J'ai pu tester d'une manière basique le NAT66 et ça fonctionne plutôt bien. Après réflexion, je trouve que mon approche est plutôt contraignante, pas adapté à ce que j'essaye de faire.
Mon erreur est de vouloir créer deux VLAN, la 30 et la 40, pour distinguer ce qui est routable (internet) de ce qui ne l'est pas (domotique). Cela me pose plus de problèmes que d'avantage. Dans une autre sujet, j'ai découvert les ULA que je ne connaissais pas, qui vont résoudre ce problème, à savoir des adresses qui restent locales. Après avoir testé le NAT66, je vais continuer à utiliser les GUA pour ce qui est routable et introduire les ULA pour ce qui n'est pas routable et bien sûr, fusionner mes deux VLAN en une seul. Le pilotage des IoT se fera au travers d'interface WEB où ces objets auront une ULA. Je ne pense pas qu'avoir deux types d'adresses IPv6 posent des problèmes dans leur gestion au sein de mon réseau local.
Je considère que le pare-feu (iptables ou son digne successeur nftables) sert à filtrer les flux entrants ou sortants, pour des questions de sécurités et je préfère mettre dans les scripts "systemd-networkd" tout ce qui concerne l'aspect routeur et les VLAN.
Je n'ai pas trop de problèmes de compréhension sur les adresses IPv6, juste que je ne maitrise pas trop encore sur ce qu'il faut faire et comment le faire. NON, je ne cherche pas à imiter l'IPv4 en faisant de l'IPv6. OUI, je conserve le double stack (IPv4 & IPv6). Je ne cherche pas non plus à reproduire ma BOX SFR sous Debian, sauf où je dois reproduire un contexte pour que le décodeur TV Plus SFR fonctionne dans de bonne condition. Je tiens à conserver le triplé (Adresse IP ; Adresse MAC ; nom d'Hôte) en utilisant DNSMASQ pour reproduire les serveurs DHCP & DNS. En dehors de cette application, je ne sais pas s'il en existe un autre pas trop compliqué à mettre en œuvre. J'ai déjà testé BIND9 mais je trouve qu'il est trop compliqué pour l'usage que je veux faire. Si c'est pour avoir un fichier de zones, mon domaine est hébergé chez AlwaysData et j'ai déjà tout ce qu'il me faut.
Quand l'IPv4 viendra à disparaitre, j'aviserai d'un changement dans mon organisation de mon réseau local. Je ne vois pas l'intérêt ou plutôt je n'ai pas l'utilité des DNS64/NAT64 pour mon réseau local.
Dans
ce sujet, la question a déjà été abordée :
Je fais du NAT66 sur mon routeur d'accès (CCR2004) pour passer des adresses ULA vers des adresses GUA lorsque le destinataire est hors de mon LAN. La règle NAT66 est mise à jour automatiquement à partir du préfixe Orange obtenu par DHCP6-PD
Tu as des VLAN ULA only donc ? C'est vraiment du NAT66 (paaaas bien) ou de la translation de préfixe ?
Ainsi que par Nscheffer :
Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas
Bref dans les deux cas je trouve que c'est pas top, des idées, des suggestions pour faire autrement ?
Je ne suis pas le seul à me poser des questions. Si je comprends bien, c'est moins un problème technique mais plus un problème de choix de comment bien configurer son réseau local.
En dehors de mes trois VLAN (10=Téléphone, 20=Multimédia et 30=Internet/Domotique), je ne sais pas s'il est possible d'en créer un autre pour bien gérer le trafic et s'il y a intérêt à segmenter mon réseau local. L'intérêt est d'isoler le trafic et de faire en sorte que les VLAN soient indépendants les uns des autres. Je pense avoir fait le tour de la question en revenant plus sur mon organisation que sur la modification technique de mon réseau.
Il est inutile de me taper dessus quand je dis une bêtise, où quand je fais quelque chose de technique que je ne devrais pas faire, car comme qui l'adage, l'erreur est humaine et je ne suis en aucune façon parfait. Il y a des concepts réseaux que je ne maitrise pas encore, voire même que je ne comprends pas, mais c'est en forgeant que l'on devient forgerons.
Si vous avez des suggestions à me fournir, je suis preneur. Je remercie tous les participants à ce sujet.
