La Fibre

Télécom => Réseau => reseau IPv6 => Discussion démarrée par: nscheffer le 25 février 2021 à 09:16:24

Titre: IPv6 et le Multi WAN
Posté par: nscheffer le 25 février 2021 à 09:16:24
Bonjour à tous,

J'ai actuellement une Fibre Orange avec Livebox 5 à 2Gb/600mb et une autre Fibre Orange Pro avec une Livebox 5 aussi.
Dans ma configuration actuelle j'ai derrière les deux livebox 5 un Firewall Cisco Meraki avec ensuite switch et bornes Wifi Cisco (8 en tout).
J'ai fait pas mal de tests avec du pfSense, OpenWRT, ER4, ER6, PC Engines, Mikrotik, etc... et à chaque fois j'avais une bonne connections Internet (pas les 2Gb !) en IPv4 et IPv6.

Aujourd'hui je me demande pour simplifier mon installation de n'avoir qu'un seul gros routeur (Mikrotik CCR2004 ou un CHR) qui remplacera mes deux livebox 5 et mon firewall !
En IPv4 c'est facile, la NAT (Masquerading) fait tout le travail depuis longtemps quelque soit le nombre de liens Wan (Livebox 5, Galet 4G, etc...).
Par contre en IPv6 cela semble beaucoup plus compliqué car aujourd'hui Orange annonce un prefix IPv6 /56 sur chaque box et en individuel c'est facile mais en multi Wan comment on fait ?

Après quelque recherche il semble que la solution soit NPT (Network Prefix Translation RFC 6296) pour faire du de la translation IPv6-IPv6, c'est pas très chouette mais cela semble la seule solution.
Quelqu'un a t'il une experience ?
Peut-on aujourd'hui faire réellement du Multi WAN en IPv6 ?

En parallel je fais pas mal de domotique et je m'intéresse en ce moment a THREAD qui repose sur de l'IPv6 en local !

Merci de vos retours.

Nicolas
Titre: IPv6 et le Multi WAN
Posté par: kgersen le 25 février 2021 à 12:06:33
tu fais comment pour choisir quel wan sort pour un poste? tu veux un control précis ?

sinon rien n'empêche d'annoncer 2 prefix IPv6 public sur un meme LAN et laisser faire les choses. IPv6 gère ca tout seul. La décision se fait sur chaque machine en fonction des annonces RA reçues et de la destination.

Il y a https://tools.ietf.org/html/rfc4191 qui peux moduler les annonces RA avec des préférences (high,mid,low) pour signaler aux postes quelle route/routeur est plus prio mais je ne sais pas quels OS/routeurs supportent ce truc.

sinon NPTv6. mais bof.

en pro on demande un bloc IPv6 'Provider Independant' puis avec BGP on fait le routage/load balancing/failover mais avec 2 connexions grand public Orange ca ne le fera pas.
Titre: IPv6 et le Multi WAN
Posté par: nscheffer le 25 février 2021 à 14:02:45
J'ai deux fibres une Orange Grand Public et une Orange Pro.
En IPv4 j'ai une adresse en 192.168.x.x avec une gateway et c'est mon routeur/firewall qui choisit le lien en fonction de différent critère et le paquet revient bien sur par le même lien.
En IPv6 j'ai un prefix /56 alloué par chaque box (Grand Public et Pro) je peux avoir deux IPv6 différentes sur chaque client en interne ( sur un Mac, un PC, un Android ou un iPhone) mais je n'ai qu'une seule gateway donc dans ce mode en IPv6 je passerai toujours par la même box.. quelque soit le routeur qu'il y a avec les protocoles de routages qui sont coté WAN et non coté LAN !

Titre: IPv6 et le Multi WAN
Posté par: kgersen le 25 février 2021 à 15:00:25
mais je n'ai qu'une seule gateway donc dans ce mode en IPv6 je passerai toujours par la même box.. quelque soit le routeur qu'il y a avec les protocoles de routages qui sont coté WAN et non coté LAN !

c'est pas le probleme. qu'il y a ai qu'un seul routeur. du moment que les adresses sources & destinations sont bien gérées dans celui ci.

je me suis  mal exprimé:

Citer
tu fais comment pour choisir quel wan sort pour un poste? tu veux un control précis ?

il fallait comprendre 'tu veux faire comment pour choisir par quel wan sort un poste'. quel niveau de précision/contrôle tu souhaite.

