Auteur Sujet: DHCPv6-PD pour délégation de préfixe depuis une Freebox Delta vers VyOS (Lu 3599 fois)

0xgrm · « **le:** 27 avril 2023 à 19:30:20 »

Bonjour à tous,

Je me suis enfin lancé dans l'aventure IPv6 sur mon réseau local.

Je fais tourner un routeur VyOS virtuel sur Proxmox derrière une Freebox Delta en fibre, en mode routeur.
VyOS récupère l'IP de son interface WAN via la délégation du premier préfixe de la Freebox en DHCPv6-PD.

Ce que je n'arrive pas à faire, c'est de faire la délégation des préfixes suivants aux interfaces LAN en DHCPv6-PD. Cela ne fonctionne que lorsque je le délègue de manière statique.

De ce que j'ai compris de mes recherches, c'est que :

Free alloue un /60 à chaque abonné (bien qu'on n'ait accès qu'à un /61 depuis la Freebox)
le premier préfixe est dédié au WAN

J'ai configuré mon interface WAN et la délégation de préfixe comme suit :

Code: [Sélectionner]

ethernet eth2 {
        address dhcp
        address fe80::1/64
        address dhcpv6
        description WAN
        hw-id <REDACTED>
        dhcpv6-options {
            pd 0 {
                interface eth0.100 {
                    address 1
                    sla-id 1
                }
                length 60
            }
            rapid-commit
        }
        ipv6 {
            address {
                autoconf
            }
        }
        offload {
            gro
            gso
            sg
            tso
        }
    }

Avant de vous dévoiler de manière plus détaillée ma configuration : est-il tout simplement possible d'obtenir la délégation des préfixes LAN en DHCPv6-PD depuis la Freebox vers VyOS ?

kgersen · « **Réponse #1 le:** 28 avril 2023 à 00:13:32 »

non la Freebox ne fait que du statique. Elle ne sait pas faire du DHCPv6-PD.

Citer

VyOS récupère l'IP de son interface WAN via la délégation du premier préfixe de la Freebox en DHCPv6-PD.

non y'a pas DHCPv6-PD la. c'est DHCPv6 simple (aucun interet a en faire d'ailleurs).
Le WAN de ton vyOS n'a pas besoin d'IPv6 publique, il suffit juste de lui indiqué l'ip-link local de la Freebox comme gateway.

Citer

le premier préfixe est dédié au WAN

non pas nécessairement. tu peux utiliser le premier prefixe si tu n'en a pas besoin d'IPv6 sur d'autres équipements derriere la freebox.

zoc · « **Réponse #2 le:** 28 avril 2023 à 06:54:06 »

Citation de: kgersen le 28 avril 2023 à 00:13:32

non y'a pas DHCPv6-PD la. c'est DHCPv6 simple (aucun interet a en faire d'ailleurs).

C’est pas du SLAAC plutôt ?

Mais oui sinon aucun intérêt de gaspiller un des 8 /64 sur l’interface WAN, les adresses Link-Local sont là pour ça.

pitalugue · « **Réponse #3 le:** 28 avril 2023 à 08:07:10 »

Citation de: zoc le 28 avril 2023 à 06:54:06

C’est pas du SLAAC plutôt ?

Mais oui sinon aucun intérêt de gaspiller un des 8 /64 sur l’interface WAN, les adresses Link-Local sont là pour ça.

La Freebox prédécoupe les segments pour SLAAC. Elle fait bien sûr du RDNSS mais elle a une option non active par défaut pour tourner un dhcpv6. Je ne l'ai pas utilisée donc je ne commenterai pas plus avant.
Quant à la question du gaspillage et la non présence d'une adresse globale via interface externe, c'est votre opinion, c'est pourtant ce que vous auriez avec une délégation de préfixe et une option d'exclusion. Ca relève de la facilité de vos caractéristiques de déploiement.
Dans le cas de l'utilisation par le quidam du paramétrage Free, gaspiller un segment peut être dommage en effet mais a aussi la vertu de pouvoir configurer et maintenir une route.

zoc · « **Réponse #4 le:** 28 avril 2023 à 08:52:50 »

Citation de: pitalugue le 28 avril 2023 à 08:07:10

c'est pourtant ce que vous auriez avec une délégation de préfixe et une option d'exclusion.

Bah je suis chez Orange, DHCP6-PD donc, et mon routeur (perso, en front, pas de LB donc) n'a pas de GUA sur son interface WAN. D'où mon terme "gaspillage" parce que ça fonctionne sans (et ça n'empêche pas le routeur d'être joignable de l'extérieur sur l'une de ses GUA coté LAN). Après, évidemment ça fonctionne aussi avec... Mais étant donné que chez Free on n'a que 8 /64 dispo ça peut être dommage d'en utiliser un pour seulement 1 adresse...

