 -A INPUT -i wlan0 -d 192.168.52.0/24 -j ACCEPT
$iptv4 -A INPUT -i wlan0 -d 192.168.53.0/24 -j REJECT
$iptv4 -A INPUT -i wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A OUTPUT -o wlan0 -j ACCEPT
$iptv4 -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A FORWARD -i eth0 -o wlan0 -p icmp -j ACCEPT
$iptv4 -A FORWARD -i wlan0 -o eth0 -j ACCEPT
$iptv6 -A INPUT -i wlan0 -d 2001:470:c974:520::/64 -j ACCEPT
$iptv6 -A INPUT -i wlan0 -d 2001:470:c974:530::/64 -j REJECT
$iptv6 -A INPUT -i wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A OUTPUT -o wlan0 -j ACCEPT
$iptv6 -A FORWARD -i he-ipv6 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A FORWARD -i he-ipv6 -o wlan0 -p icmpv6 -j ACCEPT
$iptv6 -A FORWARD -i wlan0 -o he-ipv6 -j ACCEPT
# ============ #
# Device wlan1 #
# ============ #
$iptv4 -A INPUT -i wlan1 -d 192.168.53.0/24 -j ACCEPT
$iptv4 -A INPUT -i wlan1 -d 192.168.52.0/24 -j REJECT
$iptv4 -A INPUT -i wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A OUTPUT -o wlan1 -j ACCEPT
$iptv4 -A FORWARD -i eth0 -o wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A FORWARD -i eth0 -o wlan1 -p icmp -j ACCEPT
$iptv4 -A FORWARD -i wlan1 -o eth0 -j ACCEPT
$iptv6 -A INPUT -i wlan1 -d 2001:470:c974:530::/64 -j ACCEPT
$iptv6 -A INPUT -i wlan1 -d 2001:470:c974:520::/64 -j REJECT
$iptv6 -A INPUT -i wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A OUTPUT -o wlan1 -j ACCEPT
$iptv6 -A FORWARD -i he-ipv6 -o wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A FORWARD -i he-ipv6 -o wlan1 -p icmpv6 -j ACCEPT
$iptv6 -A FORWARD -i wlan1 -o he-ipv6 -j ACCEPT
# =========================== #
# Network Address Translation #
# =========================== #
$iptv4 -A POSTROUTING -t nat -o eth0 -j MASQUERADE
# === #
# Log #
# === #
# $iptv4 -A INPUT --log-prefix 'IN4: ' -j LOG
# $iptv4 -A OUTPUT --log-prefix 'OUT4: ' -j LOG
# $iptv4 -A FORWARD --log-prefix 'FOR4: ' -j LOG
# $iptv6 -A INPUT --log-prefix 'IN6: ' -j LOG
# $iptv6 -A OUTPUT --log-prefix 'OUT6: ' -j LOG
# $iptv6 -A FORWARD --log-prefix 'FOR6: ' -j LOG
exit
@+
-
c'est quoi tes routes? (ip -6 route) et tes inferfaces (ip -6 -br a) ?
et tes regles actives :
ip6tables -L -v -n (ou par chaines: ip6tables -L INPUT -v -n , etc)
ip6tables -S
ip6tables -t nat -L --line-numbers -n (doit être vide)
et en IPv4:
iptables -t nat -L --line-numbers -n
-
Salut kgersen.
