J'aimerai que certains arrêtent cette condescendance continuelle pour la simple raison que l'on ne fait pas parti du sérail.

J'estime faire partie du sérail même si mes activités professionnelles m'ont éloigné de la spécialisation que je pouvais avoir il y a (très) longtemps dans le domaine des réseaux (avant la naissance de certains contributeurs habituels de ce forum).
Je pense que ce que certains ont tenté d'exprimer :

• IPv6 remplacera à terme IPv4, ne serait-ce que parce que la dimension actuelle d'Internet oblige à tout un tas de bricolages qui n'étaient pas prévus au départ (adressage privé, NAT, encapsulation ou autre)
• Ces techniques font perdre potentiellement en performance, lisibilité, possibilités d'interconnexion
  
• Les mécanismes de sécurité "périmétriques" (par exemple avec du NAT et des firewalls) sur lesquels certains misent exclusivement ne sont pas suffisants. Ils reposent sur le postulat (faux) que les méchants sont à l'extérieur et les gentils à l'intérieur. Seule une vraie "défense en profondeur" peut protéger.
  
• Avec la plupart des "box" (notamment FreeBox, c'est mon cas), tu n'as rien à faire pour bénéficier d'IPv6 "full" alors que ton réseau IPv4 peut être considéré comme "dégradé" (en adressage RFC 1918)
  
• Pour l'immense majorité des utilisateurs, dont les équipements sont principalement "clients" d'Internet, cette autoconfiguration est largement suffisante.
  
• Mais c'est tout à ton honneur de chercher à comprendre et expérimenter
  
• En ce qui me concerne, je n'ai pas le temps dont tu sembles disposer pour expérimenter. J'ai juste besoin que ma connexion Internet fonctionne (pour moi et pour le reste de la famille).
  

Pour en revenir à ta problématique, si la crainte est une renumérotation de préfixe et que tu cherches à reproduire ce qui se fait en IPv4+NAT (ce qui n'est pas forcément judicieux comme l'ont soulevé d'autres membres, peut être un peu maladroitement d'ailleurs, mais je soutiens l'envie de faire l'exercice)... ne serait-il pas plus simple pour toi de faire de la translation de préfixe sur le routeur ?

C'est bien ce qu'il veut faire à priori :

Si j'ai bien compris, les adresses IPv6 privées (ou interne) sont du type ULA (à l'identique du fonctionnement en IPv4), commençant par "fd00::/8". Donc en IPv6, je veux le même fonctionnement qu'en IPv4. Il me semble que c'est le NAT66 qui doit réaliser cela : translation préfixe IPv6 externe <--> préfixe IPv6 interne.

Je voudrais utiliser aussi bien dans le serveur DHCPv6 que dans le serveur DNSv6, les adresses privée (ou interne) IPv6, genre "fd70:abcd:effe:dcba:aaaa:bbbb:cccc:dddd" pour les attribuer à mes interfaces. Cette adresse ne bouge pas, mais c'est le NAT de l'IPv6 qui va faire la translation en remplaçant le préfixe IPv6 venant de l'extérieur par celui que j'utilise en interne, qui ici est "fd70:abcd:effe:dcba". C'est cette solution que j'aimerai mettre en place.

Ce besoin est tout à fait hypothétique. Combien de fois ton préfixe a déjà changé ?

Depuis que je suis chez SFR, en 2012, c'est la quatrième fois que la délégation du préfixe IPv6 a changé. La dernière fois, c'était en mars 2023 quand je suis passé en IPv4 Full Stack.

Là où je suis d'accord avec toi, ce n'est pas un réel besoin. Pour exemple, c'est passer d'une fermeture de ses volets manuellement en passant de pièce à pièce puis de les automatiser en appuyant sur une télécommande pour le faire depuis son canapé au salon. Je ne pense pas qu'il y quelque chose à redire sur cette évolution.

Personne ne t'as dit de laisser tomber les ULA pour des services locaux. Ce qui répond à ta demande et est facile à mettre en place.

