Salut à tous et meilleurs vœux pour 2025 !

J’ai plusieurs questions sur ma configuration réseau un peu compliquée.

Contexte :

Pour expliquer rapidement, j’ai dû résilier plusieurs serveurs chez OVH car mon association n’a plus les moyens de financer ces services. J’ai donc déménagé en catastrophe tous nos services web, mail, etc., chez moi, dans ma résidence personnelle. En même temps, j’ai installé un rack réseau avec un ER-8-XG d’Ubiquiti et un CRS317-1G-16S+. Initialement, tout était en standby car j’utilisais un vieux PC avec pfSense pour gérer mon réseau local avec mes deux fibres en amont.

Malheureusement, lors du déplacement de ce PC dans ma salle de rack, l’alimentation a grillé et le vieux SSD de pfSense est devenu illisible. J’ai donc dû, en catastrophe, mettre en production l’ER-8-XG. C’était une nuit mouvementée, de 23h à 4h du matin ! 😅 (désolé pour ce passage inutile, mais ça fait du bien de le partager !).


Je précise que j’ai deux fibres optiques mais avec des abonnements particuliers :
   •   Une Livebox 7 abo Max
   •   Une Freebox Ultra

En 2025, je me suis dit que ce serait une bonne idée de profiter de ce changement d’infrastructure pour passer à l’IPv6. J’avais quelques notions, mais je n’avais pas encore sauté le pas, principalement à cause des problèmes de sécurité et des pare-feu des box qui sont catastrophiques en IPv6.

Pendant que Fail2Ban sur mon serveur mail bannit toute la Russie, la Chine et la Corée du Nord (clin d’œil à ceux qui gèrent un serveur Postfix 😉), et après avoir lu pas mal de threads sur ce forum, j’ai compris plusieurs points.

   •   J’ai pu configurer un round-robin en IPv4 pour nos serveurs web malgré l’IP dynamique d’Orange (merci à l’API OVH !).
   •   En IPv4, le serveur mail fonctionne grâce au reverse DNS configurable de Free. Mais pourquoi ne pas permettre la même chose en IPv6, au moins pour quelques adresses ? (c’est frustrant, surtout qu’on en parle depuis 2013 sur le bugtracker…).

Pour mon serveur mail j’ai débloqué mon IP fixe Free, déclarée “résidentielle” sur les RBL, et tout fonctionne en IPv4 pour l’instant, je vais essayer de configurer Postfix pour recevoir en IPv4/IPv6 et n’envoyer qu’en IPv4. Une solution type Milkywan pourrait être envisagée à l’avenir pour un reverse PTR ipv6.

Actuellement, je suis en double NAT (oui, je sais, ce n’est pas propre, mais c’est voulu) :
   •   eth1 est connecté à la Freebox.
   •   eth2 est connecté à la Livebox.
   •   J’ai configuré un LACP avec deux liens (eth7 et eth8) vers mon CRS pour mon réseau LAN.

Quelques questions

Freebox :

Free gère le premier préfixe et j’ai délégué les deux derniers à mon routeur. J’ai remarqué que, par défaut, la case pare-feu IPv6 est décochée. Je suppose qu’en l’activant, cela bloque tout en entrée sur le préfixe 0::/64 tout en autorisant tout en sortie, n’est-ce pas ? Cela semble un peu trop simplifié, non ?

Bref, j’ai coché la case et attribué 6::/64 et 7::/64 comme next-hop sur mon routeur. Pas de problème particulier
   •   Un préfixe gère des machines en IPv6 statique (serveurs) sur le lien eth1 entre le routeur et la Freebox.
   •   L’autre est attribué à mon bond0 (LACP) pour distribuer l’IPv6 de Free en SLAAC sur le réseau local.

J’ai tenté d’utiliser un seul préfixe en pensant qu’on pouvait le diviser en plusieurs segments. Après tout, avec 18 446 744 073 709 551 616 adresses, je me disais qu’on n’aurait pas besoin d’un autre préfixe ! Mais apparemment non : la norme (si je ne dis pas de bêtises) impose un préfixe par lien réseau. Sinon, ça crée plusieurs routes identiques et embrouille le routeur. Bref, après avoir compris cela, ma configuration fonctionne.
J’ai aussi pensé utiliser le reverse PTR des IPv6 Free pour mon champ MX, mais un simple dig -x retourne un NXDOMAIN (no comment) de toute façon pas sure que ça aurais marché.


Pour l’instant, je n’ai pas encore le XGS-PON sur la Livebox. J’ai donc configuré un mode failover avec deux règles NAT pour 0.0.0.0/0 :
   •   Une priorité pour Free.
   •   Une autre pour Orange.

