Auteur Sujet: Fibre - IPv6 - Routers - Configuration Networks - Test Iperf (Lu 592 fois)

LAB3W.ORJ · « **le:** 17 août 2024 à 20:29:55 »

Salut, à toutes et à tous.

J'ai fais des tests de Bande Passante avec le logiciel, commande "iperf3".

Côté server : iperf3 -s
Côté client : iperf3 -c address

L'imprime écran des tests est ici :
https://www.zw3b.com/pub/screens/others/iperf3-20240816.txt

C'est peut-être ce test le plus important :

Code: [Sélectionner]

-----------------------------------------------------------
# FR.LAB3W.HOME.BW -> LAN (2.5Gb/s) -> SWITCH -> LAN (10Gb/s) -> FR.LAB3W.HOME.PVE (Router Linux)

root@bw:~ # iperf3 -c fc01::172:16:0:254
-----------------------------------------------------------
Accepted connection from fc01::172:16:0:1, port 38346
[  5] local fc01::172:16:0:254 port 5201 connected to fc01::172:16:0:1 port 38354
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   1.00-2.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   2.00-3.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   3.00-4.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   4.00-5.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   5.00-6.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   6.00-7.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   7.00-8.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   8.00-9.00   sec   154 MBytes  1.29 Gbits/sec                  
[  5]   9.00-10.00  sec   154 MBytes  1.29 Gbits/sec                  
[  5]  10.00-10.00  sec  80.9 KBytes  1.30 Gbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.00  sec  1.50 GBytes  1.29 Gbits/sec                  receiver
-----------------------------------------------------------
root@bw:~ # traceroute6 fc01::172:16:0:254
traceroute vers fc01::172:16:0:254 (fc01::172:16:0:254) de fc01::172:16:0:1, port 33434, du port 56509, 30 sauts max, 60 octets/paquet
 1  fc01::172:16:0:254 (fc01::172:16:0:254)  0.151 ms  0.107 ms  0.160 ms
-----------------------------------------------------------

Parce que sur l'ordi "BW" (fc01::172:16:0:1) j'ai une carte RJ45 2.5Gbits/s qui va sur mon switch (avec un câble 5e - le noir sur la photo du dessous) ; Et sur l'ordi/routeur "PVE" (fc01::172:16:0:254) j'ai une carte fibre optique SPF+ 10Gbits/s qui est reliée au même switch. Et, donc, le transfert me retourne un bitrate de 1.29 Gbits/sec (comme si les 2 ordinateurs étaient en fibre 10Gbit/s).

La configuration du réseau IP de chez moi :
https://www.zw3b.com/pub/screens/others/config-ethernet-home-20240817.txt

#FIBER #HOME #LAB3W #ZW3B #IPERF

Citer

Note de Moi-même at 02h58 2024-08-18 :

Histoire de réfléchir à l'adressage IPv6 : https://www.zw3b.com/pub/screens/others/config-fake-ips-home-20240818.txt

Pour mieux travailler du chapeau

Bonne soirée,
Romain.

----
Switch-nicgiga-S25-0402P

Pochette-cable-fiber-spf+dac

Pci-express-card-1x10Gbs

----

Citer

Note de Moi-même 20240823 :

Vous pouvez tester votre bande passante sur un serveur iperf3 ou directement sur l'appliwave.iperf.fr.

On fait comme çà du port 9200 au port 9240 selon disponibilité.

De chez moi FR.ALPES-MARITIMES - OrangeSA :