Tu es peut-être un professionnel des réseaux, moi pas, et il y a des notions que je ne comprends pas. Pour l'aspect Routeur, je pense que c'est totalement opérationnel avec Debian et "systemd-network". Là où j'ai un peu plus de difficulté à mettre en oeuvre est de trouver la bonne application pour le serveur DHCPv4 & DHCPv6 ainsi que le serveur DNSv4 & DNSv6. J'ai déjà mis mon nez dans Bind9, et je le trouve compliqué et ne correspond pas à mon attente. Par ailleurs, j'ai hébergé mon nom de domaine chez AlwaysData et j'utilise le fichier de zones qui est déjà configuré pour mon usage personnel. Quand je parle DNS, je ne parle pas de ce type de fichier de zones, mais juste du couple (adresse IP ; nom d'Hôte) comme dans la BOX SFR. J'ai déjà configuré DNSMASQ pour un usage simple, avec GUA en statique. Mais j'ignore s'il est capable de gérer des préfixes dynamiques. Je ne sais pas comment gérer cela, à savoir un préfixe bidon dans l'adresse IPv6 statique de DNSMASQ, qui sera écrasé par RADVD, si celui-ci permet de faire cette translation. Ou bien, j'utilise les ULA partout dans mon réseau local, et c'est totalement transparent cette translation qui va se faire à un niveau supérieur des serveurs DHCP & DNS. C'est ça que je ne sais pas faire.

Un script c'est pas du bricolage. C'est juste une manière simple de répondre à ton problème.

Je comprends ton point de vue, mais cela reste une rustine pour résoudre un problème dont ne sait pas comment faire sans cette astuce.

J'ai plutôt l'impression que tout a été dit.

De ton point de vue à toi, oui, car tu as la connaissance de ce qu'il faut faire.
De mon point de vue, il me manque quelque chose pour finaliser ce que je veux faire, quitter à changer l'approche si cela ne convient pas.

De là à vouloir t'aider concrètement à monter une usine à gaz.

Utiliser RADVD n'est pas mettre en place une usine à gaz. C'est juste que je ne sais pas m'en servir sur ce que je veux faire, à la condition que cela fasse ce que je veux faire.

Merci Ppn_sd pour tes explications.

J'estime faire partie du sérail même si mes activités professionnelles m'ont éloigné de la spécialisation que je pouvais avoir

c'est comme le vélo, ça ne s'oublie pas.

(1) --> oui, je suis d'accord, à terme l'IPv4 va disparaitre. Je ne veux pas monter une usine à gaz pour gérer l'IPv4 à partir de l'IPv6 (NAT64). Cela n'a aucun intérêt que je le fasse à mon niveau.

(2) --> c'est le spécialiste qui parle. je veux bien mais en quoi il y aura une perte de performance ? Au niveau de la translation NAT66 : IPv6 <--> IPv6 ?

(3) --> je ne gère pas pour l'instant l'aspect sécurité qui se fera dans le firewall. Je dirai une chose après l'autre. L'aspect que j'essaye de bien gérer pour l'instant, sont le trafic et l'adressage.

(4) --> pas compris.

(5) --> si tu parles du SLAAC, oui, je suis d'accord, mais pas dans mon cas.

(6) --> je te remercie de reconnaitre que j'essaye tant bien que mal de faire des efforts de compréhension, même si parfois je suis maladroit dans ma façon de communiquer.

(7) --> j'ai tout le temps du monde pour expérimenter car je suis à la retraite. Ma connexion internet fonctionne très bien. Mon projet, comme déjà dit, est de bypasser la BOX SFR. J'ai déjà un semblant de routeur qui fonctionne puisque j'ai pu conserver le triple play. J'essaye juste de faire évoluer mon réseau.

Merci à tou Pju91.

Je crois que chez SFR c'est encore plus stable, mais je ne suis pas personnellement client.

Oui, c'est très stable. En fait, ces changements ont été liés aux changements d'offres.

