La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: LAB3W.ORJ le 17 août 2024 à 20:29:55
-
Salut, à toutes et à tous.
J'ai fais des tests de Bande Passante avec le logiciel, commande "iperf3".
Côté server : iperf3 -s
Côté client : iperf3 -c address
L'imprime écran des tests est ici :
https://www.zw3b.com/pub/screens/others/iperf3-20240816.txt
C'est peut-être ce test le plus important :
-----------------------------------------------------------
# FR.LAB3W.HOME.BW -> LAN (2.5Gb/s) -> SWITCH -> LAN (10Gb/s) -> FR.LAB3W.HOME.PVE (Router Linux)
root@bw:~ # iperf3 -c fc01::172:16:0:254
-----------------------------------------------------------
Accepted connection from fc01::172:16:0:1, port 38346
[ 5] local fc01::172:16:0:254 port 5201 connected to fc01::172:16:0:1 port 38354
[ ID] Interval Transfer Bitrate
[ 5] 0.00-1.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 1.00-2.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 2.00-3.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 3.00-4.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 4.00-5.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 5.00-6.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 6.00-7.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 7.00-8.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 8.00-9.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 9.00-10.00 sec 154 MBytes 1.29 Gbits/sec
[ 5] 10.00-10.00 sec 80.9 KBytes 1.30 Gbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate
[ 5] 0.00-10.00 sec 1.50 GBytes 1.29 Gbits/sec receiver
-----------------------------------------------------------
root@bw:~ # traceroute6 fc01::172:16:0:254
traceroute vers fc01::172:16:0:254 (fc01::172:16:0:254) de fc01::172:16:0:1, port 33434, du port 56509, 30 sauts max, 60 octets/paquet
1 fc01::172:16:0:254 (fc01::172:16:0:254) 0.151 ms 0.107 ms 0.160 ms
-----------------------------------------------------------
Parce que sur l'ordi "BW" (fc01::172:16:0:1) j'ai une carte RJ45 2.5Gbits/s qui va sur mon switch (avec un câble 5e - le noir sur la photo du dessous) ; Et sur l'ordi/routeur "PVE" (fc01::172:16:0:254) j'ai une carte fibre optique SPF+ 10Gbits/s qui est reliée au même switch. Et, donc, le transfert me retourne un bitrate de 1.29 Gbits/sec (comme si les 2 ordinateurs étaient en fibre 10Gbit/s).
La configuration du réseau IP de chez moi :
https://www.zw3b.com/pub/screens/others/config-ethernet-home-20240817.txt
#FIBER #HOME #LAB3W #ZW3B #IPERF
Note de Moi-même at 02h58 2024-08-18 :
Histoire de réfléchir à l'adressage IPv6 : https://www.zw3b.com/pub/screens/others/config-fake-ips-home-20240818.txt
Pour mieux travailler du chapeau ;)
Bonne soirée,
Romain.
----
Switch-nicgiga-S25-0402P
- Port 10G Fibre : Machine Linux Router
- L1 2.5G : Machine Linux BW
- L2 2.5G : Router Wi-Fi6 GL-MT3000
- L4 2.5G : Machine Windows 11
(https://www.zw3b.fr/pub/screens/others/switch-nicgiga-S25-0402P-photo2.jpg)
GL-MT3000-Beryl_AX-AX3000-WiFi_6_Router - 85€ sur Amazon.
(https://www.zw3b.fr/pub/screens/others/GL-MT3000-Beryl_AX-AX3000-WiFi_6_Router-onlink.jpg)
(https://www.zw3b.fr/pub/screens/others/GL-MT3000-Beryl_AX-AX3000-WiFi_6_Router-box.jpg)
Je vous met les iperformances de ce réseau WiFi-6 quand j'ai fais les test - Pour dire, je vois dans la connexion que je suis connecté en 866Mb/s au lieu de 72Mb/s (comme en WiFi5).
L'interface web du routeur GL-MT3000 GLi.net (https://www.gl-inet.com/) est très complète. Ce routeur est compatible avec OpenWrt - LuCi (https://openwrt.org/toh/gl.inet/gl-mt3000) ;) Par default le system fonctionne avec OpenWrt 21.02 - BusyBox v1.33.2. Cà permet de voir leurs configurations IP ; v4 et v6, les firewalls, les routes, c'est très intéressant. çà permet de pouvoir ajouter des "trucs" depuis la console (qui peuvent être non configurable via l'interface web) Parce que pour tout vous dire, il y a 4 Wi-Fi (1x2.4GHz Wi-Fi et 1x5GHz Wi-Fi pour le LAN privé et 2 autres sur ces 2 mêmes fréquences pour les invités) mais il manque des options IPv6 (DHCPdv6 / routes WAN6 non configurable via l'interface web) ;)
root@nomade:~ $ ssh -4 192.168.8.1
root@192.168.8.1's password:
BusyBox v1.33.2 (2024-06-28 08:20:53 UTC) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
OpenWrt 21.02-SNAPSHOT, r15812+899-46b6ee7ffc
-----------------------------------------------------
root@GL-MT3000:~# uname -a
Linux GL-MT3000 5.4.211 #0 SMP Fri Jun 28 08:20:53 2024 aarch64 GNU/Linux
Pochette Cable Fiber avec 2 SPF+ DAC (Direct Attach Câble) - 1m
(https://www.zw3b.fr/pub/screens/others/pochette-cable-fiber-spf+dac.jpg)
Cable Fibre avec 2 SPF+ AOC (Optic Actif Câble) - 20m
(https://www.zw3b.fr/pub/screens/others/cable-fiber-spf+aoc-20m.jpg)
(https://www.zw3b.fr/pub/screens/others/pochette-cable-fiber-spf+aoc.jpg)
Pci-express-card-2x10Gbs.jpg sur mon routeur Linux
(https://www.zw3b.fr/pub/screens/others/pci-express-card-2x10Gbs.jpg)
Pci-express-card-1x10Gbs sur mon NAS
(https://www.zw3b.fr/pub/screens/others/pci-express-card-1x10Gbs.jpg)
Et MyRouter Linux :
- 1 port 1G/s (carte mère) vers la Livebox 5 (https://reseaux.orange.fr/vos-equipements/livebox-5)
- + 2 ports 10G/s
- 1 pour le LAN (vers le switch) et ;
- 1 (host-2-host) pour le NAS
(https://www.zw3b.fr/pub/screens/others/MyRouter+1G_livebox+10Gx2_lan+iscsi+wifi5.jpg)
Il faut que je désactive ma carte réseau WiFi 5.
J'ai fais un tuto pour s'accrocher (monter un disque iSCSI (https://fr.wikipedia.org/wiki/ISCSI)) sur son Linux ici (https://howto.zw3b.fr/linux/reseaux/howto-connect-iscsi-initiator)) - je n'ai pas de tuto pour créer la node, c'est simple de toute manière ;)
----
Note de Moi-même 20240823 :
Vous pouvez tester votre bande passante sur un serveur iperf3 (https://lafibre.info/ubuntu/serveur-iperf3/) ou directement sur l'appliwave.iperf.fr (https://appliwave.testdebit.info/).
On fait comme çà du port 9200 au port 9240 selon disponibilité.
De chez moi FR.ALPES-MARITIMES - OrangeSA :
root@bw:~ # iperf3 -c appliwave.iperf.fr -p 9200
Connecting to host appliwave.iperf.fr, port 9200
[ 5] local fc01::172:16:0:1 port 56442 connected to 2a05:46c0:100:1007::5 port 9200
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 54.4 MBytes 456 Mbits/sec 85 1.23 MBytes
[ 5] 1.00-2.00 sec 58.8 MBytes 493 Mbits/sec 0 1.31 MBytes
[ 5] 2.00-3.00 sec 58.8 MBytes 493 Mbits/sec 0 1.37 MBytes
[ 5] 3.00-4.00 sec 58.8 MBytes 493 Mbits/sec 0 1.40 MBytes
[ 5] 4.00-5.00 sec 58.8 MBytes 493 Mbits/sec 0 1.43 MBytes
[ 5] 5.00-6.00 sec 58.8 MBytes 493 Mbits/sec 0 1.44 MBytes
[ 5] 6.00-7.00 sec 58.8 MBytes 493 Mbits/sec 0 1.45 MBytes
[ 5] 7.00-8.00 sec 58.8 MBytes 493 Mbits/sec 0 1.45 MBytes
[ 5] 8.00-9.00 sec 60.0 MBytes 503 Mbits/sec 0 1.45 MBytes
[ 5] 9.00-10.00 sec 58.8 MBytes 493 Mbits/sec 0 1.48 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 584 MBytes 490 Mbits/sec 85 sender
[ 5] 0.00-10.02 sec 582 MBytes 487 Mbits/sec receiver
iperf Done.
;)
# Mise A jour 20240824 :
De mon serveur CA.MONTREAL hébergé au Canada - OVH :
root@lab3w:~ # iperf3 -c appliwave.iperf.fr -p 9200
Connecting to host appliwave.iperf.fr, port 9200
[ 5] local 2607:5300:60:9389::1 port 51782 connected to 2a05:46c0:100:1007::5 port 9200
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 14.7 MBytes 123 Mbits/sec 0 7.50 MBytes
[ 5] 1.00-2.00 sec 40.0 MBytes 336 Mbits/sec 0 7.50 MBytes
[ 5] 2.00-3.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes
[ 5] 3.00-4.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes
[ 5] 4.00-5.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes
[ 5] 5.00-6.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes
[ 5] 6.00-7.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes
[ 5] 7.00-8.00 sec 40.0 MBytes 336 Mbits/sec 0 7.50 MBytes
[ 5] 8.00-9.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes
[ 5] 9.00-10.00 sec 40.0 MBytes 336 Mbits/sec 0 7.50 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 382 MBytes 321 Mbits/sec 0 sender
[ 5] 0.00-10.08 sec 382 MBytes 318 Mbits/sec receiver
iperf Done.
Certes il y quelques services (5000 personnes) qui utilisent de la bande passante au moment des tests de bande passante.
Mais le plus important, c'est que j'aimerais bien pouvoir utiliser plusieurs adresse IPv6 de mon bloc IPv6::/orangeSA :D
----
Note de Moi-même 20240827 :
Je vous ajoute les iperformances sur le cable fibre optic direct (host-2-host) 10Gb/s :
Accepted connection from fc01::10:0:0:253, port 36406
[ 5] local fc01::10:0:0:254 port 5201 connected to fc01::10:0:0:253 port 36408
[ ID] Interval Transfer Bitrate
[ 5] 0.00-1.00 sec 287 MBytes 2.41 Gbits/sec
[ 5] 1.00-2.00 sec 269 MBytes 2.26 Gbits/sec
[ 5] 2.00-3.00 sec 271 MBytes 2.28 Gbits/sec
[ 5] 3.00-4.00 sec 256 MBytes 2.15 Gbits/sec
[ 5] 4.00-5.00 sec 273 MBytes 2.29 Gbits/sec
[ 5] 5.00-6.00 sec 268 MBytes 2.25 Gbits/sec
[ 5] 6.00-7.00 sec 275 MBytes 2.31 Gbits/sec
[ 5] 7.00-8.00 sec 273 MBytes 2.29 Gbits/sec
[ 5] 8.00-9.00 sec 273 MBytes 2.29 Gbits/sec
[ 5] 9.00-10.00 sec 273 MBytes 2.29 Gbits/sec
[ 5] 10.00-10.00 sec 1.13 MBytes 2.29 Gbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate
[ 5] 0.00-10.00 sec 2.66 GBytes 2.28 Gbits/sec receiver
-----------------------------------------------------------
A oui c'est bien quand même 2.28 Gbits/sec ::)
-----
Résolu : J'ai réussis à faire "entrer et sortir" mes IP❤6 GUA -- en Réponse #15 le: Aujourd'hui le 2024-08-28 à 16:09:25 (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1084531/#msg1084531).
Il ne manque plus que la délégation DNS (reverse) pour identifier nos noms de machines.
-
Salut,
Pour rappel :
Sur la Livebox 5 (https://reseaux.orange.fr/vos-equipements/livebox-5) Fibre (sur les 4 ports ethernet 1Gbits/seconde) - network privé IPv4 192.168.1.0/24 ;
- j'ai 1 port connecté à mon routeur Linux.
- j'ai 1 port connecté à mon décodeur TV.
En passant, j'ai désactivé le Wi-Fi6 de la Livebox pour que mes équipements ne soient pas directement visible pour le fournisseur FAI (ISP), j'ai confiance mais je ne connais pas le contrat-professionnel (la personne), ni l'adminstrateur (çà ce n'est pas normal, bizarre ::) ;), ils doivent me (re) connaître à force). J'utilise un router Wifi derrière mon routeur.
Je vous ajoute la configuration de mon routeur Linux.
