La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: artemus24 le 15 octobre 2024 à 13:07:08
-
Salut à tous.
Jusqu'à présent, quand j'ai besoin d'une adresse IPv6, c'est ma BOX SFR qui me l'attribue à partir de la délégation du préfixe de l'IPv6. Le serveur DHCPv6 ne me permet pas de mettre autre chose que cette délégation du préfixe IPv6. Toutes mes adresses IPv6 commencent par "2a02:8400::/24" puisque je suis chez SFR.
Je sais qu'il existe trois type d'adresse IPv6 : unicast, multicast et anycast.
I) L'adresse IPv6 que j'utilise à partir de ma BOX SFR se nomme "IPv6 Global Unicast". Sur le net, elle correspond à "2000::/3" et celle de SFR "2a02:8400::/24" qui se retrouve donc incluse. Aucun problème de compréhension à ce sujet.
II) Quand je vérifie par "ipconfig /all" (sous Windows) ou par "ifconfig -a" (sous Debian), je remarque aussi une adresse commençant par "fe80::/10". L'attribution se fait automatiquement, donc rien à faire de mon coté et il y en a toujours une par interface. C'est adresse IPv6 "fe80::/10" se nomme "Link Local Address" et comme elle est toujours présente, je m'en sers parfois. Pour être plus précis, cette adresse de lien locale est composée de "fe80:0000:0000:0000" sur 64 bits, suivie de l'adresse MAC de l'interface sur 64 bits aussi. Depuis mon ordinateur, que ce soit sous Windows ou sous Debian, je retrouve cette adresse LLA qui se nomme ici "Passerelle par défaut". Là aussi pas de problème de compréhension.
Si j'interroge le serveur DNS de ma BOX SFR en utilisant l'adresse LLA (fe80::/10), j'obtiens bien les renseignements que je recherche.
Question : a) Quand je déclare une interface IPv6 comme celles se nommant "Ethernet" ou "WiFi" que dois je mettre comme passerelle par défaut ? Celle commençant par "2a02:8400::/24" ou celle commençant par "fe80::/10" ? Est-ce que l'une fonctionne mieux que l'autre ?
Question : b) Si je veux faire la distinction entre une adresse IPv6 accédant à l'internet et une autre adresse IPv6 uniquement en local, dois je attribuer le même suffixe, c'est-à-dire l'adresse MAC et de faire la distinction pour l'une par la délégation du préfixe IPv6 et l'autre en mettant "fe80::/64" ?
Question : c) Le problème est l'organisation que je dois adopter pour configurer mes adresses IP. D'une part, entre celle ayant accès à l'internet et d'autre part celle uniquement en local. Sachant en plus que je dois aussi faire la distinction entre les différents VLAN que je désire implémenter dans mon réseau local. Il y aura le multimédia entre autre décodeur TV, téléviseur Samsung et stockage dans un NAS, le téléphone fixe, mobile et Zoiper5, la domotique qui est local mais manipulable par une interface accessible depuis internet et enfin tout ce qui est accessible à la navigation, donc l'internet.
III) Dans un autre sujet, je découvre les adresses IPv6 commençant part "fc00::/7" que l'on nomme "IPv6 Unique Local Address". D'après ce que j'ai pu comprendre, cela a presque le même comportement des adresses IPv4 en "10.0.0.0/8". C'est-à-dire le passage de l'adressage privée vers l'adresse public, qui sous IPv4 ne nomme "NAT44" et sous IPv6 "NAT66" (renommé NPTv6 {Network Prefix Translation}).
Question : d) Quelle est la différence entre LLA (fe80::/10) et ULA (fc00::/7) pour attribuer des adresses IPv6 locales ?
Question : e) Y-a-t-il une différence de comportement entre le LLA et l'ULA ?
Question : f) Dois-je utiliser l'ULA (fc::/7) pour l'attribution de mes adresses IPv6 en remplacement de celle qui sont en Global Unicast ? Cela sous entend que si la délégation du préfixe IPv6 vient à changer, l'attribution de mes adresses IP ne changent pas.
Je crois que Baslix a déjà abordé cette question dans la configuration de son réseau local puisqu'il ne veut plus avoir d'adresses IPv4 et de tout faire en IPv6. Pour l'instant, je n'en vois pas trop l'utilité car que ce soit par ma BOX SFR ou par ma configuration où je bypasse ma Box SFR, j'ai l'attribution d'adresses IPv4 et IPv6 qui fonctionnent bien. Ce qui me pose problème est de complexifier mon réseau par l'introduction du "NAT44" ou le "NAT66" pour gérer le passage des adresses privées aux adresses publics et vice-versa. Quand il n'y aura plus d'adresses IPv4, tout se fera en IPv6 et donc le "NAT44" ou le "NAT66" deviendront inutiles.
Mon but est de faire les choses proprement en gardant une certaine souplesse à l'usage et en essayant d'être indépendant de la délégation du préfixe IPv6 qui pourrait changer dans le temps.
Tant qu'il y a de l'iPv4, je conserve en l'état, mais je suppose que le jour où l'IPv4 va disparaitre, tout sera accessible par l'IPv6.
Question : g) Quel est l'intérêt de ne plus utiliser l'IPv4 dans son réseau local et de tout faire en IPv6 avec les adresses de types ULA (fc::/7) et le "NAT66" ?
Question : h) Je désire faire la distinction entre les adresses IPv6 communicante avec l'internet et celle restant dans mon réseau local. Dois je utiliser les adresses "fc00::/7" pour tout ce qui est local et "2a02:8400/24" pour ce qui est internet ? Les deux auront le même suffixe. C'est presque la même question que b) sauf que j'utilise en "fc00::/7" au lieu de "fe80::/7".
Par exemple, la domotique qui ne sera accessible directement qu'en local et où je dois passer par une interface WEB qui elle sera accessible depuis l'internet.
Question : i) Dans mes Raspberry, j'ai attribué une adresse IPv6 global unicast à l'interface WiFi pour l'accès à l'internet et comme j'ai un problème de stabilité du WiFi, j'attribue une adresse IPv6 LLA (fe80::/10) à l'interface éthernet car j'accède avec Putty en reliant un câble éthernet branché directement à mon Windows. N'y aurait-il pas une autre façon de procéder ?
--> Table des matières (http://livre.g6.asso.fr/index.php/Table_des_mati%C3%A8res).
@+
-
Jusqu'à présent, quand j'ai besoin d'une adresse IPv6
Salut, tu pourrais nous dire à quel moment tu en as besoin ? Car je n'ai jamais utilisé l'ipv6 de ma vie sauf sur ma ligne mobile Orange, et je n'en ai jamais eu besoin.
-
Salut Pegasus38.
Pour accéder à des sites qui ne fonctionnent qu'en IPv6, par exemple.
-
Pour accéder à des sites qui ne fonctionnent qu'en IPv6, par exemple.
Sans rien configurer (et pour revenir à ton autre fil sur le choix d'un FAI (https://lafibre.info/bistro-sujet-libre/quel-fai-choisir-et-pour-quelle-raison/msg1090132/#msg1090132)), j'accède à des sites en IPv6, comme lafibre.info et beaucoup d'autres, à commencer par les services Google. Je n'ai rien eu de particulier à configurer sur la FreeBox.
-
Le MOOC Objectif IPv6 est ouvert à l'inscription sur la plateforme FUN MOOC. Excellent cours !
@artemus24:
Il faut déjà avoir acquis des connaissances théoriques en réseau, sinon, c'est incompréhensible.
IPv6 est une version améliorée du protocole IP. À nouveau, on peut bénéficier de la connectivité de bout en bout. Je n'ai pas lu les documents justifiant l'usage
des adresses locales au site (ULA). Les adresses locales au lien (LLA) sont utilisées sur un lien : leur portée est restreinte au domaine de diffusion. En d'autres
termes, elles ne permettent pas à deux machines situées sur des réseaux différents de communiquer. On a un pare-feu et d'autres dispositifs de sécurité pour
protéger ses machines : une ULA n'apporte pas de sécurité lorsqu'on est connecté à un réseau externe. NAT44 et NAT66, ces deux concepts sont particuliers,
il ne faut pas tout mélanger.
-
Salut, tu pourrais nous dire à quel moment tu en as besoin ? Car je n'ai jamais utilisé l'ipv6 de ma vie sauf sur ma ligne mobile Orange, et je n'en ai jamais eu besoin.
Si tu as déjà voulu accéder à un site et que ça t'as affiché connexion échouée immédiatement, t'es probablement tombé sur un site ipv6 only.
Essaies la weathermap de milkywan pour voir : https://weathermap.milkywan.fr/milkywan.html
Mais vu que t'es chez Free tu dois déjà utiliser ipv6 depuis un bout de temps, ou tu l'as désactivé explicitement ?
-
Salut Pegasus38.
Pour accéder à des sites qui ne fonctionnent qu'en IPv6, par exemple.
Jme mords les doigts car je retrouve plus son blog, mais un ingé, y'a quelques années, publiait sur son blog, et je m'étonnais que sur de l'ipv4, ça soit inaccessible ; il avait précisé dans un billet :
My website is ipv6 only ; the future, since a long time now ; if you can't access ipv6, just change your provider now
...sfr!
-
Si tu as déjà voulu accéder à un site et que ça t'as affiché connexion échouée immédiatement, t'es probablement tombé sur un site ipv6 only.
Essaies la weathermap de milkywan pour voir : https://weathermap.milkywan.fr/milkywan.html
Mais vu que t'es chez Free tu dois déjà utiliser ipv6 depuis un bout de temps, ou tu l'as désactivé explicitement ?
Je passe par un UDM de ubiquiti j'ai enlevé l'ipv6... J'ai jamais eu un seul echec sauf le lien que tu m'as envoyé
-
@Tous : J'aimerai bien que vous répondiez à mes interrogations plus que de venir polluer mon sujet.
@ Pju91 : je ne vois pas trop le rapport avec mon autre sujet, histoire de savoir pourquoi avez vous choisi tel ou tel FAI ? J'ai l'IPv6 qui est opérationnelle depuis que je suis chez SFR, soit depuis 2012.
Il faut déjà avoir acquis des connaissances théoriques en réseau, sinon, c'est incompréhensible.
Je ne recherche pas une formation dans les réseaux, mais juste à comprendre l'utilité des adresses ULA. Pour l'instant, l'utilité ne s'en fait pas sentir, peut-être un jour.
Les adresses locales au lien (LLA) sont utilisées sur un lien : leur portée est restreinte au domaine de diffusion. En d'autres termes, elles ne permettent pas à deux machines situées sur des réseaux différents de communiquer.
Je ne cherche pas à communiquer entre deux réseaux différents pour la simple raison que j'en ai qu'un seul et c'est déjà suffisant.
On a un pare-feu et d'autres dispositifs de sécurité pour protéger ses machines : une ULA n'apporte pas de sécurité lorsqu'on est connecté à un réseau externe.
Le pare-feu n'est pas le thème de ce sujet. Il n'est pas question, non plus, de mettre en place une sécurité, mais de savoir l'utilité des adresses ULA dans mon réseau local.
Une autre idée que je n'ai pas soulevée ici, est la relation entre le nom d'hôte utilisé localement et le type d'adressage utilisé. Quand j'utilise l'IPv6 pour accéder à mes raspberry, j'utilise un nom d'hôte, genre "E-RPi-4B-1.local" qui est local à mon réseau. Que dois je utiliser comme type d'adresse IPv6 ? Global Unicast puisque c'est le serveur DHCPv6 de la BOX qui l'attribue. C'est ce que je fais actuellement. Ou bien, dois je utiliser les adresses LLA ou ULA, puisqu'elles doivent rester dans le réseau local ?
99% des gens utilisent lIPv6 Global Unicast pour l'attribution de leurs adresses puisqu'ils passent par leur BOX alors que celles-ci dans la plupart des cas n'ont pas vocation à sortir de leur réseau local.
NAT44 et NAT66, ces deux concepts sont particuliers, il ne faut pas tout mélanger.
Je ne cherche pas à utiliser le NAT44 ou le NAT66, juste à comprendre comment se servir des adresses ULA (fc00::/7) et dans quel cas les utiliser.
...sfr!
Je ne vois pas ce que vient faire SFR dans ce sujet. Il est consacré aux adresses IPv6 ULA, pas aux FAI.
-
Je ne cherche pas à utiliser le NAT44 ou le NAT66, juste à comprendre comment se servir des adresses ULA (fc00::/7) et dans quel cas les utiliser.
Usage complètement anecdotique.
J'en vois personnellement 2, dont un que j'utilise:
- Déploiement d'un réseau IPv6 routé (donc plusieurs (V)LANs avec des routeurs entre eux) mais sans accès à Internet. S'il n'y a pas de routage (L3) mais uniquement de la commutation de paquets (L2), alors les adresses LL sont suffisantes
- Déploiement d'une infrastructure DNS interne stable quand le préfixe opérateur change potentiellement
Je vais revenir sur la deuxième raison parce que c'est celle que j'ai déployée:
- Je suis chez Orange, mon préfixe IPv6 est stable mais non fixe
- J'héberge des services uniquement internes (donc pas sur Internet), accessibles via un nom de domaine perso, genre serviceName.zoc.xxx. J'ai donc un serveur DNS interne autoritaire pour le domaine zoc.xxx
- Si je mets des adresses GUA dérivées de mon préfixe Orange dans ma zone zoc.xxx, alors à chaque fois que le préfixe change je dois modifier le fichier de la zone
- Si j'attribue des adresses ULA, dont le préfixe ne changera jamais, à mes machines, alors je peux mettre ces adresses dans les enregistrements AAAA de ma zone, ce qui m'évite sa modification à chaque changement de préfixe Orange
Maintenant, concernant la distribution des adresses ULA. J'utilise tout simplement la même mécanique que pour les adresses GUA: SLAAC. Avec radvd sous linux ça revient à configurer 2 préfixes /64 pour la même interface:
- 1 GUA (qui peut changer, mais modifier dynamiquement la configuration de radvd est bien plus simple que de changer le contenu d'une zone DNS). C'est d'ailleurs encore plus simple sur mon routeur Mikrotik où ça se résume à un script d'une ligne..., et
- 1 ULA qui ne change jamais (techniquement je pourrais aussi assigner les IPv6 du préfixe ULA de manière statique aux machines, mais on perd en souplesse).