Et les routes peuvent parfaitement s'appuyer uniquement sur les adresses Link-Local. Perso le seul bénéfice que je vois à l'utilisation d'adresses GUA (voir ULA) sur un lien qui ne sert qu'au routage c'est avoir des traceroutes avec tous les sauts qui répondent.

0xgrm · « **Réponse #5 le:** 28 avril 2023 à 11:22:53 »

Merci pour vos réponses.

Effectivement je suis conscient que mon routeur n'a pas nécessairement besoin d'une GUA sur son WAN pour pouvoir router les paquets. Toutefois j'ai un tunnel Wireguard dessus, j'ai donc besoin d'une GUA. Je m'interroge donc sur les bonnes pratiques : est-il plus approprié d'y accéder par la GUA qu'il acquiert sur son LAN ?

Quant au gaspillage de préfixe, la Freebox a une GUA sur le premier préfixe. C'est pour cela que je ne délègue pas ce préfixe à mes équipements sur le LAN. Ai-je tord de penser ainsi ?

Citation de: kgersen le 28 avril 2023 à 00:13:32

non la Freebox ne fait que du statique. Elle ne sait pas faire du DHCPv6-PD.

OK, cela explique donc pourquoi elle sait allouer une IP sur le WAN de mon routeur en DHCPv6 mais pas déléguer l'un des 8 préfixes sur une interface LAN.
Je suis d'accord sur le fait que ça n'a pas un grand intérêt, c'était surtout dans un but éducatif sur le fonctionnement de l'IPv6.

simon · « **Réponse #6 le:** 28 avril 2023 à 11:45:37 »

Citation de: 0xgrm le 28 avril 2023 à 11:22:53

Effectivement je suis conscient que mon routeur n'a pas nécessairement besoin d'une GUA sur son WAN pour pouvoir router les paquets. Toutefois j'ai un tunnel Wireguard dessus, j'ai donc besoin d'une GUA. Je m'interroge donc sur les bonnes pratiques : est-il plus approprié d'y accéder par la GUA qu'il acquiert sur son LAN ?

Tu peux parfaitement utiliser la GUA d'une patte LAN (ou la GUA d'une loopback, d'ailleurs) pour terminer ton tunnel wireguard.

J'utiliserai peut être une adresse de service pour le tunnel wireguard (une GUA dédiée à wireguard, potentiellement assignée à une interface loopback) afin de pouvoir le déplacer facilement et ne pas être tributaire de l'état opérationnel (up/down) d'une interface pour utiliser le VPN.

Quant à la bonne pratique, aucun souci pour ne pas avoir de GUA sur la patte WAN. Les messages ICMP (packet too big, destination unreachable, etc.) seront émis avec l'adresse source GUA de l'une des pattes LAN, ca ne pose pas de problème. Pour un réseau composé d'un unique routeur avec un ou plusieurs VLAN, je ne vois pas l'intérêt de cramer un /64.

0xgrm · « **Réponse #7 le:** 28 avril 2023 à 12:21:55 »

Citation de: simon le 28 avril 2023 à 11:45:37

J'utiliserai peut être une adresse de service pour le tunnel wireguard (une GUA dédiée à wireguard, potentiellement assignée à une interface loopback) afin de pouvoir le déplacer facilement et ne pas être tributaire de l'état opérationnel (up/down) d'une interface pour utiliser le VPN.

Cette idée est géniale ! Décidément, l'IPv6 m'en fait apprendre beaucoup et revoir totalement ma façon de penser le réseau.

Citation de: simon le 28 avril 2023 à 11:45:37

Quant à la bonne pratique, aucun souci pour ne pas avoir de GUA sur la patte WAN. Les messages ICMP (packet too big, destination unreachable, etc.) seront émis avec l'adresse source GUA de l'une des pattes LAN, ca ne pose pas de problème. Pour un réseau composé d'un unique routeur avec un ou plusieurs VLAN, je ne vois pas l'intérêt de cramer un /64.