root@pve:~ $ uname -a
Linux pve 6.1.0-23-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.99-1 (2024-07-15) x86_64 GNU/Linux
root@pve:~ $ cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
NAME="Debian GNU/Linux"
VERSION_ID="12"
VERSION="12 (bookworm)"
VERSION_CODENAME=bookworm
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
Les interfaces réseaux :
root@pve:~ $ lshw -class network
*-network:0
description: Ethernet interface
produit: NetXtreme II BCM57810 10 Gigabit Ethernet
fabriquant: Broadcom Inc. and subsidiaries
identifiant matériel: 0
information bus: pci@0000:01:00.0
nom logique: enp1s0f0
version: 10
numéro de série: 98:b7:85:20:46:e0
taille: 10Gbit/s
capacité: 10Gbit/s
bits: 64 bits
horloge: 33MHz
fonctionnalités: pm vpd msi msix pciexpress bus_master cap_list rom ethernet physical fibre 1000bt-fd 10000bt-fd
configuration: autonegotiation=off broadcast=yes driver=bnx2x driverversion=6.1.0-23-amd64 duplex=full firmware=7.13b.4.1c bc 7.13.75 latency=0 link=yes multicast=yes port=fibre speed=10Gbit/s
ressources: irq:16 mémoire:51800000-51ffffff mémoire:51000000-517fffff mémoire:52010000-5201ffff mémoire:54180000-541fffff
*-network:1
description: Ethernet interface
produit: NetXtreme II BCM57810 10 Gigabit Ethernet
fabriquant: Broadcom Inc. and subsidiaries
identifiant matériel: 0.1
information bus: pci@0000:01:00.1
nom logique: enp1s0f1
version: 10
numéro de série: 98:b7:85:20:46:e1
taille: 10Gbit/s
capacité: 10Gbit/s
bits: 64 bits
horloge: 33MHz
fonctionnalités: pm vpd msi msix pciexpress bus_master cap_list rom ethernet physical fibre 1000bt-fd 10000bt-fd
configuration: autonegotiation=off broadcast=yes driver=bnx2x driverversion=6.1.0-23-amd64 duplex=full firmware=7.13b.4.1c bc 7.13.75 latency=0 link=yes multicast=yes port=fibre speed=10Gbit/s
ressources: irq:17 mémoire:50800000-50ffffff mémoire:50000000-507fffff mémoire:52000000-5200ffff mémoire:54100000-5417ffff
*-network:0
description: Interface réseau sans fil
produit: Cannon Lake PCH CNVi WiFi
fabriquant: Intel Corporation
identifiant matériel: 14.3
information bus: pci@0000:00:14.3
nom logique: wlo1
version: 10
numéro de série: 98:af:65:9b:45:79
bits: 64 bits
horloge: 33MHz
fonctionnalités: pm msi pciexpress msix bus_master cap_list ethernet physical wireless
configuration: broadcast=yes driver=iwlwifi driverversion=6.1.0-23-amd64 firmware=46.ea3728ee.0 9000-pu-b0-jf-b0- latency=0 link=yes multicast=yes wireless=IEEE 802.11
ressources: irq:16 mémoire:54234000-54237fff
*-network:1
description: Ethernet interface
produit: Ethernet Connection (7) I219-V
fabriquant: Intel Corporation
identifiant matériel: 1f.6
information bus: pci@0000:00:1f.6
nom logique: eno2
version: 10
numéro de série: b4:2e:99:aa:98:2f
taille: 1Gbit/s
capacité: 1Gbit/s
bits: 32 bits
horloge: 33MHz
fonctionnalités: pm msi bus_master cap_list ethernet physical tp 10bt 10bt-fd 100bt 100bt-fd 1000bt-fd autonegotiation
configuration: autonegotiation=on broadcast=yes driver=e1000e driverversion=6.1.0-23-amd64 duplex=full firmware=0.5-4 latency=0 link=yes multicast=yes port=twisted pair speed=1Gbit/s
ressources: irq:126 mémoire:54200000-5421ffff
La configuration IP des interfaces réseaux :
root@pve:~ $ ifconfig
eno2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether b4:2e:99:aa:98:2f txqueuelen 1000 (Ethernet)
RX packets 28413471 bytes 35538979118 (33.0 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 11909071 bytes 3520880855 (3.2 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 16 memory 0x54200000-54220000
enp1s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether 98:b7:85:20:46:e0 txqueuelen 1000 (Ethernet)
RX packets 11473775 bytes 4167184558 (3.8 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 25664404 bytes 32295796527 (30.0 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 16 memory 0x51800000-51ffffff
enp1s0f1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether 98:b7:85:20:46:e1 txqueuelen 1000 (Ethernet)
RX packets 4167764 bytes 6157304098 (5.7 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1957717 bytes 2586572698 (2.4 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 17 memory 0x50800000-50ffffff
iscbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.0.0.254 netmask 255.255.255.0 broadcast 10.0.0.255
inet6 fc01::10:0:0:254 prefixlen 128 scopeid 0x0<global>
inet6 fe80::1c6a:deff:fe94:7c24 prefixlen 64 scopeid 0x20<link>
ether 1e:6a:de:94:7c:24 txqueuelen 1000 (Ethernet)
RX packets 324363 bytes 5805586392 (5.4 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 397028 bytes 2444650116 (2.2 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lanbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.16.0.254 netmask 255.255.255.0 broadcast 172.16.0.255
inet6 fe80::d02f:72ff:fea8:7c4e prefixlen 64 scopeid 0x20<link>
inet6 fc01::172:16:0:254 prefixlen 104 scopeid 0x0<global>
ether d2:2f:72:a8:7c:4e txqueuelen 1000 (Ethernet)
RX packets 10514575 bytes 3896990206 (3.6 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 19910537 bytes 31818617209 (29.6 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Boucle locale)
RX packets 211 bytes 81014 (79.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 211 bytes 81014 (79.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
netbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.254 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2a01:cb1d:12:1c00::1 prefixlen 64 scopeid 0x0<global>
inet6 fe80::e46c:baff:fe32:4113 prefixlen 64 scopeid 0x20<link>
ether e6:6c:ba:32:41:13 txqueuelen 1000 (Ethernet)
RX packets 19487792 bytes 34560475071 (32.1 GiB)
RX errors 0 dropped 73543 overruns 0 frame 0
TX packets 10895474 bytes 3393043258 (3.1 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
vmbr0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
inet 10.126.42.254 netmask 255.255.255.0 broadcast 10.126.42.255
inet6 fc01::10:126:42:254 prefixlen 104 scopeid 0x0<global>
ether 62:4b:0c:67:e5:6a txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wifibr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.6.42.254 netmask 255.255.255.0 broadcast 10.6.42.255
inet6 fe80::6822:e7ff:fe4b:f077 prefixlen 64 scopeid 0x20<link>
inet6 fc01::10:6:42:254 prefixlen 104 scopeid 0x0<global>
ether 6a:22:e7:4b:f0:77 txqueuelen 1000 (Ethernet)
RX packets 1199607 bytes 458830788 (437.5 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2565510 bytes 3204480278 (2.9 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlo1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether 98:af:65:9b:45:79 txqueuelen 1000 (Ethernet)
RX packets 1313833 bytes 483523503 (461.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2581472 bytes 3277971892 (3.0 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
* netbr0 (eno2) interface : (IPv4 : 192.168.1.0/24) connecté à la livebox
* lanbr0 (enp1s0f0) interface : (172.16.0.0/24 - IPv6 fc01::172:16:0:0/104) connecté au switch - LAN
* iscbr0 (enp1s0f1) interface : (10.0.0.0/24 - IPv6 fc01::10:0:0:0/104) connecté au NAS - host-2-host
* wifibr0 (wlo1) interface : (10.6.42.0/24 - IPv6 fc01::10:6:42:0/104) connecté HostAP - WiFi
* vmbr0 (virtuelle) interface : (IPv4 10.126.42.0/24 - IPv6 fc01::10:126:42:0/104) connecté au Virtual Machine - LinuX Container (LXC) - VM (Qemu)
Mes routes :
root@pve:~ $ ip -6 route show
2a01:cb1d:12:1c00::/64 dev netbr0 proto kernel metric 256 pref medium
fc01::10:0:0:253 dev iscbr0 metric 1024 pref medium
fc01::10:0:0:254 dev iscbr0 proto kernel metric 256 pref medium
fc01::10:6:0:0/104 dev wifibr0 proto kernel metric 256 pref medium
fc01::172:16:0:0/104 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev netbr0 proto kernel metric 256 pref medium
fe80::/64 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev iscbr0 proto kernel metric 256 pref medium
fe80::/64 dev wifibr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839 dev netbr0 metric 1024 onlink pref medium
Les bridges réseaux (pas encore de Virtual Machines connecté sur "vmbr0") :
root@pve:~ $ brctl show
bridge name bridge id STP enabled interfaces
iscbr0 8000.1e6ade947c24 no enp1s0f1
lanbr0 8000.d22f72a87c4e no enp1s0f0
netbr0 8000.e66cba324113 no eno2
vmbr0 8000.624b0c67e56a yes
wifibr0 8000.6a22e74bf077 no wlo1
----
Ma configuration IPv4 et IPv6 parce que je suis sympat ;)
root@pve:~ $ cat /etc/network/interfaces
auto lo
iface lo inet loopback
iface eno2 inet manual
iface enp1s0f0 inet manual
iface enp1s0f1 inet manual
iface wlo1 inet manual
auto netbr0
iface netbr0 inet static
address 192.168.1.254
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameserver 158.69.126.137
dns-nameserver 2607:5300:60:9389:15:2:a:1000
dns-nameserver 2607:5300:60:9389:15:1:a:1000
bridge_ports eno2
bridge_stp off
bridge_fd 0
iface netbr0 inet6 static
address 2a01:cb1d:12:1c00:0000:0000:0000:0001
netmask 64
gateway 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839
up ip -6 address add fc01::172:16:0:254/104 dev netbr0
auto lanbr0
iface lanbr0 inet static
address 172.16.0.254
netmask 255.255.255.0
dns-nameserver 158.69.126.137
dns-nameserver 2607:5300:60:9389:15:2:a:1000
dns-nameserver 2607:5300:60:9389:15:1:a:1000
bridge_ports enp1s0f0
bridge_stp off
bridge_fd 0
iface lanbr0 inet6 static
address fc01::172:16:0:254
netmask 104
auto iscbr0
iface iscbr0 inet static
address 10.0.0.254
netmask 255.255.255.255
bridge_ports enp1s0f1
bridge_stp off
bridge_fd 0
iface iscbr0 inet6 static
address fc01::10:0:0:254
netmask 128
auto wifibr0
iface wifibr0 inet static
address 10.6.42.254
netmask 255.255.255.0
bridge_ports wlo1
bridge_stp off
bridge_fd 0
iface wifibr0 inet6 static
address fc01::10:6:42:254
netmask 104
auto vmbr0
iface vmbr0 inet static
address 10.126.42.254
netmask 255.255.255.0
bridge_ports none
bridge_stp on
bridge_fd 0
iface vmbr0 inet6 static
address fc01::10:126:42:254
netmask 104
J'ajoute les config system des interfaces network (netbr0.accept_ra = 1 pour attraper l'association du router (avoir l'adresse passerelle en link-local "fe80::" de la livebox - Todo : Relayer, découvrir avec les daemons RADvD, NDP (Neighbors Discovery Protocol) et DHCPdv6 les voisins connectées aux interfaces local (vmbr0) et xLANs):
sysctl net.ipv6.conf.netbr0.forwarding = 1
sysctl net.ipv6.conf.netbr0.autoconf = 0
sysctl net.ipv6.conf.netbr0.accept_redirects = 1
sysctl net.ipv6.conf.netbr0.accept_ra = 1
sysctl net.ipv6.conf.netbr0.proxy_ndp = 0
sysctl net.ipv6.conf.netbr0.accept_source_route = 0
sysctl net.ipv6.conf.lanbr0.forwarding = 1
sysctl net.ipv6.conf.lanbr0.autoconf = 0
sysctl net.ipv6.conf.lanbr0.accept_redirects = 1
sysctl net.ipv6.conf.lanbr0.accept_ra = 0
sysctl net.ipv6.conf.lanbr0.proxy_ndp = 0
sysctl net.ipv6.conf.lanbr0.accept_source_route = 0
sysctl net.ipv6.conf.iscbr0.forwarding = 1
sysctl net.ipv6.conf.iscbr0.autoconf = 0
sysctl net.ipv6.conf.iscbr0.accept_redirects = 1
sysctl net.ipv6.conf.iscbr0.accept_ra = 0
sysctl net.ipv6.conf.iscbr0.proxy_ndp = 0
sysctl net.ipv6.conf.iscbr0.accept_source_route = 0
sysctl net.ipv6.conf.wifibr0.forwarding = 1
sysctl net.ipv6.conf.wifibr0.autoconf = 0
sysctl net.ipv6.conf.wifibr0.accept_redirects = 1
sysctl net.ipv6.conf.wifibr0.accept_ra = 0
sysctl net.ipv6.conf.wifibr0.proxy_ndp = 0
sysctl net.ipv6.conf.wifibr0.accept_source_route = 0
sysctl net.ipv6.conf.vmbr0.forwarding = 1
sysctl net.ipv6.conf.vmbr0.autoconf = 0
sysctl net.ipv6.conf.vmbr0.accept_redirects = 1
sysctl net.ipv6.conf.vmbr0.accept_ra = 0
sysctl net.ipv6.conf.vmbr0.proxy_ndp = 0
sysctl net.ipv6.conf.vmbr0.accept_source_route = 0
Il manque le firewall ICMPv6 ; https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6 ;)
Note de Moi-même : Si tu galère trop avec le pare-feu, l'important c'est le transfert de paquets entre les cartes réseau :
Tu met en (pour voir si les pings sur les IP interne répondent) :
root@pve:~ # ip6tables -P FORWARD ACCEPT
Pour remettre "normal" :
root@pve:~ # ip6tables -P FORWARD DROP
-----
Ah oui, il faut passer en "netbr0.accept_ra = 2" quand il y a le "sysctl net.ipv6.conf.netbr0.forwarding = 1" ; ce qui m'a permis "instantanément" de recevoir ma passerelle fe80::
CF : default via fe80::c2d7:aaff:fec0:f839 dev netbr0 proto ra metric 1024 expires 562sec hoplimit 64 pref high
root@pve:~ # sysctl net.ipv6.conf.netbr0.accept_ra=2
net.ipv6.conf.netbr0.accept_ra = 2
root@pve:~ # ip -6 r s
2a01:cb1d:12:1c00::/64 dev netbr0 proto kernel metric 256 pref medium
fc01::10:0:0:253 dev iscbr0 metric 1024 pref medium
fc01::10:0:0:254 dev iscbr0 proto kernel metric 256 pref medium
fc01::10:6:0:0/104 dev wifibr0 proto kernel metric 256 pref medium
fc01::172:16:0:0/104 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev netbr0 proto kernel metric 256 pref medium
fe80::/64 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev iscbr0 proto kernel metric 256 pref medium
fe80::/64 dev wifibr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839 dev netbr0 metric 1024 onlink pref medium
default via fe80::c2d7:aaff:fec0:f839 dev netbr0 proto ra metric 1024 expires 562sec hoplimit 64 pref high
Informations FAI (ISP) :
$ whois 2a01:cb1d:0012:1c00::/64 | grep inet6num
inet6num: 2a01:c000::/20
$ sipcalc 2a01:c000::/20 | grep "Network range" -A1
Network range - 2a01:c000:0000:0000:0000:0000:0000:0000 -
2a01:cFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Plus d'informations - GestióIP - IPv4/IPv6 subnet calculator : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
# TEST -----------------
Maintenant je vais ajouter ma propre passerelle "générale" (style c moi le FAI) avant la boxe à ma carte connectée à la livebox (j'ai déjà configuré mon addresse IPv6 GUA) :
My IPv6 GUA : 2a01:cb1d:0012:1c00::1/64
Je n'avais pas réfléchis à configurer mon bloc (ULA) LAN "fc01::" comme celui d'Orange (GUA) "2a01::" .. Ce serait à faire, comme cela ;)
My exemple IPv6 ULA : fc01:cb1d:0012:1c00::1/64
# On pourrait configurer celle-ci (une adresse fc01:: comme celle du FAI, mais je ne l'ai pas fait) :
root@pve:~ # ip -6 address add fc01:cb1d:00FF:00FF:00FF:00FF:00FF:00FF/48 dev netbr0
----
Donc, selon mon fichier /etc/network/interfaces), j'ai configuré en : fc01:0000:0000:0000::/64 avec plusieurs réseaux IPv6::/104.
My exemple IPv6 Network d'ULA : fc01:0000:0000:0000::/64 (pour information, les réseaux local IPv6 sont dans la tranche fc00::/7)
J'ajoute, donc, sur ma carte principale "netbr0", celle qui va faire le lien avec l'association de la livebox et de mes ordinateurs connectés aux cartes de mon routeur linux.
root@pve:~ # ip -6 address add fc01:00FF:00FF:00FF:00FF:00FF:00FF:00FF/48 dev netbr0
root@pve:~ # ip -6 route show
[...]
fc01:ff:ff::/48 dev netbr0 proto kernel metric 256 pref medium
[...]
Maintenant il faut installer RADvd pour envoyer les paquets NDP, les annonces pour la découverte du réseau et prévenir qu'il y a un routeur à cet endroit (sur cette machine).
J'essaie plustard.
@+
Note de Moi-même Août 22 : Debian-FR : (https://www.debian-fr.org/images/emoji/twitter/partying_face.png?v=9) Network IPv6 - IPSec - strongSwan - Modern Security communication Post Quantum VPN (https://www.debian-fr.org/t/network-ipv6-ipsec-strongswan-modern-security-communication/89528) (sur le forum (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/msg1067021/))
-
Bonjour,
Pour ne pas jouer les mauvais élèves (ou surtout, avoir UNE SEULE adresse GUA (celle de mon routeur Linux et non pas une IPv6 GUA (temporaire ou non) par machines, pour toutes mes machines (et donc plus de possibilité de se faire hacker, puisque visible, accessible par internet, dirais-je) :
Par exemple sur une machine connecté à mon Wi-Fi - à la carte "wifibr0", je configure une adresse IPv6 de la même plage d'adresse IPv6 ULA et j'ajoute comme "gateway" mon routeur linux.
root@nomade:~ $ ip -6 address add fc01::10:6:42:53/104 dev wlp3s0
root@nomade:~ $ ip -6 route add default via fc01::10:6:42:254 dev wlp3s0
Si je ne connais pas l'adresse du routeur, pour la trouver, ci-dessous 2 commandes faisables :
root@nomade:~ $ ip -6 neighbor show
fe80::6822:e7ff:fe4b:f077 dev wlp3s0 lladdr 6a:22:e7:4b:f0:77 router STALE
fc01::10:6:42:254 dev wlp3s0 lladdr 6a:22:e7:4b:f0:77 router REACHABLE
root@nomade:~ $ scan6 -L -i wlp3s0
fe80::6822:e7ff:fe4b:f077
fc01::10:6:42:254
Et du côté de mon routeur linux, je fais comme en IPv4, je MASQUERADE (le réseau wifi) - Il faut le transfert entre les cartes "netbr0" et "wifibr0" :
root@pve:~ $ ip6tables -t nat -A POSTROUTING -o netbr0 -s fc01::10:6:42:0/104 -j MASQUERADE
Pour vérifier qui "ping" ; je vais lancer la requête vers mon serveur OVH.
root@nomade:~ $ ping6 -n -c1 zw3b.fr
PING zw3b.fr(2607:5300:60:9389::1) 56 data bytes
64 bytes from 2607:5300:60:9389::1: icmp_seq=1 ttl=247 time=270 ms
--- zw3b.fr ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 270.712/270.712/270.712/0.000 ms
La réponse avec TCPDUMP sur mon serveur OVH :
root@lab3w:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:24:28.903876 IP6 2a01:cb1d:12:1c00::1 > 2607:5300:60:9389::1: ICMP6, echo request, seq 1, length 64
18:24:28.903922 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00::1: ICMP6, echo reply, seq 1, length 64
Voilà super, on voit l'adresse de mon routeur "2a01:cb1d:12:1c00::1" pour toutes mes machines Wi-Fi et surtout je peut surfer en IPv6 depuis un de mes sous-réseaux.
On peut faire pareil, le Masquerade sur le réseau "lanbr0"... mais je vais essayé avec seulement que des link-local "fe80::" (RadvD), donc sans adresse IPv6 ULA (Unique Local Address).
Et pour les VM, le réseau "vmbr0", il faut essayé d'avoir des adresses GUA (Global Unicast Address) avec (DHCPdv6) donc pour des adresses où l'internet pourait entrer et sortir (pour des (virual) serveurs, services web etc.) avec leurs adresses GUA public (2a01:cb1d:12:1c00:XXXX:XXXX:XXXX:XXXX).
Facile ;)
@+
Romain.
-
Sauf que ca ne fonctionne pas avec Windows. Quand un poste Windows a une IPv4 privée et une IPv6 ULA il n'utilise jamais son IPv6 ULA pour se connecter à Internet et préfère IPv4.
Bref, des ULA et du NAT quand on a 2^56 IPv6 c'est ridicule et personne ne fait ça. Et ça n'empêche en rien de sécuriser correctement son réseau.
-
Re bonjour, j'arrive à un problème.
Sans parler de sous-réseau, mais sur la même machine que celle connecté à la boxe, j'arrive à un problème.
Je configure une adresse IPv6 du même bloc GUA 2a01:cb1d:12:1c00:: sur cette même machine (routeur linux) à une autre carte (une qui n'est pas relié à la liveboxe), mais çà ne répond pas sur cette adresse IPv6 depuis l'extérieur.
root@pve:~ $ ip -6 a a 2a01:cb1d:12:1c00:10:6:42:254/104 dev wifibr0
Et cela même (obligatoire) avec le transfert entre les cartes "netbr0" et "wifibr0" dans la "configuration system" et avec un "ip6tables -P FORWARD ACCEPT"
sysctl net.ipv6.conf.netbr0.forwarding = 1
sysctl net.ipv6.conf.wifibr0.forwarding = 1
Le ping depuis l'exterieur :
root@lab3w:~ # ping6 -c1 -n 2a01:cb1d:12:1c00:10:6:42:254
PING 2a01:cb1d:12:1c00:10:6:42:254(2a01:cb1d:12:1c00:10:6:42:254) 56 data bytes
--- 2a01:cb1d:12:1c00:10:6:42:254 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 571ms
Cà doit être ici qu'intervient RADvD.
Normalement sans RADvD sur cette machine (puisque RadvD ferait le lien des machines connectées aux interfaces locale).
On devrait pouvoir ajouter un "voisin ; proxy" à l'interface connectée "celle ayant internet", pour le dire à la Livebox, mais çà ne fonctionne pas non plus.