Je ne demandais pas "comment tu fais" mais plutot "ce que tu souhaite avoir comme controle' c'est cela qui conditionnera la possibilité.

La décision du chemin WAN de sortie ne se fait pas au niveau de la ou des gateway mais au niveau de chaque poste suivant l'IPv6 source qu'il va utiliser.

Pour savoir quel IPv6 source un poste va utiliser il y a un algorithme standardisé, Default Address Selection for  IPv6 ( https://tools.ietf.org/html/rfc6724 ).

Si ton PC a 2 IPv6 publiques, une d'Orange Grand Public et une d'Orange Pro, suivant la destination a atteindre, c'est l'une ou l'autre IPv6 source qui sera utilisée et donc le flux sortira de lui-meme par le bon port WAN et reviendra par la. La décision ne se fait pas dans la/les gateway comme dans le cas d'un double WAN avec NAT en IPv4.
Si tu veux influer sur certaines destinations, il faut envoyer a chaque poste les bonnes informations de routages via des RIO dans les annonces RA ou via des routes en DHCPv6 stateless.

https://www.rfc-editor.org/rfc/rfc8043.html explique ces choses.
Titre: IPv6 et le Multi WAN
Posté par: nscheffer le 26 février 2021 à 09:47:45
@kgersen

J'avais pas du tout vu cette partie d'IPv6 et je pense que je me suis bien compliqué, merci!
En fait un réseau à plat avec les deux box en IPv6 et ca devrait marcher tout seul...
Je vais faire des tests.
Titre: IPv6 et le Multi WAN
Posté par: stefbwz le 03 mars 2021 à 09:23:33
Sinon tu peux aussi utiliser un prefixe ula https://en.wikipedia.org/wiki/Unique_local_address (https://en.wikipedia.org/wiki/Unique_local_address) et faire du nPT (IPv6-to-IPv6 Network Prefix Translation (RFC 6296)) en sortie. pfsense propose une configuration de ce type, que j'utilise et ca marche et tu pourrait faire du policy routing en v6  pour determiner par ou ca va sortir comme ca.
Titre: IPv6 et le Multi WAN
Posté par: nscheffer le 03 mars 2021 à 09:38:09
@stefbwz

C'est ce que je pensais faire avec du NPT (qui reste en fait une sorte de NAT comme sur IPv4), par contre en dehors de pfSense je sais pas si du Mikrotik supporte le nPT.
Je vois pas trop comment cela peut marcher autrement comme l'a expliqué @kgersen car si un appareil (smartphone ou PC) reçoit deux IPv6 venant de chaque box, comment l'appareil (iOS, Android, Windows, Mac) va choisir pour allez par exemple sur un site web ou si une box tombe comment automatiquement prendre l'autre...
Titre: IPv6 et le Multi WAN
Posté par: stefbwz le 03 mars 2021 à 09:43:52
De mon coté :

J'ai un openwrt qui remplace ma livebox, et une freebox qui delegent un /64 (manuellement, avec des routes statiques) de la classe qu'il recoivent, et sur mon lan cote pfsense je fais du dchpv6 en mode managé, qui ne distribue que des ip ula, donc pas de liberté de choisir pour les stations.
Titre: IPv6 et le Multi WAN
Posté par: kgersen le 03 mars 2021 à 20:11:50
DHCPv6 managé et NPTv6 sont vraiment les 2 trucs a éviter...

Les ULA c'est pour le trafic privé entre réseaux privés et sur un lan simple sans segments les link-local suffisent pour le trafic privé.

A savoir aussi que ULA+IPv4= IPv4 est prioritaire par défaut dans tous les OS actuels (windows,linux, macos,etc) suite aux changement survenus dans la https://tools.ietf.org/html/rfc6724#section-10.3 . Du coup si on veut NPTv6 des ULA vers des GUA ca ne marchera pas sans changer les réglages  de priorité (Prefix policy) sur chaque poste...("netsh interface ipv6 show prefixpolicies" sur Windows)

L'usage typique de NPTv6 en dual wan est donc soit d'utiliser un prefix GUA libre au hasard  (un prefix GUA qui n'est pas allouer a quelqu'un sur le Net, par exemple un truc qui commence par 4000...) et de NPTv6 vers les 2 préfixes GUA fournis par les FAI en fonction de ce qu'on veut faire.

