Auteur Sujet: L'adressage en IPv6. (Lu 7810 fois)

artemus24 · « **Réponse #36 le:** 16 octobre 2024 à 16:54:50 »

Je ne comprends pas l'intérêt de ne pas utiliser l'IPv6.

Le minimum est de l'activer dans sa BOX au cas où cela ne se fait pas automatiquement.

Pegasus38 · « **Réponse #37 le:** 16 octobre 2024 à 18:12:08 »

Citation de: Paul le 16 octobre 2024 à 16:45:34

Un peu péremptoire. L'IPv6 me sauve littéralement le cul, il n'y a que grâce à ça que je peux auto-héberger ce que j'ai actuellement sur ma connexion chez moi, dont une bon nombre de serveurs/services web qui ont tous besoin du même port.

Citation de: LeNuageux le 16 octobre 2024 à 16:49:18

Pour te dire que si je n'avais pas IPv6 je n'aurais pas pu prendre en main mon RPI ( en remote et pas la porte d'a coté ) dont son IPv4 avait disparu ( problème de DHCP à un moment donné )

Les plus gros site du monde n'ont aucun problème, à mon avis c'est que vous ne savez pas parametrer les choses de la bonne façon.

artemus24 · « **Réponse #38 le:** 16 octobre 2024 à 18:45:09 »

Mon routeur, pour l'instant, sera "systemd-networkd" sous Debian.
Je vais créer autant d'interfaces dont j'ai besoin pour gérer tous mes "VLAN".
Voici la segmentation que je désire appliquer dans mon réseau local :

Le Téléphone   (VLAN 10)   : pour placer un téléphone VOIP/SIP.
Le Multimédia   (VLAN 20)   : pour le téléviseur Samsung, le décodeur TV SFR et un autre décodeur.
L'internet         (VLAN 30)   : pour un commutateur gérable à 10gb/S.
La domotique   (VLAN 40)   : pour un petit commutateur à 1gb/s.

Le commutateur gérable sera relié par la fibre optique, en 10gb/s.
Le petit commutateur non gérable sera accessible par un câble éthernet, en 1gb/s.
Le commutateur gérable accédera aussi bien aux VLAN 30 & 40.
Le VLAN 40 n'a pas vocation à franchir le routeur pour accéder à l'internet.

Les trois VLAN "10", "20" et "30-40" n'ont aucune raison de communiquer entre eux.
Si c'était le cas, je n'aurai pas créer des VLAN pour les isoler les uns des autres.
Le but recherché par cette isolation est de mieux gérer le trafic.

Je n'aborde pas ici la configuration de "systemd-networkd" que j'ai déjà faite par ailleurs dans ce forum.
Cette configuration est opérationnelle puisque je l'ai testé et je conserve le triple play qui était mon but.

Je vais devoir créer le fichier "radvd.conf" en le subdivisant en plusieurs interfaces.
A partir de la délégation de préfixe IPv6 de SFR, en "/56", je vais créer autant de préfixes en "/64" que j'ai besoin.
La dernière interface (VLAN 40) aura un préfixe IPv6 "ULA" : "FD70:ABCD:EFFE:DCBA".

Mes interfaces sont physiquement indépendantes.
Je peux leur donner le nom que je veux, genre "tel0", "med0", "med1", "med2", "dom0", "int0".
Ce qui se traduit par :
Le Téléphone   (VLAN 10)   : tel0
Le Multimedia   (VLAN 20)   : med0, med1, med2.
L'internet         (VLAN 30)   : int0.
La domotique   (VLAN 40)   : dom0.

Si par la suite, j'ai besoin d'agrandir mon LAN avec d'autre fonctionnalité, je peux ajouter d'autres interfaces. Par exemple, des caméras.

Quelques recherches :
--> Autoconfiguration IPv6.
--> Configuration du service radvd pour les routeurs IPv6.
--> Initiation à IPv6 en pratique : IPv6, radvd et DHCPv6.

Paul · « **Réponse #39 le:** 16 octobre 2024 à 19:48:23 »

Dans ce cas, ne t’encombre pas avec des ULA sauf pour ton VLAN 30. Si ton pare-feu est bien configuré avec toutes les connexions entrantes bloquées (sauf initiées de l’intérieur), tes appareils ne sont pas plus vulnérables avec des GUA.