Le symptôme : C'est quand on ping vers une adresse IPv6 GUA externe et que celle-ci "reply" (çà se voit sur TCPdump de cette machine) mais que de notre côté (sur la machine qui "request") on ne reçoit pas le "reply" (dans TCPdump toujours) - Le 'reply' s’arrête au routeur (la passerelle). Donc, il faut lui déclarer (à notre gateway) l'adresse IPv6 voisine proxy.
On fait comme cela pour ajouter une adresse IPv6 neighbor proxy-fiante :
root@pve:~ $ ip -6 neighbor add proxy 2a01:cb1d:0012:1c00:0010:0006:0042:0254 dev netbr0
Chez OVH (https://ovh.com), on fait comme cela, quand on veut plusieurs IPv6 GUA pour nos Virtuelles Machines ; Elles peuvent même avec des containers avec d'autres IPv6 GUA (donc, 3 "sauts" ou plus entre la passerelle OVH et un container d'une VM de la machine hôte).
- Une IPv6 pour l'hote que j'appellerais routeur.
- Une IPv6 pour chaque VM.
- Des IPv6 pour chaque container de chaque VM.
Chez Online.net (https://online.net) y'a des liens-locaux fe80:: qui identifient les interfaces ethernet de la machine hôte du bloc IPv6::/56 alloué au client et les suit (toutes les machines du réseau peuvent "surfer" (sortir) en IPv6), puis en configurant des IPv6 GUA du même bloc, elles deviennent accessible en entrée (et sortie)) et cela dans des sous-réseaux -- pas besoin de configurer de "voisin proxy-fiant" (neighor proxy).
Chez Free.fr et SFR, j'avais essayé à l'époque je n'avais pas rencontré de problème me semble t'il (c'était y'a longtemps - Avais-je des sous-sous réseaux ; je ne sais plus. Bouygues je ne connais pas.
Mais chez OrangeSA Livebox 5 çà ne fonctionne pas, ni les proxy, ni les routes statiques -- tout çà avec le "forwarding" activé.
:-\
-----
Sauf que ca ne fonctionne pas avec Windows. Quand un poste Windows a une IPv4 privée et une IPv6 ULA il n'utilise jamais son IPv6 ULA pour se connecter à Internet et préfère IPv4.
Dans linux y'a une préférence que tu peut configurer dans le fichier /etc/gai.conf -- çà doit exister dans windows "prefer IPv6"
$ cat /etc/gai.conf
[...]
#
# For sites which prefer IPv4 connections change the last line to
#
# precedence ::ffff:0:0/96 100
[...]
Ici, si je dé-commente cette ligne, je préfère les connections en IPv4 .... si j'ai niké ma connection IPv6 ;)
Bref, des ULA et du NAT quand on a 2^56 IPv6 c'est ridicule et personne ne fait ça. Et ça n'empêche en rien de sécuriser correctement son réseau.
Ici, çà s'appelerai "sécuriser son poste, chacun de ses postes à International network, ses 2^56 IPv6 GUA" ;)
-
Sauf que le NAT n'a jamais sécurisé quoi que ce soit, dans 99% des cas le piratage vient de l'intérieur (pièce jointe dans un mail ou téléchargement douteux qui installe un malware qui va se connecter directement de l'intérieur vers une machine à l'extérieur controlée par les pirates).
-
Sauf que le NAT n'a jamais sécurisé quoi que ce soit, dans 99% des cas le piratage vient de l'intérieur (pièce jointe dans un mail ou téléchargement douteux qui installe un malware qui va se connecter directement de l'intérieur vers une machine à l'extérieur controlée par les pirates).
Ah ces fameux pirates.
Sinon y'a aussi des sécurités pour les utilisateurs mails qui faut installer sur nos serveurs de mails comme (SpamAssassin (https://spamassassin.apache.org/), Rspamd (https://rspamd.com/), Amavis (https://www.amavis.org/) pour assurer une protection contre le spam, les virus et autres logiciels malveillants et de n'accepter que les mails conforment DMARC (https://dmarc.org/) (Domain-based Message Authentication, Reporting, and Conformance) qui utilise un premier contrôle des SPF (Sender Policy Framework), les IP autorisés à envoyer des mails et un deuxième contrôle en signant/vérifiant les mails avec DKIM (DomainKeys Identified Mail).
Un nouveau protocole MAIL - JMAP (JSON Meta Application Protocol) (https://en.wikipedia.org/wiki/JSON_Meta_Application_Protocol)
- Le protocole de méta-application JSON est un ensemble de protocoles standard Internet ouverts associés pour la gestion du courrier électronique.
On peut aussi, ajouter une couche DNSSEC sur le nom de domaine et confirmer l'entité SMTP avec DANE (DNS-based Authentification of Named Entities).
Bonne journée.
Romain (LAB3W.FR - Fondateur ZW3B.FR)
PS : Vous pouvez tester la sécurité des serveurs de mails ; de vos adresses mails que vous utiliser tous les jours -- sur ce site web ; https://internet.nl - exemple test mail serveur du domaine "@lab3w.fr" : https://internet.nl/mail/lab3w.fr/1316756/ result 100% (2024-08-23 09:23 UTC). Mi "kontrolis (https://www.zw3b.com/pub/screens/internet-nl/internet.nl-email-test.txt)" ĉi tiujn poŝtservilojn ;D Espéranto !
Encore mieux : Tester vos adresses mails ; s'ils arrivent à casser la sécurité : https://haveibeenpwned.com/ -- vous deviez avoir ce résultat :
Good news — no pwnage found!
No breached accounts and no pastes (subscribe to search sensitive breaches)
;)
-
Re bonjour, j'arrive à un problème.
Sans parler de sous-réseau, mais sur la même machine que celle connecté à la boxe, j'arrive à un problème.
Je configure une adresse IPv6 du même bloc GUA 2a01:cb1d:12:1c00:: sur cette même machine (routeur linux) à une autre carte (une qui n'est pas relié à la liveboxe), mais çà ne répond pas sur cette adresse IPv6 depuis l'extérieur.
Quelqu'un aurait-il une solution ?
::)
-
Sinon l'IPv6 (v)notre nouveau protocole de communication IP(6).. il est complètement con, intelligent plutôt ;)
IPv6 : 0.332 ms
root@pve:~ $ ping fc01::10:0:0:253 -c1
PING fc01::10:0:0:253(fc01::10:0:0:253) 56 data bytes
64 bytes from fc01::10:0:0:253: icmp_seq=1 ttl=64 time=0.332 ms
--- fc01::10:0:0:253 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.332/0.332/0.332/0.000 ms
IPv4 : 0.539 ms
root@pve:~ $ ping 10.0.0.253 -c1
PING 10.0.0.253 (10.0.0.253) 56(84) bytes of data.
64 bytes from 10.0.0.253: icmp_seq=1 ttl=64 time=0.539 ms
--- 10.0.0.253 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.539/0.539/0.539/0.000 ms
----
IPv4 : 0.365 ms
root@pve:~ $ ping 10.0.0.253 -c1
PING 10.0.0.253 (10.0.0.253) 56(84) bytes of data.
64 bytes from 10.0.0.253: icmp_seq=1 ttl=64 time=0.365 ms
--- 10.0.0.253 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.365/0.365/0.365/0.000 ms
IPv6 : 0.524 ms
root@pve:~ $ ping fc01::10:0:0:253 -c1
PING fc01::10:0:0:253(fc01::10:0:0:253) 56 data bytes
64 bytes from fc01::10:0:0:253: icmp_seq=1 ttl=64 time=0.524 ms
--- fc01::10:0:0:253 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.524/0.524/0.524/0.000 ms
Il est aussi lent...
Note de Moi-même : il faut essayer sur des gros réseaux ; et non pas, de PC à PC ;)
Kiss ALL :)
Romain.
Post Scriptum : Câble sous-marin du 21 siècle (https://fr.wikipedia.org/wiki/câble_sous-marin#XXIe_siècle) (WikipediA) ;)
En avril 2019, Google a terminé l'installation du câble Curie (nom choisi en honneur de Marie Curie (https://fr.wikipedia.org/wiki/Marie_Curie)) reliant Los Angeles à Valparaiso, avec un débit de 72 Téras bits par seconde. Il a été mis en service en 2020.
8)
-
Note de Moi-même : il faut essayer sur des gros réseaux ; et non pas, de PC à PC ;)
En effet. Le caractère plus "rapide" d'IPv6 vient surtout du fait qu'il emprunte un chemin réseau plus court par rapport à IPv4 sur les réseaux d'opérateur : pas de CG-NAT, routage au plus proche. Sur un LAN ou sur un réseau sans CG-NAT, la latence va très probablement être la même : le temps nécessaire à un routeur pour forwarder un paquet est le même, IPv6 ou IPv4.
Note que faire des stats sur le résultat d'un seul échange echo/reply entre deux stations de test ne va pas être très représentatif et va probablement te donner des résultat sde mauvaise qualité.
Ne serai-ce parce que le premier ping/pong va probablement être précédé par un échange ND/NA pour peupler ou du moins rafraichir la table NDP (soit faire la résolution si l'entrée n'existait pas, soit la vérifier si elle est STALE). Fais une capture réseau (tcpdump ou wireshark) et tu verras cet échange ICMP ND/NA préliminaire.
-
Quelqu'un aurait-il une solution ?
Pas sur d'avoir compris ce que tu veux faire.
Peux-tu poster la configuration IP de la machine ? (le résultat de ip addr et ip -6 route)
-
Sauf que le NAT n'a jamais sécurisé quoi que ce soit, dans 99% des cas le piratage vient de l'intérieur (pièce jointe dans un mail ou téléchargement douteux qui installe un malware qui va se connecter directement de l'intérieur vers une machine à l'extérieur controlée par les pirates).
+1000, mais c'est une croyance héritée de la confusion entre NAT et stateful firewalling/connection tracking, et elle a la dent dure...
-
Note que faire des stats sur le résultat d'un seul échange echo/reply entre deux stations de test ne va pas être très représentatif et va probablement te donner des résultat sde mauvaise qualité.
Oui bien entendu MERCI, c'était pour dire que IPv6 est super puissant, intelligent, que c'est génial ;D
Quelqu'un aurait-il une solution ?
Pas sur d'avoir compris ce que tu veux faire.
Peux-tu poster la configuration IP de la machine ? (le résultat de ip addr et ip -6 route)
Dans le commentaire 1 y'a ma configuration, celui-ci (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1083541/#msg1083541).
Salut,
Pour rappel ..... MA CONFIGURATION IP....
Sinon, dans le post "sujet" y'a des liens vers des fichiers TXT avec ma configuration IP ; celui-ci (https://www.zw3b.com/pub/screens/others/config-ethernet-home-20240817.txt), mais depuis j'ai changé 2,3 trucs - Et j'ai donc modifié mon commentaire 1 (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1083541/#msg1083541).
----
Sinon le CG-NAT c'est de la m.... Il faut arrêter de parler de ce protocole créait par manque de compétences, On plus je parle d'IPv6 dans ce sujet.
L'IPv6 existe depuis plus de 20 ans et Papa Noël en décembre mille neuf cent quatre-vingt dix-huit nous a offert "IPv6" Cf : rfc1883 (https://datatracker.ietf.org/doc/html/rfc1883) (1995), rfc2460 (https://datatracker.ietf.org/doc/html/rfc2460) (1998), rfc8200 (https://datatracker.ietf.org/doc/html/rfc8200) (2017).
En IPv4 on nous fournis 1 adresse Global (donc Unicast) et en IPv6 on nous en fournis plusieurs, avec plusieurs réseaux IPv6::/64 - j'aimerais, on aimerait 20 ans après pouvoir utiliser ce protocole normalement, tout simplement. Et demain on ne parlera plus de pénuries d'IPv4 ou de découper des utilisateurs en plusieurs, enfin, on se comprend, découper leur adresse IPv4, du grand n'importe quoi.
WikipediA : Inconvénients du CGN (https://fr.wikipedia.org/wiki/Carrier-grade_NAT#Inconv%C3%A9nients_du_CGN)
Il est possible que certaines applications qui font usage de connexions initiées par des hôtes sur Internet, de tunnels ou de type p2p ne fonctionnent plus correctement avec ce système.
Il est possible que les plages d'adresses utilisées chez le client et chez le fournisseur d'accès se chevauchent, ce qui crée des problèmes additionnels décrits dans la RFC 56848.
D'autre part, les plages d'adresses privées réservées par la RFC 19189 ne sont pas illimitées : le réseau 10.0.0.0/8 peut numéroter de 10 à 16 millions de passerelles, en fonction de l'efficacité dans la distribution des adresses, ce qui peut s'avérer insuffisant pour certains opérateurs.
Il n'existe pas de consensus sur le nombre minimal de ports à attribuer à chaque client. Un nombre trop bas nuirait aux applications qui ouvrent de nombreuses connexions simultanées, comme Google Maps.
La géolocalisation des utilisateurs finaux grâce à leur adresse IP est également affectée.
Les applications qui n'utilisent pas TCP, UDP ou ICMP sont bloquées par ce mécanisme. Ce sera notamment le cas des tunnels GRE (protocole 47) et 6in4 (protocole 41). Teredo est également concerné.
L'enregistrement des adresses IP ne permettrait plus d'identifier des utilisateurs individuels, les serveurs n'enregistrant généralement pas les numéros de ports utilisés par le client. Une alternative qui consisterait en l'enregistrement par le fournisseur d'accès à Internet de chaque flux représenterait une quantité considérable d'information à enregistrer et conserver. Ceci a des conséquences sur la capacité des services de police à identifier les auteurs de délits sur Internet. Cet usage est également critiqué par Europol, pour les mêmes raisons. Ainsi, Europol recommande l'utilisation d'IPv6, le problème étant posé depuis 2014.
-
ça reste mon avis, mais on ne pourra réellement avoir une offre de services "acceptable" en IPv6, le jour où les moteurs de recherche favoriseront les sites web en IPv6 dans leur ranking.
Tu verras qu'en moins de 3 mois la majorité et en moins d'un an, la très très très grande majorité des sites web deviendront accessibles en Ipv6.
-
Quelqu'un aurait-il une solution ?
Pas sur d'avoir compris ce que tu veux faire.
Peux-tu poster la configuration IP de la machine ? (le résultat de ip addr et ip -6 route)
Par exemple (sur mon poste "nomade") :
root@nomade:~ $ ip -6 a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a01:cb1d:12:1c00:10:6:42:53/104 scope global
valid_lft forever preferred_lft forever
inet6 fc01::10:6:42:53/104 scope global
valid_lft forever preferred_lft forever
inet6 fe80::d3cc:f1cb:c84c:a1e9/64 scope link
valid_lft forever preferred_lft forever
La route (et la réponse d'un ping/pong) :
root@nomade:~ $ ip -6 r s
2a01:cb1d:12:1c00:10:6::/104 dev wlp3s0 proto kernel metric 256 pref medium
fc01::172:16:0:0/104 dev wlp3s0 metric 1024 pref medium
fe80::/64 dev wlp3s0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:10:6:42:254 dev wlp3s0 metric 1024 pref medium
root@nomade:~ $ ping6 2a01:cb1d:0012:1c00:10:6:42:254 -c1
PING 2a01:cb1d:0012:1c00:10:6:42:254(2a01:cb1d:12:1c00:10:6:42:254) 56 data bytes
64 bytes from 2a01:cb1d:12:1c00:10:6:42:254: icmp_seq=1 ttl=64 time=2.86 ms
--- 2a01:cb1d:0012:1c00:10:6:42:254 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.866/2.866/2.866/0.000 ms
Sur le routeur :
root@pve:~ $ ip -6 a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
6: netbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a01:cb1d:12:1c00::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::e46c:baff:fe32:4113/64 scope link
valid_lft forever preferred_lft forever
[...]
9: wifibr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a01:cb1d:12:1c00:10:6:42:254/104 scope global
valid_lft forever preferred_lft forever
inet6 fc01::10:6:42:254/104 scope global
valid_lft forever preferred_lft forever
inet6 fe80::6822:e7ff:fe4b:f077/64 scope link
valid_lft forever preferred_lft forever
root@pve:~ $ ip -6 r s
2a01:cb1d:12:1c00:10:6::/104 dev wifibr0 proto kernel metric 256 pref medium
2a01:cb1d:12:1c00::/64 dev netbr0 proto kernel metric 256 pref medium
fc01::10:0:0:253 dev iscbr0 metric 1024 pref medium
fc01::10:0:0:254 dev iscbr0 proto kernel metric 256 pref medium
fc01::10:6:0:0/104 dev wifibr0 proto kernel metric 256 pref medium
fc01::172:16:0:0/104 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev netbr0 proto kernel metric 256 pref medium
fe80::/64 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev iscbr0 proto kernel metric 256 pref medium
fe80::/64 dev wifibr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839 dev netbr0 metric 1024 onlink pref medium
Donc, pour expliquer : je ping vers mon serveur pour pouvoir avoir le TCPDump pour analyser si çà rentre (arrive) jusqu'ici et quelle IPv6 fait la demande (celle de mon routeur ou celle que je viens de configurer).
root@nomade:~ $ ping6 zw3b.fr -n
PING zw3b.fr(2607:5300:60:9389::1) 56 data bytes
^C
--- zw3b.fr ping statistics ---
87 packets transmitted, 0 received, 100% packet loss, time 85999ms
La réponse TCPdump sur le serveur OVH (zw3b.fr) :
root@lab3w:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' -i vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:01:42.417538 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, seq 56, length 64
14:01:42.417578 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:10:6:42:53: ICMP6, echo reply, seq 56, length 64
14:01:43.417432 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, seq 57, length 64
14:01:43.417465 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:10:6:42:53: ICMP6, echo reply, seq 57, length 64
14:01:44.416937 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, seq 58, length 64
14:01:44.416971 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:10:6:42:53: ICMP6, echo reply, seq 58, length 64
14:01:45.417456 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, seq 59, length 64
14:01:45.417520 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:10:6:42:53: ICMP6, echo reply, seq 59, length 64
14:01:46.417449 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, seq 60, length 64
14:01:46.417511 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:10:6:42:53: ICMP6, echo reply, seq 60, length 64
14:01:47.417417 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, seq 61, length 64
14:01:47.417450 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:10:6:42:53: ICMP6, echo reply, seq 61, length 64
^C
12 packets captured
12 packets received by filter
0 packets dropped by kernel
On s'appercoit que le site web (zw3b.fr) répond au ping vers la "2a01:cb1d:12:1c00:10:6:42:53", c'est justement celle que je viens de configurer. Il voit bien MON IPv6 GUA de mon sous-sous réseau, et lui répond comme je disais.
