Bonjour à tous,
RED venant de me passer en IPv6, je commence à voir comment le déployer sur mon LAN. Et à moins d'un soucis de compréhension du fonctionnement de l'IPv6, j'avoue être un peu perdu sur comment gérer les DNS avec mes périphériques.
J'ai un routeur pfsense qui remplace ma box. La récupération de l'IPv4 et du préfixe IPv6 fonctionne sans soucis.
Pour l'instant j'ai un LAN en 192.168.1.0/21, réparti en 192.168.1.X = mes serveurs et autres périphériques réseaux (switch , AP), et 192.168.2.X = mes périphériques utilisateurs (téléphone, tablette, ordinateurs portables) (c'est le reste d'une tentative de séparation en 2 VLAN, qui apportait plus de problème pour aucun gain pratique). Tous le monde est réglé en bail fixe depuis les réglages DHCP de pfsense.
Mon DHCP distribue par défaut une adresse DNS v4 qui pointe vers un container AdguardHome, et les machines en 192.168.1.X voient eux leur DHCP pointer vers le DNS pfsense (DHCP DNS override, pour chaque client). Tout fonctionne bien.
Pour faire en sorte que tout le monde sur 192.168.2.X passe bien par AdguardHome seulement, j'ai une règle sur mon firewall qui bloque tout trafic sortant sur les ports 53 et 853 pour le réseau 192.168.2.0/24.
Là où je bloque, c'est sur la réplication de ce fonctionnement pour l'IPv6 :
- sur mon LAN, tout le monde s'adresse automatiquement sur le /64 récupéré depuis le routeur. Je peux utiliser un DHCPv6 pour attribuer aussi une IP plus reconnaissable (pas si facile en pratique ...), mais ce n'est pas forcément (même jamais ?) celle là qui est utilisée pour interroger le DNS ou sortir sur internet ;
- du coup, comment segmenter mon réseau en 2 sous parties comme je l'ai fait en IPv4 ? Suis-je obligé de passer par un VLAN, qui pose du coup d'autres soucis ?
- comment interdire à certains périphériques, dont je ne connais pas l'IP auto-attribuée, d'accéder à un DNS autre que celui que je veux ? Ne connaissant pas leur IP, je ne vois pas comment créer une règle de filtrage sur mon firewall ...
- et plus généralement, sur mon DNS AdguardHome, je ne peux plus identifier les clients qui s'y connectent par une IP changeante. Du coup, je ne peux pas non plus activer des règles "par client" (listes de filtrage différentes, par exemple, entre le téléphone de ma fille et le mien), puisqu'ils ne sont plus identifiables par une IP unique (seule possibilité sur AdguardHome pour identifier un client je crois) ?
Peut être suis-je complètement à côté de la plaque, mais j'avoue ne pas comprendre un truc là ...
Votre expertise est la bienvenue
EDIT : une précision : pfsense diffuse les RA en mode "Assisted" (Will advertise this router with configuration through a DHCPv6 server and/or stateless autoconfig).