Citation de: Pegasus38 le 16 octobre 2024 à 18:12:08

Les plus gros site du monde n'ont aucun problème, à mon avis c'est que vous ne savez pas parametrer les choses de la bonne façon.

Ça n’a absolument aucun rapport avec la problématique que j’ai mentionnée

lyapounov · « **Réponse #40 le:** 17 octobre 2024 à 21:48:06 »

Merci à Artemus24 de poser ces questions, et surtout merci aux rares qui y ont répondu, sans polluer le forum (j'adore ceux qui disent "ben t'a ka te renseigner", ben oui, c'est exactement ce qu'il fait ici ;-)

Moi aussi, je cherche à comprendre IPV6. Pour ceux qui disent que ça sert à rien: je suis abonné Starlink car pas de fibre là où je suis et les 4G box sont une catastrophe vue le nombre de maisons en mur de pierre de Bourgogne (y compris la mienne) qui sont entre la box et l'antenne située à plus d'un km. Donc Starlink qui marche du feu de dieu (enfin je peux faire des zoom)

J'ai des synology sur mon réseau, dont certains accessibles depuis l'extérieur. Alors, sachant que Starlink ne donne pas d'adresse IPV4 publique, comment faire simplement.

Utiliser le quickconnect de synology ? Oh, mais c'est une cata. Je fais des synchro entre un synology distant et le mien, à ... 15kbs

Ouvrir un tunnel crypté... Trop compliqué

Ouvrir mon routeur Asus à l'IPV6... Ah ben voilà, la ça marche bien ! Enfin presque, car fe80: etc ne marche pas dans les règles du firewall, il faut mettre la GUA. Oui, mais starlink me change le préfix de temps en temps...

Bref, he vais lire avec attention les réponses

Mjules · « **Réponse #41 le:** 17 octobre 2024 à 21:51:28 »

Pour aider un peu à comprendre les différentes adresses ipv6, j'aime bien cette carte :
https://www.ripe.net/media/documents/ipv6_reference_card.pdf

kgersen · « **Réponse #42 le:** 17 octobre 2024 à 23:11:05 »

Citation de: lyapounov le 17 octobre 2024 à 21:48:06

Ouvrir un tunnel crypté... Trop compliqué

https://tailscale.com/

C'est bien plus simple
y'a meme un package pour Syno: https://www.synology.com/fr-fr/dsm/packages/Tailscale

artemus24 · « **Réponse #43 le:** 18 octobre 2024 à 00:24:32 »

Citation de: lyapounov

et surtout merci aux rares qui y ont répondu, sans polluer le forum (j'adore ceux qui disent "ben t'a ka te renseigner", ben oui, c'est exactement ce qu'il fait ici ;-)

Je lis, je m'informe et je fais des tests, mais cela n'est pas suffisant pour tout comprendre. Au moins toi, tu as compris l'utilité d'un forum.

Citation de: lyapounov

Moi aussi, je cherche à comprendre IPV6.

Je n'ai pas de problème d'IPv6 puisque il est déjà opérationnelle dans mon Debian (ainsi quze l'IPv4) sous "systemd-networkd". Je précise que j'ai transformé mon ordinateur en routeur afin de tester le bypasse de la BOX SFR et c'est opérationnel. J'ai plutôt un problème dans l'organisation de l'adressage IPv6 que je désire implanter dans mon Debian. C'est plus une méconnaissance qu'un problème réel.

J'ai testé "radvd" cette après-midi, ça fonctionne très bien, sauf que c'est du stateless (le SLAAC) et ce n'est pas du tout ce que je recherche. J'avais cru comprendre que l'affectation du préfixe se faisait dynamiquement, par concaténation au suffixe.

Dans mon organisation, je dois gérer deux préfixes (peut être même plus), le premier venant du serveur SFR et qui se nomme "la délégation du préfixe IPv6", ça fonctionne déjà au niveau du routeur. Le seconde étant l'ULA "fe70:abcd:effe:dcba", que je n'ai pas encore implanté. Je n'ai toujours pas compris comment substituer dynamiquement les préfixes dans les serveurs DHCPv6 et DNSv6 alors que ceux-ci sont en dur. Par exemple DNSMASQ, que j'ai déjà utilisé avec mes Raspberry Pi.

