Salut à tous.

Jusqu'à présent, quand j'ai besoin d'une adresse IPv6, c'est ma BOX SFR qui me l'attribue à partir de la délégation du préfixe de l'IPv6. Le serveur DHCPv6 ne me permet pas de mettre autre chose que cette délégation du préfixe IPv6. Toutes mes adresses IPv6 commencent par "2a02:8400::/24" puisque je suis chez SFR.

Je sais qu'il existe trois type d'adresse IPv6 : unicast, multicast et anycast.

I) L'adresse IPv6 que j'utilise à partir de ma BOX SFR se nomme "IPv6 Global Unicast". Sur le net, elle correspond à "2000::/3" et celle de SFR "2a02:8400::/24" qui se retrouve donc incluse. Aucun problème de compréhension à ce sujet.

II) Quand je vérifie par "ipconfig /all" (sous Windows) ou par "ifconfig -a" (sous Debian), je remarque aussi une adresse commençant par "fe80::/10". L'attribution se fait automatiquement, donc rien à faire de mon coté et il y en a toujours une par interface. C'est adresse IPv6 "fe80::/10" se nomme "Link Local Address" et comme elle est toujours présente, je m'en sers parfois. Pour être plus précis, cette adresse de lien locale est composée de "fe80:0000:0000:0000" sur 64 bits, suivie de l'adresse MAC de l'interface sur 64 bits aussi. Depuis mon ordinateur, que ce soit sous Windows ou sous Debian, je retrouve cette adresse LLA qui se nomme ici "Passerelle par défaut". Là aussi pas de problème de compréhension.

Si j'interroge le serveur DNS de ma BOX SFR en utilisant l'adresse LLA (fe80::/10), j'obtiens bien les renseignements que je recherche.

Question : a) Quand je déclare une interface IPv6 comme celles se nommant "Ethernet" ou "WiFi" que dois je mettre comme passerelle par défaut ? Celle commençant par "2a02:8400::/24" ou celle commençant par "fe80::/10" ? Est-ce que l'une fonctionne mieux que l'autre ?

Question : b) Si je veux faire la distinction entre une adresse IPv6 accédant à l'internet et une autre adresse IPv6 uniquement en local, dois je attribuer le même suffixe, c'est-à-dire l'adresse MAC et de faire la distinction pour l'une par la délégation du préfixe IPv6 et l'autre en mettant "fe80::/64" ?

Question : c) Le problème est l'organisation que je dois adopter pour configurer mes adresses IP. D'une part, entre celle ayant accès à l'internet et d'autre part celle uniquement en local. Sachant en plus que je dois aussi faire la distinction entre les différents VLAN que je désire implémenter dans mon réseau local. Il y aura le multimédia entre autre décodeur TV, téléviseur Samsung et stockage dans un NAS, le téléphone fixe, mobile et Zoiper5, la domotique qui est local mais manipulable par une interface accessible depuis internet et enfin tout ce qui est accessible à la navigation, donc l'internet.

III) Dans un autre sujet, je découvre les adresses IPv6 commençant part "fc00::/7" que l'on nomme "IPv6 Unique Local Address". D'après ce que j'ai pu comprendre, cela a presque le même comportement des adresses IPv4 en "10.0.0.0/8". C'est-à-dire le passage de l'adressage privée vers l'adresse public, qui sous IPv4 ne nomme "NAT44" et sous IPv6 "NAT66" (renommé NPTv6 {Network Prefix Translation}).

Question : d) Quelle est la différence entre LLA (fe80::/10) et ULA (fc00::/7) pour attribuer des adresses IPv6 locales ?

Question : e) Y-a-t-il une différence de comportement entre le LLA et l'ULA ?

Question : f) Dois-je utiliser l'ULA (fc::/7) pour l'attribution de mes adresses IPv6 en remplacement de celle qui sont en Global Unicast ? Cela sous entend que si la délégation du préfixe IPv6 vient à changer, l'attribution de mes adresses IP ne changent pas.

Je crois que Baslix a déjà abordé cette question dans la configuration de son réseau local puisqu'il ne veut plus avoir d'adresses IPv4 et de tout faire en IPv6. Pour l'instant, je n'en vois pas trop l'utilité car que ce soit par ma BOX SFR ou par ma configuration où je bypasse ma Box SFR, j'ai l'attribution d'adresses IPv4 et IPv6 qui fonctionnent bien. Ce qui me pose problème est de complexifier mon réseau par l'introduction du "NAT44" ou le "NAT66" pour gérer le passage des adresses privées aux adresses publics et vice-versa. Quand il n'y aura plus d'adresses IPv4, tout se fera en IPv6 et donc le "NAT44" ou le "NAT66" deviendront inutiles.