Je me suis connecté au ssid:MyWapOne. Voici ce que tu m'as demandé :
~> ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.52 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::459f:8ea9:a444:c26c prefixlen 64 scopeid 0x20<link>
ether b8:27:eb:96:7e:15 txqueuelen 1000 (Ethernet)
RX packets 859 bytes 227891 (222.5 KiB)
RX errors 0 dropped 10 overruns 0 frame 0
TX packets 921 bytes 137688 (134.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
he-ipv6: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1480
inet6 2001:470:1f12:226::2 prefixlen 64 scopeid 0x0<global>
inet6 fe80::c0a8:134 prefixlen 64 scopeid 0x20<link>
sit txqueuelen 1000 (IPv6-dans-IPv4)
RX packets 354 bytes 108216 (105.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 365 bytes 45497 (44.4 KiB)
TX errors 2 dropped 0 overruns 0 carrier 2 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Boucle locale)
RX packets 220 bytes 23858 (23.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 220 bytes 23858 (23.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
sit0: flags=128<NOARP> mtu 1480
sit txqueuelen 1000 (IPv6-dans-IPv4)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.52.1 netmask 255.255.255.0 broadcast 192.168.52.255
inet6 2001:470:c974:520::1 prefixlen 64 scopeid 0x0<global>
inet6 fe80::76e1:5c61:7f7a:14e4 prefixlen 64 scopeid 0x20<link>
ether 00:e0:4c:0b:f9:af txqueuelen 1000 (Ethernet)
RX packets 1902 bytes 326108 (318.4 KiB)
RX errors 0 dropped 1 overruns 0 frame 0
TX packets 1931 bytes 521874 (509.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.53.1 netmask 255.255.255.0 broadcast 192.168.53.255
inet6 2001:470:c974:530::1 prefixlen 64 scopeid 0x0<global>
inet6 fe80::ed60:7e24:3933:4ac5 prefixlen 64 scopeid 0x20<link>
ether 00:e0:4c:0e:86:b9 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 29 bytes 4549 (4.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
~>
~> ip -6 route
2001:470:1f12:226::1 dev he-ipv6 metric 1024 pref medium
2001:470:1f12:226::/64 dev he-ipv6 proto kernel metric 256 pref medium
2001:470:c974:520::/64 dev wlan0 proto kernel metric 303 pref medium
2001:470:c974:530::/64 dev wlan1 proto kernel metric 304 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev he-ipv6 proto kernel metric 256 pref medium
fe80::/64 dev wlan1 proto kernel metric 256 pref medium
fe80::/64 dev wlan0 proto kernel metric 256 pref medium
default via 2001:470:1f12:226::1 dev he-ipv6 metric 1024 onlink pref medium
~>
~> ip -6 -br a
lo UNKNOWN ::1/128
eth0 UP fe80::459f:8ea9:a444:c26c/64
wlan0 UP 2001:470:c974:520::1/64 fe80::76e1:5c61:7f7a:14e4/64
wlan1 UP 2001:470:c974:530::1/64 fe80::ed60:7e24:3933:4ac5/64
he-ipv6@NONE UNKNOWN 2001:470:1f12:226::2/64 fe80::c0a8:134/64
~>
~> ip6tables -L -v -n
Chain INPUT (policy ACCEPT 121 packets, 11184 bytes)
pkts bytes target prot opt in out source destination
13 1801 ACCEPT all lo * ::/0 ::/0
0 0 ACCEPT tcp eth0 * ::/0 ::/0 tcp dpt:22
0 0 ACCEPT tcp * * ::/0 ::/0 multiport dports 139,445
205 21387 ACCEPT all wlan0 * ::/0 2001:470:c974:520::/64
6 535 REJECT all wlan0 * ::/0 2001:470:c974:530::/64 reject-with icmp6-port-unreachable
1 187 ACCEPT all wlan0 * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all wlan1 * ::/0 2001:470:c974:530::/64
0 0 REJECT all wlan1 * ::/0 2001:470:c974:520::/64 reject-with icmp6-port-unreachable
0 0 ACCEPT all wlan1 * ::/0 ::/0 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
312 95061 ACCEPT all he-ipv6 wlan0 ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmpv6 he-ipv6 wlan0 ::/0 ::/0
323 41393 ACCEPT all wlan0 he-ipv6 ::/0 ::/0
0 0 ACCEPT all he-ipv6 wlan1 ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmpv6 he-ipv6 wlan1 ::/0 ::/0
0 0 ACCEPT all wlan1 he-ipv6 ::/0 ::/0
Chain OUTPUT (policy DROP 5 packets, 440 bytes)
pkts bytes target prot opt in out source destination
13 1801 ACCEPT all * lo ::/0 ::/0
0 0 ACCEPT tcp * eth0 ::/0 ::/0 tcp spt:22
0 0 ACCEPT tcp * * ::/0 ::/0 multiport sports 139,445
259 34335 ACCEPT all * wlan0 ::/0 ::/0
16 2015 ACCEPT all * wlan1 ::/0 ::/0
~>
~> ip6tables -L INPUT -v -n
Chain INPUT (policy ACCEPT 121 packets, 11184 bytes)
pkts bytes target prot opt in out source destination
13 1801 ACCEPT all lo * ::/0 ::/0
