Auteur Sujet: IPv6 et le Multi WAN  (Lu 2166 fois)

0 Membres et 1 Invité sur ce sujet

nscheffer

  • Client Orange Fibre
  • *
  • Messages: 195
  • Chavenay (78)
IPv6 et le Multi WAN
« le: 25 février 2021 à 09:16:24 »
Bonjour à tous,

J'ai actuellement une Fibre Orange avec Livebox 5 à 2Gb/600mb et une autre Fibre Orange Pro avec une Livebox 5 aussi.
Dans ma configuration actuelle j'ai derrière les deux livebox 5 un Firewall Cisco Meraki avec ensuite switch et bornes Wifi Cisco (8 en tout).
J'ai fait pas mal de tests avec du pfSense, OpenWRT, ER4, ER6, PC Engines, Mikrotik, etc... et à chaque fois j'avais une bonne connections Internet (pas les 2Gb !) en IPv4 et IPv6.

Aujourd'hui je me demande pour simplifier mon installation de n'avoir qu'un seul gros routeur (Mikrotik CCR2004 ou un CHR) qui remplacera mes deux livebox 5 et mon firewall !
En IPv4 c'est facile, la NAT (Masquerading) fait tout le travail depuis longtemps quelque soit le nombre de liens Wan (Livebox 5, Galet 4G, etc...).
Par contre en IPv6 cela semble beaucoup plus compliqué car aujourd'hui Orange annonce un prefix IPv6 /56 sur chaque box et en individuel c'est facile mais en multi Wan comment on fait ?

Après quelque recherche il semble que la solution soit NPT (Network Prefix Translation RFC 6296) pour faire du de la translation IPv6-IPv6, c'est pas très chouette mais cela semble la seule solution.
Quelqu'un a t'il une experience ?
Peut-on aujourd'hui faire réellement du Multi WAN en IPv6 ?

En parallel je fais pas mal de domotique et je m'intéresse en ce moment a THREAD qui repose sur de l'IPv6 en local !

Merci de vos retours.

Nicolas

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
IPv6 et le Multi WAN
« Réponse #1 le: 25 février 2021 à 12:06:33 »
tu fais comment pour choisir quel wan sort pour un poste? tu veux un control précis ?

sinon rien n'empêche d'annoncer 2 prefix IPv6 public sur un meme LAN et laisser faire les choses. IPv6 gère ca tout seul. La décision se fait sur chaque machine en fonction des annonces RA reçues et de la destination.

Il y a https://tools.ietf.org/html/rfc4191 qui peux moduler les annonces RA avec des préférences (high,mid,low) pour signaler aux postes quelle route/routeur est plus prio mais je ne sais pas quels OS/routeurs supportent ce truc.

sinon NPTv6. mais bof.

en pro on demande un bloc IPv6 'Provider Independant' puis avec BGP on fait le routage/load balancing/failover mais avec 2 connexions grand public Orange ca ne le fera pas.

nscheffer

  • Client Orange Fibre
  • *
  • Messages: 195
  • Chavenay (78)
IPv6 et le Multi WAN
« Réponse #2 le: 25 février 2021 à 14:02:45 »
J'ai deux fibres une Orange Grand Public et une Orange Pro.
En IPv4 j'ai une adresse en 192.168.x.x avec une gateway et c'est mon routeur/firewall qui choisit le lien en fonction de différent critère et le paquet revient bien sur par le même lien.
En IPv6 j'ai un prefix /56 alloué par chaque box (Grand Public et Pro) je peux avoir deux IPv6 différentes sur chaque client en interne ( sur un Mac, un PC, un Android ou un iPhone) mais je n'ai qu'une seule gateway donc dans ce mode en IPv6 je passerai toujours par la même box.. quelque soit le routeur qu'il y a avec les protocoles de routages qui sont coté WAN et non coté LAN !


kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
IPv6 et le Multi WAN
« Réponse #3 le: 25 février 2021 à 15:00:25 »
mais je n'ai qu'une seule gateway donc dans ce mode en IPv6 je passerai toujours par la même box.. quelque soit le routeur qu'il y a avec les protocoles de routages qui sont coté WAN et non coté LAN !

c'est pas le probleme. qu'il y a ai qu'un seul routeur. du moment que les adresses sources & destinations sont bien gérées dans celui ci.

je me suis  mal exprimé:

Citer
tu fais comment pour choisir quel wan sort pour un poste? tu veux un control précis ?

il fallait comprendre 'tu veux faire comment pour choisir par quel wan sort un poste'. quel niveau de précision/contrôle tu souhaite.