Mon but est de faire les choses proprement en gardant une certaine souplesse à l'usage et en essayant d'être indépendant de la délégation du préfixe IPv6 qui pourrait changer dans le temps.

Tant qu'il y a de l'iPv4, je conserve en l'état, mais je suppose que le jour où l'IPv4 va disparaitre, tout sera accessible par l'IPv6.

Question : g) Quel est l'intérêt de ne plus utiliser l'IPv4 dans son réseau local et de tout faire en IPv6 avec les adresses de types ULA (fc::/7) et le "NAT66" ?

Question : h) Je désire faire la distinction entre les adresses IPv6 communicante avec l'internet et celle restant dans mon réseau local. Dois je utiliser les adresses "fc00::/7" pour tout ce qui est local et "2a02:8400/24" pour ce qui est internet ? Les deux auront le même suffixe. C'est presque la même question que b) sauf que j'utilise en "fc00::/7" au lieu de "fe80::/7".

Par exemple, la domotique qui ne sera accessible directement qu'en local et où je dois passer par une interface WEB qui elle sera accessible depuis l'internet.

Question : i) Dans mes Raspberry, j'ai attribué une adresse IPv6 global unicast à l'interface WiFi pour l'accès à l'internet et comme j'ai un problème de stabilité du WiFi, j'attribue une adresse IPv6 LLA (fe80::/10) à l'interface éthernet car j'accède avec Putty en reliant un câble éthernet branché directement à mon Windows. N'y aurait-il pas une autre façon de procéder ?

--> Table des matières.

@+

Salut Pegasus38.

Pour accéder à des sites qui ne fonctionnent qu'en IPv6, par exemple.

Le MOOC Objectif IPv6 est ouvert à l'inscription sur la plateforme FUN MOOC. Excellent cours !

@artemus24:

Il faut déjà avoir acquis des connaissances théoriques en réseau, sinon, c'est incompréhensible.

IPv6 est une version améliorée du protocole IP. À nouveau, on peut bénéficier de la connectivité de bout en bout. Je n'ai pas lu les documents justifiant l'usage
des adresses locales au site (ULA). Les adresses locales au lien (LLA) sont utilisées sur un lien : leur portée est restreinte au domaine de diffusion. En d'autres
termes, elles ne permettent pas à deux machines situées sur des réseaux différents de communiquer. On a un pare-feu et d'autres dispositifs de sécurité pour
protéger ses machines : une ULA n'apporte pas de sécurité lorsqu'on est connecté à un réseau externe. NAT44 et NAT66, ces deux concepts sont particuliers,
il ne faut pas tout mélanger.

Salut Pegasus38.

Pour accéder à des sites qui ne fonctionnent qu'en IPv6, par exemple.

Jme mords les doigts car je retrouve plus son blog, mais un ingé, y'a quelques années, publiait sur son blog, et je m'étonnais que sur de l'ipv4, ça soit inaccessible ; il avait précisé dans un billet :

My website is ipv6 only ; the future, since a long time now ; if you can't access ipv6, just change your provider now

...sfr!

@Tous : J'aimerai bien que vous répondiez à mes interrogations plus que de venir polluer mon sujet.

@ Pju91 : je ne vois pas trop le rapport avec mon autre sujet, histoire de savoir pourquoi avez vous choisi tel ou tel FAI ? J'ai l'IPv6 qui est opérationnelle depuis que je suis chez SFR, soit depuis 2012.

Il faut déjà avoir acquis des connaissances théoriques en réseau, sinon, c'est incompréhensible.

Je ne recherche pas une formation dans les réseaux, mais juste à comprendre l'utilité des adresses ULA. Pour l'instant, l'utilité ne s'en fait pas sentir, peut-être un jour.

Les adresses locales au lien (LLA) sont utilisées sur un lien : leur portée est restreinte au domaine de diffusion. En d'autres termes, elles ne permettent pas à deux machines situées sur des réseaux différents de communiquer.

Je ne cherche pas à communiquer entre deux réseaux différents pour la simple raison que j'en ai qu'un seul et c'est déjà suffisant.

On a un pare-feu et d'autres dispositifs de sécurité pour protéger ses machines : une ULA n'apporte pas de sécurité lorsqu'on est connecté à un réseau externe.

Le pare-feu n'est pas le thème de ce sujet. Il n'est pas question, non plus, de mettre en place une sécurité, mais de savoir l'utilité des adresses ULA dans mon réseau local.

Une autre idée que je n'ai pas soulevée ici, est la relation entre le nom d'hôte utilisé localement et le type d'adressage utilisé. Quand j'utilise l'IPv6 pour accéder à mes raspberry, j'utilise un nom d'hôte, genre "E-RPi-4B-1.local" qui est local à mon réseau. Que dois je utiliser comme type d'adresse IPv6 ? Global Unicast puisque c'est le serveur DHCPv6 de la BOX qui l'attribue. C'est ce que je fais actuellement. Ou bien, dois je utiliser les adresses LLA ou ULA, puisqu'elles doivent rester dans le réseau local ?

