Auteur Sujet: IPv6, LAN et OpenVPN  (Lu 1860 fois)

0 Membres et 1 Invité sur ce sujet

brt80fr

  • Abonné Free fibre
  • *
  • Messages: 2
  • La Fouillouse (42)
IPv6, LAN et OpenVPN
« le: 18 août 2021 à 11:54:29 »
Bonjour,

Mon FAI me déléguant un préfixe IPv6 (et par ailleurs l’exigeant pour le fonctionnement du Player Pop), je cherche comment je pourrais basculer tout mon réseau local. J'ai lu le livre de Jean-Paul Archier (que j'ai trouvé bien sur les principes, mais flou sur la mise en œuvre), ainsi qu'un bon nombre de pages web, et enfin ce sujet : IPv6 sur le LAN d'une entreprise, à propos duquel je rejoins l'avis de Johannol ;) :

Et bien merci les gas, en quelques posts, j'ai l'impression qu'en avoir + appris sur l'IPv6 "comment faire chez soi" qu'avec les guides que j'avais regardés, et qui étaient un peu... soit trop théorique simpliste, ou à l'inverse dédiés à l'administrateur réseau et système en 450 pages.

Malgré ces ressources, j'ai encore des difficultés à me représenter comment configurer mon réseau en IPv6, et je crois que kgersen à mis le doigt sur le problème :

Faut juste arrêter de vouloir transposer ses habitudes IPv4 a IPv6...Les gens contre les réadressages internes ou autre souhait de n'avoir qu'une IPv6 par machine, etc font juste de la transposition.

J'ai l'habitude de savoir quelles sont les adresses IPv4 de mes services (serveurs informatiques et domotique, PC distants, etc.), et comme je n'ai pas encore bien compris notamment les mécanismes de résolution de noms en IPv6, je ne sais pas perdre cette habitude. C'est pourquoi je serais preneur de quelques avis sur la manière d'organiser mon réseau en IPv6.

Pour résumer simplement l'organisation actuelle, j'ai 3 LANs (perso, pro et familial), qui sont interconnectés tantôt en tun tantôt en tap selon les besoins, grâce à des instances OpenVPN sur un VPS Ubuntu. Ce VPS permet aussi de connecter des clients distants (typiquement mon téléphone Android quand je ne suis pas chez moi).
Sur les LANs pro et familial, l'adressage est assuré par le DHCP des box (avec des IP fixes pour les éventuels services, type NAS ou imprimante, quand il y en a).
Sur le LAN perso, c'est un serveur dnsmasq qui s'en charge, ce qui me permet en outre de centraliser la résolution des noms pointant sur des IP fixes. Il y a sur le LAN perso des équipements qui ne prennent pas en charge l'IPv6 (alarme, interphone, etc.) mais qu'il n'est pas prévu de remplacer dans l'immédiat et qui me semblent imposer une configuration dual stack.

À ce stade, je me pose trois questions.

1. Y a-t-il en IPv6 un système de résolution de noms qui permette de s'affranchir de l'adressage fixe (par exemple, quand le NAS s'autoconfigure une ULA d'après un préfixe diffusé par le routeur, peut-il mettre à jour dynamiquement son enregistrement DNS dans dnsmasq ? ), ou bien faut-il conserver dnsmasq pour attribuer des ULA fixes et maintenir la table DNS ?

2. Dans le cadre d'un VPN en mode tap, qui, entre le serveur OpenVPN et le serveur dnsmasq (ou radvd, ou dhcpv6-pd, je ne me suis pas encore renseigné sur lesquels font quoi en IPv6), doit diffuser le préfixe ULA ?
J'ai cru comprendre qu'il ne pouvait y avoir qu'un diffuseur sur un lien de niveau 2, et donc dnsmasq me semble plus logique, afin que mon LAN perso puisse construire ses ULA même quand la liaison VPN tombe, mais cette répartition des rôles est très floue pour moi.
J'ai aussi lu qu'il faudrait en fait scinder le préfixe ULA en deux sous-réseaux, un diffusé par dnsmasq, l'autre par OpenVPN : mais je n'ai pas compris comment les deux sous-réseaux communiquent entre eux sans routage.

3. Est-il possible d'empêcher un équipement donné (par exemple une caméra dont je souhaite qu'elle ne soit accessible qu'à travers un VPN et une ULA) d'obtenir une GUA ?

Les réponses à ces questions en amèneront sans doute d'autres, mais me permettraient déjà de voir plus clair dans ce que peut être un réseau IPv6 qui ne soit pas qu'une transposition de la logique IPv4.

Je vous remercie pour vos éclairages,

Benoît

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6, LAN et OpenVPN
« Réponse #1 le: 18 août 2021 à 13:23:24 »
Perso je ferais simple et pas de VPN site a site, tout en GUA partout avec un contrôle d'accès au niveau le plus haut (applications). Filtrer / limiter au niveau 3 (IP) c'est un peu le passé (avec le télétravail et les mobiles la notion de 'site' fixe n'a plus trop de sens). Pour les équipements qui ne supportent pas cela, il suffit de les isoler derriere un reverse proxy par exemple ou utiliser un VPN 'zero configuration' comme tailscale.com par exemple.

cela dit:


1. Y a-t-il en IPv6 un système de résolution de noms qui permette de s'affranchir de l'adressage fixe (par exemple, quand le NAS s'autoconfigure une ULA d'après un préfixe diffusé par le routeur, peut-il mettre à jour dynamiquement son enregistrement DNS dans dnsmasq ? ), ou bien faut-il conserver dnsmasq pour attribuer des ULA fixes et maintenir la table DNS ?