Je ne demandais pas "comment tu fais" mais plutot "ce que tu souhaite avoir comme controle' c'est cela qui conditionnera la possibilité.

La décision du chemin WAN de sortie ne se fait pas au niveau de la ou des gateway mais au niveau de chaque poste suivant l'IPv6 source qu'il va utiliser.

Pour savoir quel IPv6 source un poste va utiliser il y a un algorithme standardisé, Default Address Selection for  IPv6 ( https://tools.ietf.org/html/rfc6724 ).

Si ton PC a 2 IPv6 publiques, une d'Orange Grand Public et une d'Orange Pro, suivant la destination a atteindre, c'est l'une ou l'autre IPv6 source qui sera utilisée et donc le flux sortira de lui-meme par le bon port WAN et reviendra par la. La décision ne se fait pas dans la/les gateway comme dans le cas d'un double WAN avec NAT en IPv4.
Si tu veux influer sur certaines destinations, il faut envoyer a chaque poste les bonnes informations de routages via des RIO dans les annonces RA ou via des routes en DHCPv6 stateless.

https://www.rfc-editor.org/rfc/rfc8043.html explique ces choses.

nscheffer

  • Client Orange Fibre
  • *
  • Messages: 195
  • Chavenay (78)
IPv6 et le Multi WAN
« Réponse #4 le: 26 février 2021 à 09:47:45 »
@kgersen

J'avais pas du tout vu cette partie d'IPv6 et je pense que je me suis bien compliqué, merci!
En fait un réseau à plat avec les deux box en IPv6 et ca devrait marcher tout seul...
Je vais faire des tests.
« Modifié: 26 février 2021 à 19:50:14 par nscheffer »

stefbwz

  • Client Orange Fibre
  • *
  • Messages: 71
  • Lège Cap-Ferret 33
    • Wizzz.net
IPv6 et le Multi WAN
« Réponse #5 le: 03 mars 2021 à 09:23:33 »
Sinon tu peux aussi utiliser un prefixe ula https://en.wikipedia.org/wiki/Unique_local_address et faire du nPT (IPv6-to-IPv6 Network Prefix Translation (RFC 6296)) en sortie. pfsense propose une configuration de ce type, que j'utilise et ca marche et tu pourrait faire du policy routing en v6  pour determiner par ou ca va sortir comme ca.

nscheffer

  • Client Orange Fibre
  • *
  • Messages: 195
  • Chavenay (78)
IPv6 et le Multi WAN
« Réponse #6 le: 03 mars 2021 à 09:38:09 »
@stefbwz

C'est ce que je pensais faire avec du NPT (qui reste en fait une sorte de NAT comme sur IPv4), par contre en dehors de pfSense je sais pas si du Mikrotik supporte le nPT.
Je vois pas trop comment cela peut marcher autrement comme l'a expliqué @kgersen car si un appareil (smartphone ou PC) reçoit deux IPv6 venant de chaque box, comment l'appareil (iOS, Android, Windows, Mac) va choisir pour allez par exemple sur un site web ou si une box tombe comment automatiquement prendre l'autre...

stefbwz

  • Client Orange Fibre
  • *
  • Messages: 71
  • Lège Cap-Ferret 33
    • Wizzz.net
IPv6 et le Multi WAN
« Réponse #7 le: 03 mars 2021 à 09:43:52 »
De mon coté :

J'ai un openwrt qui remplace ma livebox, et une freebox qui delegent un /64 (manuellement, avec des routes statiques) de la classe qu'il recoivent, et sur mon lan cote pfsense je fais du dchpv6 en mode managé, qui ne distribue que des ip ula, donc pas de liberté de choisir pour les stations.

