Bonjour,



j'ai essayé d'avoir une délégation d'adresses IPv6 pour configurer le reverse de mes adresses IPv6 GUA (Livebox5 d'Orange).

J'ai commencé par les adresses ULA IPv6, le bloc fc00::/7 - c'est déjà bien, çà fonctionne - Jusqu'à présent je n'y arrive toujours pas sur mon bloc GUA IPv6::/56, ni sur le bloc IPv6::/64 par default (je n'ai pas essayé sur un bloc délégué -- justement).

Je vous écris la procédure pour déléguer des blocs IPv6 Unique Local Addresses.

Donc pour les adresses IPv6 ULA et pour analyser comment la délégation IPv6 fonctionne :

----

Je souhaitais configurer 2 délégations pour mes 2 VM (Virtuals Machines) - Je vais configurer 2 délégations IPv6::/104 pour gérer toutes les adresses d'une machine réseau avec plussieurs LXC.

La machine HOST1 :  fc01::10:116:0:1/104 - le réseau des LinuX Containers : fc01::10:116:42:0/112
La machine HOST2 :  fc01::10:126:0:1/104 - le réseau des LinuX Containers : fc01::10:126:42:0/112

J'ai commencé par installer et configurer un fichier de zone sur un serveur de noms Bind9 dans un de mes LXC (donc vers la fin du bloc IPv6:: dans un réseau IPv6::/112.

La machine (le container) s'appelle "ns1" : fc01::10:116:42:1000/112

root@srv-fr.h1.ns1:/etc/bind $ host fc01::10:116:42:1000
Host 0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa not found: 3(NXDOMAIN)
root@srv-fr.h1.ns1:/etc/bind $ dig -x fc01::10:126:42:1000

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x fc01::10:126:42:1000
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 65332
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 23d9fcda1ae89fbc01000000680871011c3a1f2d4ef97402 (good)
;; QUESTION SECTION:
;0.0.0.1.2.4.0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
ip6.arpa.               1408    IN      SOA     b.ip6-servers.arpa. nstld.iana.org. 2024122387 1800 900 604800 3600

;; Query time: 24 msec
;; SERVER: 2001:41d0:701:1100::6530#53(2001:41d0:701:1100::6530) (UDP)
;; WHEN: Wed Apr 23 06:48:01 CEST 2025
;; MSG SIZE  rcvd: 205

Donc, le fichier de configuration pour ma zone "0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" correspondant au réseau fc01:0000:0000:0000:10:116:0:0/104

Pour trouver la zone, utiliser GestióIP - IPv4/IPv6 subnet calculator et sélectionner tout ce qui est en noir sur la ligne "ip6.arpa Format" - ne pas prende le texte en rouge

root@srv-fr.h1.ns1:/etc/bind $ cat masters/0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa
$ttl 60
@   IN      SOA     ns1.lab3w.lan. hostmaster.lab3w.lan. (
                        2025042201      ; serial, yearmonthdayserial# 604800
                        20              ; refresh, seconds / default:21600
                        5               ; retry, seconds / default:3600
                        420             ; expire, seconds / default:604800
                        60 )            ; minimum, seconds / default:3600
;--------------------------------------------------------------

@               IN      NS              ns1.lab3w.lan.

; --------------------------
; H1

2.5.2.0.0.0.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  vm1.lab3w.lan.
f.f.f.f.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  gw1.lab3w.lan.

; --------------------------
; LXC

0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR   ns1.lab3w.lan.

0.1.0.0.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR   we1.lab3w.lan.
1.b.d.0.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR   db1.lab3w.lan.
1.c.d.0.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR   ad1.lab3w.lan.
J'ai ajouté la zone au fichier à la configuration des zones locales (je laisse mes commentaires de tests au fichier) :

root@srv-fr.h1.ns1:/etc/bind $ cat named.conf.local

// IPv6 ------------------------------------------------------------

    # OK reverse /56 with delegation parent
    # zone "0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
    # OK reverse /64 with delegation parent
    # zone "0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
    # OK reverse /104 with delegation parent <------------
    zone "0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
    # OK reverse /112 with delegation parent
    # zone "2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa" {
        type master;
        file "/etc/bind/masters/0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa";
    };

Jusque là rien ne fonctionne parce que le "ns1.lab3w.lan" ne correspond à rien ; donc il faut créer une zone "lab3w.lan" pour ajouter l'adresse IP sur ce nom.