Bref, quand on a une box opérateur avec un seul (V)LAN, l'utilité des adresses ULA est nulle. Et sa mise en oeuvre compliquée hors affectation statique d'adresses sur chaque machine concernée.
-
Quand je déclare une interface IPv6 comme celles se nommant "Ethernet" ou "WiFi" que dois je mettre comme passerelle par défaut ? Celle commençant par "2a02:8400::/24" ou celle commençant par "fe80::/10" ? Est-ce que l'une fonctionne mieux que l'autre ?
Les deux vont fonctionner. L'OS va effectuer une résolution MAC pour cette adresse, et envoyer les paquets qui ne peuvent être routés localement (sur l'hôte lui même ou directement sur une de ses interfaces) à cette adresse MAC.
Utiliser la link-local pour les routes est probablement plus "idiomatique" car les adresses link-local sont par définition cantonnées au segment Ethernet directement connecté à l'interface.
Si je veux faire la distinction entre une adresse IPv6 accédant à l'internet et une autre adresse IPv6 uniquement en local, dois je attribuer le même suffixe, c'est-à-dire l'adresse MAC et de faire la distinction pour l'une par la délégation du préfixe IPv6 et l'autre en mettant "fe80::/64" ?
Tu peux effectivement assigner le même host identifier (suffixe) à toutes les adresses assignées à une même interface si ca t'aide, mais je ne te le recommanderai pas. Laisse l'OS s'attribuer des GUA tout seul et faire sa rotation d'adresses à l'aide des privacy extensions.
Le problème est l'organisation que je dois adopter pour configurer mes adresses IP. D'une part, entre celle ayant accès à l'internet et d'autre part celle uniquement en local. Sachant en plus que je dois aussi faire la distinction entre les différents VLAN que je désire implémenter dans mon réseau local. Il y aura le multimédia entre autre décodeur TV, téléviseur Samsung et stockage dans un NAS, le téléphone fixe, mobile et Zoiper5, la domotique qui est local mais manipulable par une interface accessible depuis internet et enfin tout ce qui est accessible à la navigation, donc l'internet.
Pour t'éviter un casse tête interminable, il vaut bien mieux associer un /64 de ton /56 délégué à chacun de tes VLAN et laisser les machines s'auto-configurer dedans. Elles vont générer des GUA, probablement plusieurs, dont une dite "stable". C'est celle-ci qu'il faudrait utiliser pour se connecter à la machine. Tu peux soit la mettre dans le DNS, soit dans ton fichier /etc/hosts, soit .ssh/config, soit utiliser l'adresse littérale dans les applications.
Le traffic inter-VLAN passera par la gateway (de toute facon, il faut bien qu'il soit routé quelque part). Si un VLAN ne doit pas accéder à internet, ou doit être restreint dans son accès, utilise des règles de firewalling sur ce routeur.
Si tes VLAN représentent chacun un périmètre de sécurité, tes règles de firewall peuvent probablement utiliser les interfaces sources et destination plutôt que les adresses, ce qui permet de ne pas avoir à les retoucher lors d'un changement de /56 délégué.
Quelle est la différence entre LLA (fe80::/10) et ULA (fc00::/7) pour attribuer des adresses IPv6 locales ?
Les adresses ULA sont routables, les link-local ne le sont pas (i.e. les routeurs ne vont pas les forwarder).
Les préfixes ULA ne sont normalement pas routables en dehors d'une organisation (mais c'est arbitraire, il vaut mieux filtrer au niveau de ton firewall si vraiment tu veux t'en servir pour t'assurer de la non-routabilité vers/depuis internet), ne sont pas supposées être annoncées sur internet et ne sont pas nécessairement uniques.
Les GUA, quant-à-elles, sont routables partout et à priori uniques.
Y-a-t-il une différence de comportement entre le LLA et l'ULA ?
Les link-local ne vont pas traverser de routeur, comme indiqué plus haut. Les routeurs vont répondre avec un ICMP "beyond scope" et détruire le paquet.
Pour pouvoir les utiliser dans n'importe quelle application, il faut que l'application sache reconnaître les interface identifiers ajoutés à une adresse, par exemple "fe80::1%eth0". Certaines peuvent le faire (surtout dans le monde de l'open source), mais beaucoup, notamment certains navigateurs, ne les reconnaissent pas et essayent de résoudre le tout comme un hostname.
Tu t'éviteras beaucoup de petit soucis de compatibilité en utilisant des GUA/ULA uniquement.
Dois-je utiliser l'ULA (fc::/7) pour l'attribution de mes adresses IPv6 en remplacement de celle qui sont en Global Unicast ? Cela sous entend que si la délégation du préfixe IPv6 vient à changer, l'attribution de mes adresses IP ne changent pas.
Tu peux, et en effet, cela te confèrera un plan d'adressage stable dans le temps et indépendant de la présence ou de l'état de ta connexion internet.
En pratique, les préfixes délégués par les ISP sont très stables. J'ai pensé à le faire un temps, puis j'ai abandonné l'idée par souci de simplification.
Les adresses de mes machines sont dans le DNS (public). Si mon préfixe délégué change, je mets à jour le préfixe dans la zone DNS en question. Et je suppose qu'on pourrait faire la même chose avec un fichier hosts, sans DNS.
Quel est l'intérêt de ne plus utiliser l'IPv4 dans son réseau local et de tout faire en IPv6 avec les adresses de types ULA (fc::/7) et le "NAT66" ?
Je vais probablement un cran plus loin que Basilix sur mon LAN et tous ceux que je déploie (sauf LAN industriels ou le support d'IPv6 est... inexistant): je n'utilise que le préfixe délégué par l'opérateur sur le LAN. J'ai un NAT64 et DNS64 sur le routeur.
Les machines sont single stack IPv6 et accèdent à internet par le biais du NAT64. Certaines, comme les iphones et macs démarrent un CLAT local et s'attribuent 192.0.0.1 pour les rares applications qui n'ont pas été adaptées pour IPv6, ou pour celles qui utilisent des IPv4 littérales (spotify, il me semble).
L'avantage principal est que le réseau est super simple à administrer, à débugger et à comprendre. Un seul jeu de règles de firewalling, pas de souci de connectivité semi-fonctionnelle car une des deux stacks est cassée, des traceroute qui parlent, etc.
Je désire faire la distinction entre les adresses IPv6 communicante avec l'internet et celle restant dans mon réseau local. Dois je utiliser les adresses "fc00::/7" pour tout ce qui est local et "2a02:8400/24" pour ce qui est internet ? Les deux auront le même suffixe. C'est presque la même question que b) sauf que j'utilise en "fc00::/7" au lieu de "fe80::/7".
Par exemple, la domotique qui ne sera accessible directement qu'en local et où je dois passer par une interface WEB qui elle sera accessible depuis l'internet.
Si tu veux absolument posséder un second plan d'adressage local et indépendant au préfixe délégué par ton opérateur, oui, utilises ULA, c'est fait pour. Tu auras bien moins de problèmes de compatibilité qu'avec des LLA.
Mais encore une fois, si la volonté n'est que d'établir un périmètre de sécurité, il vaut mieux le faire avec des règles de firewalling sur le routeur et/ou les stations. Utiliser ULA pour éviter que le traffic ne sorte sur internet, c'est un peu répéter ce qui se fait avec le NAT en IPv4. Ca marchotte mais ce n'est pas vraiment efficace.
Dans mes Raspberry, j'ai attribué une adresse IPv6 global unicast à l'interface WiFi pour l'accès à l'internet et comme j'ai un problème de stabilité du WiFi, j'attribue une adresse IPv6 LLA (fe80::/10) à l'interface éthernet car j'accède avec Putty en reliant un câble éthernet branché directement à mon Windows. N'y aurait-il pas une autre façon de procéder ?
Le câble Ethernet, c'est juste le temps de rétablir la connexion wifi ? Si oui, scripter quelque chose qui fait ce job automatiquement peut être une bonne idée :)
Si non, câble directement les Rasperry en Ethernet, ca marchera toujours mieux qu'en wifi.
Tous les OS supportent aujourd'hui la résolution MDNS/bonjour (même microsoft s'y est mis, après des années à essayer de pousser son standard concurrent LLMNR, qui n'a pas pris). Ca peut être une alternative intéressante pour se connecter à des machines en utilisant leur hostname plutôt qu'en utilisant des adresses IP.
Sous Linux, il te faudra installer avahi-daemon.
Par exemple:
$ ping simon-nano.local
PING simon-nano.local(2a01:cb08:xxxx:xxxx:ba09:61bf:d4a2:d57a) 56 data bytes
64 bytes from 2a01:cb08:xxxx:xxxx:ba09:61bf:d4a2:d57a: icmp_seq=1 ttl=64 time=3.15 ms
-
@ Pju91 : je ne vois pas trop le rapport avec mon autre sujet, histoire de savoir pourquoi avez vous choisi tel ou tel FAI ? J'ai l'IPv6 qui est opérationnelle depuis que je suis chez SFR, soit depuis 2012.
2 raisons :
- IPv6 ne marchait pas (plus) avec K-Net que j'ai quitté comme expliqué dans l'autre fil pour passer sur Free.
- pour mon usage "standard" la configuration de base des box opérateurs suffit pour profiter pleinement d'IPv6. Je ne comprends pas pourquoi tu te poses toutes ces questions pour ton cas d'usage qui semble également plutôt simple.
Regarde les adresses IP acquises "automatiquement" sur tes différentes interfaces, en "scope global" et en "scope link".
Tu peux utiliser pour ça $ ip a sur Linux (et $ ip r).
Exemple dans mon cas, eno1 et wlo1 sont les 2 interfaces, Ethernet et WiFi, d'une machine Linux, les variables nw, e et w sont utilisées pour masquer une partie des adresses globales obtenues.
$ (ip a show dev eno1; ip a show dev wlo1)|grep "inet6.*global"|sed -e "s/$nw/NNNN/;s/$e/EEEE/;s/$w/WWWW/"
inet6 2a01:e0a:cb0:NNNN:dd1e:2b1:c84e:EEEE/64 scope global dynamic noprefixroute
inet6 2a01:e0a:cb0:NNNN:e2d0:205e:f250:WWWW/64 scope global dynamic noprefixroute
-
@artemus24 :
Je trouve cela un peu trop facile de poser des questions sans se former (sans faire travailler son cyboulot). Et ensuite de s'indigner parce que tu n'as pas les réponses voulues.
Je ne cherche pas à communiquer entre deux réseaux différents pour la simple raison que j'en ai qu'un seul et c'est déjà suffisant.
Je n'ai pas encore la berlue.
Sachant en plus que je dois aussi faire la distinction entre les différents VLANs que je désire implémenter dans mon réseau local. Il y aura le multimédia entre autre décodeur TV, téléviseur Samsung et stockage dans un NAS, le téléphone fixe, mobile et Zoiper5, la domotique qui est local mais manipulable par une interface accessible depuis internet et enfin tout ce qui est accessible à la navigation, donc l'internet.
Tu ne comprends rien à ce qu'on raconte. Normal ! J'insiste, il faut avoir des connaissances au préalable.
Mais je vais arrêter d'insister et ne pas passer pour un chiant !!
-
Vous voulez pas tous désactiver l'ipv6 ? Vous verrez ça changera rien à vos vies... Au contraire ça va la simplifier
-
Vous voulez pas tous désactiver l'ipv6 ? Vous verrez ça changera rien à vos vies... Au contraire ça va la simplifier
Heh, je me doutes bien que tu troll, mais faire ce que tu suggères me ferait probablement quitter l'IT. J'ai perdu trop de cheveux aux NAT et la qualité du réseau IPv4 diminue à vue d'oeil.
-
J'étais très sérieux, donne moi un avantage aujourd'hui à activer l'ipv6 ? Hormis rajouter une couche de plus à paramétrer.
Le jour où tous les 4 FAI fibre/mobile proposeront l'ipv6, là ok j'activerais personnellement pour participer à la transition.
-
J'étais très sérieux, donne moi un avantage aujourd'hui à activer l'ipv6 ? Hormis rajouter une couche de plus à paramétrer.
Le jour où tous les 4 FAI fibre/mobile proposeront l'ipv6, là ok j'activerais personnellement pour participer à la transition.
avoir du vert sur ip.lafibre.info et dans le cartouche des pages :D
plus sérieusement, dans mon cas, ça me permet d'avoir un service sur le même port sur deux machines différentes de mon réseau local accessibles de l'extérieur. Avec ipv4 et NAT, c'est plus compliqué.
-
Je ne recommanderais pas de désactiver IPv6 . y'a rien a paramétrer en plus pour un usage simple.
Celui qui veut un usage plus avancé (plusieurs réseaux, des vlans,) va devoir de toute facon se former correctement et ma reco ce n'est pas d'avoir les 2 versions en inter réseau (donc soit IPv4 soit des ULA IPv6) -> y'a pas tout a configurer en double. Surtout que des ULA sont moins prioritaires que les IPv4 donc mettre les 2 c'est inutile si on fait du full double stack (sinon faut jouer avec les entrées DNS).
Pour ce qui est des GUA dans les sous-réseaux pour l'accès Internet, actuellement les box des FAI francais pèchent sauf la Freebox donc il faut remplacer sa livebox par exemple pour avoir plus d'un sous réseau.
-
J'étais très sérieux, donne moi un avantage aujourd'hui à activer l'ipv6 ? Hormis rajouter une couche de plus à paramétrer.
Hm, justement, en v6 only, j'ai qu'une seule stack à paramétrer, et mon réseau est plus simple à gérer car il est à plat, sans NAT. La complexité d'IPv4 est repoussée à l'edge par le biais du NAT64.
C'est probablement le plus gros avantage, avec le fait que toutes les machines ont des adresses routables depuis n'importe où et uniques.
Le jour où tous les 4 FAI fibre/mobile proposeront l'ipv6, là ok j'activerais personnellement pour participer à la transition.
C'est déjà le cas, non ?