La réponse sur mon routeur et/ou sur la machine elle-même :
root@pve:~ $ tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' -i netbr0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on netbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
14:00:47.383720 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, id 12538, seq 1, length 64
14:00:48.362139 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, id 12538, seq 2, length 64
14:00:49.362187 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, id 12538, seq 3, length 64
14:00:50.361780 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, id 12538, seq 4, length 64
14:00:51.362215 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, id 12538, seq 5, length 64
14:00:52.362249 IP6 2a01:cb1d:12:1c00:10:6:42:53 > 2607:5300:60:9389::1: ICMP6, echo request, id 12538, seq 6, length 64
[...]
Je ne vois aucune réponse ; la réponse est (doit être) bloquée par la Livebox.
Si je voyais le "reply" arriver jusqu'à ma machine routeur ET PAS sur le poste du sous-réseau, je SAURAIS que ce serait de ma faute, d'une mauvaise configuration de ma part (ce serait une histoire de "forwarding") sur mon routeur ; mais là c'est soit la Livebox qui bloque, soit plus haut encore (chez le FAI).
Note de Moi-même à 17h : ici j'avais mal configurer mon firewall ICMPv6 - contrairement à ce que je disais plus haut - en fait c'était de ma faute - Je suis arrivé à avoir les réponses des ping6.
:/
Malgré que j'ai l'ai ajoutée comme "voisin proxy-fiant" de l'interface (visible) connectée à la boxe.
root@pve:~ $ ip -6 neighbor show proxy
2a01:cb1d:12:1c00:10:6:42:53 dev netbr0 proxy
2a01:cb1d:12:1c00:10:6:42:254 dev netbr0 proxy (j'ajoute que même cette adresse IPv6 sur la machine elle-même, le routeur n'est pas accessible).
Et que le forwarding est active avec ces 2 interfaces réseaux :
root@pve:~ $ sysctl net.ipv6.conf.netbr0.forwarding
net.ipv6.conf.netbr0.forwarding = 1
root@pve:~ $ sysctl net.ipv6.conf.wifibr0.forwarding
net.ipv6.conf.wifibr0.forwarding = 1
:'(
----
ça reste mon avis, mais on ne pourra réellement avoir une offre de services "acceptable" en IPv6, le jour où les moteurs de recherche favoriseront les sites web en IPv6 dans leur ranking.
Tu verras qu'en moins de 3 mois la majorité et en moins d'un an, la très très très grande majorité des sites web deviendront accessibles en Ipv6.
On est tous en double-pile IPs ;D enfin presque 8)
Bonne journée.
-
J'ai trouvé saperlipopette !!!!!
Je vous explique comment-faire pour faire "entrer et sortir" plusieurs IPv6 GUA (Global Unicast Address) dans des sous-réseaux avec une Livebox 5 (entre autre) ;)
#-----------
J'ai configuré le firewall IPv6 de la LiveBox 5 en personnalisé.
J'ai laissé les ports qu'ils y avaient (çà me tuer mon décodeur TV - plus de télévision disponible) puis ;
ET SURTOUT j'ai ajouté UNE RÈGLE ; celle-ci (j'aurais même pensé qu'elle ne serait pas acceptée); j'ai ajouté en TCP et UDP les ports de 1 à 65535.
Règles personnalisées IPv6 : Ajouter une règle ->
ALL UDP/TCP 1-65535 1-65535 accepter
Grâce à çà j'arrive à ma machine "nomade" (sur mon réseau Wi-Fi) sur l'IPv6 GUA "2a01:cb1d:12:1c00:10:6:42:53" en SSH depuis mon serveur (zw3b.fr) externe :
root@lab3w:~ # ssh -6 orj@2a01:cb1d:12:1c00:10:6:42:53
orj@2a01:cb1d:12:1c00:10:6:42:53's password:
Welcome to Ubuntu 16.04.7 LTS (GNU/Linux 4.4.0-210-generic i686)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
Failed to automatically attach to Ubuntu Pro services 12 time(s).
The failure was due to: "Unable to determine auto-attach platform support
For more information see: https://ubuntu.com/pro.".
The next attempt is scheduled for 2024-08-29T13:54:00+02:00.
You can try manually with `sudo pro auto-attach`.
Last login: Mon Feb 12 23:19:03 2024 from 192.168.1.140
orj@nomade:~ $
orj@nomade:~ $ who i am
orj pts/11 2024-08-28 17:17 (2607:5300:60:9389::1)
Ces IPv6 Global Unicast Address (GUA) d'OrangeSA sont accessible sur leur services SSH pour exemple ;)
- Le routeur Linux IPv6 GUA de l'interface "netbr0" : 2a01:cb1d:12:1c00:0000:0000:0000:00001
- Le routeur Linux IPv6 GUA de l'interface "wifibr0" : 2a01:cb1d:12:1c00:0010:0006:0042:00254
- Ma machine "nomade" sur le réseau Wifi : 2a01:cb1d:12:1c00:0010:0006:0042:0053
Par contre çà ne répond pas au ping -- ou plutôt -- il faut que je configure mon firewall, puisque j'arrive à recevoir les réponses des ping6 vers l'extérieur maintenant ;)
Note importante :
Il faut configurer les "adresses IPv6 de voisine proxy-fiante" sinon çà ne rentre pas -- et bien sûr le transfert entre les interfaces réseaux du routeur Linux.
root@pve:~ # ip -6 neighbor show proxy
2a01:cb1d:12:1c00:10:6:42:53 dev netbr0 proxy
2a01:cb1d:12:1c00:10:6:42:254 dev netbr0 proxy
Exemple :
root@pve:~ # ip -6 neighbor delete proxy 2a01:cb1d:12:1c00:10:6:42:254 dev netbr0
root@pve:~ # ip -6 neighbor show proxy
2a01:cb1d:12:1c00:10:6:42:53 dev netbr0 proxy
root@lab3w:~ # ssh -6 2a01:cb1d:12:1c00:10:6:42:254
ssh: connect to host 2a01:cb1d:12:1c00:10:6:42:254 port 22: No route to host
root@pve:~ # ip -6 neighbor add proxy 2a01:cb1d:12:1c00:10:6:42:254 dev netbr0
root@lab3w:~ # ssh -6 2a01:cb1d:12:1c00:10:6:42:254
root@2a01:cb1d:12:1c00:10:6:42:254's password: OKKK :D
Et, j'ajoute on peut sûrement faire la même chose en ayant demander une délégation d'IPv6 (https://lafibre.info/ipv6/comment-faire-plusieurs-reseaux-ipv664-dans-le-bloc-dorange-ipv656/msg1052262/#msg1052262) (pour avoir 2 ou plusieurs blocs IPv6::/64 sur notre bloc IPv6::/56) en plus du réseau IPv6::/64 par default (celui des ports de la Livebox).
----
En image la configuration de la Livebox 5 pour avoir plusieurs IPv6 GUA accessible depuis l'internet.
Livebox 5 - Network - IPv6 : https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-42-19%20R%c3%a9seau%20-%20Livebox%20Orange%20-%20Network%20-%20IPv6.png
(https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-42-19%20R%c3%a9seau%20-%20Livebox%20Orange%20-%20Network%20-%20IPv6.png)
Livebox 5 - Network - DMZ (IPv4) : https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-42-35%20R%c3%a9seau%20-%20Livebox%20Orange%20-%20Network%20-%20DMZ%20(for%20IPv4).png
(https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-42-35%20R%c3%a9seau%20-%20Livebox%20Orange%20-%20Network%20-%20DMZ%20(for%20IPv4).png)
Livebox 5 - Network - NAT (IPv4) : https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-42-56%20R%c3%a9seau%20-%20Livebox%20Orange%20-%20Network%20-%20NAT.png
(https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-42-56%20R%c3%a9seau%20-%20Livebox%20Orange%20-%20Network%20-%20NAT.png)
Livebox 5 - Firewall : https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-43-47%20Pare-feu%20-%20Livebox%20Orange%20-%20Firewall.png
(https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-43-47%20Pare-feu%20-%20Livebox%20Orange%20-%20Firewall.png)
Livebox 5 - Firewall - Personnalisé : https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-45-28%20Pare-feu%20-%20Livebox%20Orange%20-%20Firewall%20-%20personnalis%c3%a9.png
(https://www.zw3b.fr/pub/screens/orange/livebox5-config--multiple-IPv6-GUA/Screenshot%202024-08-28%20at%2016-45-28%20Pare-feu%20-%20Livebox%20Orange%20-%20Firewall%20-%20personnalis%c3%a9.png)
Note (20240908) pour les firewalls - livebox (ISP) - perso etc.. :
Les annonces du routeur sont envoyées et reçues sur les liens locaux :
# IPv6 Link Local Address range :
# fe80::/10 - fe80:0000:0000:0000:0000:0000:0000:0000-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Ils doivent être déclarés comme autorisés INPUT/FORWARD/OUTPUT dans la configuration par default (sans que l'utilisateur n'y ait accès (puis-je ajouter)) des pare-feux.
Pour information complémentaire, ci-dessous les networks range des adresses (non routable (non visible) sur (de) internet).
# IPv6 Address / Lenght - Range Networks
# ---
#
# IPv6 Unique Local Address range :
# fc00::/7 - fc00:0000:0000:0000:0000:0000:0000:0000-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
#
# IPv6 Multicast Address range :
# ff00::/8 - ff00:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
#
# IPv6 Link Local Address range :
# fe80::/10 - fe80:0000:0000:0000:0000:0000:0000:0000-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
#
# IPv6 Secure Wide Address range :
# fec0::/10 - fec0:0000:0000:0000:0000:0000:0000:0000-feff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
#
# ------------------------------------
CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
----
J'ai concocté un firewall IPv6 - ICMPv6 (https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6) -- il y a 2 services ouvert ; "le protocole HTTP" et "le protocole DNS" que vous pouvez commenter en bas du script ; dans les appels des fonctions.
Bonne journée.
Romain.
Post Scriptum :
Ci-desous la configuration systeme du network IPv6 :
root@pve:~ # ipv6_options (je me suis fait un alias de sysctl -r net.ipv6.conf.XXX.XXX)
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.default.autoconf = 1
net.ipv6.conf.default.accept_redirects = 1
net.ipv6.conf.default.accept_ra = 1
net.ipv6.conf.default.proxy_ndp = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_ra = 1
net.ipv6.conf.all.proxy_ndp = 1
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.vmbr0.forwarding = 1
net.ipv6.conf.vmbr0.autoconf = 1
net.ipv6.conf.vmbr0.accept_redirects = 1
net.ipv6.conf.vmbr0.accept_ra = 1
net.ipv6.conf.vmbr0.proxy_ndp = 0
net.ipv6.conf.vmbr0.accept_source_route = 0
net.ipv6.conf.netbr0.forwarding = 1
net.ipv6.conf.netbr0.autoconf = 0
net.ipv6.conf.netbr0.accept_redirects = 1
net.ipv6.conf.netbr0.accept_ra = 2
net.ipv6.conf.netbr0.proxy_ndp = 1
net.ipv6.conf.netbr0.accept_source_route = 0
net.ipv6.conf.lanbr0.forwarding = 1
net.ipv6.conf.lanbr0.autoconf = 1
net.ipv6.conf.lanbr0.accept_redirects = 1
net.ipv6.conf.lanbr0.accept_ra = 2
net.ipv6.conf.lanbr0.proxy_ndp = 1
net.ipv6.conf.lanbr0.accept_source_route = 0
net.ipv6.conf.iscbr0.forwarding = 1
net.ipv6.conf.iscbr0.autoconf = 1
net.ipv6.conf.iscbr0.accept_redirects = 1
net.ipv6.conf.iscbr0.accept_ra = 2
net.ipv6.conf.iscbr0.proxy_ndp = 1
net.ipv6.conf.iscbr0.accept_source_route = 0
net.ipv6.conf.wifibr0.forwarding = 1
net.ipv6.conf.wifibr0.autoconf = 1
net.ipv6.conf.wifibr0.accept_redirects = 1
net.ipv6.conf.wifibr0.accept_ra = 2
net.ipv6.conf.wifibr0.proxy_ndp = 1
net.ipv6.conf.wifibr0.accept_source_route = 0
;)
-
Sinon pour information :
En réinitialisant ma Livebox 5 Orange, je garde la même IPv4 (chose normal, je suis en zone dégroupée), PAR CONTRE, je change complètement de bloc IPv6::/56 soit plusieurs milliards d'adresses (pour rester gentil) IPv6.
J'avais ce bloc :
2a01:cb1d:2d4:8800::/56
Après la réinitialisation j'ai ce bloc :
2a01:cb1d:12:1c00::/56
C'est un peu chiant pour les DNS.
Salutations,
Romain.
-
En réinitialisant ma Livebox Orange, je garde la même IPv4, PAR CONTRE, je change complètement de bloc IPv6::/56 soit plusieurs milliards d'adresses (pour rester gentil) IPv6.
Par réinitialiser, tu veux dire reset usine avec effacement de tous les paramètres ou simple redémarrage ?
Je n'ai jamais eu de changement de préfixe après un reboot de mon routeur, mais je n'ai jamais utilisé la livebox plus de quelques heures.
-
ça reste mon avis, mais on ne pourra réellement avoir une offre de services "acceptable" en IPv6, le jour où les moteurs de recherche favoriseront les sites web en IPv6 dans leur ranking.
Tu verras qu'en moins de 3 mois la majorité et en moins d'un an, la très très très grande majorité des sites web deviendront accessibles en Ipv6.
Ca serait une bonne facon de booster la transition, c'est clair. On a vu ce que ca pouvait donner avec l'adoption d'HTTPS.
Ceci dit, les performances d'IPv4 se dégradent peu à peu du fait des CG-NAT et des multiples niveaux de NAT (un dans la box, un dans le réseau), donc la motivation à déployer pour un fournisseur de contenu commence à se faire sentir.
Case in point : twitch qui déploie IPv6 sur leur streamer (OBS? je connais pas bien twitch, jamais utilisé).
-
Sinon pour information :
En réinitialisant ma Livebox Orange, je garde la même IPv4, PAR CONTRE, je change complètement de bloc IPv6::/56 soit plusieurs milliards d'adresses (pour rester gentil) IPv6.
C'est un peu chiant pour les DNS.
Par réinitialiser, tu veux dire reset usine avec effacement de tous les paramètres ou simple redémarrage ?
Ré-initialiser est bien la définition d'un reset version usine avec effacement de tous les paramètres oui, c'est bien çà que je veut dire.
J'avais dû reset version usine parce que le décodeur TV n'arrrivait plus à m'afficher des chaines (j'avais supprimé toutes les règles du Firewall personnalisé de la Livebox5 - Et je n'avais pas fait d'impression d'écran avant, pour pouvoir les restaurer).
J'avais ce bloc : 2a01:cb1d:2d4:88XX::/56
En réinitialisant j'ai eu ce bloc : 2a01:cb1d:12:1cXX::/56
Chose pas normal, une grosse galère si j'avais configurer 10 ou 100 adresses sur mes noms de domaines (DNS)
Exemple :
root@pve:~ $ dig AAAA home.lab3w.fr +nodnssec +short @dns.google
2a01:cb1d:12:1c00::1
En passant j'attend que l'on puisse configurer un reverse DNS sur notre bloc IPv6::/56 pour pouvoir configurer correctement nos adresses.
root@pve:~ $ host 2a01:cb1d:12:1c00::1
Host 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.c.1.2.1.0.0.d.1.b.c.1.0.a.2.ip6.arpa not found: 3(NXDOMAIN)
Qu'ici çà retourne un pointer vers "home.lab3w.fr"
::)
ça reste mon avis, mais on ne pourra réellement avoir une offre de services "acceptable" en IPv6...
Ca serait une bonne facon de booster la transition, c'est clair....
Pour répondre à votre question, j'ai réussis à avoir toutes mes adresses IPv6 GUA, là où je le souhaite sur mon réseau de la maison (FAI OrangeSA / Livebox5), donc 256 réseaux IPv6::/64 internet (soit 256 réseaux IPv6::/64 x 18,446,744,073,709,551,616 adresses GUA pour un seul bloc ::/64) - CF : subnet_calculator IPv6 (http://www.gestioip.net/cgi-bin/subnet_calculator.cgi)
La solution est en Réponse #15 le: 2024-08-28 à 16:09:25 (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1084531/#msg1084531).
C'est cooL non !?
8)
Bonne journée, bonne configuration de réseaux IPv6, bonnes continuations et bonne réussite.
Romain.
Post Scriptum : Je vais ré-attaquer ce sujet -> LaFibre.info -> VPN - PQ strongSwan - Modern Security network (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/msg1059110/#msg1059110) pour celles et ceux qui souhaitent participer.