Je suis d'accord que ça n'a aucun sens de cramer un /64 pour le WAN avec un unique routeur.
Toutefois, comme je le disais, la Freebox a une GUA attribuée sur son premier préfixe : xxxx:xxxx:xxxx:xxx0::1/64. Donc même si je n'attribue pas de GUA à l'interface WAN de VyOS sur ce préfixe, puis-je l'utiliser pour un LAN ou un VLAN derrière ?

kgersen · « **Réponse #8 le:** 28 avril 2023 à 12:39:25 »

Citation de: 0xgrm le 28 avril 2023 à 12:21:55

Toutefois, comme je le disais, la Freebox a une GUA attribuée sur son premier préfixe : xxxx:xxxx:xxxx:xxx0::1/64. Donc même si je n'attribue pas de GUA à l'interface WAN de VyOS sur ce préfixe, puis-je l'utiliser pour un LAN ou un VLAN derrière ?

si le next-hop du 1er prefixe /64 est renseigné, la freebox ne se configure pas ce GUA en question (c'est d'ailleurs indiqué dans l'interface il me semble ?).
donc oui tu peux sans souci l'utiliser derriere ton VyOS.

si le next-hop du 1er prefixe /64 est vide alors la freebox l'utilise:
- elle prend 1er-prefixe::1/64 pour elle meme sur son interface "lan" (= bridge de ses ports lan et du wifi)
- elle annonce 1er-prefixe::/64 sur son "lan" par RA (SLAAC) et DHCPv6 (ce dernier est désactivable je crois)

0xgrm · « **Réponse #9 le:** 28 avril 2023 à 13:03:00 »

Citation de: kgersen le 28 avril 2023 à 12:39:25

si le next-hop du 1er prefixe /64 est renseigné, la freebox ne se configure pas ce GUA en question (c'est d'ailleurs indiqué dans l'interface il me semble ?).
donc oui tu peux sans souci l'utiliser derriere ton VyOS.

C'est bon j'ai enfin pigé la subtilité. Merci beaucoup !

pitalugue · « **Réponse #10 le:** 28 avril 2023 à 14:34:51 »

Citation de: simon le 28 avril 2023 à 11:45:37

Quant à la bonne pratique, aucun souci pour ne pas avoir de GUA sur la patte WAN. Les messages ICMP (packet too big, destination unreachable, etc.) seront émis avec l'adresse source GUA de l'une des pattes LAN, ca ne pose pas de problème. Pour un réseau composé d'un unique routeur avec un ou plusieurs VLAN, je ne vois pas l'intérêt de cramer un /64.

Je suis très curieux de la production de vos "bonnes" pratiques puisque une autorité (l'IETF), elle, quand elle doit résoudre ce problème de délégation d'un seul et même préfixe à la fois au routeur et au reste de l'environnement du client ne préconise pas l'absence d'adresse de portée globale au routeur mais l'introduction d'une option DHCP pour détacher une sous-partie du préfixe pour pouvoir la fournir au routeur (rfc 6603).
Dans le cadre de Free, le travail est déjà pré-mâché puisque les segments sont déjà individualisés (et qu'on n'utilise pas DHCP pour la délégation).
De toute façon, il ne faut pas avoir une connaissance intime de la mécanique des OS pour réaliser que dissocier adresse (liée à une interface) et l'interface de transit n'est pas l'option de traitement idéale tant en sécurité qu'en performance. Là où ça prend encore de l'ampleur c'est quand on préconise des contortions pour ipv6 quand de toute manière IPv4 sera frontal et que le routeur en question sera déjà, par essence, filtrant (à état qui plus est).
Peut-être, une meilleure manière de reformuler votre développement serait de dire que si l'OP (dans son cadre) a besoin d'un huitième segment, il peut trouver une solution plus ou moins acceptable pour l'utiliser en interne. Mon avis est qu'autrement c'est une vraisemblablement une régression.

Ceci dit, @kgersen a factuellement fourni les clefs du fonctionnement de la box, à l'OP de voir en fonction de ses connaissances. Si je me permets d'intervenir c'est pour un regard critique sur les soi-disant meilleures manières de faire.

0xgrm · « **Réponse #11 le:** 28 avril 2023 à 16:36:16 »

Citation de: pitalugue le 28 avril 2023 à 14:34:51

Peut-être, une meilleure manière de reformuler votre développement serait de dire que si l'OP (dans son cadre) a besoin d'un huitième segment, il peut trouver une solution plus ou moins acceptable pour l'utiliser en interne. Mon avis est qu'autrement c'est une vraisemblablement une régression.

Ceci dit, @kgersen a factuellement fourni les clefs du fonctionnement de la box, à l'OP de voir en fonction de ses connaissances. Si je me permets d'intervenir c'est pour un regard critique sur les soi-disant meilleures manières de faire.

Merci pour ton intervention. Je n'ai pas besoin pour le moment d'un huitième segment.

Toutefois, pourrais-tu expliquer pourquoi ne pas attribuer une adresse globale sur l'interface WAN peut constituer un risque en terme de sécurité ou de performance ?
Je n'arrive pas à saisir la différence fonctionnelle entre les deux cas de figure, d'autant plus que j'ai besoin que le routeur soit accessible de l'extérieur pour mon tunnel Wireguard.