A-> bien comprendre que des ULA n'ont de sens qui si on a n'a pas d'IPv4 dans le DNS aussi. sinon les IPv4 seront prioritaires

il y a plusieurs méthodes pour "DNSifier" des ULA sans DHPCv6 statefull:
 1 - utiliser un 'interface identifier' fixe (avec 'ip token' ) sur les machines et faire du dns fixe
 1bis - on peut aussi simplement mettre l'IPv6 construite avec l'@ mac mais faudra l'adapter l'enregistrement si on change la carte réseau. dnsmasq peut faire cela automatiquement en utilisant le nom obtenu via IPv4  (option ra-names) mais avec des ULA cela a moins d’intérêt (cf A) c'est surtout utile avec des GUA en full dual-stack.
 2 - utiliser un script de mise a jour du DNS quand l'adresse SLAAC est configurée ou changée (il faut un serveur DNS qui supporte la mise a jour via API ou autre donc ca revient à faire du Dynamic DNS localement).
 3 - utiliser un serveur DHCPv6 statefull mais que pour certaines machines uniquement en activant un serveur DHCPv6 mais sans positionner le bit RA a M (il faut donc que les machines fassent une demande explicite DHCPv6 eux-meme, ceci peut-être en plus d'une adresse SLAAC). ca veut dire que sur le meme LAN, des machines seront en SLAAC normal et d'autres en DHCPv6 statefull ou meme les 2. On peut aussi limité le serveur DHCPv6 a ne donner que des baux statiques prédéterminés et rien d'autre (si on a 3 baux statiques: ::10, ::11; ::12 et on définit la plage DHCPv6 de ::10 a ::12 comme ca aucune autre machine ne pourra avoir une IPv6 via DHCPv6 mais ca revient a gérer des addresses MAC aussi donc autant faire 1bis)
 4  - relayer du mDNS dans le serveur DNS (c'est possible avec CoreDNS: https://github.com/openshift/coredns-mdns ) - attention toutefois a ne pas relayer des link-local hors du LAN, ca ne servira pas sur les autres LAN.

Le plus simple sur un petit LAN: c'est 1 sur les machines qui supportent "ip token" et 1bis pour les autres.

2. Dans le cadre d'un VPN en mode tap, qui, entre le serveur OpenVPN et le serveur dnsmasq (ou radvd, ou dhcpv6-pd, je ne me suis pas encore renseigné sur lesquels font quoi en IPv6), doit diffuser le préfixe ULA ?
J'ai cru comprendre qu'il ne pouvait y avoir qu'un diffuseur sur un lien de niveau 2, et donc dnsmasq me semble plus logique, afin que mon LAN perso puisse construire ses ULA même quand la liaison VPN tombe, mais cette répartition des rôles est très floue pour moi.
J'ai aussi lu qu'il faudrait en fait scinder le préfixe ULA en deux sous-réseaux, un diffusé par dnsmasq, l'autre par OpenVPN : mais je n'ai pas compris comment les deux sous-réseaux communiquent entre eux sans routage.

oui il faut du routage et faire des /64 dans le prefix ULA de ton choix.

Idéalement en site a site il faut du DHCPv6-PD entre les routeurs des sites distants et le routeur central.
Dans les cas de 3 sites, tu peux aussi faire a la main plutot que du DHCPv6-PD c'est plus simple.
L'annonce RA sur chaque LAN peut-etre fait avec un daemon radvd sur n'importe quel machine pas forcement celle qui fait le VPN (faut juste bien configurer le VPN au niveau routage).
Avec Wireguard c'est bien plus simple à faire qu'avec OpenVPN (avis perso).

3. Est-il possible d'empêcher un équipement donné (par exemple une caméra dont je souhaite qu'elle ne soit accessible qu'à travers un VPN et une ULA) d'obtenir une GUA ?

Les réponses à ces questions en amèneront sans doute d'autres, mais me permettraient déjà de voir plus clair dans ce que peut être un réseau IPv6 qui ne soit pas qu'une transposition de la logique IPv4.


Si la caméra s'auto-configure en SLAAC et qu'un prefix GUA est annoncé en RA non on ne pourra pas l’empêcher de se configurer une GUA .
Apres si elle n'utilise pas de randomisation de son IPv6 GUA tu peux la bloquer dans un firewall par exemple vu que son IPv6 GUA sera déterminable via sa MAC (idem méthode 1bis)
Sinon y'a des switch qui supportent le filtrage des RA si la caméra est  en réseau filaire ou tu peux la mettre dans un VLAN a part mais il faudra un autre prefix /64 ULA en plus pour ca.



brt80fr

  • Abonné Free fibre
  • *
  • Messages: 2
  • La Fouillouse (42)
IPv6, LAN et OpenVPN
« Réponse #2 le: 19 août 2021 à 10:17:40 »
Bonjour kgersen,

Merci beaucoup et pour les réponses, et pour les conseils. J'approfondis tout ça, et je reviens :)

Bonne journée,

Benoît