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
IPv6 et le Multi WAN
« Réponse #8 le: 03 mars 2021 à 20:11:50 »
DHCPv6 managé et NPTv6 sont vraiment les 2 trucs a éviter...

Les ULA c'est pour le trafic privé entre réseaux privés et sur un lan simple sans segments les link-local suffisent pour le trafic privé.

A savoir aussi que ULA+IPv4= IPv4 est prioritaire par défaut dans tous les OS actuels (windows,linux, macos,etc) suite aux changement survenus dans la https://tools.ietf.org/html/rfc6724#section-10.3 . Du coup si on veut NPTv6 des ULA vers des GUA ca ne marchera pas sans changer les réglages  de priorité (Prefix policy) sur chaque poste...("netsh interface ipv6 show prefixpolicies" sur Windows)

L'usage typique de NPTv6 en dual wan est donc soit d'utiliser un prefix GUA libre au hasard  (un prefix GUA qui n'est pas allouer a quelqu'un sur le Net, par exemple un truc qui commence par 4000...) et de NPTv6 vers les 2 préfixes GUA fournis par les FAI en fonction de ce qu'on veut faire.

GUA -->NPTv6--->GUA 1
         └----->GUA 2

ou d'utiliser en interne une deux 2 GUA fournies par les FAI:

GUA 1 -->NPTv6--->GUA 2
         └----->GUA 1

du coup il n'y a du NPTv6 que si on veut sortir avec une IPv6 du prefix GUA 2 (si le lien FAI GUA1 est down on peut aussi NPTv6 tout vers GUA2).

mais
ULA -->NPTv6--->GUA 1
         └----->GUA 2
a éviter fortement.

ubune

  • Client Bbox fibre
  • *
  • Messages: 190
IPv6 et le Multi WAN
« Réponse #9 le: 03 mars 2021 à 20:21:20 »
mais
ULA -->NPTv6--->GUA 1
         └----->GUA 2
a éviter fortement.

On est d'accord que dans ce cas de figure le client ne surfera jamais en ipv6 hormis si il veut joindre un serveur ipv6 only (ayant juste un enregistrement AAA) ?
Possible de déplacer ce sujet (très interessant) dans la section ipv6 ?

stefbwz

  • Client Orange Fibre
  • *
  • Messages: 71
  • Lège Cap-Ferret 33
    • Wizzz.net
IPv6 et le Multi WAN
« Réponse #10 le: 03 mars 2021 à 20:25:36 »
Merci, je vais donc mettre mon gua1 de la fibre en principal (solution 2), et n'utiliser l'ula juste pour mes lan-to-lan, voire le virer

nscheffer

  • Client Orange Fibre
  • *
  • Messages: 195
  • Chavenay (78)
IPv6 et le Multi WAN
« Réponse #11 le: 03 mars 2021 à 20:46:24 »
Bonsoir @kgersen

L'approche avec NPTv6 me semble claire et c'est juste un choix de ce que l'on adopte derrière (GUAx, ULA, etc...)

Ce qui m'avait troublé c'était ta première réponse !
Si j'ai deux box fibres :

Pour la partie IPv4 cela reste trivial
Livebox 5 Orange       ---> IPv4 Public WAN 1---> Routeur ----> LAN 192.168.x.x ----> Mon Smarphone ou Laptop
Livebox 5 Orange Pro ---> IPv4 Public WAN 2--->(NAT)

Par contre comment tu peux faire pour IPv6 en ayant les prefix /56 de chaque box qui se propagent sur ton LAN jusqu'au device et faire cohabiter la partie IPv4 ?
Sauf si tu fais un mode transparent pour la partie IPv6 ?
Mais ensuite la table de routage de chaque appareil, comment par défaut mon SmartPhone ou Laptop va décider de passer par La box Orange ou Orange Pro ? Si une tombe comment le device sait ?

Merci d'avance de ton retour.

Nicolas