Auteur Sujet: IPv6 over IPv4 ipsec tunnel  (Lu 7132 fois)

0 Membres et 1 Invité sur ce sujet

yrousse

  • Expert
  • Abonné Bbox fibre
  • *
  • Messages: 181
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
IPv6 over IPv4 ipsec tunnel
« Réponse #12 le: 22 août 2016 à 15:51:27 »
Salut Vivien,

Non, pas encore…   :(
Du coup, je me suis attaqué à la réalisation d'un tunnel IPv6 over IPSEC over IPv4… entre mon Ubiquiti ER-X et ma Dedibox.
Je me demande encore pourquoi tellement je m'arrache le peu de cheveux qu'il me reste.  ;) Au moins je "ping6" depuis l'ER-X. Ça sent déjà la prouesse, moi je dis.  ::) D'autant que l'ER-X n'est pas prévu pour faire de l'IPv6 over IPSEC en natif depuis le CLI, il faut encapsuler (gre, vti, sit...) et je veux l'éviter compte tenu que StrongSwan sait le faire nativement. Mais j'ai un problème sur les routes dans le routeur ou le binding des interfaces plus probablement. Je cherche encore et j'ai sollicité le forum d'Ubiquiti.
Bref, j'espère que ça me rendra plus à même de résoudre ma perte de paquets sur mes machines clientes mentionnées plus haut… Je connais un peu mieux IPSEC à présent. Et si j'ai le même problème depuis l'ER-X, je pourrais regarder la config de ma Dedibox avec plus d'attention. Dans le cas contraire, je trollerai Apple pour une implèmentation défectueuse sur iOS et OSX. :) Un peu plus sérieusement, j'avais besoin d'avoir un "client" avec un OS différent, pour voir et là, c'est quasiment la même version de StrongSwan à chaque bout.
Et après tout ça, si je ne me suis pas suicidé de désespoir, je ferais un beau tuto.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
IPv6 over IPv4 ipsec tunnel
« Réponse #13 le: 22 août 2016 à 15:54:59 »
Pourquoi tu ne fais pas juste un tunnel gre avec de l'IPv6 dedans ? déjà que l'ER-X ne tient pas le giga, t'as pas peur de le mettre à genoux ?

yrousse

  • Expert
  • Abonné Bbox fibre
  • *
  • Messages: 181
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
IPv6 over IPv4 ipsec tunnel
« Réponse #14 le: 22 août 2016 à 16:18:15 »
Pourquoi tu ne fais pas juste un tunnel gre avec de l'IPv6 dedans ? déjà que l'ER-X ne tient pas le giga, t'as pas peur de le mettre à genoux ?
C'est justement pour éviter de charger mes headers que je veux éviter une encapsulation supplèmentaire. Car ce que tu proposes me ferait un joli IPv6 over GRE over IPSEC over IPv4. En revanche, je t'accorde volontiers qu'à partir du moment où j'ai une interface sur l'ER-X, ça simplifierai les choses pour peaufiner des routes, re-diriger des protocoles vers ce tunnel, etc…
Bon, j'ai effleuré la question de GRE, je l'avoue, à cause de l'inflation coté headers et parce que je voudrais éviter de poser une interface sur GRE sur la Dedibox. Plus ça reste simple sur une machine en remote, plus ça me plait. (et les docs de Shorewall ne sont pas très étendues sur la question)
Mais si c'est la solution pour forcer un binding d'IPSEC sur un tun0 de mon ER-X et qu'il arrête de me monopoliser mon interface LAN en IPv6, je prendrai la solution évidemment.