Sur le FTTH, quelques poches SFR et Bouygues ne l'ont pas encore activé, mais en regardant les stats, on est pas loin d'un rollout complet. SFR en DOCSIS et quelques ADSL non dégropées n'en disposent pas, en effet.
Sur le mobile, y'a du v6 only avec DNS64/NAT64 chez Bouygues et Orange. SFR provisionne tous les mobiles en dual stack. Chez free c'est plus compliqué, faut cocher une case dans ton espace client, mais ca fonctionne.
-
Vous voulez pas tous désactiver l'ipv6 ? Vous verrez ça changera rien à vos vies... Au contraire ça va la simplifier
Plus de 50% de mon traffic est en IPv6...
-
Je me suis fait agressé :-\
Je dis pas que l'ipv6 est inutile, il est d'ailleurs inévitable, je dis juste que vous vous prenez beaucoup la tête et qu'actuellement PERSONNE a besoin d'ipv6, l'ipv4 fonctionne très bien, le monde tourne avec et encore pendant des années (décennies?).
Après j'avoue que mon message n'est pas au bon endroit car c'est un peu le but du forum de bidouiller/comprendre des choses.
N'oubliez pas quand même que l'ipv6 rajoute de la latence (imperceptible) lorsqu'on souhaite accéder a un site en ipv4 et qu'en général nos routes sont plus optimisées en v4, jamais eu de meilleure latence en v6 avec Free.
Si on utilise que sa box opérateur je ne vois pas l'intérêt de le désactiver, je prenais le cas de Artemus qui veut gérer son réseau local un peu comme moi avec du matériel Ubi.
Donc par simplicité j'ai préféré le désactiver, surtout que j'ai eu quelques soucis avec iCloud en ipv6 notamment avec iMessage, 100 ans pour envoyer une photo.
On ne m'a toujours pas répondu sinon
J'étais très sérieux, donne moi un avantage aujourd'hui à activer l'ipv6 ?
-
On ne m'a toujours pas répondu sinon
C'est que tu ne lis pas toutes les réponses alors ...
-
C'est que tu ne lis pas toutes les réponses alors ...
Je respecte le forum je lis toujours tous les posts.
En l'occurence aucune réponse, hormis un badge.
-
Je me suis fait agressé :-\
Je ne vois pas d'aggression ici personnellement... ce que je vois, c'est que ce que tu avances est une opinion (qui est la tienne) non supportée par des faits. Les intervenants t'apportent leur retour d'expérience et des faits, qui sont certes en contradiction avec ton opinion.
Aussi, n'oublies pas que tu viens commenter sur le sujet de quelqu'un (artemus) qui veut apprendre et à qui des intervenants répondent constructivement en 1) déraillant complètement le sujet et 2) en tentant d'imposer ton opinion. Lorsqu'on agit comme cela, on est pas forcément le bienvenu, peu importe le sujet.
On ne m'a toujours pas répondu sinon
dans mon cas, ça me permet d'avoir un service sur le même port sur deux machines différentes de mon réseau local accessibles de l'extérieur. Avec ipv4 et NAT, c'est plus compliqué.
en v6 only, j'ai qu'une seule stack à paramétrer, et mon réseau est plus simple à gérer car il est à plat, sans NAT. La complexité d'IPv4 est repoussée à l'edge par le biais du NAT64.
[...]
avec le fait que toutes les machines ont des adresses routables depuis n'importe où et uniques.
Il y a un certain boost de performance non-négligeable pour ceux qui passent par un CGNAT (SFR et free fixe notamment) car on s'évite le détour par le CGNAT et les problèmes qu'il génère, notamment lorsque ses tables sont saturées ou qu'il arrive à saturation de bande passante.
Aussi, lorsque tu es derrière un CGNAT, tu ne peux pas revecoir de connexion entrante en IPv4. IPv6 n'est pas affecté du fait du vaste espace d'adressage et de l'absence de NAT.
Enfin... volontairement désactiver IPv6 sur des tous petits réseaux, c'est se rajouter des étapes en plus il me semble, mais ca, c'est subjectif.
-
Je dis pas que l'ipv6 est inutile, il est d'ailleurs inévitable, je dis juste que vous vous prenez beaucoup la tête et qu'actuellement PERSONNE a besoin d'ipv6, l'ipv4 fonctionne très bien, le monde tourne avec et encore pendant des années (décennies?).
J'en ai besoin pour gérer mes infrastructures et pour que les services que je déploie puissent fonctionner (pas mal de m2m, de monitoring et d'automatisme, en plus des réseaux d'accès). "se prendre la tête" est subjectif, pour moi la gestion d'un réseau purement IPv6 est plus simple.
Je prends un exemple très concrêt que je viens d'avoir... il y a 10 minutes : une installation connectée en 4G à mon infra était configuré en IPv4. Elle établit un VPN vers une infra cloud pour remonter des données.
On avait des trous de données et des alertes de perte de connexion de cette installation car l'adresse IPv4 de sortie changeait fréquemment, et notamment de subnet, probablement du fait des modifications de topologie du réseau de l'opérateur. Il fallait donc intervenir pour mettre à jour des règles de firewalling (maintenir une liste des blocs d'IPv4 de Bouygues, en gros).
En changeant la configuration du routeur 4G pour qu'il établisse un PDP context IPv6, le maintient de ces règles de firewalling devient beaucoup plus simple : Bouygues telecom n'a qu'un (gros) subnet utilisé pour ses clients mobiles. On autorise 2a04:cec0::/36 dans le firewall et le problème est réglé.
EDIT: je *crois* qu'il y avait aussi des soucis de déconnexion du VPN lorsque le connection tracking dans le CGNAT était perdu, mais je n'ai pas vraiment réussi à le prouver. Relancer la connexion VPN pour qu'elle utilise un autre port source réglait le problème, mais lorsque le souci se produisait, forcément, je n'avais pas la main sur l'installation...
Un souci potentiel de plus qui disparaît lorsqu'on passe en IPv6, car plus de CGNAT.
Je suppose que si on reste dans le schéma IPv4+NAT, en effet, on peut faire sans et pour longtemps. Il y a encore des réseaux isolés en IPX et x25, ca ne pose pas de problème particulier.
Par contre, ceux qui se sont servis d'IPv6 pour déployer des infras de prod en ont besoin tous les jours :)
-
J'en ai besoin pour gérer mes infrastructures et pour que les services que je déploie puissent fonctionner (pas mal de m2m, de monitoring et d'automatisme, en plus des réseaux d'accès). "se prendre la tête" est subjectif, pour moi la gestion d'un réseau purement IPv6 est plus simple.
Je prends un exemple très concrêt que je viens d'avoir... il y a 10 minutes : une installation connectée en 4G à mon infra était configuré en IPv4. Elle établit un VPN vers une infra cloud pour remonter des données.
On avait des trous de données et des alertes de perte de connexion de cette installation car l'adresse IPv4 de sortie changeait fréquemment, et notamment de subnet, probablement du fait des modifications de topologie du réseau de l'opérateur. Il fallait donc intervenir pour mettre à jour des règles de firewalling (maintenir une liste des blocs d'IPv4 de Bouygues, en gros).
En changeant la configuration du routeur 4G pour qu'il établisse un PDP context IPv6, le maintient de ces règles de firewalling devient beaucoup plus simple : Bouygues telecom n'a qu'un (gros) subnet utilisé pour ses clients mobiles. On autorise 2a04:cec0::/36 dans le firewall et le problème est réglé.
EDIT: je *crois* qu'il y avait aussi des soucis de déconnexion du VPN lorsque le connection tracking dans le CGNAT était perdu, mais je n'ai pas vraiment réussi à le prouver. Relancer la connexion VPN pour qu'elle utilise un autre port source réglait le problème, mais lorsque le souci se produisait, forcément, je n'avais pas la main sur l'installation...
Un souci potentiel de plus qui disparaît lorsqu'on passe en IPv6, car plus de CGNAT.
Je suppose que si on reste dans le schéma IPv4+NAT, en effet, on peut faire sans et pour longtemps. Il y a encore des réseaux isolés en IPX et x25, ca ne pose pas de problème particulier.
Par contre, ceux qui se sont servis d'IPv6 pour déployer des infras de prod en ont besoin tous les jours :)
J'essaie de comprendre ce que tu dis, tu te sers de l'ipv6 en "local" c'est ça ? Car quoiqu'il arrive tu ne pourras jamais couper l'ipv4
-
J'essaie de comprendre ce que tu dis, tu te sers de l'ipv6 en "local" c'est ça ?
Non, ce n'est pas ce que j'ai dit. J'ai du mal à voir ce qui t'a fait penser ca, car justement, je disais que la plus grosse partie de mes infras était IPv6-only, en utilisant NAT64 pour l'accès IPv4 là ou c'est nécessaire.
EDIT: OK, je crois que j'ai compris : en effet, c'est de l'IPv6 partout, sur le réseau local et sur l'infra cloud. Il y a un NAT64 pour les machines qui doivent accéder aux ressources IPv4, et donc ce NAT64 a une adresse IPv4 (dans le cloud).
Car quoiqu'il arrive tu ne pourras jamais couper l'ipv4
Eh bien, en l'occurence, les machines n'ont pas d'IPv4, et la majorité du réseau non plus :-)
Celles qui ont besoin de joindre internet IPv4 peuvent le faire à travers le NAT64 comme expliqué ci-dessus, qui ne vit qu'en périphérie du réseau.
Celles qui ne communiquent qu'entre elles ou avec l'infra cloud (notamment des contrôleurs embarqués) ne touchent jamais IPv4.
-
Ok j'ai compris avec le fameux NAT64
Je vois très bien ce que tu as fait, parce que pour toi il y avait des difficultés à set up les tunnels/vpn en ipv4
-
Les tunnels VPN c'est un détail (pour relier les controleurs à l'infra cloud de manière sécurisée). Ils peuvent être transportés sur IPv4 (quand ca marche) ou IPv6. C'était plus pour donner un exemple concret.
À l'intérieur de ces tunnels, sur les LAN et sur l'infra, tout est IPv6, peu importe le protocole qui transporte le tunnel.
-
Bref, quand on a une box opérateur avec un seul (V)LAN, l'utilité des adresses ULA est nulle.
J'en suis pleinement conscient et c'est pourquoi j'envisage de remplacer ma BOX SFR par du matériel faisant office de routeur. Même si je suis arrivé à bypasser ma BOX SFR en utilisant "systemd-networkd" sous Debian et en conservant le triple play, mon principale problème est de trouver le matériel adéquat. En attendant de trouver ce qui pourrait me convenir, je travaille sur l'IPv6 et le DNS afin de rendre plus souple à l'usage l'adressage de toutes mes interfaces réseaux.
Et sa mise en oeuvre compliquée hors affectation statique d'adresses sur chaque machine concernée.
Pour l'instant, je n'utilise que deux types d'adresses, les "GUA" (Global Unicast Address) qui sont déclarées dans le serveur DHCPv6 de la BOX SFR, et les "LLA" (Link-local Address) qui sont celles attribuées automatiquement sur chaque interface. Je ne connais pas les "ULA" (Unique Local Address).
Question : j) A partir d'un serveur DHCP local, puis je attribuer les IPv6 "GUA", "LLA" & "ULA" à partir des adresses MAC ?
Après réflexion, il se peut que je n'ai besoin que des IPv6 "ULA". Si les serveurs DNSv6 & DHCPv6 permettent de gérer les attributions, le gros du travail sera déjà fait. Pour être plus explicite, je désire centraliser et gérer le triplé (adresse IP ; adresse MAC ; nom d'hôte). Jusqu'à présent, j'utilisais "DNSMASQ" et j'ai testé "BIND9".
Question : k) Comment se nomme l'application qui gère le NAT66" et le "DNS66" ?
Je suppose que "DNS66" sert à faire la translation des préfixes IPv6 --> IPv6. Par contre, je ne comprends pas l'utilité du "NAT66", puisque dans le cas du "GUA" seul le préfixe change.
Plus de 50% de mon trafic est en IPv6...
Ce qui est mon cas aussi.
Laisse l'OS s'attribuer des GUA tout seul et faire sa rotation d'adresses à l'aide des privacy extensions.
Je ne suis pas dans l'OS de mes Raspberry Pi mais dans celui du routeur, et plus précisément dans les serveurs DNSv6 & DHCPv6 qui vont faire l'association (adresse IP ; adresse MAC ; nom d'hôte). Je ne veux rien mettre en dur dans la configuration des OS de tous mes ordinateurs. Cela doit être centralisé et géré dans le routeur.
Privacy Extensions : de quoi parles tu ? Je n'ai pas compris de quoi il s'agit.
Si un VLAN ne doit pas accéder à internet, ou doit être restreint dans son accès, utilise des règles de firewalling sur ce routeur.
Le but des VLAN est de faire un découpage de mon réseau local pour gérer le trafic. Ce n'est pas un problème de sécurité qui, si cela se pose, sera géré par le firewall. "systemd-network" permet de laisser passer ou pas le flux venant de tel ou tel VLAN.
Si tes VLAN représentent chacun un périmètre de sécurité,
Ce n'est pas un périmètre de sécurité, juste un découpage du trafic, comme je l'ai dit dans mon premier message à la question c).
Tu t'éviteras beaucoup de petit soucis de compatibilité en utilisant des GUA/ULA uniquement.
Tout faire en "ULA" et mettre en place un mécanisme pour l'IPv6 similaire au fonctionnement de l'IPv4, si j'ai tout bien compris.
L'avantage principal est que le réseau est super simple à administrer, à débugger et à comprendre.
C'est le but que je recherche : la simplification de mon réseau IPv6.
Utiliser ULA pour éviter que le trafic ne sorte sur internet, c'est un peu répéter ce qui se fait avec le NAT en IPv4.
Oui, tu as bien compris la finalité de ce que je veux faire.
Le câble Ethernet, c'est juste le temps de rétablir la connexion wifi ?
La connexion en WiFi est instable et je ne parle pas des ralentissements que je peux subir ou des coupures réseaux. En gros, la BOX SFR est pourrie ! Je devrais me procurer un écran et un clavier pour résoudre ce problème d'instabilité. Actuellement, je travaille en headless, sous Windows à partir de Putty, avec un câble éthernet relié à ma Raspberry Pi. J'ai la rapidité et plus de coupure.
