Auteur Sujet: IPv6: même réseau ULA sur un LAN et sur wireguard (Lu 2178 fois)

jeremyp3 · « **le:** 24 août 2021 à 20:31:04 »

Bonjour,

Pour des raisons pratiques, j'aimerai faire un seul réseau ULA en /64 comprenant mon LAN et une interface wireguard mais pour le moment je ne m'en sors pas.

donc sur mon serveur, j'ai une interface appelé LAN1 qui porte le réseau ULA fd42.aaa:bbb:ccc::1/64

sur ce même serveur, j'ai aussi une interface wg s'appelant wg-lan qui me sert à faire de l'arp proxy avec l'IPV4, ça ça marche très bien.

sur le vps de test, j'ai le client wg avec une ip du réseau /64 susmentionné et tout le /64 en allowed-ips

j'ai tenté de créer un plus petit sous réseau avec mon interface wg genre fd42.aaa:bbb:ccc:ddd::1/80 en espérant que ça fonctionne mais je pense que c'est pas la bonne piste.

j'ai aussi tenter de faire un ndp proxy avec le paquet ndppd

Bref, j'aimerai bien votre aide, afin de savoir quel méthode suivre pour faire mon réseau ULA étendu

Merci,

Jerem

FloBaoti · « **Réponse #1 le:** 24 août 2021 à 21:00:53 »

A première vue, je dirais que c'est impossible avec Wireguard. Il faudrait un bridge entre ton LAN et Wireguard, hors Wireguard n'utilise pas Ethernet en couche 2 donc pas possible (ça explique aussi pourquoi ndp ne sert à rien avec WG). Il faut absolument faire du routage à mon sens avec WG, et donc impossible d'utiliser le même préfixe.
A mon avis, c'est le postulat de départ qui n'est pas bon, il faut revoir l'adressage je pense.

jeremyp3 · « **Réponse #2 le:** 24 août 2021 à 21:31:27 »

oui, en effet, il faudrait pouvoir imité le bridge en ipv6. avec ipv4, je m'en suis sortie parce que j'ai réussi à faire de l'arp proxy. (cela m'avait été conseillé sur le canal de #wireguard sur irc)

je pensais justement que NDP pouvais servir à ce genre d'usage de ce que j'en avais lu.

le but final étant d'accéder à mes périphériques sur mon réseau local, depuis wireguard, et pourquoi pas avec du mdns

mais bon, commençons par le commencement

Jerem

jeremyp3 · « **Réponse #3 le:** 26 mars 2022 à 20:25:17 »

Bonjour,

En me repenchant sur le projet, j'ai réussi ce que je souhaitais faire.

Mon réseau plus petit: fd42.aaa:bbb:ccc:ddd::/80 peut parler avec mon réseau plus grand fd42.aaa:bbb:ccc::/64 et vice versa

dans le fichier de conf de wireguard, j'ai rajouté la route du /80. j'aurai pu lui mettre une adresse fictive aussi, mais j'ai décidé de ne rajouter que la route vers l'interface wireguard

Code: [Sélectionner]

PostUp = ip -6 route add fd42:aaa:bbb:ccc:ddd::/80 dev %i

Chaque peer à une adresse dans ce même réseau.

Pour que tout ça fonctionne, j'ai utiliser ndppd avec la conf suivante:

Code: [Sélectionner]

root@routeurlinux:~# cat /etc/ndppd.conf |sed  '/#/d'
route-ttl 30000
proxy lan1 {
   router no
   timeout 500   
   ttl 30000
   rule fd42:aaa:bbb:ccc:ddd::/80  {
      static
   }
}

Ça semble bien fonctionné, je peux parler à n'impporte quel équipement, et le résoudre aussi en mdns avec la conf qui va bien dans wg pour le mdns

pour info, voilà la conf que je rajoute pour mdns dans wg::

Code: [Sélectionner]

PostUp = ip l set multicast on  dev %i #enable multicast

je rajoute aussi pour chaque peer qui doit recevoir les annonces mdns:

Code: [Sélectionner]

AllowedIPs = [...],ff02::fb/128,224.0.0.251/32

si vous voyez autre chose, ou un problème à cette conf, n'hésitez pas

et si ça aide, tant mieux

Jerem