Code: [Sélectionner]
root@bw:~ # iperf3 -c appliwave.iperf.fr -p 9200 Connecting to host appliwave.iperf.fr, port 9200 [ 5] local fc01::172:16:0:1 port 56442 connected to 2a05:46c0:100:1007::5 port 9200 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-1.00 sec 54.4 MBytes 456 Mbits/sec 85 1.23 MBytes [ 5] 1.00-2.00 sec 58.8 MBytes 493 Mbits/sec 0 1.31 MBytes [ 5] 2.00-3.00 sec 58.8 MBytes 493 Mbits/sec 0 1.37 MBytes [ 5] 3.00-4.00 sec 58.8 MBytes 493 Mbits/sec 0 1.40 MBytes [ 5] 4.00-5.00 sec 58.8 MBytes 493 Mbits/sec 0 1.43 MBytes [ 5] 5.00-6.00 sec 58.8 MBytes 493 Mbits/sec 0 1.44 MBytes [ 5] 6.00-7.00 sec 58.8 MBytes 493 Mbits/sec 0 1.45 MBytes [ 5] 7.00-8.00 sec 58.8 MBytes 493 Mbits/sec 0 1.45 MBytes [ 5] 8.00-9.00 sec 60.0 MBytes 503 Mbits/sec 0 1.45 MBytes [ 5] 9.00-10.00 sec 58.8 MBytes 493 Mbits/sec 0 1.48 MBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-10.00 sec 584 MBytes 490 Mbits/sec 85 sender [ 5] 0.00-10.02 sec 582 MBytes 487 Mbits/sec receiver iperf Done.

# Mise A jour 20240824 :

De mon serveur CA.MONTREAL hébergé au Canada - OVH :

Code: [Sélectionner]
root@lab3w:~ # iperf3 -c appliwave.iperf.fr -p 9200 Connecting to host appliwave.iperf.fr, port 9200 [ 5] local 2607:5300:60:9389::1 port 51782 connected to 2a05:46c0:100:1007::5 port 9200 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-1.00 sec 14.7 MBytes 123 Mbits/sec 0 7.50 MBytes [ 5] 1.00-2.00 sec 40.0 MBytes 336 Mbits/sec 0 7.50 MBytes [ 5] 2.00-3.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes [ 5] 3.00-4.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes [ 5] 4.00-5.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes [ 5] 5.00-6.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes [ 5] 6.00-7.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes [ 5] 7.00-8.00 sec 40.0 MBytes 336 Mbits/sec 0 7.50 MBytes [ 5] 8.00-9.00 sec 41.2 MBytes 346 Mbits/sec 0 7.50 MBytes [ 5] 9.00-10.00 sec 40.0 MBytes 336 Mbits/sec 0 7.50 MBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-10.00 sec 382 MBytes 321 Mbits/sec 0 sender [ 5] 0.00-10.08 sec 382 MBytes 318 Mbits/sec receiver iperf Done.
Certes il y quelques services (5000 personnes) qui utilisent de la bande passante au moment des tests de bande passante.

Mais le plus important, c'est que j'aimerais bien pouvoir utiliser plusieurs adresse IPv6 de mon bloc IPv6::/orangeSA

LAB3W.ORJ · « **Réponse #1 le:** 21 août 2024 à 15:03:10 »

Salut,

je vous ajoute la configuration de mon routeur Linux.

Code: [Sélectionner]

root@pve:~ $ uname -a
Linux pve 6.1.0-23-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.99-1 (2024-07-15) x86_64 GNU/Linux

root@pve:~ $ cat /etc/os-release 
PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
NAME="Debian GNU/Linux"
VERSION_ID="12"
VERSION="12 (bookworm)"
VERSION_CODENAME=bookworm
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

Les interfaces réseaux :

Code: [Sélectionner]