-
Salut, j'utilise mon IPv6 GUA OrangeSA ^^ de mon sous-sous réseau 8) je suis voyant maintenant ::)
j'ai des DNS IPv6 au fait, sinon çà ne fonctionne pas.
root@nomade:~ $ cat /etc/resolv.conf
nameserver 2607:5300:60:9389:15:1:a:1000
nameserver 158.69.126.137
Je surf avec mon IPv6 GUA personlisée : "2a01:cb1d:12:1c00:10:6:42:53", évitez de taper mon ordinateur portable ; J'ai activé mon firewall ICMPv6 (https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6) ;)
En plus, j'ai changé ma config (IPv6, les routes tout çà), çà passe par une passerelle ULA.. il faut que je fasses d'autres tests pour configurer (RADvD) les fe80:: comme passerelle en ayant une IPv6 GUA ;)
Ma configuration IPv6 :
root@nomade:~ $ ip -6 addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a01:cb1d:12:1c00:10:6:42:53/104 scope global
valid_lft forever preferred_lft forever
inet6 fc01::10:6:42:53/104 scope global
valid_lft forever preferred_lft forever
inet6 fe80::d3cc:f1cb:c84c:a1e9/64 scope link
valid_lft forever preferred_lft forever
root@nomade:~ $ ip -6 route show
2a01:cb1d:12:1c00:10:6::/104 dev wlp3s0 proto kernel metric 256 pref medium
2a01:cb1d:12:1c00::/64 via fc01::10:6:42:254 dev wlp3s0 metric 1024 pref medium
fc01::10:6:0:0/104 dev wlp3s0 metric 1024 pref medium
fe80::/64 dev wlp3s0 proto kernel metric 256 pref medium
default via fc01::10:6:42:254 dev wlp3s0 metric 1024 pref medium
Versus IPv4 :
root@nomade:~ $ ip -4 a show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
inet 10.6.42.53/24 brd 10.6.42.255 scope global dynamic wlp3s0
valid_lft 585sec preferred_lft 585sec
root@nomade:~ $ ip -4 route show
10.6.42.0/24 dev wlp3s0 proto kernel scope link src 10.6.42.53 metric 600
Et la Wi-Fi 5 connexion du routeur :
root@nomade:~ $ iwconfig wlp3s0
wlp3s0 IEEE 802.11bgn ESSID:"WiFi.LAB3W.COM"
Mode:Managed Frequency:2.437 GHz Access Point: 98:AF:65:9B:45:79
Bit Rate=72.2 Mb/s Tx-Power=20 dBm
Retry short limit:7 RTS thr=2347 B Fragment thr:off
Encryption key:off
Power Management:on
Link Quality=66/70 Signal level=-44 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:11418 Missed beacon:0
Et, il faudrait que je tate "ipv6 / use_tempaddr" au cas où j'aurais installé et configuré je ne sais pas trop quoi) je dirais un serveur DHCPv6 ;) pour je me demande quoi faire, être voyant ^^ avec chacune de mes machines de mon super réseau IPv6::/56 d'Orange SA (FAI / ISP Français). Je pourais changer de bloc ; dynamiquement... de bloc IPv6::/64 sur MON bloc IPv6::/56 ... (je ne vais pas ré-initialiser tous les jours).
root@nomade:~ $ cat /proc/sys/net/ipv6/conf/wlp3s0/use_tempaddr
2
:o
PS : Mon DHCPdv4 me casse les pieds, il me ré-envoie la "default route IPv4" et pourtant j'ai mon "gai.conf" vide.
root@pve:~ $ vim /etc/dhcp/dhcpd.conf
[...]
# option routers 10.6.42.254;
[...]
Pour ajouter, j'ai dû, sur le routeur Linux "machine pve", ajouter un DNS IPv6 à /etc/resolv.conf; sinon çà ne fonctionnait pas/mal.
Je vous ajoute la table NAT IPv6 ; il n'y a pas de MASQUERADE puisque je sors avec une IPv6 GUA de mon poste nomade (ordi portable).
root@pve:~ $ ip6tables -L -vn -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Et bien sûr mon ordi portable "nomade" en tant que "voisin proxy" déclaré à mon routeur (à l'interface connectée à la boxe internet) :
root@pve:~ $ ip -6 neighbor show proxy
2a01:cb1d:12:1c00:10:6:42:53 dev netbr0 proxy
-----
La config du routeur :
root@pve:~ $ ip -6 a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
6: netbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a01:cb1d:12:1c00::cafe/128 scope global
valid_lft forever preferred_lft forever
inet6 2a01:cb1d:12:1c00::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::e46c:baff:fe32:4113/64 scope link
valid_lft forever preferred_lft forever
7: lanbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc01::172:16:0:254/104 scope global
valid_lft forever preferred_lft forever
inet6 fe80::d02f:72ff:fea8:7c4e/64 scope link
valid_lft forever preferred_lft forever
8: iscbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc01::10:0:0:254/128 scope global
valid_lft forever preferred_lft forever
inet6 fe80::1c6a:deff:fe94:7c24/64 scope link
valid_lft forever preferred_lft forever
9: wifibr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc01::10:6:42:254/104 scope global
valid_lft forever preferred_lft forever
inet6 fe80::6822:e7ff:fe4b:f077/64 scope link
valid_lft forever preferred_lft forever
root@pve:~ $ ip -6 r s
2a01:cb1d:12:1c00::cafe dev netbr0 proto kernel metric 256 pref medium
2a01:cb1d:12:1c00:10:6::/104 dev wifibr0 metric 1024 pref medium
2a01:cb1d:12:1c00::/64 dev netbr0 proto kernel metric 256 pref medium
fc01::10:0:0:253 dev iscbr0 metric 1024 pref medium
fc01::10:0:0:254 dev iscbr0 proto kernel metric 256 pref medium
fc01::10:6:0:0/104 dev wifibr0 proto kernel metric 256 pref medium
fc01::172:16:0:0/104 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev netbr0 proto kernel metric 256 pref medium
fe80::/64 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev iscbr0 proto kernel metric 256 pref medium
fe80::/64 dev wifibr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839 dev netbr0 metric 1024 onlink pref medium
default via fe80::c2d7:aaff:fec0:f839 dev netbr0 proto ra metric 1024 expires 580sec hoplimit 64 pref high
root@pve:~ # ipv6_options (sysctl la variable) ;)
net.ipv6.conf.netbr0.forwarding = 1
net.ipv6.conf.netbr0.autoconf = 0
net.ipv6.conf.netbr0.accept_redirects = 1
net.ipv6.conf.netbr0.accept_ra = 2
net.ipv6.conf.netbr0.proxy_ndp = 1
net.ipv6.conf.netbr0.accept_source_route = 0
net.ipv6.conf.wifibr0.forwarding = 1
net.ipv6.conf.wifibr0.autoconf = 1
net.ipv6.conf.wifibr0.accept_redirects = 1
net.ipv6.conf.wifibr0.accept_ra = 2
net.ipv6.conf.wifibr0.proxy_ndp = 1
net.ipv6.conf.wifibr0.accept_source_route = 0
Bonne configuration, demain j'attaque les fec0::/10 des Addrs de Sites-Local de Secure Area Networks ;)
@+
-
J'ajoute ce lien :
Arcep, (Autorité de régulation des communications électroniques) : La transition vers l'IPv6 - Baromètre annuel de la transition vers IPv6 en France (Mis à jour le 4 juillet 2024) (https://www.arcep.fr/cartes-et-donnees/nos-publications-chiffrees/transition-ipv6/barometre-annuel-de-la-transition-vers-ipv6-en-france.html)
Bonne journée.
-
Les documents de l'ARCEP relatifs à l'IPv6 ont déjà une bonne publicité ici ;) :
https://x.com/lafibreinfo (https://x.com/lafibreinfo)
-
Les documents de l'ARCEP relatifs à l'IPv6 ont déjà une bonne publicité ici ;) :
https://x.com/lafibreinfo (https://x.com/lafibreinfo)
J'espère que çà va encore monter :)
J'ai écris ce commentaire (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/msg1084915/#msg1084915) aujourd’hui sur les réseau IPv6 fec0::/10 de "zones étendues sécurisées et solides" (Strong Secure Wide Area) post-quantique :
Salut,
Après avoir préparé avec/devant vous, mon réseau IPv6 (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1083112/) (privé/public) de chez moi. J'ai ajouté les 2 réseaux IPv6 sur mon VPN (professionnel) pour vérifier que tout fonctionne comme je le souhaite.
Et bien, StrongSwan version 6.0.0 (https://github.com/strongX509/docker/blob/master/pq-strongswan/Dockerfile) beta5 fonctionne parfaitement. Y'a la beta6, en passant.
[...]
Bonne communication ;)
-
Bonjour, un nouveau RFC IPv6 :
RFC 9637: Expanding the IPv6 Documentation Space (Août 2024) -> https://www.bortzmeyer.org/9637.html
Quelqu'un peut m'expliquer ? C'est pour les docs ? ou ; pour quoi y mettre ? de la documentations ?
En tout cas, çà fait bien partit du bloc 2000::/3 (le bloc de l'Internet)
(https://www.zw3b.com/pub/screens/others/Screenshot%202024-09-12%20at%2019-17-45%20IPv4_IPv6%20subnet%20calculator%20and%20addressing%20planner%20-%202000.png)
CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
IP address : 2000::/3
type : GLOBAL-UNICAST
network : 2000::
Prefix length : 3
network range : 2000:0000:0000:0000:0000:0000:0000:0000-3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
IP address (full) 2000:0000:0000:0000:0000:0000:0000:0000
(https://www.zw3b.com/pub/screens/others/Screenshot%202024-09-12%20at%2019-20-42%20IPv4_IPv6%20subnet%20calculator%20and%20addressing%20planner%20-%203fff.png)
CF : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
IP address : 3fff:abcd:e000::1/20
type : GLOBAL-UNICAST
network : 3fff:a000::
Prefix length : 20
network range : 3fff:a000:0000:0000:0000:0000:0000:0000-3fff:afff:ffff:ffff:ffff:ffff:ffff:ffff
IP address (full) 3fff:abcd:e000:0000:0000:0000:0000:0001
----
RFC 6724: Default Address Selection for Internet Protocol version 6 (IPv6) (Septembre 2012) -> https://www.bortzmeyer.org/6724.html
RFC 4291: IP Version 6 Addressing Architecture (Février 2006) -> https://www.bortzmeyer.org/4291.html
RFC 3879: Deprecating Site Local Addresses (Septembre 2004) -> https://www.bortzmeyer.org/3879.html
Merci à monsieur Stéphane #Bortzmeyer de nous expliquer ces Requests For Comments en français.
J'ajoute cette page : Reserved IPv6 addresses -> https://www.cidr-report.org/as2.0/reserved-ipv6.html
@+
-
Rien À Voir : J'vais essayé de bouloter sur ce genre de truc : consommation AT Home ;)
J'ai besoin de votre aide :)
Le réseau (Internet) je connais, mais pas (encore) bien ceux là ; électrique et eau ;)
J'ai installé dans un container Docker "HomeAssistant (https://www.home-assistant.io/)" ; il faut maintenant que j'installe des "sondes"..
http://home.lab3w.fr:8123 - Créer mon chalet connecté 🤨 (je vais mettre un HTTPS rapidement histoire que personne ne coupe mon chauffage, en sniffant mon mot de passe).
Bise, thious tout le monde 💖
#domotique
-
Salut,
J'ai commencé à installer des services :
un serveur Web : http://[2a01:cb1d:12:1c00:1ab3:126:42:10]/
;D
Romain.
-
ce n'est pas un peu cavalier d'exposer comme ça sans filtrage ces services?!?
-
ce n'est pas un peu cavalier d'exposer comme ça sans filtrage ces services?!?
Carrément :) Il faut faire quelque chose ;)
Bonne soirée..
-
Sauf que ca ne fonctionne pas avec Windows. Quand un poste Windows a une IPv4 privée et une IPv6 ULA il n'utilise jamais son IPv6 ULA pour se connecter à Internet et préfère IPv4.
How to prioritise IPv4 over IPv6 on Windows 10 and 11 (https://kb.firedaemon.com/support/solutions/articles/4000160803-prioritising-ipv4-over-ipv6-on-windows-10-and-11) Regardez çà, çà peut aider :)
netsh interface ipv6 show prefixpolicies
Precedence Label Prefix
---------- ----- --------------------------------
50 0 ::1/128
40 1 ::/0
35 4 ::ffff:0:0/96
30 2 2002::/16
5 5 2001::/32
3 13 fc00::/7
1 11 fec0::/10
1 12 3ffe::/16
1 3 ::/96
Nous on veut fc00::/7 (ULA) entre "lo" (::1/128) et "ALL Unicast v6 (::/0) :D :o ;D
Ainsi que fec0::/10 le SLAN (Secure Site Local Area) après les ULA :D et puis c'est bon !!!
Une liste des préfixes IPv6 (https://en.wikipedia.org/wiki/IPv6_address#Special_addresses) peut être trouvée ici.
Créer un fichier "ipprefer.bat" coller çà et cliquer dessus 'Ouvrir en tant que administrateur" si vous souhaitez appliquer les changement ci-dessous :
# lo (localhost)
netsh interface ipv6 set prefixpolicy ::1/128 50 0
# Default Unicast
netsh interface ipv6 set prefixpolicy ::/0 48 1
# ULA (lan IPv6) Unique Local Address
netsh interface ipv6 set prefixpolicy fc00::/7 45 13
# SLAN (secure lan) Site-Local Address Network
netsh interface ipv6 set prefixpolicy fec0::/10 44 11
# 6to4
netsh interface ipv6 set prefixpolicy 2002::/16 30 2
# Teredo tunneling
netsh interface ipv6 set prefixpolicy 2001::/32 5 5
# 6bone (returned)
netsh interface ipv6 set prefixpolicy 3ffe::/16 2 12
# IPv4-compatible addresses (deprecated)
netsh interface ipv6 set prefixpolicy ::/96 2 3
# IPv4-mapped IPv6 address
netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 1 4
C'est bizarre : je suis en adressage ULA (poste et routeur) et quand je ping un serveur sur Internet çà me retourne son IPv4 :/ Et je n'ai pas la tortue qui danse https://www.kame.net/ :(
Pourtant :
C:\Users\ORJ>ping -6 google.fr
Envoi d’une requête 'ping' sur google.fr [2607:f8b0:4020:806::2003] avec 32 octets de données :
Réponse de 2607:f8b0:4020:806::2003 : temps=103 ms
Réponse de 2607:f8b0:4020:806::2003 : temps=103 ms
Réponse de 2607:f8b0:4020:806::2003 : temps=103 ms
Réponse de 2607:f8b0:4020:806::2003 : temps=103 ms
Statistiques Ping pour 2607:f8b0:4020:806::2003:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 103ms, Maximum = 103ms, Moyenne = 103ms
Parce que moi ; J'essaie de ne plus utiliser l'IPv4, le moins possible (j'ai remonté une info précieuse ici (https://lafibre.info/windows/petit-probleme-daffichage-dans-windows-11/msg1087698/#msg1087698)).
Pour annuler cette modification, réinitialisez simplement la priorité comme suit :
netsh interface ipv6 reset
-
Salut à tous.
J'ai une question Linux.
J'ai une interface réseau configurée avec une adresse IPv6 ULA.
J'ai activé le MASQUERADE pour l'adresse IPv6 ULA (pour pouvoir accéder à Internet via le réseau v6) ; je sort bien avec l'adresse IPv6 du routeur.
Si maintenant j'ajoute une autre IPv6, une GUA, sans ajouter de "voisin proxifiant" je n'arrive plus à accéder à Internet v6.
Je ne trouve pas çà normal. Qu'en pensez-vous !?
----
En ligne de commandes çà peut mieux vous parler ;)
La machine (un container LXC) :
root@dc0:~ # ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.126.42.2 netmask 255.255.255.0 broadcast 0.0.0.255
inet6 fe80::216:3eff:fef3:56b prefixlen 64 scopeid 0x20<link>
inet6 fc01::10:126:42:dc0 prefixlen 112 scopeid 0x0<global>
inet6 2a01:cb1d:12:1c00:1ab3:126:42:dc0 prefixlen 112 scopeid 0x0<global>
ether 00:16:3e:f3:05:6b txqueuelen 1000 (Ethernet)
RX packets 17 bytes 1266 (1.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 24 bytes 2360 (2.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Le MASQUERADE sur l'hôte.
root@host:~ # ip6tables -t nat -A POSTROUTING -o netbr0 -s fc01::10:126:42:0/112 ! -d fc00::/7 -j MASQUERADE
Donc ; sans l'adresse GUA (2a01:cb1d:12:1c00:1ab3:126:42:dc0) - j'arrive bien à accéder à Internet v6 - je sort avec l'adresse GUA (2a01:cb1d:12:1c00:beef::cafe) du routeur.
Donc ; dès que j'ajoute l'adresse GUA (2a01:cb1d:12:1c00:1ab3:126:42:dc0) sur l'interface réseau de mon conteneur, je n'arrive plus à accéder à Internet v6.
Infos : Pour déclarer que l'adresse GUA du Container puisse "sortir" et surtout qu'on puisse y "entrer", la ligne de commande est la suivante :
Sur l'hôte "ajouter l'adresse GUA comme voisine" à l'interface réseau connectée :
root@host:~ # ip -6 neighbor add proxy 2a01:cb1d:12:1c00:1ab3:126:42:dc0 dev netbr0
----
En passant, j'ai même modifier la fichier "/etc/gai.conf" ; des préférences IP de Linux.
# ----------------------------------------
# MyPrefer
# lo (localhost)
precedence ::1/128 50
# Default Unicast
precedence ::/0 48
# ULA Unique Local Address (LAN IPv6)
precedence fc00::/7 45
# SLAN Site-Local Address Network (Secure)
precedence fec0::/10 44
# 6to4
precedence 2002::/16 30
# Teredo tunneling
precedence 2001::/32 25
# 6bone (returned)
precedence 3ffe::/16 24
# IPv4-compatible addresses (deprecated)
precedence ::/96 20
# IPv4-mapped IPv6 address
precedence ::ffff:0:0/96 10
# ----------------------------------------
J'ajoute ce lien vers RFC 6724 (http://www.rfc-editor.org/info/rfc6724): Default Address Selection for Internet Protocol version 6 (IPv6) (https://www.bortzmeyer.org/6724.html) de Stéphane Bortzmeyer.