99% des gens utilisent lIPv6 Global Unicast pour l'attribution de leurs adresses puisqu'ils passent par leur BOX alors que celles-ci dans la plupart des cas n'ont pas vocation à sortir de leur réseau local.

NAT44 et NAT66, ces deux concepts sont particuliers, il ne faut pas tout mélanger.

Je ne cherche pas à utiliser le NAT44 ou le NAT66, juste à comprendre comment se servir des adresses ULA (fc00::/7) et dans quel cas les utiliser.

...sfr!

Je ne vois pas ce que vient faire SFR dans ce sujet. Il est consacré aux adresses IPv6 ULA, pas aux FAI.

Quand je déclare une interface IPv6 comme celles se nommant "Ethernet" ou "WiFi" que dois je mettre comme passerelle par défaut ? Celle commençant par "2a02:8400::/24" ou celle commençant par "fe80::/10" ? Est-ce que l'une fonctionne mieux que l'autre ?

Les deux vont fonctionner. L'OS va effectuer une résolution MAC pour cette adresse, et envoyer les paquets qui ne peuvent être routés localement (sur l'hôte lui même ou directement sur une de ses interfaces) à cette adresse MAC.
Utiliser la link-local pour les routes est probablement plus "idiomatique" car les adresses link-local sont par définition cantonnées au segment Ethernet directement connecté à l'interface.

Si je veux faire la distinction entre une adresse IPv6 accédant à l'internet et une autre adresse IPv6 uniquement en local, dois je attribuer le même suffixe, c'est-à-dire l'adresse MAC et de faire la distinction pour l'une par la délégation du préfixe IPv6 et l'autre en mettant "fe80::/64" ?

Tu peux effectivement assigner le même host identifier (suffixe) à toutes les adresses assignées à une même interface si ca t'aide, mais je ne te le recommanderai pas. Laisse l'OS s'attribuer des GUA tout seul et faire sa rotation d'adresses à l'aide des privacy extensions.

Le problème est l'organisation que je dois adopter pour configurer mes adresses IP. D'une part, entre celle ayant accès à l'internet et d'autre part celle uniquement en local. Sachant en plus que je dois aussi faire la distinction entre les différents VLAN que je désire implémenter dans mon réseau local. Il y aura le multimédia entre autre décodeur TV, téléviseur Samsung et stockage dans un NAS, le téléphone fixe, mobile et Zoiper5, la domotique qui est local mais manipulable par une interface accessible depuis internet et enfin tout ce qui est accessible à la navigation, donc l'internet.

Pour t'éviter un casse tête interminable, il vaut bien mieux associer un /64 de ton /56 délégué à chacun de tes VLAN et laisser les machines s'auto-configurer dedans. Elles vont générer des GUA, probablement plusieurs, dont une dite "stable". C'est celle-ci qu'il faudrait utiliser pour se connecter à la machine. Tu peux soit la mettre dans le DNS, soit dans ton fichier /etc/hosts, soit .ssh/config, soit utiliser l'adresse littérale dans les applications.
Le traffic inter-VLAN passera par la gateway (de toute facon, il faut bien qu'il soit routé quelque part). Si un VLAN ne doit pas accéder à internet, ou doit être restreint dans son accès, utilise des règles de firewalling sur ce routeur.
Si tes VLAN représentent chacun un périmètre de sécurité, tes règles de firewall peuvent probablement utiliser les interfaces sources et destination plutôt que les adresses, ce qui permet de ne pas avoir à les retoucher lors d'un changement de /56 délégué.

Quelle est la différence entre LLA (fe80::/10) et ULA (fc00::/7) pour attribuer des adresses IPv6 locales ?

Les adresses ULA sont routables, les link-local ne le sont pas (i.e. les routeurs ne vont pas les forwarder).
Les préfixes ULA ne sont normalement pas routables en dehors d'une organisation (mais c'est arbitraire, il vaut mieux filtrer au niveau de ton firewall si vraiment tu veux t'en servir pour t'assurer de la non-routabilité vers/depuis internet), ne sont pas supposées être annoncées sur internet et ne sont pas nécessairement uniques.
Les GUA, quant-à-elles, sont routables partout et à priori uniques.

Y-a-t-il une différence de comportement entre le LLA et l'ULA ?

Les link-local ne vont pas traverser de routeur, comme indiqué plus haut. Les routeurs vont répondre avec un ICMP "beyond scope" et détruire le paquet.