root@pve:~ $ lshw -class network
  *-network:0               
       description: Ethernet interface
       produit: NetXtreme II BCM57810 10 Gigabit Ethernet
       fabriquant: Broadcom Inc. and subsidiaries
       identifiant matériel: 0
       information bus: pci@0000:01:00.0
       nom logique: enp1s0f0
       version: 10
       numéro de série: 98:b7:85:20:46:e0
       taille: 10Gbit/s
       capacité: 10Gbit/s
       bits: 64 bits
       horloge: 33MHz
       fonctionnalités: pm vpd msi msix pciexpress bus_master cap_list rom ethernet physical fibre 1000bt-fd 10000bt-fd
       configuration: autonegotiation=off broadcast=yes driver=bnx2x driverversion=6.1.0-23-amd64 duplex=full firmware=7.13b.4.1c bc 7.13.75 latency=0 link=yes multicast=yes speed=10Gbit/s
       ressources: irq:16 mémoire:51800000-51ffffff mémoire:51000000-517fffff mémoire:52010000-5201ffff mémoire:54180000-541fffff
  *-network:1
       description: Ethernet interface
       produit: NetXtreme II BCM57810 10 Gigabit Ethernet
       fabriquant: Broadcom Inc. and subsidiaries
       identifiant matériel: 0.1
       information bus: pci@0000:01:00.1
       nom logique: enp1s0f1
       version: 10
       numéro de série: 98:b7:85:20:46:e1
       capacité: 10Gbit/s
       bits: 64 bits
       horloge: 33MHz
       fonctionnalités: pm vpd msi msix pciexpress bus_master cap_list rom ethernet physical fibre 1000bt-fd 10000bt-fd
       configuration: autonegotiation=off broadcast=yes driver=bnx2x driverversion=6.1.0-23-amd64 firmware=7.13b.4.1c bc 7.13.75 latency=0 link=no multicast=yes port=fibre
       ressources: irq:17 mémoire:50800000-50ffffff mémoire:50000000-507fffff mémoire:52000000-5200ffff mémoire:54100000-5417ffff
  *-network:0
       description: Interface réseau sans fil
       produit: Cannon Lake PCH CNVi WiFi
       fabriquant: Intel Corporation
       identifiant matériel: 14.3
       information bus: pci@0000:00:14.3
       nom logique: wlo1
       version: 10
       numéro de série: 98:af:65:9b:45:79
       bits: 64 bits
       horloge: 33MHz
       fonctionnalités: pm msi pciexpress msix bus_master cap_list ethernet physical wireless
       configuration: broadcast=yes driver=iwlwifi driverversion=6.1.0-23-amd64 firmware=46.ea3728ee.0 9000-pu-b0-jf-b0- latency=0 link=yes multicast=yes wireless=IEEE 802.11
       ressources: irq:16 mémoire:54234000-54237fff
  *-network:1
       description: Ethernet interface
       produit: Ethernet Connection (7) I219-V
       fabriquant: Intel Corporation
       identifiant matériel: 1f.6
       information bus: pci@0000:00:1f.6
       nom logique: eno2
       version: 10
       numéro de série: b4:2e:99:aa:98:2f
       taille: 1Gbit/s
       capacité: 1Gbit/s
       bits: 32 bits
       horloge: 33MHz
       fonctionnalités: pm msi bus_master cap_list ethernet physical tp 10bt 10bt-fd 100bt 100bt-fd 1000bt-fd autonegotiation
       configuration: autonegotiation=on broadcast=yes driver=e1000e driverversion=6.1.0-23-amd64 duplex=full firmware=0.5-4 latency=0 link=yes multicast=yes port=twisted pair speed=1Gbit/s
       ressources: irq:126 mémoire:54200000-5421ffff

La configuration IP des interfaces réseaux :

Code: [Sélectionner]

root@pve:~ $ ifconfig 
eno2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether b4:2e:99:aa:98:2f  txqueuelen 1000  (Ethernet)
        RX packets 28413471  bytes 35538979118 (33.0 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 11909071  bytes 3520880855 (3.2 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16  memory 0x54200000-54220000  

enp1s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 98:b7:85:20:46:e0  txqueuelen 1000  (Ethernet)
        RX packets 11473775  bytes 4167184558 (3.8 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 25664404  bytes 32295796527 (30.0 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16  memory 0x51800000-51ffffff  

enp1s0f1: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 98:b7:85:20:46:e1  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 17  memory 0x50800000-50ffffff  

lanbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.0.254  netmask 255.255.255.0  broadcast 172.16.0.255
        inet6 fe80::d02f:72ff:fea8:7c4e  prefixlen 64  scopeid 0x20<link>
        inet6 fc01::172:16:0:254  prefixlen 104  scopeid 0x0<global>
        ether d2:2f:72:a8:7c:4e  txqueuelen 1000  (Ethernet)
        RX packets 10514575  bytes 3896990206 (3.6 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 19910537  bytes 31818617209 (29.6 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 211  bytes 81014 (79.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 211  bytes 81014 (79.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

netbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.254  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 2a01:cb1d:12:1c00::1  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::e46c:baff:fe32:4113  prefixlen 64  scopeid 0x20<link>
        ether e6:6c:ba:32:41:13  txqueuelen 1000  (Ethernet)
        RX packets 19487792  bytes 34560475071 (32.1 GiB)
        RX errors 0  dropped 73543  overruns 0  frame 0
        TX packets 10895474  bytes 3393043258 (3.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vmbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 10.126.42.254  netmask 255.255.255.0  broadcast 10.126.42.255
        inet6 fc01::10:126:42:254  prefixlen 104  scopeid 0x0<global>
        ether 62:4b:0c:67:e5:6a  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wifibr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.6.42.254  netmask 255.255.255.0  broadcast 10.6.42.255
        inet6 fe80::6822:e7ff:fe4b:f077  prefixlen 64  scopeid 0x20<link>
        inet6 fc01::10:6:42:254  prefixlen 104  scopeid 0x0<global>
        ether 6a:22:e7:4b:f0:77  txqueuelen 1000  (Ethernet)
        RX packets 1199607  bytes 458830788 (437.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2565510  bytes 3204480278 (2.9 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlo1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 98:af:65:9b:45:79  txqueuelen 1000  (Ethernet)
        RX packets 1313833  bytes 483523503 (461.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2581472  bytes 3277971892 (3.0 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

netbr0 (eno2) : interface (192.168.1.0/24) connecté à la livebox
lanbr0 (enp1s0f0) : interface (172.16.1.0/24) connecté au switch - LAN
wifibr0 (wlo1) : interface (10.6.42.0/24) connecté HostAP - WiFi
vmbr0 : interface (10.126.42.0/26) connecté au Virtual Machine - LinuX Container (LXC) - VM (Qemu)

Mes routes :

Code: [Sélectionner]

root@pve:~ $ ip -6 route show
2607:5300:60:9389::/64 via fc01::172:16:0:1 dev lanbr0 metric 1024 pref medium
2a01:cb1d:12:1c00::/64 dev netbr0 proto kernel metric 256 pref medium
2a01:cb1d:12:1c00::/56 dev netbr0 metric 1024 pref medium
fc01::10:0:0:0/104 via fc01::172:16:0:1 dev lanbr0 metric 1024 pref medium
fc01::10:6:0:0/104 dev wifibr0 proto kernel metric 256 pref medium
fc01::10:126:0:0/104 dev vmbr0 proto kernel metric 256 linkdown pref medium
fc01::172:16:0:0/104 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev netbr0 proto kernel metric 256 pref medium
fe80::/64 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev wifibr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839 dev netbr0 metric 1024 onlink pref medium

Les bridges réseaux (pas encore de Virtual Machines connecté sur "vmbr0") :

Code: [Sélectionner]

root@pve:~ $ brctl show
bridge name	bridge id		STP enabled	interfaces
iscbr0		8000.1e6ade947c24	no		enp1s0f1
lanbr0		8000.d22f72a87c4e	no		enp1s0f0
netbr0		8000.e66cba324113	no		eno2
vmbr0		8000.624b0c67e56a	yes		
wifibr0		8000.6a22e74bf077	no		wlo1

----

Un début de configuration parce que je suis sympat

Code: [Sélectionner]

root@pve:~ $ cat /etc/network/interfaces
auto lo
iface lo inet loopback

iface eno2 inet manual
iface enp1s0f0 inet manual
iface enp1s0f1 inet manual
iface wlo1 inet manual

auto netbr0
iface netbr0 inet static
        address 192.168.1.254
        netmask 255.255.255.0
	gateway 192.168.1.1
        dns-nameserver 158.69.126.137
        dns-nameserver 2607:5300:60:9389:15:2:a:1000
        dns-nameserver 2607:5300:60:9389:15:1:a:1000
        bridge_ports eno2
        bridge_stp off
        bridge_fd 0

iface netbr0 inet6 static
	address 2a01:cb1d:12:1c00:0000:0000:0000:0001
	netmask 64
	gateway 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839

iface netbr0 inet6 static
        address fc01::172:16:0:254
        netmask 104

auto lanbr0
iface lanbr0 inet static
        address 172.16.0.254
        netmask 255.255.255.0
	dns-nameserver 158.69.126.137
        dns-nameserver 2607:5300:60:9389:15:2:a:1000
        dns-nameserver 2607:5300:60:9389:15:1:a:1000
        bridge_ports enp1s0f0
        bridge_stp off
        bridge_fd 0