Bonne soirée, bonne journée.
----
Je ne trouve pas çà normal. Qu'en pensez-vous !?
Si je cherche à pinguer google.fr "2607:f8b0:4006:80c::2003", mon adresse IPv6 GUA "2a01:cb1d:12:1c00:1ab3:126:42:dc0" est celle qui se rapproche plus, mais quelle est la règle de sélection ? Est-ce la règle 2, est-ce bien cela ?
J'ajoute le texte en français de cette page :
"Sélection de l'adresse source IPv6 sous Linux (https://www.davidc.net/networking/ipv6-source-address-selection-linux) (11/05/2009)" :
Il est parfois souhaitable que l'adresse IPv6 sortante d'une interface soit sélectionnée de manière déterministe. Toutes choses étant égales par ailleurs, Linux utilisera par défaut la dernière adresse ajoutée à l'interface comme adresse source. Ce n'est généralement pas ce à quoi vous vous attendez ou que vous souhaitez. Cet article décrit comment influencer la sélection de l'adresse source sous Linux.
Algorithme de sélection :
Linux implémente la RFC 3484 , « Sélection d'adresse par défaut pour le protocole Internet version 6 (IPv6). En bref, l'algorithme consiste à créer une liste de candidats d'adresses sources potentielles, puis à suivre ces règles dans l'ordre :
- Préférez la même adresse. (c'est-à-dire que la destination est la machine locale)
- Préférez la portée appropriée. (c'est-à-dire la plus petite portée partagée avec la destination)
- Évitez les adresses obsolètes.
- Privilégiez les adresses personnelles.
- Préférer l'interface sortante. (c'est-à-dire préférer une adresse sur l'interface à partir de laquelle nous envoyons)
- Préférez l'étiquette correspondante.
- Préférez les adresses publiques.
- Utiliser le préfixe correspondant le plus long.
« Si les huit règles ne parviennent pas à choisir une adresse unique, un critère de départage non spécifié doit être utilisé. » Linux choisit d'utiliser la dernière adresse ajoutée.
Influencer l'algorithme :
Il est donc nécessaire de rompre toute égalité en influençant l'une de ces règles. La solution consiste à marquer les adresses sources indésirables comme « obsolètes », ce qui les fait échouer à la règle 3.
La méthode pour implémenter cela sous Linux consiste à définir "preferred_lft" sur 0 , ce qui entraîne le marquage de l'adresse comme obsolète. Notez que l'obsolescence ne rend pas l'adresse invalide, vous pouvez donc toujours recevoir des paquets destinés à cette adresse, mais elle ne sera simplement pas utilisée comme adresse source.
----
Note de Moi-même à 02h50 GMT+2 :
J'essaie de mettre un « preferred_lft 0 » sur ma GUA pour savoir ; tiens je ne connaissais pas la commande « ip a change » ; et de plus la commande "ifconfig" n'affiche pas le « preferred life time »
root@dc0:~ # ip -6 address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0@if14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc01::10:126:42:dc0/112 scope global
valid_lft forever preferred_lft forever
inet6 2a01:cb1d:12:1c00:1ab3:126:42:dc0/112 scope global
valid_lft forever preferred_lft forever
inet6 fe80::216:3eff:fef3:56b/64 scope link
valid_lft forever preferred_lft forever
root@dc0:~ # ip -6 addr change 2a01:cb1d:12:1c00:1ab3:126:42:dc0/1128 dev eth0 preferred_lft 0
root@dc0:~ # ip -6 address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0@if14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc01::10:126:42:dc0/112 scope global
valid_lft forever preferred_lft forever
inet6 2a01:cb1d:12:1c00:1ab3:126:42:dc0/112 scope global deprecated
valid_lft forever preferred_lft 0sec
inet6 fe80::216:3eff:fef3:56b/64 scope link
valid_lft forever preferred_lft forever
Et parfait çà fonctionne :D oh yeahh !!
root@dc0:~ # ping6 -n lab3w.fr -c4
PING zw3b.fr(2607:5300:60:9389::1) 56 data bytes
64 bytes from 2607:5300:60:9389::1: icmp_seq=1 ttl=47 time=102 ms
64 bytes from 2607:5300:60:9389::1: icmp_seq=2 ttl=47 time=102 ms
64 bytes from 2607:5300:60:9389::1: icmp_seq=3 ttl=47 time=102 ms
64 bytes from 2607:5300:60:9389::1: icmp_seq=4 ttl=47 time=102 ms
--- lab3w.fr ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 101.677/101.834/101.923/0.097 ms
root@lab3w:~ # tcpd_icmpv6 vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
02:40:34.468020 IP6 2a01:cb1d:12:1c00:beef::cafe > 2607:5300:60:9389::1: ICMP6, echo request, seq 20, length 64
02:40:34.468054 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:beef::cafe: ICMP6, echo reply, seq 20, length 64
02:40:35.468775 IP6 2a01:cb1d:12:1c00:beef::cafe > 2607:5300:60:9389::1: ICMP6, echo request, seq 21, length 64
02:40:35.468815 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:beef::cafe: ICMP6, echo reply, seq 21, length 64
02:40:36.470010 IP6 2a01:cb1d:12:1c00:beef::cafe > 2607:5300:60:9389::1: ICMP6, echo request, seq 22, length 64
02:40:36.470045 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:beef::cafe: ICMP6, echo reply, seq 22, length 64
02:40:37.471138 IP6 2a01:cb1d:12:1c00:beef::cafe > 2607:5300:60:9389::1: ICMP6, echo request, seq 23, length 64
02:40:37.471172 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00:beef::cafe: ICMP6, echo reply, seq 23, length 64
je vous ajoute 4 alias IPv4/6 qui me servent bien ;)
alias tcpd_icmpv6="tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i ${1}"
alias tcpd_icmpv4="tcpdump -s0 -n 'icmp' and port ! 22 -i ${1}"
alias tcpd_ipv6="tcpdump -s0 -t -n ip6 or proto ipv6 and port ! 22 -i ${1}"
alias tcpd_ipv4="tcpdump -s0 -t port ! 22 -i ${1}"
-
Que fait le bridge netbr0 ? Difficile d'y voir clair sans avoir la config de ton hôte.
Si netbr0 se contente de bridger l'interface physique de la machine (connectée au routeur) et l'interface virtuelle du container (veth?), tu ne devrais pas avoir besoin de changer quelque réglage que ce soit : le container se retrouvera sur le même segment Ethernet que le routeur.
Il faut peut-être vérifier que l'interface physique est bien en mode promiscuous, et éventuellement que l'adresse MAC 00:16:3e:f3:05:6b (eth0 du ctonainer) est bien dans la table du bridge netbr0.
-
@simon salut.
Que fait le bridge netbr0 ? Difficile d'y voir clair sans avoir la config de ton hôte.
Si netbr0 se contente de bridger l'interface physique de la machine (connectée au routeur) et l'interface virtuelle du container (veth?), tu ne devrais pas avoir besoin de changer quelque réglage que ce soit : le container se retrouvera sur le même segment Ethernet que le routeur.
La configuration de l'hôte est dans le sujet de cette discussion (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1083112/#msg1083112) avec un lien TXT (https://www.zw3b.fr/pub/screens/others/config-ethernet-home-20240817.txt) descriptif.
Il faut peut-être vérifier que l'interface physique est bien en mode promiscuous, et éventuellement que l'adresse MAC 00:16:3e:f3:05:6b (eth0 du ctonainer) est bien dans la table du bridge netbr0.
Le mode promiscuous permet de "scanner" tout le réseau sur une interface (port ethernet d'un switch) pour identifier un problème afin de recevoir tout les paquets.
Je ne souhaite pas surcharger mon réseau en envoyant "partout" et/ou à n'importe qui les paquets destinés à seulement un seul poste (par exemple le protocole IGMPv3 permet d'identifié un demandeur et d'envoyer le bon paquet au bon ordinateur).
Sinon, j'ai trouvé la solution à ce problème (Réponse #30) (https://lafibre.info/ipv6/fibre-ipv6-router-configuration-networks-test-iperf/msg1089130/#msg1089130) comme je l'ai expliqué dans le même commentaire (en éditant le message) ; il faut configurer le "preferred life time" à 0 seconde pour déclarer ma GUA comme "obsolète" ; tout en sachant que l'on peut accéder à l'adresse GUA en "entrée".
Normalement si sur le même noeud ; et qu'on a d'autres GUA du même bloc (régle 2), il (le ping) doit utiliser mon GUA (il faut que j'essaie), malgré qu'elle soit en "deprecated". Dans mon problème, c'est que je voulait sortir sur internet, et qu'il prenait mon GUA et non pas mon ULA puisque l'adresse de destination est plus ressemblante à mon GUA ;) :))
Merci pour vos réactions.
-
Salut,
je commence à mettre en place "mon serveur" AT HOME -- il faut que j'ajoute le maximum de DDRAM ;)
Pour commencer mon « The Web » portail : https://ww3.zw3b.fr/ (disponible seulement en IPv6) ; y'a quelques bugs encore (je check çà).
Bonne journée.
Romain.
(https://www.zw3b.fr/pub/screens/WW3.ZW3B.FR%202024-10-13%20065616.png)
By defkev pour le module Firefox DNSSEC/DANE c'est celui-ci (je ne le trouve plus) : https://www.zw3b.fr/pub/screens/extension-firefox-dnssec-dane-validator@defkev.xpi :
(https://www.zw3b.fr/pub/screens/extension-firefox-dnssec-dane-validator-details@defkev.png)
Htop on CA.LAB3W.SRV :
(https://www.zw3b.fr/pub/screens/HTOP%20LAB3W%202024-10-13%20080732.png)
Htop on FR.LAB3W.HOME.PVE :
(https://www.zw3b.fr/pub/screens/HTOP%20HOME%202024-10-13%20080824.png)
# ----
Cà me fait quelques IPv6 GUA personnalisées.
IPv6 GUA (input/output) de la maison :
root@lab3w: $ host home.lab3w.fr
home.lab3w.fr has address 109.210.56.240
home.lab3w.fr has IPv6 address 2a01:cb1d:12:1c00::1
IPv6 GUA (input/output) par laquelle les réseaux locaux IPv6 ULA non invités sortent (tout le monde pour le moment) :
root@lab3w: $ host cafe.beef.lab3w.fr.
cafe.beef.lab3w.fr has IPv6 address 2a01:cb1d:12:1c00:beef::cafe
IPv6 GUA (input/output) du LinuXContainers WW1 :
root@lab3w: $ host ww1.home.lab3w.fr
ww1.home.lab3w.fr has IPv6 address 2a01:cb1d:12:1c00:1ab3:126:42:10
IPv6 GUA (input/output) du LinuXContainers DB0 :
root@lab3w: $ host db0.home.lab3w.fr
db0.home.lab3w.fr has IPv6 address 2a01:cb1d:12:1c00:1ab3:126:42:db0
IPv6 GUA (input/output) du LinuXContainers NS0 (todo) :
root@lab3w: $ host ns1.home.lab3w.fr
ns1.home.lab3w.fr has IPv6 address 2a01:cb1d:12:1c00:1ab3:126:42:1000
;)
PS : Il manque toujours que Orange SA nous donne la possibilité de faire nos Reverses DNS pour configurer des noms sur les adresses IPv6 :)
Que cette commande :
root@lab3w: $ host 2a01:cb1d:12:1c00:1ab3:126:42:10
Host 0.1.0.0.2.4.0.0.6.2.1.0.3.b.a.1.0.0.c.1.2.1.0.0.d.1.b.c.1.0.a.2.ip6.arpa not found: 3(NXDOMAIN)
retourne un pointer sur « ww1.home.lab3w.fr » -- le nom de la machine.
Sur celle-ci de machine il y par exemple le site web « ww3.zw3b.fr » et d'autres sites web ; mais le reverse DNS c'est pour savoir qu'elle machine stocke ce(s) site(s) web (retour de la commande « host ww3.zw3b.fr »
:)
----
Note de Moi-même 20241016 : J'ai ouvert un sujet sur Debian-FR.org Syncronisation directories made in romano (https://www.debian-fr.org/t/syncronisation-directories-made-in-romano/90445) - truc de scripting Linux ;)
Note de Moi-même 20241018 : J'ai découvert le "Hub de commentaires, les Feedback avec Windows (https://support.microsoft.com/fr-fr/windows/envoyer-des-commentaires-%C3%A0-microsoft-avec-l-application-hub-de-commentaires-f59187f8-8739-22d6-ba93-f66612949332)"
J'ai lancé :
Etat de Ethernet -> Connectivité IPv6 : Pas d'accès à Internet (pourtant çà ping) (https://aka.ms/AAstsbo)
Connecter un lecteur réseau IPv6 - Voisinage réseau (https://aka.ms/AAsuyu6)
Configuration Windows 11 des préférences IP (https://aka.ms/AAsys9p)
Structure d'une adresse IPv6 fe80::/10 <-> MAC EUI-64 (https://aka.ms/AAsxayq)
Autoconfiguration basée sur l'adresse MAC EUI-64 (Extended Unique Identifier) uniquement Adresses Link-Local c'est important !!!
Adresses Link-Local Unicast (Linked-Scoped Unicast) (fe80::/10)
Stéphane Bortzmeyer : RFC 8064: Recommendation on Stable IPv6 Interface Identifiers (https://www.bortzmeyer.org/8064.html), RFC 4862: IPv6 Stateless Address Autoconfiguration (https://www.bortzmeyer.org/4862.html)
Lin : OK
Win : KO ?
--
Windows :
Adresse physique . . . . . . . . . . . : 1C-83-41-41-10-7F
Adresse IPv6 de liaison locale. . . . .: fe80::e238:42f3:86f9:e949%5(préféré)
Linux :
inet6 fe80::b8:6ff:fece:3c7d prefixlen 64 scopeid 0x20<link>
ether 02:b8:06:ce:3c:7d txqueuelen 1000 (Ethernet)
--
Qu’il n’y a pas de problème de sécurité justement comme tout le monde s’affolaient puisque ce sont des addresses SPECIALES, et que pour le fournisseur de services (pourrait identifier sa boxe (avec SA MAC Address Unique) de l’abonné sur son réseau (local/interne) ET que surtout, il ne faudrait jamais l’utiliser pour le réseau Internet (global, qu’on peut le faire mais pas du tout sécurisé, déconseillé) - Qu’il ne faudrait pas donner notre MAC Address, celle de notre boxe Internet (celle que personne ne peut changer - que par exemple la LiveBox est propriètaire, qu’on n’a pas la main dessus) à n’importe qui.
C’est aussi pour l’autoconfiguration entre la boxe internet (les ports RJ45) du FAI/ISP et nos machines connectées dessus pour être protégé d’Internet en ayant un lien-local (faire le lien) vers le routeur et pouvoir naviguer en toute sécurité.
Merci de passer le mot aux ISP ainsi qu’aux administrateurs Windows et Linux enfin autour de vous.
Merci pour la Vie privé et sa protection, ce n'est pas de la publicité !
Note de Moi-même : Les adresses SLAAC EUI-64 en IPv6 c'est comme en IPv4 les adresses "Automatic Private Internet Protocol Addressing" nommées APIPA (réseau 169.254.0.0/16 (de 169.254.0.1 à 169.254.255.254)) soit "Adressage automatique du protocole IP". Il s'agit en réalité d'une adresse que la machine va s'attribuer automatiquement si les requêtes DHCP échouent.
En IPv6 contrairement à l’IPv4, l’autoconfiguration permet d’envoyer entre autre une adresse en fe80:: (Link-Local) comme passerelle sans serveur DHCPd grâce à RadvD qui arrivent à envoyer aux sous-liens locaux :wink:
Pour ajouter : Question de sécurité tout çà ;D
Je préfère une configuration en adresses IPv6 ULA (Unique Local Address) pour des postes, ordinateurs LOCAUX (c’est comme 192.168.XXX.XXX/24) …
Si je devais être fournisseur de réseau « mobile » je configurais des GUA (Global Unicast Address) adresses publique TEMPORAIRE pour mes abonnés - on est bien d’accord.
Par contre si je devais être responsable technique d’un réseau d’entreprise - je configurerais des l’IPv6 ULA pour tous les postes de mon réseau ; de celui du PDG au salarié en « contrat pro ». Parce que certes il y’a les firewalls de nos machines, mais çà fait plusieurs centaines voir des milliers de postes susceptibles d’être attraper - sur par exemple un bloc IPv6::/64. Alors qu’en ULA je peut configurer une adresse GUA pour les salariés et une autres GUA pour les invités - qui sont sur 2 ULA différents).
Et si dans l’entreprise j’avais des serveurs d’application, je leur configurerais des GUA (pour pourvoir y rentrer, avoir une adresses IP par serveur qui devrait être accessible, fournir un service à l’International network).
Romain (LAB3W.FR O.Romain.Jaillet-ramey) - Fondateur ZW3B.FR | TV | NET | COM | EU | BLOG
-
Bonjour à tous.
Je recherche comment-faire pour configurer dans Windows le preferred lifetime (forever ou nombre de seconde) sur une adresse IPv6 plus qu'une autre.
root@dc0:~ # ip -6 address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0@if14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc01::10:126:42:dc0/112 scope global
valid_lft forever preferred_lft forever
inet6 2a01:cb1d:12:1c00:1ab3:126:42:dc0/112 scope global deprecated
valid_lft forever preferred_lft 0sec
inet6 fe80::216:3eff:fef3:56b/64 scope link
valid_lft forever preferred_lft forever
Par exemple dans la configuration ci-dessus, je ne souhaite pas "sortir" par mon adresse GUA (j'ai donc configuré le preferred_lft à 0sec), je souhaite sortir avec mon adresse ULA (fc01::10:126:42:dc0 en preferred_lft forever) qui est NATée : OK tout fonctionne dans Linux.