GUA -->NPTv6--->GUA 1
         └----->GUA 2

ou d'utiliser en interne une deux 2 GUA fournies par les FAI:

GUA 1 -->NPTv6--->GUA 2
         └----->GUA 1

du coup il n'y a du NPTv6 que si on veut sortir avec une IPv6 du prefix GUA 2 (si le lien FAI GUA1 est down on peut aussi NPTv6 tout vers GUA2).

mais
ULA -->NPTv6--->GUA 1
         └----->GUA 2
a éviter fortement.
Titre: IPv6 et le Multi WAN
Posté par: ubune le 03 mars 2021 à 20:21:20
mais
ULA -->NPTv6--->GUA 1
         └----->GUA 2
a éviter fortement.

On est d'accord que dans ce cas de figure le client ne surfera jamais en ipv6 hormis si il veut joindre un serveur ipv6 only (ayant juste un enregistrement AAA) ?
Possible de déplacer ce sujet (très interessant) dans la section ipv6 ?
Titre: IPv6 et le Multi WAN
Posté par: stefbwz le 03 mars 2021 à 20:25:36
Merci, je vais donc mettre mon gua1 de la fibre en principal (solution 2), et n'utiliser l'ula juste pour mes lan-to-lan, voire le virer
Titre: IPv6 et le Multi WAN
Posté par: nscheffer le 03 mars 2021 à 20:46:24
Bonsoir @kgersen

L'approche avec NPTv6 me semble claire et c'est juste un choix de ce que l'on adopte derrière (GUAx, ULA, etc...)

Ce qui m'avait troublé c'était ta première réponse !
Si j'ai deux box fibres :

Pour la partie IPv4 cela reste trivial
Livebox 5 Orange       ---> IPv4 Public WAN 1---> Routeur ----> LAN 192.168.x.x ----> Mon Smarphone ou Laptop
Livebox 5 Orange Pro ---> IPv4 Public WAN 2--->(NAT)

Par contre comment tu peux faire pour IPv6 en ayant les prefix /56 de chaque box qui se propagent sur ton LAN jusqu'au device et faire cohabiter la partie IPv4 ?
Sauf si tu fais un mode transparent pour la partie IPv6 ?
Mais ensuite la table de routage de chaque appareil, comment par défaut mon SmartPhone ou Laptop va décider de passer par La box Orange ou Orange Pro ? Si une tombe comment le device sait ?

Merci d'avance de ton retour.

Nicolas
Titre: IPv6 et le Multi WAN
Posté par: kgersen le 03 mars 2021 à 20:57:40
Par contre comment tu peux faire pour IPv6 en ayant les prefix /56 de chaque box qui se propagent sur ton LAN jusqu'au device et faire cohabiter la partie IPv4 ?
Sauf si tu fais un mode transparent pour la partie IPv6 ?
Mais ensuite la table de routage de chaque appareil, comment par défaut mon SmartPhone ou Laptop va décider de passer par La box Orange ou Orange Pro ? Si une tombe comment le device sait ?

comme indiqué déja ca se fait 'tout seul' dans chaque device suivant l'ordre et la destination. Tu peux influer sur quelle sortie choisir via des routes que tu distribue par DHCPv6 (stateless).
Si un lien tombe il faut que les annonces SLAAC cessent pour que les devices arrêtent d'utiliser cette route. Je ne sais pas si c'est le cas avec les Livebox, j'en doute. Du coup tu dois remplacer les livebox par ton propre équipement  pour gérer finement la durée de vie des SLAAC (ou faire une bidouille avec un switch et un watchdog ...).

IPv6 GUA est toujours prioritaire sur IPv4 (l'ordre est de priorité est: IPv6 GUA - IPv4 - IPv6 LUA).

dual GUA ou NPTv6 ca reste complexe et pas propre. La solution dual wan recommandée est d'avoir son préfix PI (provider independant) mais en offre grand public ca n'est pas possible.

Si tu garde les livebox fait plutot du NPTv6 , si tu les remplacent plutôt du dual GUA. Apres ca dépend aussi si tu veux finement choisir "qui sort par ou" ou si tu veux juste une redondance de lien et que la sortie utilisée t'importe peu du moment que ca sort.
Titre: IPv6 et le Multi WAN
Posté par: doctorrock le 03 mars 2021 à 22:44:24
Si un routeur tombe, ses annonces RA tombent, et les postes qui les recoivent vont passer l'adresse en stale, puis invalid, et vont cesser de l'utiliser.
C'est automatique. Toute RA a un lifetime qui permet à l'adresse de rester valide un certain temps. Quand le temps est écoulé, le poste client va faire un Router Solicitation via ND. Aussi, le routeur peut répéter ses RA à intervalles réguliers (paramétrables) pour prolonger les temps de validité des adresses chez les clients.