----

Voulant gérer seulement les adresses IP des containers et de l'hôte du réseau sur ce service (ce container) - Je vais donc créer un autre serveur DNS (celui qui va déléguer aux autres), sur lequel je vais configurer une zone "lab3w.lan" et la zone ULA entière "fc00::/7" pour pouvoir déléguer à qui je souhaite, un ou plusieurs blocs IPv6.

Donc sur le serveur "parent"  qui se trouve à l'adresse fc01::10:106:0:252 ; le fichier de configuration des zones :

root@srv-fr:/etc/bind # cat named.conf.local

// IPv6 ---------------------------------------------------------

     zone "c.f.ip6.arpa" {
        type master;
        file "/etc/bind/masters/c.f.ip6.arpa";
     };
Le fichier de la zone "lab3w.lan" :

root@srv-fr:/etc/bind # cat masters/lab3w.lan.hosts
$ttl 3600
@   IN      SOA     dns.lab3w.lan. hostmaster.lab3w.lan. (
                        2025042102      ;serial, yearmonthdayserial#
                        300              ; refresh, seconds / default:21600 (6 hours) - perso:20 - 300 (5min)
                        60               ; retry, seconds / default:3600 (1 hour) - perso:5 - 60 (1min)
                        420             ; expire, seconds / default:604800 (1 week) - perso:420(7min)
                        60 )            ; minimum, seconds / default:3600 (1 hour) - perso:60 (1min)

;---------------------------------------------------------------------

@               3600    IN      NS              dns.lab3w.lan.

;------------------------------
; Servers
;------------------------------

; GATE
gate            3600    IN      AAAA    fc01:0000:0000:0000:0010:0106:0000:0254
gate            3600    IN      A       10.106.0.254

; SRV-FR
dns             3600    IN      AAAA    fc01:0000:0000:0000:0010:0106:0000:0252
dns             3600    IN      A       10.106.0.252

; SRV-FR H1 LXC

ns1             3600    IN      AAAA    fc01:0000:0000:0000:0010:0116:0042:1000
ns1             3600    IN      A       10.116.42.1

we1             3600    IN      AAAA    fc01:0000:0000:0000:0010:0116:0042:0010
we1             3600    IN      A       10.116.42.10

; SRV-FR H2 LXC

ns2             3600    IN      AAAA    fc01:0000:0000:0000:0010:0126:0042:1000
ns2             3600    IN      A       10.126.42.1

dc2             3600    IN      AAAA    fc01:0000:0000:0000:0010:0126:0042:0dc2
dc2             3600    IN      A       10.126.42.2

we2             3600    IN      AAAA    fc01:0000:0000:0000:0010:0126:0042:0010
we2             3600    IN      A       10.126.42.10

Et le fichier reverse de la zone "c.f.ip6.arpa" où je déclare que la zone reverse des IPv6 "fc01::10:116:0:0/104" sera gérée par la machine NS (Name Server) -> ns1.lab3w.lan

0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.   IN      NS      ns1.lab3w.lan.
root@srv-fr:/etc/bind # cat masters/c.f.ip6.arpa
$ttl 60
@   IN      SOA     dns.lab3w.lan. hostmaster.lab3w.lan. (
                        2025042101      ; serial, yearmonthdayserial# 604800
                        20              ; refresh, seconds / default:21600
                        5               ; retry, seconds / default:3600
                        420             ; expire, seconds / default:604800
                        60 )            ; minimum, seconds / default:3600
;--------------------------------------------------------------

@               IN      NS              dns.lab3w.lan.

;--------------------------------------------------------------

; Delegation /64 - OK
;0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.      IN      NS      ns1.lab3w.lan.

; Delegation /104 - OK
0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.  IN      NS      ns1.lab3w.lan.
;0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.  IN      NS      ns2.lab3w.lan.