0 0 ACCEPT tcp eth0 * ::/0 ::/0 tcp dpt:22
0 0 ACCEPT tcp * * ::/0 ::/0 multiport dports 139,445
224 22991 ACCEPT all wlan0 * ::/0 2001:470:c974:520::/64
6 535 REJECT all wlan0 * ::/0 2001:470:c974:530::/64 reject-with icmp6-port-unreachable
1 187 ACCEPT all wlan0 * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all wlan1 * ::/0 2001:470:c974:530::/64
0 0 REJECT all wlan1 * ::/0 2001:470:c974:520::/64 reject-with icmp6-port-unreachable
0 0 ACCEPT all wlan1 * ::/0 ::/0 state RELATED,ESTABLISHED
~>
~> ip6tables -L OUTPUT -v -n
Chain OUTPUT (policy DROP 5 packets, 440 bytes)
pkts bytes target prot opt in out source destination
13 1801 ACCEPT all * lo ::/0 ::/0
0 0 ACCEPT tcp * eth0 ::/0 ::/0 tcp spt:22
0 0 ACCEPT tcp * * ::/0 ::/0 multiport sports 139,445
429 61659 ACCEPT all * wlan0 ::/0 ::/0
16 2015 ACCEPT all * wlan1 ::/0 ::/0
~>
~> ip6tables -L FORWARD -v -n
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
326 99446 ACCEPT all he-ipv6 wlan0 ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmpv6 he-ipv6 wlan0 ::/0 ::/0
337 42761 ACCEPT all wlan0 he-ipv6 ::/0 ::/0
0 0 ACCEPT all he-ipv6 wlan1 ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmpv6 he-ipv6 wlan1 ::/0 ::/0
0 0 ACCEPT all wlan1 he-ipv6 ::/0 ::/0
~>
~> ip6tables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 139,445 -j ACCEPT
-A INPUT -d 2001:470:c974:520::/64 -i wlan0 -j ACCEPT
-A INPUT -d 2001:470:c974:530::/64 -i wlan0 -j REJECT --reject-with icmp6-port-unreachable
-A INPUT -i wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 2001:470:c974:530::/64 -i wlan1 -j ACCEPT
-A INPUT -d 2001:470:c974:520::/64 -i wlan1 -j REJECT --reject-with icmp6-port-unreachable
-A INPUT -i wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i he-ipv6 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i he-ipv6 -o wlan0 -p ipv6-icmp -j ACCEPT
-A FORWARD -i wlan0 -o he-ipv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o wlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i he-ipv6 -o wlan1 -p ipv6-icmp -j ACCEPT
-A FORWARD -i wlan1 -o he-ipv6 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m multiport --sports 139,445 -j ACCEPT
-A OUTPUT -o wlan0 -j ACCEPT
-A OUTPUT -o wlan1 -j ACCEPT
~>
~> ip6tables -t nat -L --line-numbers -n
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
~>
~> iptables -t nat -L --line-numbers -n
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
~>
@+
-
je n'ai plus l'IPv6 et je ne sais pas pourquoi. C'est le dernier point que je n'arrive pas à faire.
Tout se passe comme s'il y avait un lien entre eth0 et he-ipv6 que je n'arrive pas à traduire sous la forme d'une règle ip6tables.
le lien entre he-ipv6 et eth0 c'est que eth0 doit laisser passer les paquets IPv4 GRE pour que le tunnel IPv6 fonctionne. Mais ce ne concerne pas "ip6tables -P INPUT DROP", ca concerne une regle iptables ... le mieux est de log pour voir ce qui bloque. on dirait qu'il manque les icmpv6 pour he-ipv6.
-
Salut kgersen.
J'ai cru que mon problème concernait que l'ipv6.
Ayant mal fait mon test, j'ai découvert que j'avais aussi le même problème avec l'ipv4.
Je l'ai résolu en regardant les logs, à savoir les lignes qui ont été rejetés.
J'ai découvert qu'il me manquait des règles, comme le DNS, le DHCP, et l'ICMP pour l'ipv6, sur INPUT.
Cela m'a permis de débloquer cette situation afin de poursuivre dans l'amélioration de la sécurité.
En cherchant dans le forum Hurricane Electric, une des solutions était de débloquer le protocole 41.
Or je ne comprends pas en quoi débloquer ce protocole pouvait résoudre mon problème.
Car mon tunnel broker n'est pas bloqué dans ma BOX/SFR.
Et sans les iptables, j'ai bien l'accès à l'ipv6.
Le reste est un fatras incompréhensible de règles sans aucun rapport avec ce que je fais.
Je considère que l'un de mes problèmes est résolu.
Reste à savoir pourquoi mes deux ssid (MyWapOne & MyWapTwo) ne fonctionnent pas en même temps.
Peut-être que je teste mal. J'utilise la carte réseau de mon ordinateur et un dongle wifi.
Je pense que HOSTAPD fonctionne mal ou est mal configuré dans le cas de deux interfaces distincts.
Par contre, il fonctionne correctement avec une seule interface.
J'aimerai débloquer cette situation et je ne sais pas trop comment m'y prendre.
@+