Les ULA peuvent servir lorsqu'il n'y a pas de connectivité vers internet, et donc pas de préfixe délégué.

Comme dit précédemment dans mon VLAN 40, les ULA sont destinés à la domotique. Le flux doit rester dans le réseau local.

L'IPv6 est souvent activé par défaut chez SFR d'ailleurs, en tout cas, chez mes beaux parents, ca l'était.

Dans la BOX 8 SFR, il y a aussi un bouton pour activer l'IPv6. Je me souviens que je n'avais pas d'IPv6 d'activé quand j'ai reçu cette BOX.

Pour en revenir à ta problématique, si la crainte est une renumérotation de préfixe et que tu cherches à reproduire ce qui se fait en IPv4+NAT (ce qui n'est pas forcément judicieux comme l'ont soulevé d'autres membres, peut être un peu maladroitement d'ailleurs, mais je soutiens l'envie de faire l'exercice)... ne serait-il pas plus simple pour toi de faire de la translation de préfixe sur le routeur ?

Je reconnais que s'exprimer sur un sujet que l'on ne maitrise pas, est un exercice qui peut être mal compris par certains.
Oui, c'est bien de la translation de préfixe que je veux faire. Et je crois que cela se nomme NAT66.
C'est-à-dire "préfixe IPv6 externe ou WAN <--> préfixe IPv6 Interne ou LAN".
A ce niveau de compréhension, je ne sais pas si le préfixe reste inchangé dans mon LAN ou pas. J'aimerai un réponse à ce sujet.

Je m'explique :
- adressage ULA uniquement sur le LAN et entre tes VLAN,
- lorsqu'un paquet est émis par une machine, il est émis avec une adresse source ULA (puisque pas de GUA sur le LAN),
  - si ce paquet doit être routé vers internet par le routeur et si le firewall de ce dernier l'y autorise, le routeur remplace les 56 bits du préfixe ULA par les 56 bits du préfixe délégué par l'opérateur,
  - si ce paquet doit être routé vers un autre VLAN (adresse de destination ULA) et si le firewall du routeur l'y autorise, le routeur fait du forwarding classique (sans translation),
  - si ce paquet doit être routé vers le même VLAN, le routeur n'est pas impliqué.
- lorsqu'un paquet arrive d'internet à destination de ton /56 délégué, le routeur remplace ce /56 délégué par le /56 ULA et, si ses règles de firewalling l'y autorisent, route le paquet vers bon VLAN.

C'est exactement ce que je cherche à faire, si j'ai bien compris de quoi il s'agit.

Comme dit précédemment, les VLAN "10", VLAN "20" et VLAN "30-40" ne communiquent pas entre eux. Normalement, le VLAN 40 qui est la domotique doit communiquer avec l'internet uniquement au travers d'une interface WEB. L'ULA domotique n'a pas vocation à franchir le routeur pour se retrouver sur l'internet. Inversement, le VLAN 30 qui est l'internet doit être une ULA routable.

Si j'ai fait cette dissociation, c'est plus pour distinguer ce qui est routable de ce qui ne l'est pas. A vrai dire, faire deux VLAN (30 & 40) risque de me poser des problèmes. Je préfère un seul VLAN avec deux types d'ULA, routable et non routable. Est-il possible de faire cette distinction au niveau routeur ou RADVD ?

C'est du NAT, donc ca peut causer des problèmes de connectivité éventuels avec certaines applications p2p.

Je n'utilise pas le peer to peer.

Ceci dit, vu qu'il y a unicité des adresses (une adresse dans le préfixe ULA se voit mapper exactement une adresse dans le préfixe GUA, et vice versa), c'est bien moins problématique que le NAT IPv4. Et rien n'est modifié au dessus du niveau IP, contrairement au NAT IPv4.