Pour le choix de la passerelle, il faut passer par des RIO (route information options) annoncées par les routeurs (en plus des RA), qui vont permettre de changer les tables de routage des postes client, et leur faire prendre l'itinéraire qu'on souhaite.
Ce que Kgersen a précisé déja.

Les RFC détaillent ça, sinon certains articles sympa aussi, comme par exemple ici => https://into6.com.au/2013/02/19/ipv6-first-hop-routing/

Je suggère de ne JAMAIS, faire de translations d'adresses avec IPV6. Ca a été la plus grosse connerie d'IPV4, qui rend le monde du réseau tellement complexe .... IPV6 ne fonctionne PAS comme IPV4 : il faut arrêter de penser IPV4, lorsqu'on joue avec IPV6, il y a de nouveaux paradigmes à prendre en compte, et d'autres à oublier (comme le NAT)
Titre: IPv6 et le Multi WAN
Posté par: vivien le 04 mars 2021 à 03:37:07
Possible de déplacer ce sujet (très interessant) dans la section ipv6 ?
C'est déplacé. Effectivement, sujet intéressant.
Titre: IPv6 et le Multi WAN
Posté par: nscheffer le 04 mars 2021 à 06:05:58
Si un routeur tombe, ses annonces RA tombent, et les postes qui les recoivent vont passer l'adresse en stale, puis invalid, et vont cesser de l'utiliser.
C'est automatique. Toute RA a un lifetime qui permet à l'adresse de rester valide un certain temps. Quand le temps est écoulé, le poste client va faire un Router Solicitation via ND. Aussi, le routeur peut répéter ses RA à intervalles réguliers (paramétrables) pour prolonger les temps de validité des adresses chez les clients.

Pour le choix de la passerelle, il faut passer par des RIO (route information options) annoncées par les routeurs (en plus des RA), qui vont permettre de changer les tables de routage des postes client, et leur faire prendre l'itinéraire qu'on souhaite.
Ce que Kgersen a précisé déja.

Les RFC détaillent ça, sinon certains articles sympa aussi, comme par exemple ici => https://into6.com.au/2013/02/19/ipv6-first-hop-routing/

Je suggère de ne JAMAIS, faire de translations d'adresses avec IPV6. Ca a été la plus grosse connerie d'IPV4, qui rend le monde du réseau tellement complexe .... IPV6 ne fonctionne PAS comme IPV4 : il faut arrêter de penser IPV4, lorsqu'on joue avec IPV6, il y a de nouveaux paradigmes à prendre en compte, et d'autres à oublier (comme le NAT)

Mais comment on gère cette longue transition ou on est obligé d'avoir (je parle en grand public même si on travaille depuis la maison) du dual IPv4 et IPv6 ?
Mon interrogation est pas comment cela fonctionne mais plutôt comment on fait cohabiter sur un même LAN de la NAT pour IPv4 ou les users sont en 192.168.x.x et des RA jusqu'au user en IPv6 !
Avec quel équipement/OS on peut faire cela...
Titre: IPv6 et le Multi WAN
Posté par: kgersen le 04 mars 2021 à 09:35:21
Mais comment on gère cette longue transition ou on est obligé d'avoir (je parle en grand public même si on travaille depuis la maison) du dual IPv4 et IPv6 ?
Mon interrogation est pas comment cela fonctionne mais plutôt comment on fait cohabiter sur un même LAN de la NAT pour IPv4 ou les users sont en 192.168.x.x et des RA jusqu'au user en IPv6 !
Avec quel équipement/OS on peut faire cela...

c'est automatique la cohabitation , IPv6 est prioritaire par défaut.
Si un poste a une IPv6 GUA et une IPv4 et si tu cherche a joindre abc.com et si la résolution DNS donne une réponse en IPv6 alors IPv6 sera utilisé.

