Auteur Sujet: Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)  (Lu 1490 fois)

0 Membres et 1 Invité sur ce sujet

jeremyp3

  • Pau Broadband Country (64)
  • Client Orange Fibre
  • *
  • Messages: 509
  • FTTH 1Gb/s sur Pau (64)
Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)
« Réponse #24 le: 07 juin 2020 à 05:07:09 »
bonjour,

quelque chose m'intrigue et du coup me fait me poser une question sur ce que je fais moi :)
on voit qu'il te manque cette IPv6 public (on dit GUA = global unicast address) , aucune interface n'en a.
tu peux la mettre sur enp0s31f6 (lan?)  par exemple ou sur une interface virtuelle (on peut aussi la mettre sur wg0 mais ce n'est pas propre...) ou sur le looback (lo) (idéalement sur une interface physique pour avoir les accélérations matérielles du driver).

pourquoi ce n'est pas propre que wg0 porte l'ipv6 vu que c'est par lui que ça sort ?

merci,

Jerem

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 371
  • FTTH 1Gb/s sur Paris (75)
Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)
« Réponse #25 le: 07 juin 2020 à 09:46:12 »
Je viens de 'flush' desktop ET dedibox, sans changement.

Edit:Si je lance un 'tcpdump', je constate qu'un ping6 depuis le desktop vers une ip publique n'a jamais de réponse contrairement au même ping depuis dedibox.

(on a que src->dst et non src->dst/dst->src)

le mieux est de tcpdump l'interface he-ipv6 du dedibox et faire un ping sortant depuis le desktop et un ping entrant depuis l'exterieur et voir ce qui passe/passe pas.
si le ping entrant n'est pas visible c'est que le souci est chez HE (ou 'routed ipv6' n'est pas bon).

bonjour,

quelque chose m'intrigue et du coup me fait me poser une question sur ce que je fais moi :)
pourquoi ce n'est pas propre que wg0 porte l'ipv6 vu que c'est par lui que ça sort ?

merci,

Jerem

parce que ca consomme un /64 pour rien d'autre que ca. Apres c'est sur que tant qu'il n'a qu'une machine (virtuelle ou réelle) ca revient au meme mais ce n'est pas forcement tres évolutif et souple (dans le cas d'HE on a un /48 en plus mais ce n'est pas toujours le cas).

en plus en terme de sécurité c'est mieux que le tunnel n'ai pas d'IPv6 globale comme ca pas besoin d'avoir de firewalling dessus.
en terme de conf aussi c'est plus souple, la conf du tunnel est indépendante de ce qui passe dedans (car on n'utilise pas forcement wg-quick).

bref si en réseau, si on peut autant séparer les choses le plus possible.


StardustOne

  • Client SFR fibre FTTH
  • *
  • Messages: 62
Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)
« Réponse #26 le: 07 juin 2020 à 18:51:28 »
OK, suis repartis from scratch, et j'utilise à présent le routed /48. A tète reposée ça va mieux qu'en insistant quand 'ça marche pas'.

C'est beaucoup mieux. Tout fonctionne ! (à part ip6tables)

Il reste un dernier point, c'est que je suis obligé de commenter la regle par defaut FORWARD dans ip6tables sur dedibox.
De quelle règle spécifique de FORWARD a t-il besoin ?

Voici sa conf:
*filter
:INPUT DROP [0:0]
#:FORWARD DROP [780:62400]  # probleme ici, il me faut autoriser le FORWARD de façon plus spécifique que de commenter la ligne
:OUTPUT ACCEPT [4914:487934]
-A INPUT ...
[... autres ligne traitant le filtre INPUT ...]
COMMIT

Test de perfs de notre œuvre:
    - dl ipv4: 459 Mbits/sec
    - dl ipv6: 280 Mbits/sec # pas ouf
    - ping latency ipv4 13 ms
    - ping latency ipv6 17 ms

Bon en tout cas, voici une dual-stack fonctionelle
« Modifié: 07 juin 2020 à 19:34:25 par StardustOne »

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 371
  • FTTH 1Gb/s sur Paris (75)
Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)
« Réponse #27 le: 07 juin 2020 à 19:43:51 »
Le debit c'est pas étonnant, ca dépend de la puissance cpu de chaque coté du tunnel wireguard. Il faut comparer avec le débit IPv6 du dedibox aussi pour voir combien le tunnel wireguard impact sur le debit HE. Si ca trouve la limite ne vient pas du tunnel wireguard.