Pour mon usage, tout ce qui est verticale, donc du routeur vers le périphérique et vice-versa est de type ULA routable, et doit franchir le routeur.
Tout ce qui est transversale, donc d'un périphérique vers un autre périphérique est du type ULA non routable et ne doit pas franchir le routeur.
Par exemple, un microcontrôleur ESP32 vers un ordinateur. L'ULA de l'ESP32 n'est pas routable, tandis que celle de l'ordinateur l'est.

Ca se combien bien (ou pas, en fonction de ce que tu veux) avec NAT64 sur le routeur, ce qui peut te permettre de désactiver IPv4 sur certains VLAN (ou sur tous, si les équipements sont compatibles) et te retrouver en single stack.

Je conserve le double Stack IPv4 & IPv6 indépendamment l'un de l'autre. Je ne modifie rien de ce qui existe déjà en IPv4. Ce sujet est consacré à la faisabilité de l'adressage IPv6 par des ULA en faisant la distinction entre ce qui est routable, de ce qui ne l'est pas. Mon problème si situe plus dans ce que j'essaye de faire dans les VLAN 30 (domotique) et VLAN 40 (internet).

Le mieux est que tu essayes les différentes stratégies. Rien n'est définitif, si le but est d'apprendre et de t'amuser, tu peux probablement tout casser et refaire plusieurs fois :-)

Rien de définitif pour l'instant, car je ne sais toujours pas comment débuter le problème. Est-ce que le NAT66 se gère par le radvd essentiellement ?

C'est bien ce qu'il veut faire à priori :

Tu as tout compris de ce que j'essaye de faire.

@+

Si j'ai fait cette dissociation, c'est plus pour distinguer ce qui est routable de ce qui ne l'est pas. A vrai dire, faire deux VLAN (30 & 40) risque de me poser des problèmes. Je préfère un seul VLAN avec deux types d'ULA, routable et non routable. Est-il possible de faire cette distinction au niveau routeur ou RADVD ?

Tu peux bloquer le routage entre les VLAN oui. Mais si tu ne veux aucun routage, autant utiliser uniquement les link local sur les périphériques concernés.

Je n'utilise pas le peer to peer.

Quand on dit P2P, ce n'est pas que le torrent. Par exemple, SIP est un protocole P2P de base qui ne passe pas le NAT sans modifications, car il écrit en dur les adresses (voilà pourquoi asterisk entre autres est aussi pénible à configurer lorsque du NAT est impliqué)

Est-ce que le NAT66 se gère par le radvd essentiellement ?

Nope, c'est iptables/netfilter qui s'occupe de ça avec une commande du type :
ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64

J'ai plutôt l'impression que tout a été dit. De là à vouloir t'aider concrètement à monter une usine à gaz.

Pour moi il manque 2/3 infos ou pistes à explorer :
- ip token set (https://www.linux.org/docs/man8/ip-token.html) pour fixer ... le suffixe de l'IPv6.
- Des solutions intéressantes pour mettre à jour le DNS à partir du serveur DHCP configuré en stateful ou stateless ; ou à partir du client (RFC 2136 ?)
- mDNS/Bonjour entre les VLANs et le comportement que ça soit en GUA, ULA ou LLA

Drôle de façon de considérer les choses. ce n'est pas la 1ere fois que tu as l'air de considérer que les gens dans ce forums doivent te fournir tes explications et des réponses. Ce n'est pas un service client payant et rien ici n'est du.

Je fréquente d'autres forums et la règle est l'entraide. Il n'y a aucune obligation à répondre aux questions posées, mais si on le fait, c'est dans le respect de celui qui cherche de l'aide. Pas du genre : "tu n'as qu'à faire une recherche sur le net et tu trouveras ce dont tu as besoin". Ou encore, "tu n'as rien compris, commence par te former et après on verra". C'est ce type de remarque qui fait sentir une discrimination envers ceux qui ne savent pas. C'est un manque de respect voilà tout.

Ma remarque stipule qu'il y a un minimum a apprendre soi-même si tu veux faire des trucs plus complexe qu'un réseau local d'un particulier lambda. Tout comme si tu débarque dans un club de foot sans connaitre au moins les règles du jeu tu vas en énerver plus d'un.