Un commentaire sur les perfs de l'ER-X: perso, ça me va largement. J'entends bien qu'il va avoir du mal à faire du Gigabit tout rond (bah, déjà vu du +900 Mbps sur un curl depuis mon Mac) mais ça me gênera que lors des concours "qui-a-la-plus-grosse". Concours auxquels je parsicipe bien volontiers. ;) 

yrousse

  • Expert
  • Abonné Bbox fibre
  • *
  • Messages: 181
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
IPv6 over IPv4 ipsec tunnel
« Réponse #15 le: 25 août 2016 à 03:03:10 »
Petit followup…
La bonne nouvelle: j'ai un tunnel IPv6 over IPSEC over IPv4 entre mon ER-X et ma Dedibox qui devient utilisable par mes clients LAN. Un iperf3 -c ping6.online.net me donne 235 Mbps depuis mon Mac.
Obligé quand même de m'éloigner de la config CLI de l'ER-X et de taper dans les .conf directement. C'est loin d'être idéal donc et sur certains détails, c'est pas très propre. Mais j'ai un prefix /64 servi chez moi et à 235 Mbps. Petite victoire.
En revanche, les retransmissions de paquets TCP sont toujours là. Donc je vais devoir regarder de près ma Dedibox.
« Modifié: 25 août 2016 à 03:31:38 par yrousse »

yrousse

  • Expert
  • Abonné Bbox fibre
  • *
  • Messages: 181
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
IPv6 over IPv4 ipsec tunnel
« Réponse #16 le: 04 février 2017 à 09:43:35 »
Petit followup…
La bonne nouvelle: j'ai un tunnel IPv6 over IPSEC over IPv4 entre mon ER-X et ma Dedibox qui devient utilisable par mes clients LAN. Un iperf3 -c ping6.online.net me donne 235 Mbps depuis mon Mac.
Obligé quand même de m'éloigner de la config CLI de l'ER-X et de taper dans les .conf directement. C'est loin d'être idéal donc et sur certains détails, c'est pas très propre. Mais j'ai un prefix /64 servi chez moi et à 235 Mbps. Petite victoire.
En revanche, les retransmissions de paquets TCP sont toujours là. Donc je vais devoir regarder de près ma Dedibox.
Juste pour continuer à mettre à jour ce sujet...
Si iperf passait très correctement en IPv6 via le tunnel IPSEC (ERX<>Dedibox), il m'avait pas été possible de résoudre mon problème de TCP Retransmissions. Au point que j'ai abandonné la "curieuse" idée d'avoir un prefix IPv6 @ home...
L'explication finale quant à mes difficultés est donnée dans le changelog de EdgeOS 1.9.1:
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-9-1/ba-p/1766160
Citer
Known issues
[IPSec] IPSec ofload on ER-X/ER-X-SFP/EP-R6 platforms is causing packet corruption of L2TP and IPV6 site-to-site VPN traffic. ... If you are using either L2TP or IPv6 site-to-site VPN then you should disable IPSEc offload:


Aujourd'hui, je me contente d'un IPSEC en IPv4 seulement, avec une config des plus basiques. Il me sert de tunnel depuis mon routeur (toujours l'ERX) vers mon propre Résolveur récursif posé sur une Dedibox et de VPN pour mes appareils mobiles.
Si/quand le bug affectant l'IPv6 en IPSEC offload aura disparu, on en reparlera. :)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
IPv6 over IPv4 ipsec tunnel
« Réponse #17 le: 04 février 2017 à 09:51:45 »
Sinon tu peux le faire passer par du GRE, c'est pas chiffré mais ça marche nickel.

yrousse

  • Expert
  • Abonné Bbox fibre
  • *
  • Messages: 181
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
IPv6 over IPv4 ipsec tunnel
« Réponse #18 le: 04 février 2017 à 10:28:39 »
Sinon tu peux le faire passer par du GRE, c'est pas chiffré mais ça marche nickel.
Salut Hugues. :)
En effet... Mais je veux chiffrer, par principe. Il m'a déjà été difficile de résister à la tentation de router tout mon traffic domestique via ce tunnel. ;)

Et je pourrais bien entendu faire un IPv6 over GRE/VTI over IPSEC over IPv4. Et sans m'exposer dans ce cas au bug, je pense.
Mais... j'ai toujours la même réticence que cet été, à savoir que je n'apprécie guère encapsuler à outrance. Je pinaille surment mais du IPv6 site-to-site over IPSEC me parait "élégant" et c'est ce que je veux faire. :)
Maintenant que le bug est connu, je vais m'armer de patience... (ou changer de solution quant au routeur local si ça n'avance pas)