Citation de: lyapounov

Enfin presque, car fe80: etc ne marche pas dans les règles du firewall, il faut mettre la GUA. Oui, mais starlink me change le préfix de temps en temps...

Si je passe par ma BOX SFR pour renseigner le serveur DHCPv4 ainsi que DHCPv6, je n'ai pas le choix, je suis obligé d'utiliser "192.168.1.0/24" ainsi que le préfixe de "la délégation du préfixe IPv6" venant de SFR. Je ne peux pas les modifier.

Avant de mettre en dur "fe80::f000" dans la configuration de NetworkManager de mes Raspberry Pi, j'avais utilisé udev où j'associe l'adresse IP à l'adresse MAC. L'inconvénient de cette méthode est double. Je dois le faire en dur, et le faire dans tous les OS que j'utilise. Pas pratique du tout.

Le but est justement de le centraliser dans le routeur afin que cela soit accessible partout dans le réseau local, de rendre l'affectation du préfixe dynamique, et de ne pas outrepasser les règles du réseau.

@ Mjules : pour ce qui nous intéresse, cela se résume à :
--> 2000/3 pour GUA
--> fc00::/7 pour ULA
--> fe80::/10 pour LLA

@ tous : si quelqu'un pouvait expliquer comment rendre dynamique l'affectation des préfixes, aux suffixes qui sont renseignés dans le serveur DHCPv6, je suis preneur. Merci.

renaud07 · « **Réponse #44 le:** 18 octobre 2024 à 03:19:50 »

Pour changer les préfixes : faut faire ça avec un script... (ne me demande pas comment, je suis nul en bash) Mais tu ne dois t'occuper que du préfixe SFR (et encore il ne doit pas changer toutes les semaines). Sinon passer par un vrai OS routeur type openwrt ou pfsense qui font ça automatiquement.

Pour le préfixe ULA, il ne bouge pas, donc rien à changer. Il n'y a qu'à configurer le DHCPv6 et l'annoncer par radvd (un /64 par VLAN). Concernant le SLAAC, c'est pourtant la méthode à privilégier, il se peut que certains appareils ne fonctionnent pas en DHCPv6 (tu le verras vite de toute façon). Il faut rajouter ce paramètre dans radvd : AdvAutonomous off qui coupera le SLAAC.

Exemple de code :

Code: [Sélectionner]

interface eth0
{
        AdvSendAdvert on;

        prefix 2001:1:1:1::/64 {

        {
                AdvAutonomous off;

        };
};

Côté DNS tu as plusieurs solutions :
-adresses fixes
-adresses MAJ par le DHCP ou les clients

Mais vu que tu veux absolument passer par le DHCP, les adresses seront statiques non ? Dans ce cas tu peux tout configurer en fixe.

Sinon on peut aussi mixer les deux : SLAAC + DHCP. Je pense que c'est le meilleur compromis. On conserve le SLAAC pour les adresses publiques (privacy extensions) et les périphériques non compatibles, le DHCP pour la gestion/trafic du LAN.

Citation de: artemus24 le 18 octobre 2024 à 00:24:32

si quelqu'un pouvait expliquer comment rendre dynamique l'affectation des préfixes, aux suffixes qui sont renseignés dans le serveur DHCPv6, je suis preneur.

Je ne comprends où tu veux en venir. Le DHCPv6 fonctionne comme le DHCPv4, t'as tes préfixes/subnets, une plage d'adresses correspondant (ok on peut considérer la fin des adresses comme le suffixe), ton DNS, quelques autres options et c'est tout. Donc hormis le "piochage" dans la plage, il n'y aura rien d'autre de dynamique.

basilix · « **Réponse #45 le:** 18 octobre 2024 à 05:00:24 »

Citation de: lyapounov

Merci à Artemus24 de poser ces questions, et surtout merci aux rares qui y ont répondu, sans polluer le forum (j'adore ceux qui disent "ben t'a ka te renseigner", ben oui, c'est exactement ce qu'il fait ici ;-)

Tu ne sauras pas le quart de ce qu'il faut en procédant ainsi. De là, aboutir à un bon résultat est irréalisable.
Parole d'autodidacte ! Il faut arrêter de prendre les gens pour des c**ns.