iface lanbr0 inet6 static
        address fc01::172:16:0:254
        netmask 104

auto iscbr0
iface iscbr0 inet static
        address 10.0.0.254
        netmask 255.255.255.255
        bridge_ports enp1s0f1
        bridge_stp off
        bridge_fd 0

iface iscbr0 inet6 static
        address fc01::10:0:0:254
        netmask 128

auto wifibr0
iface wifibr0 inet static
        address 10.6.42.254
        netmask 255.255.255.0
        bridge_ports wlo1
        bridge_stp off
        bridge_fd 0

iface wifibr0 inet6 static
        address fc01::10:6:42:254
        netmask 104

auto vmbr0
iface vmbr0 inet static
        address 10.126.42.254
        netmask 255.255.255.0
        bridge_ports none
        bridge_stp on
        bridge_fd 0

iface vmbr0 inet6 static
        address fc01::10:126:42:254
        netmask 104

J'ajoute les config system des interfaces network (netbr0.accept_ra = 1 pour attraper l'association du router (avoir l'adresse passerelle en link-local "fe80::" de la livebox - Todo : Relayer, découvrir avec les daemons RADvD, NDP (Neighbors Discovery Protocol) et DHCPdv6 les voisins connectées aux interfaces local (vmbr0) et xLANs):

Code: [Sélectionner]

sysctl net.ipv6.conf.netbr0.forwarding = 1
sysctl net.ipv6.conf.netbr0.autoconf = 0
sysctl net.ipv6.conf.netbr0.accept_redirects = 1
sysctl net.ipv6.conf.netbr0.accept_ra = 1
sysctl net.ipv6.conf.netbr0.proxy_ndp = 0
sysctl net.ipv6.conf.netbr0.accept_source_route = 0

sysctl net.ipv6.conf.lanbr0.forwarding = 1
sysctl net.ipv6.conf.lanbr0.autoconf = 0
sysctl net.ipv6.conf.lanbr0.accept_redirects = 1
sysctl net.ipv6.conf.lanbr0.accept_ra = 0
sysctl net.ipv6.conf.lanbr0.proxy_ndp = 0
sysctl net.ipv6.conf.lanbr0.accept_source_route = 0

sysctl net.ipv6.conf.wifibr0.forwarding = 1
sysctl net.ipv6.conf.wifibr0.autoconf = 0
sysctl net.ipv6.conf.wifibr0.accept_redirects = 1
sysctl net.ipv6.conf.wifibr0.accept_ra = 0
sysctl net.ipv6.conf.wifibr0.proxy_ndp = 0
sysctl net.ipv6.conf.wifibr0.accept_source_route = 0

sysctl net.ipv6.conf.vmbr0.forwarding = 1
sysctl net.ipv6.conf.vmbr0.autoconf = 0
sysctl net.ipv6.conf.vmbr0.accept_redirects = 1
sysctl net.ipv6.conf.vmbr0.accept_ra = 0
sysctl net.ipv6.conf.vmbr0.proxy_ndp = 0
sysctl net.ipv6.conf.vmbr0.accept_source_route = 0

Il manque le firewall ICMPv6 ; https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6

Citer

Note de Moi-même : Si tu galère trop avec le pare-feu, l'important c'est le transfert de paquets entre les cartes réseau :

Tu met en (pour voir si les pings sur les IP interne répondent) :
Code: [Sélectionner]
root@pve:~ # ip6tables -P FORWARD ACCEPT
Pour remettre "normal" :
Code: [Sélectionner]
root@pve:~ # ip6tables -P FORWARD DROP

-----

Ah oui, "netbr0.accept_ra = 2" quand il y a le "sysctl net.ipv6.conf.netbr0.forwarding = 1" qui m'a permis "instantanément" de recevoir ma passerelle fe80::

CF : default via fe80::c2d7:aaff:fec0:f839 dev netbr0 proto ra metric 1024 expires 562sec hoplimit 64 pref high