Et dans Windows, comment-faire ? je ne trouve pas d'information sur comment appliquer cette modification.
Dans Linux la manipulation est la suivante, il faut ajouter l'adresse IPv6 puis appliquer un changement dessus.
ip -6 addr add 2a01:cb1d:12:1c00:1ab3:126:42:dc0/112 dev eth0
ip -6 addr change 2a01:cb1d:12:1c00:1ab3:126:42:dc0/112 dev eth0 preferred 0
Merci.
Bonne journée.
---
Pour le fun :
J'ai plus Internet WIN11 me signale, il dit n'importe quoi !
https://www.zw3b.fr/pub/screens/windows/Enregistrement%20de%20l'%c3%a9cran%202024-10-25%20100639.mp4
https://www.zw3b.fr/pub/screens/windows/Enregistrement%20de%20l'%c3%a9cran%202024-10-25%20102605.mp4
https://www.zw3b.fr/pub/screens/windows/Enregistrement%20de%20l'%c3%a9cran%202024-10-25%20103737.mp4
En fait, j'ai désactivé ma passerelle IPv4 (ULA versus IPv4 haha) et je suis configuré en IPv6 ULA NAtée.
-
Bonjour.
La configuration réseau IPv6 ULA (Unique Local Address) de chez moi jusqu'aux serveurs ; en image :
(https://www.zw3b.fr/pub/screens/others/network_map-ipv10.jpg)
Bonne journée.
PS : VPN (dans le dessin, Post Quantum strongSwan v6 (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/msg1059110/) fec0::/10), la configuration (https://lafibre.info/vpn/vpn-pq-strongswan-modern-security-network/msg1093153/#msg1093153) sur le forum.
Romain.
Exemple des liens IPv6 StrongSwan :
Les tracerts :
C:\Users\ORJ>tracert fc00:41d0:801:2000::1
Détermination de l’itinéraire vers fc00:41d0:801:2000::1 avec un maximum de 30 sauts.
1 <1 ms <1 ms <1 ms fc01::172:16:0:254
2 97 ms 97 ms 97 ms fec0::1
3 175 ms 175 ms 175 ms fec2::1
4 174 ms 175 ms 174 ms fc00:41d0:801:2000::1
Itinéraire déterminé.
C:\Users\ORJ>tracert fc00:41d0:701:1100::1
Détermination de l’itinéraire vers fc00:41d0:701:1100::1 avec un maximum de 30 sauts.
1 <1 ms <1 ms <1 ms fc01::172:16:0:254
2 97 ms 97 ms 96 ms fec0::1
3 190 ms 190 ms 190 ms fec3::1
4 189 ms 189 ms 189 ms fc00:41d0:701:1100::1
Itinéraire déterminé.
C:\Users\ORJ>tracert fc00:5300:60:9389:15:1:a:10
Détermination de l’itinéraire vers fc00:5300:60:9389:15:1:a:10 avec un maximum de 30 sauts.
1 <1 ms <1 ms <1 ms fc01::172:16:0:254
2 97 ms 96 ms 96 ms fec0::1
3 97 ms 96 ms 97 ms fc00:5300:60:9389:15:1:0:1
4 97 ms * 96 ms fc00:5300:60:9389:15:1:a:10
Itinéraire déterminé.
C:\Users\ORJ>tracert fc00:5300:60:9389:15:2:a:10
Détermination de l’itinéraire vers fc00:5300:60:9389:15:2:a:10 avec un maximum de 30 sauts.
1 <1 ms <1 ms <1 ms fc01::172:16:0:254
2 97 ms 96 ms 97 ms fec0::1
3 96 ms 97 ms 97 ms fc00:5300:60:9389:15:2:0:1
4 96 ms 96 ms 97 ms fc00:5300:60:9389:15:2:a:10
Itinéraire déterminé.
root@lb2.ww2:~ # traceroute fc01::10:106:42:10 -I
traceroute to fc01::10:106:42:10 (fc01::10:106:42:10), 30 hops max, 80 byte packets
1 fc00:5300:60:9389:15:2:a:ffff (fc00:5300:60:9389:15:2:a:ffff) 0.052 ms 0.016 ms 0.013 ms
2 fc00:5300:60:9389:15:2:0:f (fc00:5300:60:9389:15:2:0:f) 0.165 ms 0.143 ms 0.128 ms
3 fec1::1 (fec1::1) 97.483 ms 97.476 ms 97.536 ms
4 * * *
5 fc01::10:106:42:10 (fc01::10:106:42:10) 97.534 ms * *
root@lb2.ww2:~ # traceroute fc00:41d0:801:2000::1
traceroute to fc00:41d0:801:2000::1 (fc00:41d0:801:2000::1), 30 hops max, 80 byte packets
1 fc00:5300:60:9389:15:2:a:ffff (fc00:5300:60:9389:15:2:a:ffff) 0.616 ms 0.539 ms 0.500 ms
2 fc00:5300:60:9389:15:2:0:f (fc00:5300:60:9389:15:2:0:f) 0.466 ms 0.428 ms 0.397 ms
3 fec2::1 (fec2::1) 78.224 ms 78.205 ms 78.166 ms
4 fc00:41d0:801:2000::1 (fc00:41d0:801:2000::1) 78.156 ms 78.172 ms 78.160 ms
root@lb2.ww2:~ # traceroute fc00:41d0:701:1100::1
traceroute to fc00:41d0:701:1100::1 (fc00:41d0:701:1100::1), 30 hops max, 80 byte packets
1 fc00:5300:60:9389:15:2:a:ffff (fc00:5300:60:9389:15:2:a:ffff) 0.052 ms 0.017 ms 0.016 ms
2 fc00:5300:60:9389:15:2:0:f (fc00:5300:60:9389:15:2:0:f) 0.117 ms 0.081 ms 0.070 ms
3 fec3::1 (fec3::1) 92.857 ms 92.880 ms 92.931 ms
4 fc00:41d0:701:1100::1 (fc00:41d0:701:1100::1) 92.946 ms 92.985 ms 92.959 ms
Romain.
-
Bonsoir, bonjour.
Je vous ajoute ces 2 liens des configurations de mon routeur et de mon serveur :
- gate.fr.lab3w.com (https://gate.fr.lab3w.com/) : http://[2a01:cb1d:5:af00::1]/ ; http://90.5.102.244
- srv.fr.lab3w.com (https://srv.fr.lab3w.com/) : http://[2a01:cb1d:5:af00:1ab3:1]/
J'ai modifié la Network map ci-dessous, du commentaire précédent ; et j'ai changé de bloc d'adresses IPv6 GUA.
La configuration réseau IPv6 ULA (Unique Local Address) de chez moi jusqu'aux serveurs ; en image :
(https://www.zw3b.fr/pub/screens/others/network_map-ipv10.jpg)
Si cela peut aider.
À FAIRE : Installation d'un Active Directory (actuellement, il s'agit uniquement du service Samba) - Introduction : Intégration d'AD sur Ubuntu Server (https://documentation.ubuntu.com/server/explanation/intro-to/AD-integration/index.html).
Je dois (ré)installer un Active Directory (https://howto.zw3b.fr/linux/serveurs/howto-samba-pdc-active-directory) (PDC et BDC) pour vérifier que les requêtes des voisins du réseau local fonctionnent et transitent par les réseaux intersites ; qu'elles sont dirigées au bon endroit en fonction de la longueur du préfixe IPv6 et distribuées aux réseaux appropriés.
;)
-
Bonjour,
(https://howto.zw3b.fr/var/contents/links/1717/fibre-ip-6-routers-configuration-networks-delegation-rdns_20250427162512_1.jpg)
j'ai essayé d'avoir une délégation d'adresses IPv6 pour configurer le reverse de mes adresses IPv6 GUA (Livebox5 d'Orange).
J'ai commencé par les adresses ULA IPv6, le bloc fc00::/7 - c'est déjà bien, çà fonctionne - Jusqu'à présent je n'y arrive toujours pas sur mon bloc GUA IPv6::/56, ni sur le bloc IPv6::/64 par default (je n'ai pas essayé sur un bloc délégué -- justement).
Je vous écris la procédure pour déléguer des blocs IPv6 Unique Local Addresses.
Donc pour les adresses IPv6 ULA et pour analyser comment la délégation IPv6 fonctionne :
----
Je souhaitais configurer 2 délégations pour mes 2 VM (Virtuals Machines) - Je vais configurer 2 délégations IPv6::/104 pour gérer toutes les adresses d'une machine réseau avec plussieurs LXC.
La machine HOST1 : fc01::10:116:0:1/104 - le réseau des LinuX Containers : fc01::10:116:42:0/112
La machine HOST2 : fc01::10:126:0:1/104 - le réseau des LinuX Containers : fc01::10:126:42:0/112
J'ai commencé par installer et configurer un fichier de zone sur un serveur de noms Bind9 dans un de mes LXC (donc vers la fin du bloc IPv6:: dans un réseau IPv6::/112.
La machine (le container) s'appelle "ns1" : fc01::10:116:42:1000/112
root@srv-fr.h1.ns1:/etc/bind $ host fc01::10:116:42:1000
Host 0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa not found: 3(NXDOMAIN)
root@srv-fr.h1.ns1:/etc/bind $ dig -x fc01::10:126:42:1000
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x fc01::10:126:42:1000
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 65332
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 23d9fcda1ae89fbc01000000680871011c3a1f2d4ef97402 (good)
;; QUESTION SECTION:
;0.0.0.1.2.4.0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
ip6.arpa. 1408 IN SOA b.ip6-servers.arpa. nstld.iana.org. 2024122387 1800 900 604800 3600
;; Query time: 24 msec
;; SERVER: 2001:41d0:701:1100::6530#53(2001:41d0:701:1100::6530) (UDP)
;; WHEN: Wed Apr 23 06:48:01 CEST 2025
;; MSG SIZE rcvd: 205
Donc, le fichier de configuration pour ma zone "0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" correspondant au réseau fc01:0000:0000:0000:10:116:0:0/104
Pour trouver la zone, utiliser GestióIP - IPv4/IPv6 subnet calculator (http://www.gestioip.net/cgi-bin/subnet_calculator.cgi) et sélectionner tout ce qui est en noir sur la ligne "ip6.arpa Format" - ne pas prende le texte en rouge ;)
root@srv-fr.h1.ns1:/etc/bind $ cat masters/0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa
$ttl 60
@ IN SOA ns1.lab3w.lan. hostmaster.lab3w.lan. (
2025042201 ; serial, yearmonthdayserial# 604800
20 ; refresh, seconds / default:21600
5 ; retry, seconds / default:3600
420 ; expire, seconds / default:604800
60 ) ; minimum, seconds / default:3600
;--------------------------------------------------------------
@ IN NS ns1.lab3w.lan.
; --------------------------
; H1
2.5.2.0.0.0.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR vm1.lab3w.lan.
f.f.f.f.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR gw1.lab3w.lan.
; --------------------------
; LXC
0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR ns1.lab3w.lan.
0.1.0.0.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR we1.lab3w.lan.
1.b.d.0.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR db1.lab3w.lan.
1.c.d.0.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR ad1.lab3w.lan.
J'ai ajouté la zone au fichier à la configuration des zones locales (je laisse mes commentaires de tests au fichier) :
root@srv-fr.h1.ns1:/etc/bind $ cat named.conf.local
// IPv6 ------------------------------------------------------------
# OK reverse /56 with delegation parent
# zone "0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
# OK reverse /64 with delegation parent
# zone "0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
# OK reverse /104 with delegation parent <------------
zone "0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
# OK reverse /112 with delegation parent
# zone "2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
type master;
file "/etc/bind/masters/0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa";
};
Jusque là rien ne fonctionne parce que le "ns1.lab3w.lan" ne correspond à rien ; donc il faut créer une zone "lab3w.lan" pour ajouter l'adresse IP sur ce nom.
----
Voulant gérer seulement les adresses IP des containers et de l'hôte du réseau sur ce service (ce container) - Je vais donc créer un autre serveur DNS (celui qui va déléguer aux autres), sur lequel je vais configurer une zone "lab3w.lan" et la zone ULA entière "fc00::/7" pour pouvoir déléguer à qui je souhaite, un ou plusieurs blocs IPv6.
Donc sur le serveur "parent" qui se trouve à l'adresse fc01::10:106:0:252 ; le fichier de configuration des zones :
root@srv-fr:/etc/bind # cat named.conf.local
// IPv6 ---------------------------------------------------------
zone "c.f.ip6.arpa" {
type master;
file "/etc/bind/masters/c.f.ip6.arpa";
};
Le fichier de la zone "lab3w.lan" :
root@srv-fr:/etc/bind # cat masters/lab3w.lan.hosts
$ttl 3600
@ IN SOA dns.lab3w.lan. hostmaster.lab3w.lan. (
2025042102 ;serial, yearmonthdayserial#
300 ; refresh, seconds / default:21600 (6 hours) - perso:20 - 300 (5min)
60 ; retry, seconds / default:3600 (1 hour) - perso:5 - 60 (1min)
420 ; expire, seconds / default:604800 (1 week) - perso:420(7min)
60 ) ; minimum, seconds / default:3600 (1 hour) - perso:60 (1min)
;---------------------------------------------------------------------
@ 3600 IN NS dns.lab3w.lan.
;------------------------------
; Servers
;------------------------------
; GATE
gate 3600 IN AAAA fc01:0000:0000:0000:0010:0106:0000:0254
gate 3600 IN A 10.106.0.254
; SRV-FR
dns 3600 IN AAAA fc01:0000:0000:0000:0010:0106:0000:0252
dns 3600 IN A 10.106.0.252
; SRV-FR H1 LXC
ns1 3600 IN AAAA fc01:0000:0000:0000:0010:0116:0042:1000
ns1 3600 IN A 10.116.42.1
we1 3600 IN AAAA fc01:0000:0000:0000:0010:0116:0042:0010
we1 3600 IN A 10.116.42.10
; SRV-FR H2 LXC
ns2 3600 IN AAAA fc01:0000:0000:0000:0010:0126:0042:1000
ns2 3600 IN A 10.126.42.1
dc2 3600 IN AAAA fc01:0000:0000:0000:0010:0126:0042:0dc2
dc2 3600 IN A 10.126.42.2
we2 3600 IN AAAA fc01:0000:0000:0000:0010:0126:0042:0010
we2 3600 IN A 10.126.42.10
Et le fichier reverse de la zone "c.f.ip6.arpa" où je déclare que la zone reverse des IPv6 "fc01::10:116:0:0/104" sera gérée par la machine NS (Name Server) -> ns1.lab3w.lan
0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN NS ns1.lab3w.lan.
root@srv-fr:/etc/bind # cat masters/c.f.ip6.arpa
$ttl 60
@ IN SOA dns.lab3w.lan. hostmaster.lab3w.lan. (
2025042101 ; serial, yearmonthdayserial# 604800
20 ; refresh, seconds / default:21600
5 ; retry, seconds / default:3600
420 ; expire, seconds / default:604800
60 ) ; minimum, seconds / default:3600
;--------------------------------------------------------------
@ IN NS dns.lab3w.lan.
;--------------------------------------------------------------
; Delegation /64 - OK
;0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN NS ns1.lab3w.lan.
; Delegation /104 - OK
0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN NS ns1.lab3w.lan.
;0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN NS ns2.lab3w.lan.
; Delegation /112
;2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN NS ns1.lab3w.lan.
;2.4.0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN NS ns2.lab3w.lan.
;--------------------------------------------------------------
; Network IPv6::/16
; Network range fc01:0000:0000:0000:0000:0000:0000:0000-fc01:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR b16.lab3w.lan.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR fc01.lab3w.lan.
; ----------------------------
; Hosts
; ----------------------------
2.5.2.0.0.0.0.0.6.0.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR srv-fr.lab3w.lan.
;2.5.2.0.0.0.0.0.6.0.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR dns.lab3w.lan.
4.5.2.0.0.0.0.0.6.0.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR gate.lab3w.lan.
Donc maintenant tout fonctionne.
;)
-----
Exemple d'un "traceroute6" :
root@srv-fr.h1.ns1:/etc/bind $ traceroute6 fc00:5300:60:9389:15:1:a:10
traceroute to fc00:5300:60:9389:15:1:a:10 (fc00:5300:60:9389:15:1:a:10), 30 hops max, 80 byte packets
1 gw1.lab3w.lan (fc01::10:116:42:ffff) 0.032 ms 0.011 ms 0.008 ms
2 vm1.lab3w.lan (fc01::10:116:0:252) 0.138 ms 0.116 ms 0.104 ms
3 gate.lab3w.lan (fc01::10:106:0:254) 0.248 ms 0.214 ms 0.193 ms
4 fec0::1 (fec0::1) 111.249 ms 112.467 ms 112.449 ms
5 fc00:5300:60:9389:15:1:0:1 (fc00:5300:60:9389:15:1:0:1) 112.505 ms 112.565 ms 112.548 ms
6 fc00:5300:60:9389:15:1:a:10 (fc00:5300:60:9389:15:1:a:10) 112.639 ms 111.840 ms 111.812 ms
root@gate:~ # host fc01::10:116:42:1000 fc01::10:106:0:252
Using domain server:
Name: fc01::10:106:0:252
Address: fc01::10:106:0:252#53
Aliases:
0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa domain name pointer ns1.lab3w.lan.
root@gate:~ # dig -x fc01::10:116:42:1000 @fc01::10:106:0:252
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x fc01::10:116:42:1000 @fc01::10:106:0:252
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44395
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 515f4d155426799a0100000068087b42f299e4e7083fd328 (good)
;; QUESTION SECTION:
;0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR
;; ANSWER SECTION:
0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. 18 IN PTR ns1.lab3w.lan.