Quand je me connecte à ma raspberry par un branchement directe (sans passer par la BOX), je ne connais pas par avance son adresse. je peux la déclarer dans le fichier "cmdline.txt", en mettant "ip=169.254.1.1" mais je ne sais pas trop pourquoi, dans la nouvelle version de l'OS, cela ne fonctionne plus. En IPv4 cela se nomme APIPA. Pour faire la même chose en IPv6, j'attribution "fe80::f000" en utilisant "NetworkManager" à chaque interface éthernet de tous les OS de toutes mes Raspberry Pi.
Merci Simon pour tes explications. :)
Je ne comprends pas pourquoi tu te poses toutes ces questions pour ton cas d'usage qui semble également plutôt simple.
Je ne vois pas trop l'utilité de décrire tout ce que je fais, entre la domotique (ESP32), mes bidouilles en électronique, le développement système, mes pare-feux, mon serveur WEB local (WampServer), l'administration de mes bases de données, faire mumuse avec mes Raspberry Pi, gérer les sauvegardes de tous les OS sous mon NAS. Ben oui, je me pose beaucoup de questions parce que j'essaye de mieux faire.
Merci Pju91 mais je connaissais cette astuce. :)
@+
-
Question : j) A partir d'un serveur DNS local, puis je attribuer les IPv6 "GUA", "LLA" & "ULA" à partir des adresses MAC ?
DNS ?
Un serveur DNS est un annuaire, comme les pages blanches. Il n'attribue rien, il recense.
Je suppose que tu veux dire DHCP. Pour les GUA et ULA oui. Pour les LLA non et ça n'a aucun sens, le but des adresses LLA est d'avoir une connectivité immédiate entre 2 machines IPv6 sans avoir besoin d'aucune configuration.
Ceci dit, l'attribution d'adresses IPv6 en utilisant DHCP c'est pas vraiment dans l'esprit du protocole. On préfère largement SLAAC, et d'ailleurs certains systèmes ne supportent que ce moyen.
-
@ Zoc : j'ai corrigé mon lapsus. Désolé. :-[
Le serveur DHCPv6 attribue le couplé (adresse IP ; adresse MAC) et le serveur DNSv6 attribue le couplé (adresse IP ; nom d'hôte). Jusqu'à présent, je n'ai utilisé que l'IPv6 GUA dans ces deux serveurs. Je me posais la question si cela fonctionne aussi pour "ULA" et "LLA" ?
Je ne sais pas si le serveur "DNS66" se substituer au "DNSv6" ou vient il en plus ? J'aimerai connaitre le nom de l'application qui gère ce "DNS66", voire "DNS66" + "DNSv6 ?
Pourtant, j'ai bien attribué une adresse "fe80::f000/128" dans "NetworkManager" et cela a fonctionné. Même si cela fonctionne, il est fort probable que j'ai outrepassé certaines règles de conformité au réseau.
-
Un serveur DNSv6 ça n'existe pas. Encore une fois un serveur DNS est un ANNUAIRE, il n'attribue rien, il associe un nom à une ou plusieurs adresses IP (enregistrements de type A pour IPv4 et/ou enregistrements de type AAAA pour IPv6). Je ne parlerai pas des autres informations qui peuvent être stockées dans une zone DNS (genre enregistrements SOA, NS, CNAME...) pour ne pas rajouter de confusion.
DNS66 ça n'existe pas non plus. Vous voulez sans doute parler de NAT66 ( = Translation d'adresse IPv6 vers IPv6).
Vous mélangez tout un tas de notion qui n'ont rien à voir.
-
@ Zoc : je ne parle du fichier zone de mon nom de domaine qui est hébergé chez AlwaysData.
Je parle d'un serveur comme celui de la BOX SFR ou de DNSMASQ.
Ce serveur est destiné au local pas à l'internet.
Il y a pourtant des tas de sujets qui traitent du "DNS66" (https://www.google.fr/search?q=dns66&newwindow=1&sca_esv=d5db76981dc197ce&source=hp&ei=mZkPZ5jpDNGnhbIPk8iauQ8&iflsig=AL9hbdgAAAAAZw-nqf5s3oWXIfnp2IXGBe7BR5q-pX0r&ved=0ahUKEwjYmejL3JKJAxXRU0EAHROkJvcQ4dUDCA8&uact=5&oq=dns66&gs_lp=Egdnd3Mtd2l6IgVkbnM2NjIFEAAYgAQyBRAAGIAEMgUQABiABDIFEAAYgAQyBRAAGIAEMgQQABgeMgQQABgeMgQQABgeMgQQABgeMgQQABgeSI0LUABYgglwAHgAkAEAmAFyoAGBBKoBAzEuNLgBA8gBAPgBAZgCBaACuQTCAhEQLhiABBixAxjRAxiDARjHAcICDhAuGIAEGLEDGNEDGMcBwgILEAAYgAQYsQMYgwHCAgUQLhiABMICERAuGIAEGLEDGIMBGMcBGK8BwgIOEC4YgAQYsQMYgwEYigXCAggQABiABBixA8ICCxAuGIAEGMcBGK8BmAMAkgcDMC41oAeGJA&sclient=gws-wiz).
"DNS66" n'existe pas et il faut parler de "NAT66". Et comment se nomme cette application pour Debian ?
Excusez moi si je me trompe, mais je découvre. D'où ce sujet pour une prise de connaissance. Je suis là pour apprendre comment faire.
-
actuellement PERSONNE a besoin d'ipv6
Un peu péremptoire. L'IPv6 me sauve littéralement le cul, il n'y a que grâce à ça que je peux auto-héberger ce que j'ai actuellement sur ma connexion chez moi, dont une bon nombre de serveurs/services web qui ont tous besoin du même port.
-
Vous voulez pas tous désactiver l'ipv6 ? Vous verrez ça changera rien à vos vies... Au contraire ça va la simplifier
Pour te dire que si je n'avais pas IPv6 je n'aurais pas pu prendre en main mon RPI ( en remote et pas la porte d'a coté ) dont son IPv4 avait disparu ( problème de DHCP à un moment donné ) ;D
-
Je ne comprends pas l'intérêt de ne pas utiliser l'IPv6. :o
Le minimum est de l'activer dans sa BOX au cas où cela ne se fait pas automatiquement.
-
Un peu péremptoire. L'IPv6 me sauve littéralement le cul, il n'y a que grâce à ça que je peux auto-héberger ce que j'ai actuellement sur ma connexion chez moi, dont une bon nombre de serveurs/services web qui ont tous besoin du même port.
Pour te dire que si je n'avais pas IPv6 je n'aurais pas pu prendre en main mon RPI ( en remote et pas la porte d'a coté ) dont son IPv4 avait disparu ( problème de DHCP à un moment donné ) ;D
Les plus gros site du monde n'ont aucun problème, à mon avis c'est que vous ne savez pas parametrer les choses de la bonne façon.
;D ;D ;D
-
Mon routeur, pour l'instant, sera "systemd-networkd" sous Debian.
Je vais créer autant d'interfaces dont j'ai besoin pour gérer tous mes "VLAN".
Voici la segmentation que je désire appliquer dans mon réseau local :
Le Téléphone (VLAN 10) : pour placer un téléphone VOIP/SIP.
Le Multimédia (VLAN 20) : pour le téléviseur Samsung, le décodeur TV SFR et un autre décodeur.
L'internet (VLAN 30) : pour un commutateur gérable à 10gb/S.
La domotique (VLAN 40) : pour un petit commutateur à 1gb/s.
Le commutateur gérable sera relié par la fibre optique, en 10gb/s.
Le petit commutateur non gérable sera accessible par un câble éthernet, en 1gb/s.
Le commutateur gérable accédera aussi bien aux VLAN 30 & 40.
Le VLAN 40 n'a pas vocation à franchir le routeur pour accéder à l'internet.
Les trois VLAN "10", "20" et "30-40" n'ont aucune raison de communiquer entre eux.
Si c'était le cas, je n'aurai pas créer des VLAN pour les isoler les uns des autres.
Le but recherché par cette isolation est de mieux gérer le trafic.
Je n'aborde pas ici la configuration de "systemd-networkd" que j'ai déjà faite par ailleurs dans ce forum.
Cette configuration est opérationnelle puisque je l'ai testé et je conserve le triple play qui était mon but.
Je vais devoir créer le fichier "radvd.conf" en le subdivisant en plusieurs interfaces.
A partir de la délégation de préfixe IPv6 de SFR, en "/56", je vais créer autant de préfixes en "/64" que j'ai besoin.
La dernière interface (VLAN 40) aura un préfixe IPv6 "ULA" : "FD70:ABCD:EFFE:DCBA".
Mes interfaces sont physiquement indépendantes.
Je peux leur donner le nom que je veux, genre "tel0", "med0", "med1", "med2", "dom0", "int0".
Ce qui se traduit par :
Le Téléphone (VLAN 10) : tel0
Le Multimedia (VLAN 20) : med0, med1, med2.
L'internet (VLAN 30) : int0.
La domotique (VLAN 40) : dom0.
Si par la suite, j'ai besoin d'agrandir mon LAN avec d'autre fonctionnalité, je peux ajouter d'autres interfaces. Par exemple, des caméras.
Quelques recherches :
--> Autoconfiguration IPv6 (https://inetdoc.net/articles/autoconf-ipv6/index.html).
--> Configuration du service radvd pour les routeurs IPv6 (https://docs.redhat.com/fr/documentation/red_hat_enterprise_linux/9/html/managing_networking_infrastructure_services/configuring-the-radvd-service-for-ipv6-routers_providing-dhcp-services).
--> Initiation à IPv6 en pratique : IPv6, radvd et DHCPv6 (https://connect.ed-diamond.com/GNU-Linux-Magazine/glmf-137/initiation-a-ipv6-en-pratique-ipv6-radvd-et-dhcpv6).
-
Dans ce cas, ne t’encombre pas avec des ULA sauf pour ton VLAN 30. Si ton pare-feu est bien configuré avec toutes les connexions entrantes bloquées (sauf initiées de l’intérieur), tes appareils ne sont pas plus vulnérables avec des GUA.
Les plus gros site du monde n'ont aucun problème, à mon avis c'est que vous ne savez pas parametrer les choses de la bonne façon.
;D ;D ;D
Ça n’a absolument aucun rapport avec la problématique que j’ai mentionnée :o
-
Merci à Artemus24 de poser ces questions, et surtout merci aux rares qui y ont répondu, sans polluer le forum (j'adore ceux qui disent "ben t'a ka te renseigner", ben oui, c'est exactement ce qu'il fait ici ;-)
Moi aussi, je cherche à comprendre IPV6. Pour ceux qui disent que ça sert à rien: je suis abonné Starlink car pas de fibre là où je suis et les 4G box sont une catastrophe vue le nombre de maisons en mur de pierre de Bourgogne (y compris la mienne) qui sont entre la box et l'antenne située à plus d'un km. Donc Starlink qui marche du feu de dieu (enfin je peux faire des zoom)
J'ai des synology sur mon réseau, dont certains accessibles depuis l'extérieur. Alors, sachant que Starlink ne donne pas d'adresse IPV4 publique, comment faire simplement.
Utiliser le quickconnect de synology ? Oh, mais c'est une cata. Je fais des synchro entre un synology distant et le mien, à ... 15kbs
Ouvrir un tunnel crypté... Trop compliqué
Ouvrir mon routeur Asus à l'IPV6... Ah ben voilà, la ça marche bien ! Enfin presque, car fe80: etc ne marche pas dans les règles du firewall, il faut mettre la GUA. Oui, mais starlink me change le préfix de temps en temps...
Bref, he vais lire avec attention les réponses
-
Pour aider un peu à comprendre les différentes adresses ipv6, j'aime bien cette carte :
https://www.ripe.net/media/documents/ipv6_reference_card.pdf
-
Ouvrir un tunnel crypté... Trop compliqué
https://tailscale.com/
C'est bien plus simple
y'a meme un package pour Syno: https://www.synology.com/fr-fr/dsm/packages/Tailscale
-
et surtout merci aux rares qui y ont répondu, sans polluer le forum (j'adore ceux qui disent "ben t'a ka te renseigner", ben oui, c'est exactement ce qu'il fait ici ;-)
Je lis, je m'informe et je fais des tests, mais cela n'est pas suffisant pour tout comprendre. Au moins toi, tu as compris l'utilité d'un forum. :)
Moi aussi, je cherche à comprendre IPV6.
Je n'ai pas de problème d'IPv6 puisque il est déjà opérationnelle dans mon Debian (ainsi quze l'IPv4) sous "systemd-networkd". Je précise que j'ai transformé mon ordinateur en routeur afin de tester le bypasse de la BOX SFR et c'est opérationnel. J'ai plutôt un problème dans l'organisation de l'adressage IPv6 que je désire implanter dans mon Debian. C'est plus une méconnaissance qu'un problème réel.
J'ai testé "radvd" cette après-midi, ça fonctionne très bien, sauf que c'est du stateless (le SLAAC) et ce n'est pas du tout ce que je recherche. J'avais cru comprendre que l'affectation du préfixe se faisait dynamiquement, par concaténation au suffixe.
Dans mon organisation, je dois gérer deux préfixes (peut être même plus), le premier venant du serveur SFR et qui se nomme "la délégation du préfixe IPv6", ça fonctionne déjà au niveau du routeur. Le seconde étant l'ULA "fe70:abcd:effe:dcba", que je n'ai pas encore implanté. Je n'ai toujours pas compris comment substituer dynamiquement les préfixes dans les serveurs DHCPv6 et DNSv6 alors que ceux-ci sont en dur. Par exemple DNSMASQ, que j'ai déjà utilisé avec mes Raspberry Pi.
Enfin presque, car fe80: etc ne marche pas dans les règles du firewall, il faut mettre la GUA. Oui, mais starlink me change le préfix de temps en temps...
Si je passe par ma BOX SFR pour renseigner le serveur DHCPv4 ainsi que DHCPv6, je n'ai pas le choix, je suis obligé d'utiliser "192.168.1.0/24" ainsi que le préfixe de "la délégation du préfixe IPv6" venant de SFR. Je ne peux pas les modifier.