; Delegation /112
;2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.   IN      NS      ns1.lab3w.lan.
;2.4.0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.   IN      NS      ns2.lab3w.lan.

;--------------------------------------------------------------

; Network IPv6::/16
; Network range fc01:0000:0000:0000:0000:0000:0000:0000-fc01:ffff:ffff:ffff:ffff:ffff:ffff:ffff

0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  b16.lab3w.lan.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  fc01.lab3w.lan.

; ----------------------------
; Hosts
; ----------------------------

2.5.2.0.0.0.0.0.6.0.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  srv-fr.lab3w.lan.
;2.5.2.0.0.0.0.0.6.0.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  dns.lab3w.lan.

4.5.2.0.0.0.0.0.6.0.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa.       IN PTR  gate.lab3w.lan.
Donc maintenant tout fonctionne.



-----

Exemple d'un "traceroute6" :

root@srv-fr.h1.ns1:/etc/bind $ traceroute6 fc00:5300:60:9389:15:1:a:10
traceroute to fc00:5300:60:9389:15:1:a:10 (fc00:5300:60:9389:15:1:a:10), 30 hops max, 80 byte packets
 1  gw1.lab3w.lan (fc01::10:116:42:ffff)  0.032 ms  0.011 ms  0.008 ms
 2  vm1.lab3w.lan (fc01::10:116:0:252)  0.138 ms  0.116 ms  0.104 ms
 3  gate.lab3w.lan (fc01::10:106:0:254)  0.248 ms  0.214 ms  0.193 ms
 4  fec0::1 (fec0::1)  111.249 ms  112.467 ms  112.449 ms
 5  fc00:5300:60:9389:15:1:0:1 (fc00:5300:60:9389:15:1:0:1)  112.505 ms  112.565 ms  112.548 ms
 6  fc00:5300:60:9389:15:1:a:10 (fc00:5300:60:9389:15:1:a:10)  112.639 ms  111.840 ms  111.812 ms
root@gate:~ # host fc01::10:116:42:1000 fc01::10:106:0:252
Using domain server:
Name: fc01::10:106:0:252
Address: fc01::10:106:0:252#53
Aliases:

0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa domain name pointer ns1.lab3w.lan.


root@gate:~ # dig -x fc01::10:116:42:1000 @fc01::10:106:0:252

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x fc01::10:116:42:1000 @fc01::10:106:0:252
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44395
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 515f4d155426799a0100000068087b42f299e4e7083fd328 (good)
;; QUESTION SECTION:
;0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR

;; ANSWER SECTION:
0.0.0.1.2.4.0.0.6.1.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. 18 IN PTR ns1.lab3w.lan.

;; Query time: 0 msec
;; SERVER: fc01::10:106:0:252#53(fc01::10:106:0:252) (UDP)
;; WHEN: Wed Apr 23 07:31:46 CEST 2025
;; MSG SIZE  rcvd: 156
Je n'ai pas déclarer la délégation vers le LinuX Container du serveur "hote2" pour le réseau 126:0/112 donc avec la commande "dig" retourne son "Authorité" notre fichier de zone principale :

;; AUTHORITY SECTION:
c.f.ip6.arpa.           60      IN      SOA     dns.lab3w.lan. hostmaster.lab3w.lan. 2025042101 20 5 420 60
root@gate:~ # dig -x fc01::10:126:42:1000 @fc01::10:106:0:252

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x fc01::10:126:42:1000 @fc01::10:106:0:252
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 26134
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 15daba121c83d7060100000068087b4b26d409d31888b7df (good)
;; QUESTION SECTION:
;0.0.0.1.2.4.0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
c.f.ip6.arpa.           60      IN      SOA     dns.lab3w.lan. hostmaster.lab3w.lan. 2025042101 20 5 420 60

;; Query time: 0 msec
;; SERVER: fc01::10:106:0:252#53(fc01::10:106:0:252) (UDP)
;; WHEN: Wed Apr 23 07:31:55 CEST 2025
;; MSG SIZE  rcvd: 201
La machine "fc01::10:106:0:252" pointe sur une de mes GUA celle-ci : "2a01:cb1d:5:af00:1ab3::1" ou sur mon IPv4 celle-là : "90.5.102.244" et porte le nom pour ce service "dns.fr.lab3w.com".