Code: [Sélectionner]

root@pve:~ # sysctl net.ipv6.conf.netbr0.accept_ra=2
net.ipv6.conf.netbr0.accept_ra = 2

root@pve:~ # ip -6 r s
2607:5300:60:9389::/64 via fc01::172:16:0:1 dev lanbr0 metric 1024 pref medium
2a01:cb1d:12:1c00::/64 dev netbr0 proto kernel metric 256 pref medium
2a01:cb1d:12:1c00::/56 dev netbr0 metric 1024 pref medium
fc01::10:0:0:0/104 via fc01::172:16:0:1 dev lanbr0 metric 1024 pref medium
fc01::10:6:0:0/104 dev wifibr0 proto kernel metric 256 pref medium
fc01::10:126:0:0/104 dev vmbr0 proto kernel metric 256 linkdown pref medium
fc01::172:16:0:0/104 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev netbr0 proto kernel metric 256 pref medium
fe80::/64 dev lanbr0 proto kernel metric 256 pref medium
fe80::/64 dev wifibr0 proto kernel metric 256 pref medium
default via 2a01:cb1d:12:1c00:c2d7:aaff:fec0:f839 dev netbr0 metric 1024 onlink pref medium
default via fe80::c2d7:aaff:fec0:f839 dev netbr0 proto ra metric 1024 expires 562sec hoplimit 64 pref high

Informations FAI (ISP) :

Code: [Sélectionner]

$ whois 2a01:cb1d:0012:1c00::/64 | grep inet6num
inet6num:       2a01:c000::/20

$ sipcalc 2a01:c000::/20 | grep "Network range" -A1
Network range           - 2a01:c000:0000:0000:0000:0000:0000:0000 -
                          2a01:cFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF

Plus d'informations - GestióIP - IPv4/IPv6 subnet calculator : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

Maintenant je vais ajouter ma propre passerelle "générale" (style c moi le FAI) avant la boxe :

My IPv6 GUA : 2a01:cb1d:0012:1c00::/64
My IPv6 ULA : ~~fc01:cb1d:0012:1c00::/64~~
My IPv6 ULA : fc01:0000:0000:0000::/64

Citer

# Pas celle-ci :
~~root@pve:~ # ip -6 address add fc01:cb1d:00FF:00FF:00FF:00FF:00FF:00FF/48 dev netbr0~~

Je n'avais pas réfléchis à configurer mon bloc (ULA) LAN "fc01::" comme celui d'Orange (GUA) "2a01::" .. Ce serait à faire

Donc, selon mon fichier /etc/network/interfaces), j'ai configuré en : fc01:0000:0000:0000::/64 avec plusieurs réseaux IPv6::/104.

J'ajoute, donc, sur ma carte principale, celle qui va faire le lien avec l'association de la livebox et de mes ordinateurs connectés aux cartes de mon routeur linux.

Code: [Sélectionner]

root@pve:~ # ip -6 address add fc01:00FF:00FF:00FF:00FF:00FF:00FF:00FF/48 dev netbr0

root@pve:~ # ip -6 route show
[...]
fc01:ff:ff::/48 dev netbr0 proto kernel metric 256 pref medium
[...]

Maintenant il faut installer RADvd pour envoyer les paquets NDP, les annonces pour la découverte du réseau et prévenir qu'il y a un routeur à cet endroit (sur cette machine).

J'essaie plustard.

@+

Citer

Note de Moi-même Août 22 : Debian-FR : Network IPv6 - IPSec - strongSwan - Modern Security communication Post Quantum VPN (sur le forum)

LAB3W.ORJ · « **Réponse #2 le:** 22 août 2024 à 18:37:39 »

Bonjour,

Pour ne pas jouer les mauvais élèves (ou surtout, avoir UNE SEULE adresse GUA (celle de mon routeur Linux et non pas une IPv6 GUA (temporaire ou non) par machines, pour toutes mes machines (et donc plus de possibilité de se faire hacker, puisque visible, accessible par internet, dirais-je) :

Par exemple sur une machine connecté à mon Wi-Fi - à la carte "wifibr0", je configure une adresse IPv6 de la même plage d'adresse IPv6 ULA et j'ajoute comme "gateway" mon routeur linux.