Pour pouvoir les utiliser dans n'importe quelle application, il faut que l'application sache reconnaître les interface identifiers ajoutés à une adresse, par exemple "fe80::1%eth0". Certaines peuvent le faire (surtout dans le monde de l'open source), mais beaucoup, notamment certains navigateurs, ne les reconnaissent pas et essayent de résoudre le tout comme un hostname.
Tu t'éviteras beaucoup de petit soucis de compatibilité en utilisant des GUA/ULA uniquement.

Dois-je utiliser l'ULA (fc::/7) pour l'attribution de mes adresses IPv6 en remplacement de celle qui sont en Global Unicast ? Cela sous entend que si la délégation du préfixe IPv6 vient à changer, l'attribution de mes adresses IP ne changent pas.

Tu peux, et en effet, cela te confèrera un plan d'adressage stable dans le temps et indépendant de la présence ou de l'état de ta connexion internet.
En pratique, les préfixes délégués par les ISP sont très stables. J'ai pensé à le faire un temps, puis j'ai abandonné l'idée par souci de simplification.
Les adresses de mes machines sont dans le DNS (public). Si mon préfixe délégué change, je mets à jour le préfixe dans la zone DNS en question. Et je suppose qu'on pourrait faire la même chose avec un fichier hosts, sans DNS.

Quel est l'intérêt de ne plus utiliser l'IPv4 dans son réseau local et de tout faire en IPv6 avec les adresses de types ULA (fc::/7) et le "NAT66" ?

Je vais probablement un cran plus loin que Basilix sur mon LAN et tous ceux que je déploie (sauf LAN industriels ou le support d'IPv6 est... inexistant): je n'utilise que le préfixe délégué par l'opérateur sur le LAN. J'ai un NAT64 et DNS64 sur le routeur.
Les machines sont single stack IPv6 et accèdent à internet par le biais du NAT64. Certaines, comme les iphones et macs démarrent un CLAT local et s'attribuent 192.0.0.1 pour les rares applications qui n'ont pas été adaptées pour IPv6, ou pour celles qui utilisent des IPv4 littérales (spotify, il me semble).

L'avantage principal est que le réseau est super simple à administrer, à débugger et à comprendre. Un seul jeu de règles de firewalling, pas de souci de connectivité semi-fonctionnelle car une des deux stacks est cassée, des traceroute qui parlent, etc.

Je désire faire la distinction entre les adresses IPv6 communicante avec l'internet et celle restant dans mon réseau local. Dois je utiliser les adresses "fc00::/7" pour tout ce qui est local et "2a02:8400/24" pour ce qui est internet ? Les deux auront le même suffixe. C'est presque la même question que b) sauf que j'utilise en "fc00::/7" au lieu de "fe80::/7".
Par exemple, la domotique qui ne sera accessible directement qu'en local et où je dois passer par une interface WEB qui elle sera accessible depuis l'internet.

Si tu veux absolument posséder un second plan d'adressage local et indépendant au préfixe délégué par ton opérateur, oui, utilises ULA, c'est fait pour. Tu auras bien moins de problèmes de compatibilité qu'avec des LLA.
Mais encore une fois, si la volonté n'est que d'établir un périmètre de sécurité, il vaut mieux le faire avec des règles de firewalling sur le routeur et/ou les stations. Utiliser ULA pour éviter que le traffic ne sorte sur internet, c'est un peu répéter ce qui se fait avec le NAT en IPv4. Ca marchotte mais ce n'est pas vraiment efficace.

Dans mes Raspberry, j'ai attribué une adresse IPv6 global unicast à l'interface WiFi pour l'accès à l'internet et comme j'ai un problème de stabilité du WiFi, j'attribue une adresse IPv6 LLA (fe80::/10) à l'interface éthernet car j'accède avec Putty en reliant un câble éthernet branché directement à mon Windows. N'y aurait-il pas une autre façon de procéder ?

Le câble Ethernet, c'est juste le temps de rétablir la connexion wifi ? Si oui, scripter quelque chose qui fait ce job automatiquement peut être une bonne idée
Si non, câble directement les Rasperry en Ethernet, ca marchera toujours mieux qu'en wifi.

Tous les OS supportent aujourd'hui la résolution MDNS/bonjour (même microsoft s'y est mis, après des années à essayer de pousser son standard concurrent LLMNR, qui n'a pas pris). Ca peut être une alternative intéressante pour se connecter à des machines en utilisant leur hostname plutôt qu'en utilisant des adresses IP.
Sous Linux, il te faudra installer avahi-daemon.

Par exemple:
$ ping simon-nano.local
PING simon-nano.local(2a01:cb08:xxxx:xxxx:ba09:61bf:d4a2:d57a) 56 data bytes
64 bytes from 2a01:cb08:xxxx:xxxx:ba09:61bf:d4a2:d57a: icmp_seq=1 ttl=64 time=3.15 ms