Si ton systeme rajoute des blocages iptables6 sur l'interface wg0 , ca c'est toi qui décide en fonction de ce que tu veux filtrer ou pas vers le desktop. Chaque distro Linux a ses différences la. Par défaut la plupart n'ont pas de règles iptables6 actives par défaut.
Le plus simple est virer les regles ip6tables si y'en a et faire les sécurité sur le desktop (ou les virer que sur wg0).
sinon un statefull firewall = les memes regles que tu as  mais sur la chaine FORWARD (limité éventuellement a l'interface wg0 ou pas).

le trafic IPv6 venant du Net et entrant dans le tunnel he-ipv6 puis en sortant ne passe par INPUT mais par FORWARD:
donc si tu FORWARD DROP tout par défaut ca bloque tout.

Il faut aussi autoriser les ICMPv6 sur INPUT et OUTPUT pour notamment pour signaler les paquets trop grands par exemple.




StardustOne

  • Client SFR fibre FTTH
  • *
  • Messages: 62
Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)
« Réponse #28 le: 07 juin 2020 à 20:20:03 »
Mon test de débit ipv6, sur le dedibox, j'obtiens un très correct 90MB/s (720Mbps) avec:
wget -O /dev/null http://ipv6.bouygues.testdebit.info/10G.iso
(interfaces 1Gbps dedibox/desktop)

Donc le tunnel wireguard bouffe une très grosse partie (1 tier) de BP en calculs, sauf erreur.

Lors du test, 'top' sur dedibox me donne 23% d'utilisation CPU pour 'kworker/0:2-wg-crypt-wg0'

 (Ce qui est peu par rapport à un OpenVPN de base). 5% d'utilisation CPU sur le desktop qui est mieux fournit en ressources.

Comment crée tu tes schémas réseaux ? Sûrement visio?

__  __ _____ ____   ____ ___
|  \/  | ____|  _ \ / ___|_ _|
| |\/| |  _| | |_) | |    | |
| |  | | |___|  _ <| |___ | |
|_|  |_|_____|_| \_\\____|___|

                                                                                         
        88                                 88                                           
  ,d    88                                 88                                           
  88    88                                 88                                           
MM88MMM 88,dPPYba,  ,adPPYYba, 8b,dPPYba,  88   ,d8 8b       d8  ,adPPYba,  88       88 
  88    88P'    "8a ""     `Y8 88P'   `"8a 88 ,a8"  `8b     d8' a8"     "8a 88       88 
  88    88       88 ,adPPPPP88 88       88 8888[     `8b   d8'  8b       d8 88       88 
  88,   88       88 88,    ,88 88       88 88`"Yba,   `8b,d8'   "8a,   ,a8" "8a,   ,a88 
  "Y888 88       88 `"8bbdP"Y8 88       88 88   `Y8a    Y88'     `"YbbdP"'   `"YbbdP'Y8 
                                                        d8'                             
                                                       d8'                               

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 371
  • FTTH 1Gb/s sur Paris (75)
Desktop Debian10, comment créer une stack IPv6 virtuelle (SFR FTTH)
« Réponse #29 le: 07 juin 2020 à 23:40:00 »
de rien.

pour les schémas j'utilise https://app.diagrams.net/ (anciennement https://draw.io ) c'est gratuit, open source et ca tourne 100% dans un navigateur web avec stockage local ou dans le cloud.

 

Mobile View