Code: [Sélectionner]

root@nomade:~ $ ip -6 address add fc01::10:6:42:53/104 dev wlp3s0
root@nomade:~ $ ip -6 route add default via fc01::10:6:42:254 dev wlp3s0

Citer

Si je ne connais pas l'adresse du routeur, pour la trouver, ci-dessous 2 commandes faisables :

Code: [Sélectionner]
root@nomade:~ $ ip -6 neighbor show fe80::6822:e7ff:fe4b:f077 dev wlp3s0 lladdr 6a:22:e7:4b:f0:77 router STALE fc01::10:6:42:254 dev wlp3s0 lladdr 6a:22:e7:4b:f0:77 router REACHABLE root@nomade:~ $ scan6 -L -i wlp3s0 fe80::6822:e7ff:fe4b:f077 fc01::10:6:42:254

Et du côté de mon routeur linux, je fais comme en IPv4, je MASQUERADE (le réseau wifi) - Il faut le transfert entre les cartes "netbr0" et "wifibr0" :

Code: [Sélectionner]

root@pve:~ $ ip6tables -t nat -A POSTROUTING -o netbr0 -s fc01::10:6:42:0/104 -j MASQUERADE
Pour vérifier qui "ping" ; je vais lancer la requête vers mon serveur OVH.

Code: [Sélectionner]

root@nomade:~ $ ping6 -n -c1 zw3b.fr
PING zw3b.fr(2607:5300:60:9389::1) 56 data bytes
64 bytes from 2607:5300:60:9389::1: icmp_seq=1 ttl=247 time=270 ms

--- zw3b.fr ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 270.712/270.712/270.712/0.000 ms

La réponse avec TCPDUMP sur mon serveur OVH :

Code: [Sélectionner]

root@lab3w:~ # tcpdump -s0 -n 'icmp6 and (ip6[40+0]&0xFE == 128)' and port ! 22 -i vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:24:28.903876 IP6 2a01:cb1d:12:1c00::1 > 2607:5300:60:9389::1: ICMP6, echo request, seq 1, length 64
18:24:28.903922 IP6 2607:5300:60:9389::1 > 2a01:cb1d:12:1c00::1: ICMP6, echo reply, seq 1, length 64

Voilà super, on voit l'adresse de mon routeur "2a01:cb1d:12:1c00::1" pour toutes mes machines Wi-Fi et surtout je peut surfer en IPv6 depuis un de mes sous-réseaux.

On peut faire pareil, le Masquerade sur le réseau "lanbr0"... mais je vais essayé avec seulement que des link-local "fe80::" (RadvD), donc sans adresse IPv6 ULA (Unique Local Address).

Et pour les VM, le réseau "vmbr0", il faut essayé d'avoir des adresses GUA (Global Unicast Address) avec (DHCPdv6) donc pour des adresses où l'internet pourait entrer et sortir (pour des (virual) serveurs, services web etc.) avec leurs adresses GUA public (2a01:cb1d:12:1c00:XXXX:XXXX:XXXX:XXXX).

Facile

@+

Romain.

zoc · « **Réponse #3 le:** 22 août 2024 à 19:48:54 »

Sauf que ca ne fonctionne pas avec Windows. Quand un poste Windows a une IPv4 privée et une IPv6 ULA il n'utilise jamais son IPv6 ULA pour se connecter à Internet et préfère IPv4.

Bref, des ULA et du NAT quand on a 2^56 IPv6 c'est ridicule et personne ne fait ça. Et ça n'empêche en rien de sécuriser correctement son réseau.

LAB3W.ORJ · « **Réponse #4 le:** 22 août 2024 à 20:05:30 »

Re bonjour, j'arrive à un problème.

Sans parler de sous-réseau, mais sur la même machine que celle connecté à la boxe, j'arrive à un problème.

Je configure une adresse IPv6 du même bloc GUA 2a01:cb1d:12:1c00:: sur cette même machine (routeur linux) à une autre carte (une qui n'est pas relié à la liveboxe), mais çà ne répond pas sur cette adresse IPv6 depuis l'extérieur.

Code: [Sélectionner]

root@pve:~ $ ip -6 a a 2a01:cb1d:12:1c00:10:6:42:254/104 dev wifibr0
Et cela avec le transfert entre les cartes "netbr0" et "wifibr0"

Code: [Sélectionner]

sysctl net.ipv6.conf.netbr0.forwarding = 1
sysctl net.ipv6.conf.wifibr0.forwarding = 1

Le ping depuis l'exterieur :

Code: [Sélectionner]

root@lab3w:~ # ping6 -c1 -n 2a01:cb1d:12:1c00:10:6:42:254
PING 2a01:cb1d:12:1c00:10:6:42:254(2a01:cb1d:12:1c00:10:6:42:254) 56 data bytes

--- 2a01:cb1d:12:1c00:10:6:42:254 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 571ms

Cà doit être ici qu'intervient RADvD.