;; Query time: 0 msec
;; SERVER: fc01::10:106:0:252#53(fc01::10:106:0:252) (UDP)
;; WHEN: Wed Apr 23 07:31:46 CEST 2025
;; MSG SIZE rcvd: 156
Je n'ai pas déclarer la délégation vers le LinuX Container du serveur "hote2" pour le réseau 126:0/112 donc avec la commande "dig" retourne son "Authorité" notre fichier de zone principale :
;; AUTHORITY SECTION:
c.f.ip6.arpa. 60 IN SOA dns.lab3w.lan. hostmaster.lab3w.lan. 2025042101 20 5 420 60
root@gate:~ # dig -x fc01::10:126:42:1000 @fc01::10:106:0:252
; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x fc01::10:126:42:1000 @fc01::10:106:0:252
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 26134
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 15daba121c83d7060100000068087b4b26d409d31888b7df (good)
;; QUESTION SECTION:
;0.0.0.1.2.4.0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
c.f.ip6.arpa. 60 IN SOA dns.lab3w.lan. hostmaster.lab3w.lan. 2025042101 20 5 420 60
;; Query time: 0 msec
;; SERVER: fc01::10:106:0:252#53(fc01::10:106:0:252) (UDP)
;; WHEN: Wed Apr 23 07:31:55 CEST 2025
;; MSG SIZE rcvd: 201
La machine "fc01::10:106:0:252" pointe sur une de mes GUA celle-ci : "2a01:cb1d:5:af00:1ab3::1" ou sur mon IPv4 celle-là : "90.5.102.244" et porte le nom pour ce service "dns.fr.lab3w.com".
Essayer un :
root@lab3w:~ # dig -x fc01::10:116:42:10 @dns.fr.lab3w.com +short
we1.lab3w.lan.
----
Donc, pour l'instant sur les GUA j'en suis à ce point : je n'arrive pas à déléguer moi-même dans mon bloc ; pour seulement mon serveur DNS - entre mes 2 serveurs DNS.
KO - Réponse de DNS.Google ; je n'ai rien délégué dans la Livebox5 d'Orange, donc le bloc est géré par son autorité (j'aurais pensé que peut-être le bloc par default serait délégué automatiquement (mais non, sûrement pour cause de Vie privée) :
root@lab3w:~ # dig -x 2a01:cb1d:5:af00:1ab3::1 @dns.google
; <<>> DiG 9.11.5-P4-5.1+deb10u11-Debian <<>> -x 2a01:cb1d:5:af00:1ab3::1 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43129
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
c.1.0.a.2.ip6.arpa. 1800 IN SOA dns1.equant.net. hostmaster.ipv6.opentransit.net. 2015082473 3600 1800 2419200 7200
;; Query time: 21 msec
;; SERVER: 2001:4860:4860::8888#53(2001:4860:4860::8888)
;; WHEN: mer. avril 23 08:10:31 CEST 2025
;; MSG SIZE rcvd: 180
KO - Réponse de mon serveur DNS qui devrait déléguer - comme au dessus sur les adresses ULA - mais qui ne fonctionne pas, bizarre :
root@lab3w:~ # dig -x 2a01:cb1d:5:af00:1ab3::1 @dns.fr.lab3w.com
; <<>> DiG 9.11.5-P4-5.1+deb10u11-Debian <<>> -x 2a01:cb1d:5:af00:1ab3::1 @dns.fr.lab3w.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37242
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 70cd052e8fa0d95701000000680884528394e59586cb52e3 (good)
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN SOA dns.fr.lab3w.fr. hostmaster.fr.lab3w.fr. 2025042101 20 5 420 60
;; Query time: 865 msec
;; SERVER: 2a01:cb1d:5:af00:1ab3::1#53(2a01:cb1d:5:af00:1ab3::1)
;; WHEN: mer. avril 23 08:10:26 CEST 2025
;; MSG SIZE rcvd: 227
OK - Réponse, en interrogeant directement le serveur NS1 où se trouve les adresses IPv6 reverse (le serveur/service fonctionne) :
root@lab3w:~ # dig -x 2a01:cb1d:5:af00:1ab3::1 @ns1.fr.lab3w.com
; <<>> DiG 9.11.5-P4-5.1+deb10u11-Debian <<>> -x 2a01:cb1d:5:af00:1ab3::1 @ns1.fr.lab3w.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58690
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 2041d8d25d626a77010000006808852ae1a65347cac4020a (good)
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN PTR srv.fr.lab3w.com.
;; Query time: 111 msec
;; SERVER: 2a01:cb1d:5:af00:1ab3:116:42:1000#53(2a01:cb1d:5:af00:1ab3:116:42:1000)
;; WHEN: mer. avril 23 08:14:02 CEST 2025
;; MSG SIZE rcvd: 159
Il faut que j'analyse çà ; je reviens vers vous.
Romain.
@+
Bonne journée.
PS : J'ai un tutoriel que j'ai écrit sur comment faire une Configuration BIND9 Masters et Slaves (https://howto.zw3b.fr/linux/serveurs/configuration-bind9-master-and-slaves) (Page Translate (http://howto-zw3b-fr.translate.goog/linux/serveurs/configuration-bind9-master-and-slaves?t=dark&_x_tr_sl=fr&_x_tr_tl=en&_x_tr_hl=auto)), mais je ne parle pas de rDNS ULA :D d'où ce commentaire.
J'ajoute ce lien : 3. DNS Reverse Mapping (https://www.zytrax.com/books/dns/ch3/) et le site de la doc de bind9 (https://bind9.readthedocs.io/).
Note de Moi-même du 2025/06/05 - RienÀvoir ci-dessous Délégation de « nom de domaine » :
J'ai ouvert sur mon site web cette intro sur l'Orientation à prendre pour NSEC3 dans DNSSec et l'automatisation pour les zones enfants délégués pour zone de confiance DNSSEC avec CDS et CDNSKEY (https://howto.zw3b.fr/linux/securite/guidance-for-nsec3-in-dnssec-and-automation-for-delegated-child-zones-for-dnssec-trust-zone-with-cds-and-cdnskey) (Page Translate (https://howto-zw3b-fr.translate.goog/linux/securite/guidance-for-nsec3-in-dnssec-and-automation-for-delegated-child-zones-for-dnssec-trust-zone-with-cds-and-cdnskey?_x_tr_sl=fr&_x_tr_tl=en&_x_tr_hl=auto)).
Modifier les enregistrements de signature de délégation (DS) d'une zone enfant en fonction du signataire de délégation enfant (CDS) et de la clé de serveur de noms de domaine enfant (CDNSKEY) et créer les RR (Ressource Records) CDNSKEY / CDS.
8)
-
Pour que la délégation du GUA fonctionne en dehors du réseau local, il faut qu'Orange rajoute des entrées NS vers ton/tes serveur(s) DNS dans le fichier qui gère la zone d.1.b.c.1.0.a.2.ip6.arpa
C'est évidemment impossible de leur faire faire ça.
-
Pour que la délégation du GUA fonctionne en dehors du réseau local, il faut qu'Orange rajoute des entrées NS vers ton/tes serveur(s) DNS dans le fichier qui gère la zone d.1.b.c.1.0.a.2.ip6.arpa
C'est évidemment impossible de leur faire faire ça.
Bonjour @zoc,
Celui-ci :
;; AUTHORITY SECTION:
c.1.0.a.2.ip6.arpa. 1800 IN SOA dns1.equant.net. hostmaster.ipv6.opentransit.net. 2015082473 3600 1800 2419200 7200
2015 l'année de modification du fichier, ils ne doivent pas connaitre "nsupdate".
Oui, c'est ce que j'avais compris il y a quelque temps quand on en avait parlé. Mais je voulais re-essayer, et vérifier comment "la délégation IPv6" fonctionnait. Çà m'a permit de configurer un reverse DNS pour des adresses ULA ; je vais essayé de l'étendre à mon SLAN ;)
@+
Exemple par NSUPDATE pour une de mes zone fcXX::/8 ; simple ::)
; Server NS
server dns.lab3w.lan
;
; Select authority
zone c.f.ip6.arpa
;
; Delegation /104
update add 0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. 3600 IN NS ns2.lab3w.lan.
;
send
Et it's good !!
Je vais essayé ;)
Exemple par NSUPDATE pour toutes mes adresses IPv6 GUA du ISP "2a01:cb1d:5:af00::/56" ; simple ::)
; Server NS
server dns1.equant.net
;
; Select authority
zone c.1.0.a.2.ip6.arpa
;
; Delegation /104
update add f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 3600 IN NS my-nameserver.mydomain.com.
;
send
Tant que je peut dire/déclarer chez mon registrar ou mon DNS que -- my-nameserver.mydomain.com --> pointe bien sur une IP du bloc (n'importe laquelle) et bien le reverse IPv6 fonctionne.
my-nameserver.mydomain.com m'appartient et les IPv6 me sont déléguées par mon ISP ;)
----
Exemple complet pour Orange ISP :
Sur les Livebox ; ils peuvent déléguer "cacher" sans que les utilisateurs ne sachent, tous les blocs IPv6::/56 sur le DNS de la Livebox - puis sur la page déléguer des IPv6 ; l'utilisateur final peut déléguer ses blocs par IPv6::/64 en updatant depuis la Livebox elle-même - Si aucun serveur DNS n'est configuré sur le réseau, aucun PoinTer Record (PTR) ne sera retourné.
Update de chaques Livebox à chaque changement d'adresse IPv6 :
; Server NS
server dns1.equant.net
;
; Select authority
zone c.1.0.a.2.ip6.arpa
;
; Delegation /104
update add f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 3600 IN NS livebox_user
;
send
Puis en interne par la Livebox et dans la livebox (un serveur DNS - ici livebox_user) sur la page déjà existante de délégation de blocs IPv6::/64 ; exemple : 2a01:cb1d:5:afc1::/64
; Server NS
server livebox_user
;
; Select authority
zone f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa
;
; Delegation /104
update add 1.c.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 3600 IN NS my-nameserver.mydomain.com.
;
send
Oh yeah !
Et, donc, c'est ce que je pouvais penser tout à l'heure comme je le disais plus haut ; peut-être que sur le bloc par default "00" n'a pas de délégation d'IP pour une question de vie privée - pour pas qu'on (ou qu'un logiciel malveillant) configure sur son réseau local du reverse dynamique par rapport à l'adresse MAC et au nom de la machine.
Exemple avec une routine depuis cette page :
Je reviens vers vous pour vous transmettre ces infos :
MERCI BEAUCOUP.
J'ai réussis à déléguer plusieurs blocs IPv6::/64 (sans pouvoir, les choisir comme expliqué sur la page 76 de x0r (https://x0r.fr/blog/76), j'ai perdu mon bloc 00::/64)
Ci-joint un imprime écran :
(https://www.zw3b.fr/pub/screens/orange/Screenshot%202024-01-27%20at%2017-48-21%20R%c3%a9seau%20-%20Livebox%205%20Orange%20-%20Network%20-%20IPv6%20Delegation.png)
L'IPv6 du bloc n'est pas la bonne - j'ai changé de bloc IPv6.
Il faut que j'essaie de re-délégue un autre bloc ; mais il va falloir que je change plein de fichier de configuration ; alors je ferais çà un autre jour - je ne sais plus si après j'ai accès au bloc par default et au bloc délégué ; de souvenir oui. je verais plus tard.
----
Quelqu'un serait-il déjà en mode "Délégation d'IP" - il faudrait qu'il installe un serveur DNS pour tester.
Merci.
----
Je vous ajoute ce screenshot sur la configuration des IPv6 reverse d'un bloc IPv6::/64 chez OVH Cloud où l'on peut déclarer plusieurs NS (Nom d'hôte d'un ou plusieurs Name Serveur) pour un bloc IPv6 ; c'est un serveur Dédié.
Et pour les VPS, c'est un autre principe (puisqu'ils nous offrent 1 seule IPv4 et 1 seule IPv6), donc c'est juste une modification du RR (Ressource Record) A et AAAA.
En image :
(https://www.zw3b.fr/pub/screens/ovh/Screenshot%202024-02-08%20at%2007-34-12%20OVHcloud%20-%20Networks%20-%20IP.png)
@+
----
Note de Moi-même le 2025/04/23 sur la page du GitHub strongSwan / Discussions : 🔑 How to configure strongSwan v6 Post-Quantum Cryptography NIST compliant - DHCP (https://github.com/strongswan/strongswan/discussions/2731#dhcp) je viens de penser qu'il pourrait y avoir une ou 2 options supplémentaires dans le fichier de configuration "dhclient -6" lors de l'initialisation d'une délégation d'adresses IPv6 GUA d'Orange ISP FR (https://lafibre.info/ipv6/comment-faire-plusieurs-reseaux-ipv664-dans-le-bloc-dorange-ipv656/msg1052262/#msg1052262) :
Ici, je parle donc, hors Livebox (seulement une option en amont chez Orange) - donc, sans ajouter un nouveau formulaire ou nouveau champ dans l'interface web de gestion des Livebox (chose inenvisageable, dirais-je ^^).
send dhcp6.BLOCK_IPV6 51;
# cat /etc/dhcp/dhclient-vlan832-6.conf
option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;
interface "vlan832" {
# Options speciales pour orange
send dhcp6.client-id 00:03:00:01:_LB_MACADDR_;
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:_ORANGEID_;
send dhcp6.BLOCK_IPV6 51;
send dhcp6.BLOCK_IPV6_NAMESERVER.0 my-nameserver.mydomain.com.
send dhcp6.BLOCK_IPV6_NAMESERVER.1 my-second-nameserver.mydomain.com.
request dhcp6.auth, dhcp6.name-servers, dhcp6.sip-servers-names;
}
On pourrait configurer le bloc IPv6::/64 d'une délégation, la première - à la place de faire 200 demandes de délégation pour trouver le (un) bloc IPv6 qu'on souhaiterait ; on pourrait avoir plusieurs configuration pour plusieurs réseaux ;)
Sur mon block IPv6::/56 -> 2a01:cb1d:5:AF00::/56
Block de navigation par default en auto-configuration GUA temporaire (si active sur les clients) SLAAC : 2a01:cb1d:5:AF00::/64
send dhcp6.BLOCK_IPV6 51;
Pour avoir le, un block délégué IPv6::/64 le "51" -> 2a01:cb1d:5:AF51::/64
Et les Names Servers !!!!!
send dhcp6.BLOCK_IPV6_NAMESERVER.0 my-nameserver.mydomain.com.
send dhcp6.BLOCK_IPV6_NAMESERVER.1 my-second-nameserver.mydomain.com.
Qu'en penser vous ?
-
Si cela peut aider.
À FAIRE : Installation d'un Active Directory (actuellement, il s'agit uniquement du service Samba) - Introduction : Intégration d'AD sur Ubuntu Server (https://documentation.ubuntu.com/server/explanation/intro-to/AD-integration/index.html).
Je dois (ré)installer un Active Directory (https://howto.zw3b.fr/linux/serveurs/howto-samba-pdc-active-directory) (PDC et BDC) pour vérifier que les requêtes des voisins du réseau local fonctionnent et transitent par les réseaux intersites ; qu'elles sont dirigées au bon endroit en fonction de la longueur du préfixe IPv6 et distribuées aux réseaux appropriés.
;)
Pour celles et ceux qui voudraient s'essayer :
Téléchargez l’ISO Windows Server 2022 ici :
https://www.microsoft.com/en-us/evalcenter/download-windows-server-2022
Les copies d’évaluation sont valables 180 jours (6 mois), mais vous pouvez les réactiver 5 ou 6 fois pour 180 jours à chaque fois.
@+ Romain.
.
Je nous ajoute, il y a de très bonnes documentations AD (Active Directory) sur IT-Connect.fr comme celle-ci
https://www.it-connect.fr/active-directory-comment-mettre-en-place-la-delegation-de-la-gestion-des-gpo/ ou
https://www.it-connect.fr/ad-cs-comment-delivrer-un-certificat-tls-pour-un-serveur-web-linux/ etc.
-
Salut,
Donc, pour continuer mon réseau local sécurisé.
La configuration réseau IPv6 ULA (Unique Local Address) de chez moi jusqu'aux serveurs ; en image :
(https://www.zw3b.fr/pub/screens/others/network_map-ipv10.jpg)
J'ai installé "Microsoft Windows Server 2022 Standard Evaluation (https://www.microsoft.com/en-us/evalcenter/download-windows-server-2022)" sur mon Promox VE en suivant ce tutoriel (https://pve.proxmox.com/wiki/Windows_2022_guest_best_practices) - je vais bien voir si je m'en sors pour envoyer des paquets de l'Active Directory aux autres machines connectées aux réseaux.
(https://www.zw3b.fr/pub/screens/windows/server-2022/Windows_server_2022.png)
ZW3B's LAB3W /pub/screens/windows/server-2022/ (https://www.zw3b.fr/pub/screens/windows/server-2022/)
The Web's Laboratory ; Engineering of the Internet.
Sincèrement, je ne connais pas "trop" la gestion d'un contrôleur de domaines et des Services de stratégie et d'accès réseau du Network Policy Server ; je vais y goûter comme cela ; je ne connais pas non plus "Microsoft-IIS, le serveur Web".
Pour celles et ceux qui ne connaissent pas, c'est très complet mais payant ; Windows Serveur (~1500€).
Les machines "serveurs" :
https://gate.fr.lab3w.com (routeur Linux) - Dual-stack IP
https://srv.fr.lab3w.com (serveur Linux de Virtualisation) - Dual-stack IP
http://winsrv.fr.lab3w.com (serveur Windows Contrôleur de domaines) - Stack IPv6
https://we1.fr.lab3w.com (serveur web1 d'extrémité arrière) - Stack IPv6
https://we2.fr.lab3w.com (serveur web2 d'extrémité arrière) - Stack IPv6
;D
Bonne soirée.
Romain.
----
Pour celles et ceux qui voudrez voir d'autres types de liens ; j'ai une belle page web de l'actualité de la semaine (https://mailing.zw3b.fr/) que vous pouvez trouver sur mes sites Web #ZW3B.
@+