Certains logiciels comme les navigateurs web ont un mécanisme appelé "Happy Eyeballs" qui tente aussi en IPv4 si IPv6 ne répond pas. Mais c'est un comportement du logiciel pas de l'OS.

exemple avec lafibre.info:
host lafibre.info
lafibre.info has address 80.67.167.77
lafibre.info has IPv6 address 2a01:6e00:10:410:0:1a:f1b2:e

Le site a donc une IPv6 (2a01:6e00:10:410:0:1a:f1b2:e) et une IPv4 (80.67.167.77)

Sur un poste avec une IPv6 (GUA) et une IPv4 derrière un NAT: si tu fais un "ping lafibre.info" ca va se faire en IPv6. Si y'a une coupure réseau de l'IPv6 en chemin, le ping ne passera pas et ca ne basculera pas en IPv4. Si tu éteins la livebox, le poste va perdre sa route de sortie IPv6 (plus de RA donc la route par défaut va disparaitre*) et donc ca se fera en IPv4 automatiquement (dans la mesure ou le trafic IPv4 ne passe par la livebox éteinte ...)

Avec Chrome ou Firefox si le site ne répond en IPv6 , ca bascule en IPv4 automatiquement (a chaque connexion pas de façon globale).


* Les informations dans RA qui importe pour ton cas:
AdvDefaultLifetime : c'est le délai au bout duquel ce routeur n'est plus considéré comme "route par défaut"
AdvDefaultPreference : la priorité de ce routeur comme route par défaut.

pour voir le contenu des RA émis sur le LAN:
sur Linux: utiliser "sudo radvdump" (sudo apt install radvdump)

Le probleme des livebox c'est qu'on ne peut changer ce qu'elles émettent dans leur RA.
Titre: IPv6 et le Multi WAN
Posté par: doctorrock le 04 mars 2021 à 17:47:20
Tout est dit.

Un même routeur peut distribuer à la fois de l'IPV6 et de l'IPV4 aux clients de son segment réseau, c'est ce que font les box des FAIs par exemple (qui supportent IPV6).

Sur du dual stack (IPV4 et IPV6), ce sont les clients qui choisissent la stack qu'ils utilisent pour sortir, et ils privilégient souvent (quasiment tout le temps) IPV6 first lorsque le service à joindre est dual stack aussi.
Ca se joue aux 2 niveaux : au niveau de l'OS, et au niveau du logiciel en question.

Titre: IPv6 et le Multi WAN
Posté par: vivien le 05 mars 2021 à 04:35:39
Oui, la transition sera longue, très longue pour éteindre IPv4 sur les accès Internet :


(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ipv6/202012_task-force_ipv6_guide_entreprises.png) (https://lafibre.info/images/ipv6/202012_task-force_ipv6_guide_entreprises.pdf)


Dans ce guide, est publié pour la première fois un possible scénario de sortie de l'IPv4 :

(https://lafibre.info/images/ipv6/202012_task-force_ipv6_guide_entreprises_sortie_ipv4.png)
Titre: IPv6 et le Multi WAN
Posté par: darkmoon le 05 mars 2021 à 10:03:55
Le probleme des livebox c'est qu'on ne peut changer ce qu'elles émettent dans leur RA.

Et faut pas espérer avoir ce genre de trucs dans un futur proche .... Vue la qualité des tests sur les fw avant leur sortie (coucou le bug de hairpinning).
Titre: IPv6 et le Multi WAN
Posté par: kgersen le 05 mars 2021 à 10:10:31
Et faut pas espérer avoir ce genre de trucs dans un futur proche .... Vue la qualité des tests sur les fw avant leur sortie (coucou le bug de hairpinning).

Il suffirait d'un régulateur fort qui impose certaines choses comme le fait de pouvoir se passer de la box opérateur, ou a minimum d'avoir un mode bridge complet.

Mais bon déjà que le triple-play n'est pas interdit alors que c'est une vente groupée, on n'est pas de sortir de ce modèle.

Titre: IPv6 et le Multi WAN
Posté par: doctorrock le 05 mars 2021 à 23:32:40
Il suffirait d'un régulateur fort qui impose certaines choses comme le fait de pouvoir se passer de la box opérateur, ou a minimum d'avoir un mode bridge complet.

Mais bon déjà que le triple-play n'est pas interdit alors que c'est une vente groupée, on n'est pas de sortir de ce modèle.


Rhoooo c'est clair :-D

Ya tellement de soucis commerciaux comme techniques sur l'accès Internet en France ....
A se demander s'il y a un régulateur / arbitre dans tout ça :-)