Avant de mettre en dur "fe80::f000" dans la configuration de NetworkManager de mes Raspberry Pi, j'avais utilisé udev où j'associe l'adresse IP à l'adresse MAC. L'inconvénient de cette méthode est double. Je dois le faire en dur, et le faire dans tous les OS que j'utilise. Pas pratique du tout.
Le but est justement de le centraliser dans le routeur afin que cela soit accessible partout dans le réseau local, de rendre l'affectation du préfixe dynamique, et de ne pas outrepasser les règles du réseau.
@ Mjules : pour ce qui nous intéresse, cela se résume à :
--> 2000/3 pour GUA
--> fc00::/7 pour ULA
--> fe80::/10 pour LLA
@ tous : si quelqu'un pouvait expliquer comment rendre dynamique l'affectation des préfixes, aux suffixes qui sont renseignés dans le serveur DHCPv6, je suis preneur. Merci.
-
Pour changer les préfixes : faut faire ça avec un script... (ne me demande pas comment, je suis nul en bash) Mais tu ne dois t'occuper que du préfixe SFR (et encore il ne doit pas changer toutes les semaines). Sinon passer par un vrai OS routeur type openwrt ou pfsense qui font ça automatiquement.
Pour le préfixe ULA, il ne bouge pas, donc rien à changer. Il n'y a qu'à configurer le DHCPv6 et l'annoncer par radvd (un /64 par VLAN). Concernant le SLAAC, c'est pourtant la méthode à privilégier, il se peut que certains appareils ne fonctionnent pas en DHCPv6 (tu le verras vite de toute façon). Il faut rajouter ce paramètre dans radvd : AdvAutonomous off qui coupera le SLAAC.
Exemple de code :
interface eth0
{
AdvSendAdvert on;
prefix 2001:1:1:1::/64 {
{
AdvAutonomous off;
};
};
Côté DNS tu as plusieurs solutions :
-adresses fixes
-adresses MAJ par le DHCP ou les clients
Mais vu que tu veux absolument passer par le DHCP, les adresses seront statiques non ? Dans ce cas tu peux tout configurer en fixe.
Sinon on peut aussi mixer les deux : SLAAC + DHCP. Je pense que c'est le meilleur compromis. On conserve le SLAAC pour les adresses publiques (privacy extensions) et les périphériques non compatibles, le DHCP pour la gestion/trafic du LAN.
si quelqu'un pouvait expliquer comment rendre dynamique l'affectation des préfixes, aux suffixes qui sont renseignés dans le serveur DHCPv6, je suis preneur.
Je ne comprends où tu veux en venir. Le DHCPv6 fonctionne comme le DHCPv4, t'as tes préfixes/subnets, une plage d'adresses correspondant (ok on peut considérer la fin des adresses comme le suffixe), ton DNS, quelques autres options et c'est tout. Donc hormis le "piochage" dans la plage, il n'y aura rien d'autre de dynamique.
-
Merci à Artemus24 de poser ces questions, et surtout merci aux rares qui y ont répondu, sans polluer le forum (j'adore ceux qui disent "ben t'a ka te renseigner", ben oui, c'est exactement ce qu'il fait ici ;-)
Tu ne sauras pas le quart de ce qu'il faut en procédant ainsi. De là, aboutir à un bon résultat est irréalisable.
Parole d'autodidacte ! Il faut arrêter de prendre les gens pour des c**ns.
-
Ouvrir un tunnel crypté... Trop compliqué
Pourquoi est-ce que vous voulez tous crypter (chiffrer) vos tunnels?
Selon moi, il n'y a aucun intérêt, sur un abonnement que tu possèdes auprès d'un opérateur sérieux.
Sur un WiFi public chelou, à la rigueur, ça peut se comprendre, mais c'est tout.
Si c'est juste pour du trafic Internet classique, pour contourner une IPv4 public qui change trop souvent, un VPN non chiffré suffit amplement, ça ne bouffe pas de ressource CPU inutile, ça permet facilement d'atteindre des débits de malade.
Pour moi, il y a 2 solutions pour ce genre de problèmes d'IP publique très changeante
1) pour accéder à un NAS interne au LAN, depuis un PC-portable en vadrouille ou depuis un smartphone, alors TailScale ou ZeroTier, ça marche très bien
2) si tu veux héberger des services réellement accessibles à tout le monde (tout Internet), en IPv4, sur ton LAN, alors un tunnel avec IPv4 public ça fait l'affaire. MilkyWan propose pour 6euros/mois un tunnel non-chiffré permettant du 2Gbps "en bon père de famille". C'est assez imbattable. https://milkywan.fr/services/tunnel/
Est-ce que c'est juste le marketing (à gerber) de SurfShark / Nord-VPN / CyberGhost qui déteint sur tout le monde?
Leon.
-
Pourquoi est-ce que vous voulez tous crypter (chiffrer) vos tunnels?
Quelques % de CPU si tu chiffres en chacha-poly ou en AES et tu gagnes:
1) la confidentialité des échanges (on ne voit pas ce qui passe dedans, dont éventuellement les mots de passe dans le cas de HTTP ou de protocoles antiques tels que SMB),
2) l'authenticité de la machine au bout du tunnel,
3) l'intégrité des données qui transitent.
2) et 3) sont liés et sont selon moi importants pour s'assurer que le VPN maintient bien le périmètre de sécurité qu'il est sensé assurer.
Cas pratique il y a un paquet d'années, quand des tunnels 6in4 étaient utilisés pour accéder au réseau IPv6 depuis une connexion n'en fournissant pas, je voyais passer des paquets 6in4 arriver depuis plusieurs sources, non sollicités, qui étaient selon moi des tentatives d'injection de paquets à l'intérieur du tunnel.
Dans ce cas, effectivement, si tout ce qu'on y fait passer est du traffic déjà authentifié et chiffre (par exemple ssh ou https), ce traffic est protégé.
Par contre, il y a toujours possibilité d'injecter du traffic dans ton tunnel pour usurper ton identité (à fins malicieuses/illegales le plus souvent). Et si le traffic n'est pas chiffré et/ou authentifié au niveau applicatif, aïe.
Est-ce que c'est juste le marketing (à gerber) de SurfShark / Nord-VPN / CyberGhost qui déteint sur tout le monde?
Payer pour nordVPN ou autre VPN commercial quand tu vis en europe occidentale, j'ai jamais compris, mais le marketing fait des miracles. De surcroît quand ces utilisateurs surfent avec Google Chrome.
Si c'est juste pour du trafic Internet classique, pour contourner une IPv4 public qui change trop souvent, un VPN non chiffré suffit amplement, ça ne bouffe pas de ressource CPU inutile, ça permet facilement d'atteindre des débits de malade.
Oui, éventuellement si tu maintiens les deux bouts du tunnel, tu peux désactiver le chiffrement. Mais encore une fois, est-ce utile au vu du faible coût CPU et de ce qu'on perd ?
On est assez HS, mais l'époque où l'on pouvait se reposer sur un opérateur pour des services de tunneling/VPN est pour moi révolue. D'une part en termes de sécurité/contrôle, mais aussi parce que mes clients industriels se réveillent tout doucement à la cybersécurité, et qu'ils s'attendent (à raison) que le traffic soit chiffré de bout en bout entre les deux firewalls en leur possession.
-
Pour le préfixe ULA, il ne bouge pas, donc rien à changer. Il n'y a qu'à configurer le DHCPv6 et l'annoncer par radvd (un /64 par VLAN). Concernant le SLAAC, c'est pourtant la méthode à privilégier, il se peut que certains appareils ne fonctionnent pas en DHCPv6 (tu le verras vite de toute façon). Il faut rajouter ce paramètre dans radvd : AdvAutonomous off qui coupera le SLAAC.
[...]
Mais vu que tu veux absolument passer par le DHCP, les adresses seront statiques non ? Dans ce cas tu peux tout configurer en fixe.
+1, tu vas te compliquer la vie avec DHCPv6 pour un faible gain.
Tu peux tout à fait assigner des adresses statiques à tes machines pour le préfixe ULA vu qu'il sera statique, mais l'intérêt est faible également : vu qu'il ne changera pas, les machines auront toutes une adresse stable dans ce préfixe, en plus d'adresses aléatoires générées par les privacy extensions.
Je laisserai les link-local de côté si j'étais toi. Tu veux déjà gérer 2 préfixes, un GUA, un ULA. Les link-local ne vont te servir à rien hormis permettre à la couche IPv6 de fonctionner (ICMP RS/RA/ND/NA, et éventuellement MLD si tes switches font du snooping).
-
+1, tu vas te compliquer la vie avec DHCPv6 pour un faible gain.
Sur mon UDM je n'ai pas le choix de passer par du dhcpv6, par contre les appareils Android (pas que) n'ont pas d'ipv6. Pour ça je suis obligé de cocher la case SLAAC, mais là mes appareils ont 5 adresses IPV6 (Apple ou Android). J'ai lu plusieurs fois que l'ipv6 c'était simple, mais est ce que quelqu'un pourrait me dire si c'est normal et s'il y a un avantage à ne pas cocher cette case afin de garder 1 seule adresse ipv6 par appareil.
-
J'ai lu plusieurs fois que l'ipv6 c'était simple, mais est ce que quelqu'un pourrait me dire si c'est normal et s'il y a un avantage à ne pas cocher cette case afin de garder 1 seule adresse ipv6 par appareil.
C'est normal, oui. Ce sont les privacy-extensions : l'OS génère des adresses aléatoires dans le subnet dont la durée de vie n'est que de quelques heures ou jours.
Dans toutes ces adresses, l'une d'entre elle sera normalement fixe et n'est pas utilisée pour les connexions sortantes : tu peux l'utiliser pour te connecter aux services hébergés sur la machine, éventuellement.
Donc oui, il faut cocher SLAAC. Je pense que DHCPv6 n'est pas supporté par l'UDM, ou qu'il ne se configure pas ici.
EDIT: l'adresse unique que tu gardes quand tu décoches la case, elle commence par fe80:: ?
-
Alors en fait je suis bien en dhcpv6 avec la Freebox en Bridge, j'ai enlevé l'adresse pour pas qu'on voit, mais ça commence par : 2a01:e0a
Là le SLAAC c'est une option (screen de mon ancien post)
Et oui, l'adresse unique commence bien par ça
-
L'adresse fe80:: est une adresse link-local de "gestion du réseau", si je puis dire. Elle s'autoconfigure toute seule même sans connectivité IPv6 et ne permet pas d'accéder à internet.
Donc la connectivité IPv6 n'est pas fonctionnelle dans ce cas. Peut-être que le client ne supporte pas DHCPv6 (android par exemple?).
Je te conseille donc d'activer SLAAC.
-
@ Renaud07 : merci pour tes explications. :)
Pour changer les préfixes : faut faire ça avec un script... (ne me demande pas comment, je suis nul en bash)
Ca, c'est du bricolage et j'aimerai éviter cette solution.
Concernant le SLAAC, c'est pourtant la méthode à privilégier, il se peut que certains appareils ne fonctionnent pas en DHCPv6 (tu le verras vite de toute façon). Il faut rajouter ce paramètre dans radvd : AdvAutonomous off qui coupera le SLAAC.
Je ne veux pas utiliser le SLAAC. Je ne sais pas si le radvd est la solution qui pourrait me convenir. A vrai dire, je n'ai pas assez poussé mes investigations.
Je ne comprends où tu veux en venir.
J'ai l'impression que je ne dois pas bien m'expliquer sur ce que je veux faire. Je reprends mes explications.
En IPv4, dans mon réseau local, j'utilise le format des adresses "192.168.0.0/16" ou "172.16.0.0/12" ou encore "10.0.0.0/8". Le principe est que si mon adresse IPv4 public vient à changer, je conserve ces adresses IPv4 privées (ou interne) dans mon réseau local. C'est le NATv4 mis en place dans le routeur qui effectue cette translation.
Si j'ai bien compris, les adresses IPv6 privées (ou interne) sont du type ULA (à l'identique du fonctionnement en IPv4), commençant par "fd00::/8". Donc en IPv6, je veux le même fonctionnement qu'en IPv4. Il me semble que c'est le NAT66 qui doit réaliser cela : translation préfixe IPv6 externe <--> préfixe IPv6 interne.
Je voudrais utiliser aussi bien dans le serveur DHCPv6 que dans le serveur DNSv6, les adresses privée (ou interne) IPv6, genre "fd70:abcd:effe:dcba:aaaa:bbbb:cccc:dddd" pour les attribuer à mes interfaces. Cette adresse ne bouge pas, mais c'est le NAT de l'IPv6 qui va faire la translation en remplaçant le préfixe IPv6 venant de l'extérieur par celui que j'utilise en interne, qui ici est "fd70:abcd:effe:dcba". C'est cette solution que j'aimerai mettre en place.
Je tiens à préciser que l'adresse privée en interne dans mon réseau local, reste celle-ci "fd70:abcd:effe:dcba:aaaa:bbbb:cccc:dddd" et je ne veux pas d'adresse IPv6 GUA comme celle-là "2001:0db8:1234:5678:aaaa:bbbb:cccc:dddd"
tu vas te compliquer la vie avec DHCPv6 pour un faible gain.
Mais je n'ai pas le choix, je suis obligé d'avoir une organisation dans mes adresses IP car je fais de la domotique. Je veux des adresses statiques mais pas des adresses dynamiques.
Tu peux tout à fait assigner des adresses statiques à tes machines pour le préfixe ULA vu qu'il sera statique, mais l'intérêt est faible également : vu qu'il ne changera pas, les machines auront toutes une adresse stable dans ce préfixe, en plus d'adresses aléatoires générées par les privacy extensions.
Justement, c'est le but que je recherche, d'avoir des adresses IPv6 statiques, quand la délégation du préfixe IPv6 viendrait à changer pour je ne sais quelle raison. Je ne sais pas trop si je me suis bien fait comprendre. Merci de le signaler.
Je laisserai les link-local de côté si j'étais toi.
C'est juste une bidouille que j'ai faite pour pouvoir accéder par un branchement éthernet direct en mes Raspberry Pi et mon Windows. Ainsi je connais par avance l'adresse Ipv6 de connexion. C'est le seul usage que j'ai, pour l'instant, avec les LLA.