Orange et l’IPv6 :

J’ai réussi à obtenir une délégation DHCPv6 sur mon routeur. Mais cela a causé un bazar monstrueux dans les routes IPv6, et plus rien ne ping en sortie. J’ai donc décidé de désactiver l’IPv6 venant d’Orange pour le moment. Mais !!!!

Malgré les paramètres suivants :

set firewall ipv6-receive-redirects disable
set firewall ipv6-src-route disable
set firewall ip-src-route disable
set firewall log-martians enable
set interfaces ethernet eth2 ipv6 dup-addr-detect-transmits 0
set interfaces ethernet eth2 ipv6 router-advert cur-hop-limit 64
set interfaces ethernet eth2 ipv6 router-advert default-lifetime 0
set interfaces ethernet eth2 ipv6 router-advert link-mtu 0
set interfaces ethernet eth2 ipv6 router-advert managed-flag false
set interfaces ethernet eth2 ipv6 router-advert max-interval 600
set interfaces ethernet eth2 ipv6 router-advert other-config-flag false
set interfaces ethernet eth2 ipv6 router-advert reachable-time 0
set interfaces ethernet eth2 ipv6 router-advert retrans-timer 0
set interfaces ethernet eth2 ipv6 router-advert send-advert false

Je constate toujours une route Kernel sur l’interface eth2 (lien vers la livebox). Voici la table de routage IPv6 :

IP Route Table for VRF "default"
K      ::/0 [0/1024] via fe80::xxxx:xxxx:xxxx:xxxx, eth2, 4d21h58m
C      ::1/128 via ::, lo, 02w0d07h
C      2a01:e0a:xx:xxx6::/64 via ::, bond0, 01w2d22h (static pour free)
C      2a01:e0a:xx:xxx7::/64 via ::, eth1, 01w1d00h (static pour free)
C      fe80::/64 via ::, eth0, 2d05h50m

   1.   Pourquoi cette route Kernel persiste-t-elle sur la Livebox, malgré la désactivation de RA et DHCPv6 ?
   2.   Quelle stratégie utiliser pour distribuer les IPv6 des préfixes de la Livebox en plus de celles de la Freebox sur le réseau local ?
   3.   En 2025, est-il toujours obligatoire d’utiliser DHCPv6 pour la délégation des préfixes et des ipv6 sur la Livebox ?

Pour l’anecdote, le routeur est assez intelligent : si je lance un speedtest sur nPerf (lien unique chez eux), je sature bien la Freebox avec 8 Gb/s. Mais ce qui est amusant, c’est que si je lance un speedtest sur Ookla (serveur Orange Paris en multi-lien), je sature carrément mon lien 10 Gb/s sur la carte réseau de mon ordinateur. Le routeur, une fois le lien Free saturé, se permet d’envoyer les autres requêtes du speedtest sur le lien Orange (2 Gb/s).

En revanche, pour l’upload, il décide d’utiliser le lien Orange, probablement parce qu’il considère que le lien Free est saturé, et il redirige les requêtes d’upload vers la Livebox. Franchement, ça me va très bien pour l’instant !

Bon, il est tard, je suis désolé pour ce post très long. Merci à tous ceux qui ont eu le courage de le lire et de pouvoir m’aiguiller un minimum.

À bientôt.

Merci kgersen pour ta reponse

les lignes avec "router-advert" sur eth2 ne concerne pas le comportement en réception des RA sur cette interface mais l'émission des RA, ce qui n'a pas de sens si y'a une livebox sur eth2.

Justement si,  comme tu le dis ça pour but que mon router ne s'annonce pas sur le lien entre lui et la livebox car je veux que seul la livebox gere l'ipv6 sur son reseau mon routeur doit etre invisible en ipv6.

pour ignorer les RA que la livebox envoi sur eth2, il faut configurer le sysctl suivant:

net.ipv6.conf.eth2.accept_ra = 0

je ne sais pas si Ubiquiti permet ceci directement dans EdgeOS dans la conf d'eth2 (la dernière fois que j'avais check ce n'était pas le cas).

il faut donc modifier sysctl.conf ou mettre le fichier suivant dans /config/scripts/post-config.d qui fera le reglage a chaque boot.

Le fichier /etc/sysctl.conf existe bien, mais il n’est pas utilisé car tout est commenté. Je vais tester ce soir si je peux ajouter des configurations dessus et, surtout, si cela résiste à un redémarrage.
Si c'est le cas je ferais :

net.ipv6.conf.eth2.autoconf=0
net.ipv6.conf.eth2.accept_ra=0
net.ipv6.conf.eth2.accept_ra_defrtr=0

La commande sysctl est dispo en sudo mais j'ai peur de sortir un peu des clous de l'edge router et de l'embrouiller, je testerais tard dans la nuit