Leon · « **Réponse #46 le:** 18 octobre 2024 à 07:52:07 »

Citation de: lyapounov le 17 octobre 2024 à 21:48:06

Ouvrir un tunnel crypté... Trop compliqué

Pourquoi est-ce que vous voulez tous crypter (chiffrer) vos tunnels?
Selon moi, il n'y a aucun intérêt, sur un abonnement que tu possèdes auprès d'un opérateur sérieux.
Sur un WiFi public chelou, à la rigueur, ça peut se comprendre, mais c'est tout.

Si c'est juste pour du trafic Internet classique, pour contourner une IPv4 public qui change trop souvent, un VPN non chiffré suffit amplement, ça ne bouffe pas de ressource CPU inutile, ça permet facilement d'atteindre des débits de malade.

Pour moi, il y a 2 solutions pour ce genre de problèmes d'IP publique très changeante
1) pour accéder à un NAS interne au LAN, depuis un PC-portable en vadrouille ou depuis un smartphone, alors TailScale ou ZeroTier, ça marche très bien
2) si tu veux héberger des services réellement accessibles à tout le monde (tout Internet), en IPv4, sur ton LAN, alors un tunnel avec IPv4 public ça fait l'affaire. MilkyWan propose pour 6euros/mois un tunnel non-chiffré permettant du 2Gbps "en bon père de famille". C'est assez imbattable. https://milkywan.fr/services/tunnel/

Est-ce que c'est juste le marketing (à gerber) de SurfShark / Nord-VPN / CyberGhost qui déteint sur tout le monde?

Leon.

simon · « **Réponse #47 le:** 18 octobre 2024 à 09:17:54 »

Citation de: Leon le 18 octobre 2024 à 07:52:07

Pourquoi est-ce que vous voulez tous crypter (chiffrer) vos tunnels?

Quelques % de CPU si tu chiffres en chacha-poly ou en AES et tu gagnes:
1) la confidentialité des échanges (on ne voit pas ce qui passe dedans, dont éventuellement les mots de passe dans le cas de HTTP ou de protocoles antiques tels que SMB),
2) l'authenticité de la machine au bout du tunnel,
3) l'intégrité des données qui transitent.

2) et 3) sont liés et sont selon moi importants pour s'assurer que le VPN maintient bien le périmètre de sécurité qu'il est sensé assurer.
Cas pratique il y a un paquet d'années, quand des tunnels 6in4 étaient utilisés pour accéder au réseau IPv6 depuis une connexion n'en fournissant pas, je voyais passer des paquets 6in4 arriver depuis plusieurs sources, non sollicités, qui étaient selon moi des tentatives d'injection de paquets à l'intérieur du tunnel.

Dans ce cas, effectivement, si tout ce qu'on y fait passer est du traffic déjà authentifié et chiffre (par exemple ssh ou https), ce traffic est protégé.
Par contre, il y a toujours possibilité d'injecter du traffic dans ton tunnel pour usurper ton identité (à fins malicieuses/illegales le plus souvent). Et si le traffic n'est pas chiffré et/ou authentifié au niveau applicatif, aïe.

Citation de: Leon le 18 octobre 2024 à 07:52:07

Est-ce que c'est juste le marketing (à gerber) de SurfShark / Nord-VPN / CyberGhost qui déteint sur tout le monde?

Payer pour nordVPN ou autre VPN commercial quand tu vis en europe occidentale, j'ai jamais compris, mais le marketing fait des miracles. De surcroît quand ces utilisateurs surfent avec Google Chrome.

Citation de: Leon le 18 octobre 2024 à 07:52:07

Si c'est juste pour du trafic Internet classique, pour contourner une IPv4 public qui change trop souvent, un VPN non chiffré suffit amplement, ça ne bouffe pas de ressource CPU inutile, ça permet facilement d'atteindre des débits de malade.

Oui, éventuellement si tu maintiens les deux bouts du tunnel, tu peux désactiver le chiffrement. Mais encore une fois, est-ce utile au vu du faible coût CPU et de ce qu'on perd ?
On est assez HS, mais l'époque où l'on pouvait se reposer sur un opérateur pour des services de tunneling/VPN est pour moi révolue. D'une part en termes de sécurité/contrôle, mais aussi parce que mes clients industriels se réveillent tout doucement à la cybersécurité, et qu'ils s'attendent (à raison) que le traffic soit chiffré de bout en bout entre les deux firewalls en leur possession.