Normalement sans RADvD (puisque RadvD sur cette machine ferait le lien des machines connectées aux interfaces locale).
On devrait pouvoir ajouter un "voisin ; proxy" à l'interface connectée "celle ayant internet" de cette façon, pour le dire à la livebox, mais çà ne fonctionne pas non plus.

Comme cela par exemple :

Code: [Sélectionner]

root@pve:~ $ ip -6 n a proxy 2a01:cb1d:0012:1c00:0010:0006:0042:0254 dev netbr0
$:-\$

-----

Citation de: zoc le 22 août 2024 à 19:48:54

Sauf que ca ne fonctionne pas avec Windows. Quand un poste Windows a une IPv4 privée et une IPv6 ULA il n'utilise jamais son IPv6 ULA pour se connecter à Internet et préfère IPv4.

Dans linux y'a une préférence que tu peut configurer dans le fichier /etc/gai.conf -- çà doit exister dans windows "prefer IPv6"

Code: [Sélectionner]

$ cat /etc/gai.conf
[...]
#
#    For sites which prefer IPv4 connections change the last line to
#
# precedence ::ffff:0:0/96  100
[...]

Ici, si je dé-commente cette ligne, je préfère les connections en IPv4 .... si j'ai niké ma connection IPv6

Citation de: zoc le 22 août 2024 à 19:48:54

Bref, des ULA et du NAT quand on a 2^56 IPv6 c'est ridicule et personne ne fait ça. Et ça n'empêche en rien de sécuriser correctement son réseau.

Ici, çà s'appelerai "sécuriser son poste, chacun de ses postes à International network, ses 2^56 IPv6 GUA"

zoc · « **Réponse #5 le:** 22 août 2024 à 20:11:06 »

Sauf que le NAT n'a jamais sécurisé quoi que ce soit, dans 99% des cas le piratage vient de l'intérieur (pièce jointe dans un mail ou téléchargement douteux qui installe un malware qui va se connecter directement de l'intérieur vers une machine à l'extérieur controlée par les pirates).

LAB3W.ORJ · « **Réponse #6 le:** **Hier** à 11:25:26 »

Citation de: zoc le 22 août 2024 à 20:11:06

Sauf que le NAT n'a jamais sécurisé quoi que ce soit, dans 99% des cas le piratage vient de l'intérieur (pièce jointe dans un mail ou téléchargement douteux qui installe un malware qui va se connecter directement de l'intérieur vers une machine à l'extérieur controlée par les pirates).

Ah ces fameux pirates.

Sinon y'a aussi des sécurités pour les utilisateurs mails qui faut installer sur nos serveurs de mails comme (SpamAssassin, Rspamd, Amavis pour assurer une protection contre le spam, les virus et autres logiciels malveillants et de n'accepter que les mails conforment DMARC (Domain-based Message Authentication, Reporting, and Conformance) qui utilise un premier contrôle des SPF (Sender Policy Framework), les IP autorisés à envoyer des mails et un deuxième contrôle en signant/vérifiant les mails avec DKIM (DomainKeys Identified Mail).

On peut aussi, ajouter une couche DNSSEC sur le nom de domaine et confirmer l'entité SMTP avec DANE (DNS-based Authentification of Named Entities).

Bonne journée.

Romain (LAB3W.FR - Fondateur ZW3B.FR)

PS : Vous pouvez tester les serveurs de mails de vos adresses sur ce site web ; https://internet.nl - exemple test mail serveur du domaine "@lab3w.fr" : https://internet.nl/mail/lab3w.fr/1316756/ result (2024-08-23 09:23 UTC). Mi "kontrolis" ĉi tiujn poŝtservilojn

Espéranto !

LAB3W.ORJ · « **Réponse #7 le:** **Hier** à 13:47:36 »

Citation de: LAB3W.ORJ le 22 août 2024 à 20:05:30

Re bonjour, j'arrive à un problème.

Quelqu'un aurait-il une solution ?