Tu veux déjà gérer 2 préfixes, un GUA, un ULA.
Pour l'instant, je n'utilise que des GUA dans mon réseau local.
Je désire introduire les ULA, sachant qu'en remplacement des GUA, je veux des ULA routables.
Mais je veux aussi des ULA non routables pour, entre autre, la domotique.
Dans mon réseau local, je ne verrais que des ULA, pas des GUA.
Mais dans la pratique, je dois savoir comment gérer ces deux préfixes, l'un routable et l'autre non routable.
Sur mon UDM je n'ai pas le choix de passer par du dhcpv6, par contre les appareils Android (pas que) n'ont pas d'ipv6. Pour ça je suis obligé de cocher la case SLAAC, mais là mes appareils ont 5 adresses IPV6 (Apple ou Android). J'ai lu plusieurs fois que l'ipv6 c'était simple, mais est ce que quelqu'un pourrait me dire si c'est normal et s'il y a un avantage à ne pas cocher cette case afin de garder 1 seule adresse ipv6 par appareil.
Je ne vois pas trop l'intérêt d'avoir des adresses IPv6 statiques par le DHCPv6 si tu utilises aussi le SLAAC. Une seule adresse IPv6 automatique serait préférable.
Le problème n'est pas tant d'avoir une adresse IPv6 mais que celle-ci ne bouge pas dans le temps. Si tu utilises les SLAAC autant désactiver ton DHCPv6. Il me semble que pour un usage basique, le SLAAC est bien plus simple à mettre en œuvre.
-
Donc en IPv6, je veux le même fonctionnement qu'en IPv4.
C'est bien le problème. Ces deux protocoles sont différents, pourquoi absolument vouloir triturer l'un pour ressembler à l'autre ?
-
C'est bien le problème. Ces deux protocoles sont différents, pourquoi absolument vouloir triturer l'un pour ressembler à l'autre ?
+1000
c'est l'erreur de débutant classique, vouloir refaire ce qu'on a en IPv4
-
Voilà pourquoi les gens désactive l'ipv6, j'y comprends rien, personne n'y comprend rien, tout qu'est ce que je sais c'est que l'ipv4 fait la même chose, et que de toute façons le monde tourne en ipv4 avec du NAT. Et qu'il y a AUCUN bénéfice à activer l'ipv6, au contraire quand il y a un problème les gens sur les forums conseillent de le désactiver. J'ai pour preuve : moi et mes clients (et ma famille) depuis plus de 15 ans d'utilisation d'internet sans un gramme d'ipv6. Et plus j'avance dans le temps plus je me dis que l'ipv4 ne sera jamais désactivé.
{Avis perso}
-
Voilà pourquoi les gens désactive l'ipv6, j'y comprends rien, personne n'y comprend rien, tout qu'est ce que je sais c'est que l'ipv4 fait la même chose, et que de toute façons le monde tourne en ipv4 avec du NAT. Et qu'il y a AUCUN bénéfice à activer l'ipv6, au contraire quand il y a un problème les gens sur les forums conseillent de le désactiver. J'ai pour preuve : moi et mes clients (et ma famille) depuis plus de 15 ans d'utilisation d'internet sans un gramme d'ipv6. Et plus j'avance dans le temps plus je me dis que l'ipv4 ne sera jamais désactivé.
{Avis perso}
Le raisonnement est a l'envers.
IPv6 est activé par défaut sur les box et les OS. Si on est pas technique concerné par le sujet, donc 99% de gens, pas besoin de chercher plus.
C'est transparent et invisible pour l'utilisateur normal mais il ne faut pas le désactiver au contraire.
"les gens sur les forums conseillent de le désactiver": ce sont les pires conseils qui soient sur en 2024. y'a 10 ans ca pouvait avoir du sens, de nos jours plus.
C'est comme ceux qui croient qu'un problème d'ordi est du a un virus:
(https://imgs.xkcd.com/comics/virus_venn_diagram.png)
https://xkcd.com/1180/
"J'ai pour preuve : moi et mes clients (et ma famille) depuis plus de 15 ans d'utilisation d'internet sans un gramme d'ipv6". Ce n'est pas une preuve juste que pour le moment ton usage n'est pas impacté par le CGNAT par exemple.
IPv4 sera désactivé pour des raisons économiques, a un moment ca deviendra trop cher de maintenir les 2.
-
C'est bien le problème. Ces deux protocoles sont différents, pourquoi absolument vouloir triturer l'un pour ressembler à l'autre ?
Oui, je sais que ces deux protocoles sont différents, et à terme l'IPv4 va disparaitre. Mais actuellement, mon FAI ne garantie en aucune façon que la délégation du préfixe IPv6 ne va pas changer d'un jour à l'autre, voir à chaque redémarrage du routeur. Et si c'était le cas, je ne vais pas changer tous les jours, mes adresses dans les serveurs DHCP & DNS.
Sinon, à quoi sert les ULA si tout le boulot est déjà fait par les GUA ?
c'est l'erreur de débutant classique, vouloir refaire ce qu'on a en IPv4
C'est un peu facile de botter en touche en disant que c'est un problème de débutant. Ben non, c'est une vrai question à laquelle tu ne sais peut-être pas répondre. Ou alors, tu n'as pas les arguments pour justifier que cette façon de faire est idiote.
Qu'est-ce que je dois comprendre de ta remarque ? Que je dois me démerder tout seul pour trouver la réponse. Bravo pour l'entraide dans les forums.
IPv6 est activé par défaut sur les box et les OS.
Pas du tout, car par défaut, l'IPv6 n'est pas activé dans les BOX SFR, à l'inverse de l'IPv4. C'est le choix que SFR a fait, et n'a plus aucune raison d'être aujourd'hui. Les statistiques donne SFR comme ayant très peu d'IPv6 activée à cause de ce bouton qu'il faut activer pour avoir l'IPv6.
Je constate que certains ont la critique facile mais ne donne pas les moyens de démontrer que ce genre de raisonnement n'est pas viable. A moins qu'ils ne savent pas eux-mêmes comment résoudre ce genre de problème, pour la simple, ce qu'ils n'ont pas encore rencontré.
J'aimerai que certains arrêtent cette condescendance continuelle pour la simple raison que l'on ne fait pas parti du sérail.
-
Oui, je sais que ces deux protocoles sont différents, et à terme l'IPv4 va disparaitre. Mais actuellement, mon FAI ne garantie en aucune façon que la délégation du préfixe IPv6 ne va pas changer d'un jour à l'autre, voir à chaque redémarrage du routeur. Et si c'était le cas, je ne vais pas changer tous les jours, mes adresses dans les serveurs DHCP & DNS.
Ce besoin est tout à fait hypothétique. Combien de fois ton préfixe a déjà changé ?
Personne ne t'as dit de laisser tomber les ULA pour des services locaux. Ce qui répond à ta demande et est facile à mettre en place.
Citation de: Renaud07
Pour changer les préfixes : faut faire ça avec un script... (ne me demande pas comment, je suis nul en bash)
Ca, c'est du bricolage et j'aimerai éviter cette solution.
Un script c'est pas du bricolage. C'est juste une manière simple de répondre à ton problème.
Je constate que certains ont la critique facile mais ne donne pas les moyens de démontrer que ce genre de raisonnement n'est pas viable. A moins qu'ils ne savent pas eux-mêmes comment résoudre ce genre de problème, pour la simple, ce qu'ils n'ont pas encore rencontré.
J'ai plutôt l'impression que tout a été dit. De là à vouloir t'aider concrètement à monter une usine à gaz.
-
J'aimerai que certains arrêtent cette condescendance continuelle pour la simple raison que l'on ne fait pas parti du sérail.
J'estime faire partie du sérail même si mes activités professionnelles m'ont éloigné de la spécialisation que je pouvais avoir il y a (très) longtemps dans le domaine des réseaux (avant la naissance de certains contributeurs habituels de ce forum).
Je pense que ce que certains ont tenté d'exprimer :
- IPv6 remplacera à terme IPv4, ne serait-ce que parce que la dimension actuelle d'Internet oblige à tout un tas de bricolages qui n'étaient pas prévus au départ (adressage privé, NAT, encapsulation ou autre)
- Ces techniques font perdre potentiellement en performance, lisibilité, possibilités d'interconnexion
- Les mécanismes de sécurité "périmétriques" (par exemple avec du NAT et des firewalls) sur lesquels certains misent exclusivement ne sont pas suffisants. Ils reposent sur le postulat (faux) que les méchants sont à l'extérieur et les gentils à l'intérieur. Seule une vraie "défense en profondeur" peut protéger.
- Avec la plupart des "box" (notamment FreeBox, c'est mon cas), tu n'as rien à faire pour bénéficier d'IPv6 "full" alors que ton réseau IPv4 peut être considéré comme "dégradé" (en adressage RFC 1918)
- Pour l'immense majorité des utilisateurs, dont les équipements sont principalement "clients" d'Internet, cette autoconfiguration est largement suffisante.
- Mais c'est tout à ton honneur de chercher à comprendre et expérimenter
- En ce qui me concerne, je n'ai pas le temps dont tu sembles disposer pour expérimenter. J'ai juste besoin que ma connexion Internet fonctionne (pour moi et pour le reste de la famille).
-
Mais actuellement, mon FAI ne garantie en aucune façon que la délégation du préfixe IPv6 ne va pas changer d'un jour à l'autre, voir à chaque redémarrage du routeur. Et si c'était le cas, je ne vais pas changer tous les jours, mes adresses dans les serveurs DHCP & DNS.
Si le préfixe changeait toutes les semaines/mois, j'utiliserai probablement également un préfixe ULA en plus d'un GUA.
Chez Orange, j'ai eu pour l'instant moins d'un changement de préfixe par an, probablement 1 tous les deux ans si j'ignore les changements de préfixes liés à un déménagement de ma part. Je crois que chez SFR c'est encore plus stable, mais je ne suis pas personnellement client.
Sinon, à quoi sert les ULA si tout le boulot est déjà fait par les GUA ?
Les ULA peuvent servir lorsqu'il n'y a pas de connectivité vers internet, et donc pas de préfixe délégué. Ou elles peuvent servir dans le cas que tu envisages.
Les statistiques donne SFR comme ayant très peu d'IPv6 activée à cause de ce bouton qu'il faut activer pour avoir l'IPv6.
https://stats.labs.apnic.net/ipv6/AS15557?c=FR&p=1&v=1&w=30&x=1
60% tout de même, mais en effet, c'est plus faible que Bouygues, Orange ou Free fixe, qui sont aux alentours des 85+%.
L'IPv6 est souvent activé par défaut chez SFR d'ailleurs, en tout cas, chez mes beaux parents, ca l'était.
Pour en revenir à ta problématique, si la crainte est une renumérotation de préfixe et que tu cherches à reproduire ce qui se fait en IPv4+NAT (ce qui n'est pas forcément judicieux comme l'ont soulevé d'autres membres, peut être un peu maladroitement d'ailleurs, mais je soutiens l'envie de faire l'exercice)... ne serait-il pas plus simple pour toi de faire de la translation de préfixe sur le routeur ?
Je m'explique :
- adressage ULA uniquement sur le LAN et entre tes VLAN,
- lorsqu'un paquet est émis par une machine, il est émis avec une adresse source ULA (puisque pas de GUA sur le LAN),
- si ce paquet doit être routé vers internet par le routeur et si le firewall de ce dernier l'y autorise, le routeur remplace les 56 bits du préfixe ULA par les 56 bits du préfixe délégué par l'opérateur,
- si ce paquet doit être routé vers un autre VLAN (adresse de destination ULA) et si le firewall du routeur l'y autorise, le routeur fait du forwarding classique (sans translation),
- si ce paquet doit être routé vers le même VLAN, le routeur n'est pas impliqué.
- lorsqu'un paquet arrive d'internet à destination de ton /56 délégué, le routeur remplace ce /56 délégué par le /56 ULA et, si ses règles de firewalling l'y autorisent, route le paquet vers bon VLAN.
C'est du NAT, donc ca peut causer des problèmes de connectivité éventuels avec certaines applications p2p. Ceci dit, vu qu'il y a unicité des adresses (une adresse dans le préfixe ULA se voit mapper exactement une adresse dans le préfixe GUA, et vice versa), c'est bien moins problématique que le NAT IPv4. Et rien n'est modifié au dessus du niveau IP, contrairement au NAT IPv4.
Ca se combien bien (ou pas, en fonction de ce que tu veux) avec NAT64 sur le routeur, ce qui peut te permettre de désactiver IPv4 sur certains VLAN (ou sur tous, si les équipements sont compatibles) et te retrouver en single stack.
Le mieux est que tu essayes les différentes stratégies. Rien n'est définitif, si le but est d'apprendre et de t'amuser, tu peux probablement tout casser et refaire plusieurs fois :-)
-
Pour en revenir à ta problématique, si la crainte est une renumérotation de préfixe et que tu cherches à reproduire ce qui se fait en IPv4+NAT (ce qui n'est pas forcément judicieux comme l'ont soulevé d'autres membres, peut être un peu maladroitement d'ailleurs, mais je soutiens l'envie de faire l'exercice)... ne serait-il pas plus simple pour toi de faire de la translation de préfixe sur le routeur ?
C'est bien ce qu'il veut faire à priori :
Si j'ai bien compris, les adresses IPv6 privées (ou interne) sont du type ULA (à l'identique du fonctionnement en IPv4), commençant par "fd00::/8". Donc en IPv6, je veux le même fonctionnement qu'en IPv4. Il me semble que c'est le NAT66 qui doit réaliser cela : translation préfixe IPv6 externe <--> préfixe IPv6 interne.
Je voudrais utiliser aussi bien dans le serveur DHCPv6 que dans le serveur DNSv6, les adresses privée (ou interne) IPv6, genre "fd70:abcd:effe:dcba:aaaa:bbbb:cccc:dddd" pour les attribuer à mes interfaces. Cette adresse ne bouge pas, mais c'est le NAT de l'IPv6 qui va faire la translation en remplaçant le préfixe IPv6 venant de l'extérieur par celui que j'utilise en interne, qui ici est "fd70:abcd:effe:dcba". C'est cette solution que j'aimerai mettre en place.