Parce que tu crois que je ne lis rien sur le net, que je ne fais aucun exercices, que j'attends une réponse toute faite, sans faire aucun effort. Et bien, tu te trompes à mon sujet.

Tu considères que le changement de préfix est un probleme et au lieu de chercher a 'vivre avec' tu cherche a reproduire des techniques d'IPv4 pour y palier.

Tu n'as rien compris de ce que j'ai dit jusqu'à présent. J'ai déjà mis en place le GUA et ça fonctionne parfaitement. Je cherche à faire évoluer mon réseau. Qu'est-ce que tu ne comprends pas dans ma remarque ?

Pose toi plutot la question en quoi le changement de préfix t'impacte et quelle(s) solution(s) il y a pour y pallier.

Et à ton avis, pourquoi j'ai créé ce sujet ? C'est exactement ce genre de questions que je me pose. Et en plus, tu me fais le reproche de ne pas me poser cette question. J'ai du mal à te suivre. Si tu ne fais pas l'effort de chercher à comprendre ceux qui intervienne dans ce forum, toute discussion avec toi est inutile. Je me pose même la question de ce que tu viens faire ici puisque tu n'as rien à dire d'intéressant ?

Mon approche et celle de beaucoup est d'arrêter de donner des conseils qui vont conduire les gens à faire des trucs compliquer pour rien, même si ca marche.

Alors pourquoi tu viens me faire la morale ? Si tu n'as rien à dire, pourquoi interviens tu ?

Le réseau doit être simple et juste router.

Mais qui t'a dit que mon réseau local était compliqué ? En fait, tu ne me connais pas, tu inventes des intentions que je n'ai pas, juste pour te justifier. D'accord, je suis un ignorant et toi un grand sage. Et cela nous mène où ?

Donc quand on dit "ne pas faire comme avec IPv4" ce n'est pas que sur les IPs mais sur l'ensemble du réseau.

J'ai l'impression que c'est un leitmotiv que tu répètes afin de te convaincre que tu as la bonne démarche. Si je dois me planter dans mon approche, laisse moi faire car c'est ainsi que je vais apprendre. Ce n'est pas en me disant que j'ai tort que j'arriverai à comprendre pourquoi j'ai tort.

Par exemple, SIP est un protocole P2P de base qui ne passe pas le NAT sans modifications, car il écrit en dur les adresses (voilà pourquoi asterisk entre autres est aussi pénible à configurer lorsque du NAT est impliqué)

Je suis arrivé à configurer Asterisk sans trop de problème et ça fonctionne. Je l'utilise avec les identifiants de ma ligne téléphonique SFR.
Il se peut qu'en introduisant ces ULA, je casse Asterisk. La solution ne serait-elle pas de l'isoler dans le VLAN 10 qui est consacré au téléphone ?
Autrement dit, segmenter le réseau afin de ne pas avoir des effets de bords.

Nope, c'est iptables/netfilter qui s'occupe de ça avec une commande du type :

Code: [Sélectionner]

ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64

J'étais à mille lieu d'imaginer que la solution était dans l'iptables/netfilter. Mille mercis car c'est ce que je recherchais comme information.

Et pour faire la distinction entre ce qui est routable, de ce qui ne l'est pas, j'ai juste à mettre autre chose que "fda3", comme par exemple "fda4".

Si tu utilises systemd-network, avec les options  [IPv6RoutePrefix]  et [IPv6SendRA], tu n'as pas forcément besoin de radvd.

Je pense ne pas avoir besoin de radvd, après le test que j'ai fait où il y avait l'ajout d'une adresse IPv6 de type SLAAC (stateless) dans l'interface réseau.
Oui, j'utilise déjà ces directives dans mes scripts "systemd-networkd" pour le GUA.

Je crois que j'ai bien progressé, surtout grâce aux dernières interventions de MM. Ppn_sd et Renaud07. Merci

Y plus qu'à tester ! C'est tout pour aujourd'hui.