Essayer un :

root@lab3w:~ # dig -x fc01::10:116:42:10 @dns.fr.lab3w.com +short
we1.lab3w.lan.
----

Donc, pour l'instant sur les GUA j'en suis à ce point : je n'arrive pas à déléguer moi-même dans mon bloc ; pour seulement mon serveur DNS - entre mes 2 serveurs DNS.

KO - Réponse de DNS.Google ;  je n'ai rien délégué dans la Livebox5 d'Orange, donc le bloc est géré par son autorité (j'aurais pensé que peut-être le bloc par default serait délégué automatiquement (mais non, sûrement pour cause de Vie privée) :

root@lab3w:~ # dig -x 2a01:cb1d:5:af00:1ab3::1 @dns.google

; <<>> DiG 9.11.5-P4-5.1+deb10u11-Debian <<>> -x 2a01:cb1d:5:af00:1ab3::1 @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43129
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
c.1.0.a.2.ip6.arpa.     1800    IN      SOA     dns1.equant.net. hostmaster.ipv6.opentransit.net. 2015082473 3600 1800 2419200 7200

;; Query time: 21 msec
;; SERVER: 2001:4860:4860::8888#53(2001:4860:4860::8888)
;; WHEN: mer. avril 23 08:10:31 CEST 2025
;; MSG SIZE  rcvd: 180
KO - Réponse de mon serveur DNS qui devrait déléguer - comme au dessus sur les adresses ULA - mais qui ne fonctionne pas, bizarre :

root@lab3w:~ # dig -x 2a01:cb1d:5:af00:1ab3::1 @dns.fr.lab3w.com

; <<>> DiG 9.11.5-P4-5.1+deb10u11-Debian <<>> -x 2a01:cb1d:5:af00:1ab3::1 @dns.fr.lab3w.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37242
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 70cd052e8fa0d95701000000680884528394e59586cb52e3 (good)
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN SOA dns.fr.lab3w.fr. hostmaster.fr.lab3w.fr. 2025042101 20 5 420 60

;; Query time: 865 msec
;; SERVER: 2a01:cb1d:5:af00:1ab3::1#53(2a01:cb1d:5:af00:1ab3::1)
;; WHEN: mer. avril 23 08:10:26 CEST 2025
;; MSG SIZE  rcvd: 227
OK - Réponse, en interrogeant directement le serveur NS1 où se trouve les adresses IPv6 reverse (le serveur/service fonctionne) :

root@lab3w:~ # dig -x 2a01:cb1d:5:af00:1ab3::1 @ns1.fr.lab3w.com

; <<>> DiG 9.11.5-P4-5.1+deb10u11-Debian <<>> -x 2a01:cb1d:5:af00:1ab3::1 @ns1.fr.lab3w.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58690
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 2041d8d25d626a77010000006808852ae1a65347cac4020a (good)
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. IN PTR

;; ANSWER SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.3.b.a.1.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 60 IN PTR srv.fr.lab3w.com.

;; Query time: 111 msec
;; SERVER: 2a01:cb1d:5:af00:1ab3:116:42:1000#53(2a01:cb1d:5:af00:1ab3:116:42:1000)
;; WHEN: mer. avril 23 08:14:02 CEST 2025
;; MSG SIZE  rcvd: 159
Il faut que j'analyse çà ; je reviens vers vous.

Romain.

@+

Bonne journée.

PS : J'ai un tutoriel que j'ai écrit sur comment faire une Configuration BIND9 Masters et Slaves (Page Translate), mais je ne parle pas de rDNS ULA d'où ce commentaire.

J'ajoute ce lien : 3. DNS Reverse Mapping et le site de la doc de bind9.

Note de Moi-même du 2025/06/05 - RienÀvoir ci-dessous Délégation de « nom de domaine » :
J'ai ouvert sur mon site web cette intro sur l'Orientation à prendre pour NSEC3 dans DNSSec et l'automatisation pour les zones enfants délégués pour zone de confiance DNSSEC avec CDS et CDNSKEY (Page Translate).
Modifier les enregistrements de signature de délégation (DS) d'une zone enfant en fonction du signataire de délégation enfant (CDS) et de la clé de serveur de noms de domaine enfant (CDNSKEY) et créer les RR (Ressource Records) CDNSKEY / CDS.