-
OK, j'avais raté ca, désolé artemus.
-
Ce besoin est tout à fait hypothétique. Combien de fois ton préfixe a déjà changé ?
Depuis que je suis chez SFR, en 2012, c'est la quatrième fois que la délégation du préfixe IPv6 a changé. La dernière fois, c'était en mars 2023 quand je suis passé en IPv4 Full Stack.
Là où je suis d'accord avec toi, ce n'est pas un réel besoin. Pour exemple, c'est passer d'une fermeture de ses volets manuellement en passant de pièce à pièce puis de les automatiser en appuyant sur une télécommande pour le faire depuis son canapé au salon. Je ne pense pas qu'il y quelque chose à redire sur cette évolution.
Personne ne t'as dit de laisser tomber les ULA pour des services locaux. Ce qui répond à ta demande et est facile à mettre en place.
Tu es peut-être un professionnel des réseaux, moi pas, et il y a des notions que je ne comprends pas. Pour l'aspect Routeur, je pense que c'est totalement opérationnel avec Debian et "systemd-network". Là où j'ai un peu plus de difficulté à mettre en oeuvre est de trouver la bonne application pour le serveur DHCPv4 & DHCPv6 ainsi que le serveur DNSv4 & DNSv6. J'ai déjà mis mon nez dans Bind9, et je le trouve compliqué et ne correspond pas à mon attente. Par ailleurs, j'ai hébergé mon nom de domaine chez AlwaysData et j'utilise le fichier de zones qui est déjà configuré pour mon usage personnel. Quand je parle DNS, je ne parle pas de ce type de fichier de zones, mais juste du couple (adresse IP ; nom d'Hôte) comme dans la BOX SFR. J'ai déjà configuré DNSMASQ pour un usage simple, avec GUA en statique. Mais j'ignore s'il est capable de gérer des préfixes dynamiques. Je ne sais pas comment gérer cela, à savoir un préfixe bidon dans l'adresse IPv6 statique de DNSMASQ, qui sera écrasé par RADVD, si celui-ci permet de faire cette translation. Ou bien, j'utilise les ULA partout dans mon réseau local, et c'est totalement transparent cette translation qui va se faire à un niveau supérieur des serveurs DHCP & DNS. C'est ça que je ne sais pas faire.
Un script c'est pas du bricolage. C'est juste une manière simple de répondre à ton problème.
Je comprends ton point de vue, mais cela reste une rustine pour résoudre un problème dont ne sait pas comment faire sans cette astuce.
J'ai plutôt l'impression que tout a été dit.
De ton point de vue à toi, oui, car tu as la connaissance de ce qu'il faut faire.
De mon point de vue, il me manque quelque chose pour finaliser ce que je veux faire, quitter à changer l'approche si cela ne convient pas.
De là à vouloir t'aider concrètement à monter une usine à gaz.
Utiliser RADVD n'est pas mettre en place une usine à gaz. C'est juste que je ne sais pas m'en servir sur ce que je veux faire, à la condition que cela fasse ce que je veux faire.
Merci Ppn_sd pour tes explications. :)
J'estime faire partie du sérail même si mes activités professionnelles m'ont éloigné de la spécialisation que je pouvais avoir
c'est comme le vélo, ça ne s'oublie pas. :)
(1) --> oui, je suis d'accord, à terme l'IPv4 va disparaitre. Je ne veux pas monter une usine à gaz pour gérer l'IPv4 à partir de l'IPv6 (NAT64). Cela n'a aucun intérêt que je le fasse à mon niveau.
(2) --> c'est le spécialiste qui parle. je veux bien mais en quoi il y aura une perte de performance ? Au niveau de la translation NAT66 : IPv6 <--> IPv6 ?
(3) --> je ne gère pas pour l'instant l'aspect sécurité qui se fera dans le firewall. Je dirai une chose après l'autre. L'aspect que j'essaye de bien gérer pour l'instant, sont le trafic et l'adressage.
(4) --> pas compris.
(5) --> si tu parles du SLAAC, oui, je suis d'accord, mais pas dans mon cas.
(6) --> je te remercie de reconnaitre que j'essaye tant bien que mal de faire des efforts de compréhension, même si parfois je suis maladroit dans ma façon de communiquer.
(7) --> j'ai tout le temps du monde pour expérimenter car je suis à la retraite. Ma connexion internet fonctionne très bien. Mon projet, comme déjà dit, est de bypasser la BOX SFR. J'ai déjà un semblant de routeur qui fonctionne puisque j'ai pu conserver le triple play. J'essaye juste de faire évoluer mon réseau.
Merci à tou Pju91.
Je crois que chez SFR c'est encore plus stable, mais je ne suis pas personnellement client.
Oui, c'est très stable. En fait, ces changements ont été liés aux changements d'offres.
Les ULA peuvent servir lorsqu'il n'y a pas de connectivité vers internet, et donc pas de préfixe délégué.
Comme dit précédemment dans mon VLAN 40, les ULA sont destinés à la domotique. Le flux doit rester dans le réseau local.
L'IPv6 est souvent activé par défaut chez SFR d'ailleurs, en tout cas, chez mes beaux parents, ca l'était.
Dans la BOX 8 SFR, il y a aussi un bouton pour activer l'IPv6. Je me souviens que je n'avais pas d'IPv6 d'activé quand j'ai reçu cette BOX.
Pour en revenir à ta problématique, si la crainte est une renumérotation de préfixe et que tu cherches à reproduire ce qui se fait en IPv4+NAT (ce qui n'est pas forcément judicieux comme l'ont soulevé d'autres membres, peut être un peu maladroitement d'ailleurs, mais je soutiens l'envie de faire l'exercice)... ne serait-il pas plus simple pour toi de faire de la translation de préfixe sur le routeur ?
Je reconnais que s'exprimer sur un sujet que l'on ne maitrise pas, est un exercice qui peut être mal compris par certains.
Oui, c'est bien de la translation de préfixe que je veux faire. Et je crois que cela se nomme NAT66.
C'est-à-dire "préfixe IPv6 externe ou WAN <--> préfixe IPv6 Interne ou LAN".
A ce niveau de compréhension, je ne sais pas si le préfixe reste inchangé dans mon LAN ou pas. J'aimerai un réponse à ce sujet.
Je m'explique :
- adressage ULA uniquement sur le LAN et entre tes VLAN,
- lorsqu'un paquet est émis par une machine, il est émis avec une adresse source ULA (puisque pas de GUA sur le LAN),
- si ce paquet doit être routé vers internet par le routeur et si le firewall de ce dernier l'y autorise, le routeur remplace les 56 bits du préfixe ULA par les 56 bits du préfixe délégué par l'opérateur,
- si ce paquet doit être routé vers un autre VLAN (adresse de destination ULA) et si le firewall du routeur l'y autorise, le routeur fait du forwarding classique (sans translation),
- si ce paquet doit être routé vers le même VLAN, le routeur n'est pas impliqué.
- lorsqu'un paquet arrive d'internet à destination de ton /56 délégué, le routeur remplace ce /56 délégué par le /56 ULA et, si ses règles de firewalling l'y autorisent, route le paquet vers bon VLAN.
C'est exactement ce que je cherche à faire, si j'ai bien compris de quoi il s'agit.
Comme dit précédemment, les VLAN "10", VLAN "20" et VLAN "30-40" ne communiquent pas entre eux. Normalement, le VLAN 40 qui est la domotique doit communiquer avec l'internet uniquement au travers d'une interface WEB. L'ULA domotique n'a pas vocation à franchir le routeur pour se retrouver sur l'internet. Inversement, le VLAN 30 qui est l'internet doit être une ULA routable.
Si j'ai fait cette dissociation, c'est plus pour distinguer ce qui est routable de ce qui ne l'est pas. A vrai dire, faire deux VLAN (30 & 40) risque de me poser des problèmes. Je préfère un seul VLAN avec deux types d'ULA, routable et non routable. Est-il possible de faire cette distinction au niveau routeur ou RADVD ?
C'est du NAT, donc ca peut causer des problèmes de connectivité éventuels avec certaines applications p2p.
Je n'utilise pas le peer to peer.
Ceci dit, vu qu'il y a unicité des adresses (une adresse dans le préfixe ULA se voit mapper exactement une adresse dans le préfixe GUA, et vice versa), c'est bien moins problématique que le NAT IPv4. Et rien n'est modifié au dessus du niveau IP, contrairement au NAT IPv4.
Pour mon usage, tout ce qui est verticale, donc du routeur vers le périphérique et vice-versa est de type ULA routable, et doit franchir le routeur.
Tout ce qui est transversale, donc d'un périphérique vers un autre périphérique est du type ULA non routable et ne doit pas franchir le routeur.
Par exemple, un microcontrôleur ESP32 vers un ordinateur. L'ULA de l'ESP32 n'est pas routable, tandis que celle de l'ordinateur l'est.
Ca se combien bien (ou pas, en fonction de ce que tu veux) avec NAT64 sur le routeur, ce qui peut te permettre de désactiver IPv4 sur certains VLAN (ou sur tous, si les équipements sont compatibles) et te retrouver en single stack.
Je conserve le double Stack IPv4 & IPv6 indépendamment l'un de l'autre. Je ne modifie rien de ce qui existe déjà en IPv4. Ce sujet est consacré à la faisabilité de l'adressage IPv6 par des ULA en faisant la distinction entre ce qui est routable, de ce qui ne l'est pas. Mon problème si situe plus dans ce que j'essaye de faire dans les VLAN 30 (domotique) et VLAN 40 (internet).
Le mieux est que tu essayes les différentes stratégies. Rien n'est définitif, si le but est d'apprendre et de t'amuser, tu peux probablement tout casser et refaire plusieurs fois :-)
Rien de définitif pour l'instant, car je ne sais toujours pas comment débuter le problème. Est-ce que le NAT66 se gère par le radvd essentiellement ?
C'est bien ce qu'il veut faire à priori :
Tu as tout compris de ce que j'essaye de faire.
@+
-
Qu'est-ce que je dois comprendre de ta remarque ? Que je dois me démerder tout seul pour trouver la réponse. Bravo pour l'entraide dans les forums.
Drôle de façon de considérer les choses. ce n'est pas la 1ere fois que tu as l'air de considérer que les gens dans ce forums doivent te fournir tes explications et des réponses. Ce n'est pas un service client payant et rien ici n'est du.
Ma remarque stipule qu'il y a un minimum a apprendre soi-même si tu veux faire des trucs plus complexe qu'un réseau local d'un particulier lambda. Tout comme si tu débarde dans un club de foot sans connaitre au moins les règles du jeu tu vas en énerver plus d'un.
Tu généralise ton cas et SFR. Ce que fait SFR n'est pas généralisation de la tendance mondiale actuelle d'activer IPv6 par défaut partout.
Tu considère que le changement de préfix est un probleme et au lieu de chercher a 'vivre avec' tu cherche a reproduire des techniques d'IPv4 pour y palier. Pose toi plutot la question en quoi le changement de préfix t'impacte et quelle(s) solution(s) il y a pour y pallier.
Mon approche et celle de beaucoup est d'arrêter de donner des conseils qui vont conduire les gens à faire des trucs compliquer pour rien, même si ca marche.
Comme dit pju91, IPv6 est venu pour remplacer a terme IPv4 mais en changeant AUSSI radicalement tous les autres aspects du réseau.
Par exemple, des filtres d'accès/sécurité sur les couches 3/4 n'ont pas quasi plus lieu d'être en IPv6. Beaucoup de gens ne comprennent pas cela. IPv6 est fait pour du simple niveau L3/L4. Un firewall stateful au pire et rien de plus. J'en vois encore qui cherche a partitionner , faire des sous réseaux avec des filtrages sur les IPs comme en IPv4, donc vouloir des IP statiques, etc. Bref un cauchemar.
De nos jour la sécurité c'est au niveau 7, un LAN d'entreprise ou ton réseau wifi chez toi ou un wifi public c'est pareil. Le réseau doit être simple et juste router. Tout le reste ce passe au niveau 7.
Si les appareils et les applications utilisées ne sont pas prêts pour cela, ils doivent rester en IPv4 , voir dans un ilot IPv4 avec NAT64/DNS64 si besoin.
Y'a que les vendeurs de matériel réseau/sécu et leur prestataires qui ne seront pas d'accord la car leur business est en danger (plus c'est complexe plus y'a des sous a se faire).
Donc quand on dit "ne pas faire comme avec IPv4" ce n'est pas que sur les IPs mais sur l'ensemble du réseau.
-
Si j'ai fait cette dissociation, c'est plus pour distinguer ce qui est routable de ce qui ne l'est pas. A vrai dire, faire deux VLAN (30 & 40) risque de me poser des problèmes. Je préfère un seul VLAN avec deux types d'ULA, routable et non routable. Est-il possible de faire cette distinction au niveau routeur ou RADVD ?
Tu peux bloquer le routage entre les VLAN oui. Mais si tu ne veux aucun routage, autant utiliser uniquement les link local sur les périphériques concernés.
Je n'utilise pas le peer to peer.
Quand on dit P2P, ce n'est pas que le torrent. Par exemple, SIP est un protocole P2P de base qui ne passe pas le NAT sans modifications, car il écrit en dur les adresses (voilà pourquoi asterisk entre autres est aussi pénible à configurer lorsque du NAT est impliqué)
Est-ce que le NAT66 se gère par le radvd essentiellement ?
Nope, c'est iptables/netfilter qui s'occupe de ça avec une commande du type :
ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64
-
Tu es peut-être un professionnel des réseaux, moi pas, et il y a des notions que je ne comprends pas.
Si je suis un professionnel des réseaux, alors il est temps de faire le nettoyage dans le milieu ;D.
Utiliser RADVD n'est pas mettre en place une usine à gaz. C'est juste que je ne sais pas m'en servir sur ce que je veux faire, à la condition que cela fasse ce que je veux faire.
Si tu utilises systemd-network, avec les options [IPv6RoutePrefix] et [IPv6SendRA] (https://www.freedesktop.org/software/systemd/man/latest/systemd.network.html), tu n'as pas forcément besoin de radvd.
-
J'ai plutôt l'impression que tout a été dit. De là à vouloir t'aider concrètement à monter une usine à gaz.