Pour que la délégation du GUA fonctionne en dehors du réseau local, il faut qu'Orange rajoute des entrées NS vers ton/tes serveur(s) DNS dans le fichier qui gère la zone d.1.b.c.1.0.a.2.ip6.arpa

C'est évidemment impossible de leur faire faire ça.

Bonjour @zoc,

Celui-ci :

;; AUTHORITY SECTION:
c.1.0.a.2.ip6.arpa.     1800    IN      SOA     dns1.equant.net. hostmaster.ipv6.opentransit.net. 2015082473 3600 1800 2419200 7200
2015 l'année de modification du fichier, ils ne doivent pas connaitre "nsupdate".

Oui, c'est ce que j'avais compris il y a quelque temps quand on en avait parlé. Mais je voulais re-essayer, et vérifier comment "la délégation IPv6" fonctionnait. Çà m'a permit de configurer un reverse DNS pour des adresses ULA ; je vais essayé de l'étendre à mon SLAN

@+

Exemple par NSUPDATE pour une de mes zone fcXX::/8 ; simple

; Server NS
server dns.lab3w.lan
;
; Select authority
zone c.f.ip6.arpa
;
; Delegation /104
update add 0.0.6.2.1.0.0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.f.ip6.arpa. 3600 IN NS ns2.lab3w.lan.
;
send
Et it's good !!

Je vais essayé

Exemple par NSUPDATE pour toutes mes adresses IPv6 GUA du ISP "2a01:cb1d:5:af00::/56" ; simple

; Server NS
server dns1.equant.net
;
; Select authority
zone c.1.0.a.2.ip6.arpa
;
; Delegation /104
update add f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 3600 IN NS my-nameserver.mydomain.com.
;
send
Tant que je peut dire/déclarer chez mon registrar ou mon DNS que -- my-nameserver.mydomain.com --> pointe bien sur une IP du bloc (n'importe laquelle) et bien le reverse IPv6 fonctionne.

my-nameserver.mydomain.com m'appartient et les IPv6 me sont déléguées par mon ISP

----

Exemple complet pour Orange ISP :

Sur les Livebox ; ils peuvent déléguer "cacher" sans que les utilisateurs ne sachent, tous les blocs IPv6::/56 sur le DNS de la Livebox - puis sur la page déléguer des IPv6 ; l'utilisateur final peut déléguer ses blocs par IPv6::/64 en updatant depuis la Livebox elle-même - Si aucun serveur DNS n'est configuré sur le réseau, aucun PoinTer Record (PTR) ne sera retourné.

Update de chaques Livebox à chaque changement d'adresse IPv6 :

; Server NS
server dns1.equant.net
;
; Select authority
zone c.1.0.a.2.ip6.arpa
;
; Delegation /104
update add f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 3600 IN NS livebox_user
;
send
Puis en interne par la Livebox et dans la livebox (un serveur DNS - ici livebox_user) sur la page déjà existante de délégation de blocs IPv6::/64 ; exemple : 2a01:cb1d:5:afc1::/64

; Server NS
server livebox_user
;
; Select authority
zone f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa
;
; Delegation /104
update add 1.c.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa. 3600 IN NS my-nameserver.mydomain.com.
;
send
Oh yeah !

Et, donc, c'est ce que je pouvais penser tout à l'heure comme je le disais plus haut ; peut-être que sur le bloc par default "00" n'a pas de délégation d'IP pour une question de vie privée - pour pas qu'on (ou qu'un logiciel malveillant) configure sur son réseau local du reverse dynamique par rapport à l'adresse MAC et au nom de la machine.

Exemple avec une routine depuis cette page :

Je reviens vers vous pour vous transmettre ces infos :

MERCI BEAUCOUP.

J'ai réussis à déléguer plusieurs blocs IPv6::/64 (sans pouvoir, les choisir comme expliqué sur la page 76 de x0r, j'ai perdu mon bloc 00::/64)

Ci-joint un imprime écran :

L'IPv6 du bloc n'est pas la bonne - j'ai changé de bloc IPv6.

Il faut que j'essaie de re-délégue un autre bloc ; mais il va falloir que je change plein de fichier de configuration ; alors je ferais çà un autre jour - je ne sais plus si après j'ai accès au bloc par default et au bloc délégué ; de souvenir oui. je verais plus tard.

----

Quelqu'un serait-il déjà en mode "Délégation d'IP" - il faudrait qu'il installe un serveur DNS pour tester.

Merci.

----

Je vous ajoute ce screenshot sur la configuration des IPv6 reverse d'un bloc IPv6::/64 chez OVH Cloud où l'on peut déclarer plusieurs NS (Nom d'hôte d'un ou plusieurs Name Serveur) pour un bloc IPv6 ; c'est un serveur Dédié.
Et pour les VPS, c'est un autre principe (puisqu'ils nous offrent 1 seule IPv4 et 1 seule IPv6), donc c'est juste une modification du RR (Ressource Record) A et AAAA.

En image :



@+

----

Note de Moi-même le 2025/04/23 sur la page du GitHub strongSwan / Discussions : 🔑 How to configure strongSwan v6 Post-Quantum Cryptography NIST compliant - DHCP je viens de penser qu'il pourrait y avoir une ou 2 options supplémentaires dans le fichier de configuration "dhclient -6" lors de l'initialisation d'une délégation d'adresses IPv6 GUA d'Orange ISP FR :

Ici, je parle donc, hors Livebox (seulement une option en amont chez Orange) - donc, sans ajouter un nouveau formulaire ou nouveau champ dans l'interface web de gestion des Livebox (chose inenvisageable, dirais-je ^^).

send dhcp6.BLOCK_IPV6 51;


# cat /etc/dhcp/dhclient-vlan832-6.conf

option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;

interface "vlan832" {
   # Options speciales pour orange
   send dhcp6.client-id 00:03:00:01:_LB_MACADDR_;
   send dhcp6.vendorclass  00:00:04:0e:00:05:73:61:67:65:6d;
   send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
   send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:_ORANGEID_;
        send dhcp6.BLOCK_IPV6 51;
        send dhcp6.BLOCK_IPV6_NAMESERVER.0 my-nameserver.mydomain.com.
        send dhcp6.BLOCK_IPV6_NAMESERVER.1 my-second-nameserver.mydomain.com.
   request dhcp6.auth, dhcp6.name-servers, dhcp6.sip-servers-names;
}

On pourrait configurer le bloc IPv6::/64 d'une délégation, la première - à la place de faire 200 demandes de délégation pour trouver le (un) bloc IPv6 qu'on souhaiterait ; on pourrait avoir plusieurs configuration pour plusieurs réseaux

Sur mon block IPv6::/56 ->  2a01:cb1d:5:AF00::/56

Block de navigation par default en auto-configuration GUA temporaire (si active sur les clients) SLAAC : 2a01:cb1d:5:AF00::/64

send dhcp6.BLOCK_IPV6 51;

Pour avoir le, un block délégué IPv6::/64 le "51" -> 2a01:cb1d:5:AF51::/64

Et les Names Servers  !!!!!

send dhcp6.BLOCK_IPV6_NAMESERVER.0 my-nameserver.mydomain.com.
send dhcp6.BLOCK_IPV6_NAMESERVER.1 my-second-nameserver.mydomain.com.

Qu'en penser vous ?

Salut,

Donc, pour continuer mon réseau local sécurisé.

La configuration réseau IPv6 ULA (Unique Local Address) de chez moi jusqu'aux serveurs ; en image :

J'ai installé "Microsoft Windows Server 2022 Standard Evaluation" sur mon Promox VE en suivant ce tutoriel - je vais bien voir si je m'en sors pour envoyer des paquets de l'Active Directory aux autres machines connectées aux réseaux.


ZW3B's LAB3W /pub/screens/windows/server-2022/
The Web's Laboratory ; Engineering of the Internet.