Pour moi il manque 2/3 infos ou pistes à explorer :
- ip token set (https://www.linux.org/docs/man8/ip-token.html) pour fixer ... le suffixe de l'IPv6.
- Des solutions intéressantes pour mettre à jour le DNS à partir du serveur DHCP configuré en stateful ou stateless ; ou à partir du client (RFC 2136 ?)
- mDNS/Bonjour entre les VLANs et le comportement que ça soit en GUA, ULA ou LLA
-
Si tu utilises systemd-network, avec les options [IPv6RoutePrefix] et [IPv6SendRA] (https://www.freedesktop.org/software/systemd/man/latest/systemd.network.html), tu n'as pas forcément besoin de radvd.
Il va nous faire le café dans 2-3 releases ;D
Pour moi il manque 2/3 infos ou pistes à explorer :
- ip token set (https://www.linux.org/docs/man8/ip-token.html) pour fixer ... le suffixe de l'IPv6.
- Des solutions intéressantes pour mettre à jour le DNS à partir du serveur DHCP configuré en stateful ou stateless ; ou à partir du client (RFC 2136 ?)
- mDNS/Bonjour entre les VLANs et le comportement que ça soit en GUA, ULA ou LLA
J'utilise ip token set et je pensais même pas à l'évoquer...
Perso, pas fan de mDNS, c'est trop limité. Je préfère un DNS conventionnel avec beaucoup plus de souplesse.
-
Drôle de façon de considérer les choses. ce n'est pas la 1ere fois que tu as l'air de considérer que les gens dans ce forums doivent te fournir tes explications et des réponses. Ce n'est pas un service client payant et rien ici n'est du.
Je fréquente d'autres forums et la règle est l'entraide. Il n'y a aucune obligation à répondre aux questions posées, mais si on le fait, c'est dans le respect de celui qui cherche de l'aide. Pas du genre : "tu n'as qu'à faire une recherche sur le net et tu trouveras ce dont tu as besoin". Ou encore, "tu n'as rien compris, commence par te former et après on verra". C'est ce type de remarque qui fait sentir une discrimination envers ceux qui ne savent pas. C'est un manque de respect voilà tout.
Ma remarque stipule qu'il y a un minimum a apprendre soi-même si tu veux faire des trucs plus complexe qu'un réseau local d'un particulier lambda. Tout comme si tu débarque dans un club de foot sans connaitre au moins les règles du jeu tu vas en énerver plus d'un.
Parce que tu crois que je ne lis rien sur le net, que je ne fais aucun exercices, que j'attends une réponse toute faite, sans faire aucun effort. Et bien, tu te trompes à mon sujet.
Tu considères que le changement de préfix est un probleme et au lieu de chercher a 'vivre avec' tu cherche a reproduire des techniques d'IPv4 pour y palier.
Tu n'as rien compris de ce que j'ai dit jusqu'à présent. J'ai déjà mis en place le GUA et ça fonctionne parfaitement. Je cherche à faire évoluer mon réseau. Qu'est-ce que tu ne comprends pas dans ma remarque ?
Pose toi plutot la question en quoi le changement de préfix t'impacte et quelle(s) solution(s) il y a pour y pallier.
Et à ton avis, pourquoi j'ai créé ce sujet ? C'est exactement ce genre de questions que je me pose. Et en plus, tu me fais le reproche de ne pas me poser cette question. J'ai du mal à te suivre. Si tu ne fais pas l'effort de chercher à comprendre ceux qui intervienne dans ce forum, toute discussion avec toi est inutile. Je me pose même la question de ce que tu viens faire ici puisque tu n'as rien à dire d'intéressant ?
Mon approche et celle de beaucoup est d'arrêter de donner des conseils qui vont conduire les gens à faire des trucs compliquer pour rien, même si ca marche.
Alors pourquoi tu viens me faire la morale ? Si tu n'as rien à dire, pourquoi interviens tu ?
Le réseau doit être simple et juste router.
Mais qui t'a dit que mon réseau local était compliqué ? En fait, tu ne me connais pas, tu inventes des intentions que je n'ai pas, juste pour te justifier. D'accord, je suis un ignorant et toi un grand sage. Et cela nous mène où ?
Donc quand on dit "ne pas faire comme avec IPv4" ce n'est pas que sur les IPs mais sur l'ensemble du réseau.
J'ai l'impression que c'est un leitmotiv que tu répètes afin de te convaincre que tu as la bonne démarche. Si je dois me planter dans mon approche, laisse moi faire car c'est ainsi que je vais apprendre. Ce n'est pas en me disant que j'ai tort que j'arriverai à comprendre pourquoi j'ai tort.
Par exemple, SIP est un protocole P2P de base qui ne passe pas le NAT sans modifications, car il écrit en dur les adresses (voilà pourquoi asterisk entre autres est aussi pénible à configurer lorsque du NAT est impliqué)
Je suis arrivé à configurer Asterisk sans trop de problème et ça fonctionne. Je l'utilise avec les identifiants de ma ligne téléphonique SFR.
Il se peut qu'en introduisant ces ULA, je casse Asterisk. La solution ne serait-elle pas de l'isoler dans le VLAN 10 qui est consacré au téléphone ?
Autrement dit, segmenter le réseau afin de ne pas avoir des effets de bords.
Nope, c'est iptables/netfilter qui s'occupe de ça avec une commande du type :
ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64
J'étais à mille lieu d'imaginer que la solution était dans l'iptables/netfilter. Mille mercis :) :) :) :) car c'est ce que je recherchais comme information.
Et pour faire la distinction entre ce qui est routable, de ce qui ne l'est pas, j'ai juste à mettre autre chose que "fda3", comme par exemple "fda4".
Si tu utilises systemd-network, avec les options [IPv6RoutePrefix] et [IPv6SendRA], tu n'as pas forcément besoin de radvd.
Je pense ne pas avoir besoin de radvd, après le test que j'ai fait où il y avait l'ajout d'une adresse IPv6 de type SLAAC (stateless) dans l'interface réseau.
Oui, j'utilise déjà ces directives dans mes scripts "systemd-networkd" pour le GUA.
Je crois que j'ai bien progressé, surtout grâce aux dernières interventions de MM. Ppn_sd et Renaud07. Merci :)
Y plus qu'à tester ! C'est tout pour aujourd'hui.
-
Il va nous faire le café dans 2-3 releases ;D
Il fait aussi le masquerade ipv4/ipv6 ;) donc remplace cela :
ip6tables -t nat -A POSTROUTING -o eth0.99 -j NETMAP --to 2607:xxx::/64 -s fda3:xxx::/64
ip6tables -t nat -A PREROUTING -i eth0.99 -j NETMAP -d 2607:xxx::/64 --to fda3:xxx::/64
-
J'ai l'impression que c'est un leitmotiv que tu répètes afin de te convaincre que tu as la bonne démarche. Si je dois me planter dans mon approche, laisse moi faire car c'est ainsi que je vais apprendre. Ce n'est pas en me disant que j'ai tort que j'arriverai à comprendre pourquoi j'ai tort.
tant que ca reste une expérience pour toi ou tes propres sujets je n'ai pas de souci. le problème c'est quand tu commence a répondre aux autres sans prévenir que tes "affirmations" ne sont pas forcement l'état de l'art.
Tu remarqueras que je ne suis pas intervenu sur ce sujet qu'en réponse aux questions des autres , jamais en réponse a tes questions sauf quand tu fais une remarque a caractère personnel. Je n'y répond plus depuis le sujet sur systemd c'est juste une perte de temps colossale a gérer. Tu te plains de condescendance personnelle sans voir que tu es un des rares a la déclencher et la subir...ceci explique cela ?
Tu dois comprend qu'en tant que modérateurs on cherche a ce que lafibre.info garde un bon niveau technique sans tomber dans l'élitisme imbu. Mais c'est difficile à faire avec certains intervenants donc toi. Désolé d'être brutal et franc et personnel (on ne le devrait pas dans ces forums) mais d'autres l'ont constaté et préfèrent ne pas intervenir.
Perso je trouve que ca fait baisser le niveau du forum (qui est indexé par Google et souvent apparait en réponse) donc je mets mon grain de sel quand je le juge nécessaire. Tu n'es pas le premier ni le dernier comme cela et encore loin du fameux 'Corrector' qu'on a subi il y a quelques années.
Sur ce, si j'ai pollué ce sujet je m'en excuse auprès des autres, je n'interviendrais plus mais j'espère aussi que tu commencera a comprendre mon point de vue.
-
Il fait aussi le masquerade ipv4/ipv6 ;) donc remplace cela :
Pour le masquerade ok, mais là c'est de la translation, donc pas vraiment la même chose. Dans ce cas il faut utiliser nftables de toute façon ? J'ai pas trouvé de syntaxe propre à networkd (ou j'ai mal cherché)
-
Pour le masquerade ok, mais là c'est de la translation, donc pas vraiment la même chose.
ULA -> NET via GUA se fait bien par du src-nat/masquerade. Pour le PREROUTING, utiliser une ULA pour héberger des services à destination de "l'extérieur", cela n'a pas de sens ici.
Dans ce cas il faut utiliser nftables de toute façon ? J'ai pas trouvé de syntaxe propre à networkd (ou j'ai mal cherché)
systemd-networkd génère des règles nftables.
-
ULA -> NET via GUA se fait bien par du src-nat/masquerade.
Quand c'est possible, c'est quand même mieux d'utiliser la translation de préfixe au lieu du src-nat/masquerade.
-
Moi je veux bien, mais quand on ne veut pas avoir à changer sa modification quand le préfixe change ...
Et encore une fois, vouloir faire du 1:1 ici ...
-
J'ai pu tester d'une manière basique le NAT66 et ça fonctionne plutôt bien. Après réflexion, je trouve que mon approche est plutôt contraignante, pas adapté à ce que j'essaye de faire.
Mon erreur est de vouloir créer deux VLAN, la 30 et la 40, pour distinguer ce qui est routable (internet) de ce qui ne l'est pas (domotique). Cela me pose plus de problèmes que d'avantage. Dans une autre sujet, j'ai découvert les ULA que je ne connaissais pas, qui vont résoudre ce problème, à savoir des adresses qui restent locales. Après avoir testé le NAT66, je vais continuer à utiliser les GUA pour ce qui est routable et introduire les ULA pour ce qui n'est pas routable et bien sûr, fusionner mes deux VLAN en une seul. Le pilotage des IoT se fera au travers d'interface WEB où ces objets auront une ULA. Je ne pense pas qu'avoir deux types d'adresses IPv6 posent des problèmes dans leur gestion au sein de mon réseau local.
Je considère que le pare-feu (iptables ou son digne successeur nftables) sert à filtrer les flux entrants ou sortants, pour des questions de sécurités et je préfère mettre dans les scripts "systemd-networkd" tout ce qui concerne l'aspect routeur et les VLAN.
Je n'ai pas trop de problèmes de compréhension sur les adresses IPv6, juste que je ne maitrise pas trop encore sur ce qu'il faut faire et comment le faire. NON, je ne cherche pas à imiter l'IPv4 en faisant de l'IPv6. OUI, je conserve le double stack (IPv4 & IPv6). Je ne cherche pas non plus à reproduire ma BOX SFR sous Debian, sauf où je dois reproduire un contexte pour que le décodeur TV Plus SFR fonctionne dans de bonne condition. Je tiens à conserver le triplé (Adresse IP ; Adresse MAC ; nom d'Hôte) en utilisant DNSMASQ pour reproduire les serveurs DHCP & DNS. En dehors de cette application, je ne sais pas s'il en existe un autre pas trop compliqué à mettre en œuvre. J'ai déjà testé BIND9 mais je trouve qu'il est trop compliqué pour l'usage que je veux faire. Si c'est pour avoir un fichier de zones, mon domaine est hébergé chez AlwaysData et j'ai déjà tout ce qu'il me faut.
Quand l'IPv4 viendra à disparaitre, j'aviserai d'un changement dans mon organisation de mon réseau local. Je ne vois pas l'intérêt ou plutôt je n'ai pas l'utilité des DNS64/NAT64 pour mon réseau local.
Dans ce sujet (https://lafibre.info/remplacer-livebox/retour-dexperience-sur-un-reseau-local-en-ipv6/#lastPost), la question a déjà été abordée :
Je fais du NAT66 sur mon routeur d'accès (CCR2004) pour passer des adresses ULA vers des adresses GUA lorsque le destinataire est hors de mon LAN. La règle NAT66 est mise à jour automatiquement à partir du préfixe Orange obtenu par DHCP6-PD
Tu as des VLAN ULA only donc ? C'est vraiment du NAT66 (paaaas bien) ou de la translation de préfixe ?
Ainsi que par Nscheffer :
Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas
Bref dans les deux cas je trouve que c'est pas top, des idées, des suggestions pour faire autrement ?
Je ne suis pas le seul à me poser des questions. Si je comprends bien, c'est moins un problème technique mais plus un problème de choix de comment bien configurer son réseau local.
En dehors de mes trois VLAN (10=Téléphone, 20=Multimédia et 30=Internet/Domotique), je ne sais pas s'il est possible d'en créer un autre pour bien gérer le trafic et s'il y a intérêt à segmenter mon réseau local. L'intérêt est d'isoler le trafic et de faire en sorte que les VLAN soient indépendants les uns des autres. Je pense avoir fait le tour de la question en revenant plus sur mon organisation que sur la modification technique de mon réseau.
Il est inutile de me taper dessus quand je dis une bêtise, où quand je fais quelque chose de technique que je ne devrais pas faire, car comme qui l'adage, l'erreur est humaine et je ne suis en aucune façon parfait. Il y a des concepts réseaux que je ne maitrise pas encore, voire même que je ne comprends pas, mais c'est en forgeant que l'on devient forgerons.
Si vous avez des suggestions à me fournir, je suis preneur. Je remercie tous les participants à ce sujet. :)
-
Sur la question de l'adoption d'IPv6, je conseille pour ceux qui ont un peu de temps et de connaissance de l'anglais cet article de Geoff Huston, Chief Scientist de l'APNIC (https://www.apnic.net/) : https://blog.apnic.net/2024/10/22/the-ipv6-transition/