Sincèrement, je ne connais pas "trop" la gestion d'un contrôleur de domaines et des Services de stratégie et d'accès réseau du Network Policy Server ; je vais y goûter comme cela ; je ne connais pas non plus "Microsoft-IIS, le serveur Web".

Pour celles et ceux qui ne connaissent pas, c'est très complet mais payant ; Windows Serveur (~1500€).

Les machines "serveurs" :

https://gate.fr.lab3w.com (routeur Linux) - Dual-stack IP
https://srv.fr.lab3w.com (serveur Linux de Virtualisation) - Dual-stack IP
http://winsrv.fr.lab3w.com (serveur Windows Contrôleur de domaines) - Stack IPv6

https://we1.fr.lab3w.com (serveur web1 d'extrémité arrière) - Stack IPv6
https://we2.fr.lab3w.com (serveur web2 d'extrémité arrière) - Stack IPv6



Bonne soirée.

Romain.

----

Pour celles et ceux qui voudrez voir d'autres types de liens ; j'ai une belle page web de l'actualité de la semaine que vous pouvez trouver sur mes sites Web #ZW3B.

@+

J'ai fais une vidéo d'un TCPDump sur mon SRV-CA (Canada)

Je ne comprends pas comment ni pourquoi la box Internet de mon FAI accède à mon serveur canadien avec son adresse IPv6 GUA pour essayer de connecter mes deux serveurs DNS sur leur l'adresse GUA.

Second 24 par exemple.

Box Internet du FAI : 2a01:cb1d:813:4a00:c2d7:aaff:fec0:f839
SRV-CA.NS1 : 2607:5300:60:9389:15:1:a:1000
SRV-CA.NS2 : 2607:5300:60:9389:15:2:a:1000

IP6 (hlim 241, next-header ICMPv6 (58) payload length: 147) 2a01:cb1d:813:4a00:c2d7:aaff:fec0:f839 > 2607:5300:60:9389:15:1:a:1000: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address 2a01:cb1d:813:4a00:1ab3:126:0:1
----

SLA et ULA IPv6.

Frontend web :

SRV-CA (Canada) - FEC0::1/16
VPS-UK (Royaume-Uni) - FEC2::1/128
VPS-DE (Allemagne) - FEC3::1/128
VPS-AU (Australie) - FEC4::1/128
GATE-FR (France) - FEC1::1/16

Backend web :

SRV-CA.WEB1 (Canada) - fc00:5300:60:9389:15:1:a:10/112
SRV-CA.WEB2 (Canada) - fc00:5300:60:9389:15:2:a:10/112
SRV-FR.WE1 (France) - fc01::10:116:42:10/112
SRV-FR.WE2 (France) - fc01::10:126:42:10/112

La vidéo est ici :



@+

▶ ➔ ✂

(◕‿◕)

J'ai acheté çà aussi : ⛔🔜

# dig ANY ⛔🔜.ws @dns.google

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> ANY ⛔🔜.ws @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15467
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;⛔🔜.ws.                       IN      ANY

;; ANSWER SECTION:
⛔🔜.ws.                3600    IN      SOA     dns.lab3w.fr. hostmaster.lab3w.fr. 2025092701 300 60 420 60
⛔🔜.ws.                3600    IN      NS      ns2.ip❤10.ws.
⛔🔜.ws.                3600    IN      NS      ns1.ip❤10.ws.
⛔🔜.ws.                3600    IN      A       158.69.126.137
⛔🔜.ws.                3600    IN      MX      10 mail.⛔🔜.ws.
⛔🔜.ws.                10800   IN      TXT     "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4c1:0:1a/128 ~all"
⛔🔜.ws.                3600    IN      AAAA    2607:5300:60:9389::1
⛔🔜.ws.                10800   IN      SPF     "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4c1:0:1a/128 ~all"

;; Query time: 19 msec
;; SERVER: 2001:4860:4860::8888#53(dns.google) (TCP)
;; WHEN: Sun Sep 28 00:23:26 CEST 2025
;; MSG SIZE  rcvd: 386
@+

Je ne savais pas que lafibre.info, c'était ton blog...