Auteur Sujet: Problème de configuration IPv6 via 6to4 Tunnel (Lu 8287 fois)

rocho · « **le:** 24 mai 2015 à 11:56:46 »

Bonjour,

Je viens à vous aujourd’hui car j’ai un de mes ami qui a besoin d’utiliser l’IPv6 mais qui est chez Orange sur un NRA non dégroupé sur lequel Orange ne prévoie apparemment pas de lui fournir une connectivité IPv6.

Il a un routeur MikroTik, et j’ai donc décidé de mettre en place un « 6to4 Tunnel » en utilisant le service Tunnelbroker de Hurricane Electric Internet Service. Je précise que sa « Box » est en DMZ sur le routeur. J’ai également fait un script qui vérifie l’IPv4 public tous les 5 minutes, la met à jour dans l’« Address List », la "Local Address" de l'interface sit1 et le « Client IPv4 Address » chez Hurricane Electric.

Les informations qu’ils m’ont fourni sont les suivantes :

IPv6 Tunnel Endpoints :
Server IPv4 Address: 216.66.84.42
Server IPv6 Address: 2001:470:1f12:3af::1/64
Client IPv4 Address: 86.200.123.66
Client IPv6 Address: 2001:470:1f12:3af::2/64

Routed IPv6 Prefixes :

Routed /64:2001:470:1f13:3af::/64

J’ai donc mit en place la configuration suivante :

Cela fonctionne parfaitement pour le routeur, quand celui-ci fait un ping sur une IPv6 il n’y a absolument aucun problème, aucune déconnexion.

Configuration d’un PC :

Mais tous les PC subissent des déconnexions : de façon périodique (entre 2 et 15 minutes) ils perdent tous leur connectivité IPv6 pendant une à deux minutes puis la retrouve, et ceci ce fait en boucle comme vous pouvez le voir ici :

Toutes les déconnexions ce passe de la même manière :

Tout d’abord l’état de la carte Ethernet 6 passe en Pas d’accès Internet en IPv6, mais le ping sur une IPv6 public continu à fonctionner pendant environ 30 seconde…

Pendant cette période de « transition » où le ping répond mais que Windows ne considère qu’il n’y a pas de connectivité, un test IPv6 donne les résultats suivants :

Pourtant Windows ne qu’il n’y a plus d’accès IPv6 :

Puis la connectivité est réellement perdue :

Puis au bout de quelques minutes tout re-fonctionne :

Je me demandais si le problème ne viendrait pas des DNS, pendant la période où il a encore une IPv6 public et qu’il Ping mais que Windows considère qu’il n’a a plus d’accès, il ne résout plus les noms de domaine IPv6 only (AAAA)… Les serveurs DNS sont deux Windows Server et le cache DNS de RouterOS est activé… Mais même en mettant les DNS public de Google le résultat est le même…

Donc j’aurais souhaitez savoir si il y avait quelque chose que j’ai mal configuré où qui pourrait m’aider car là moi je sèche…

PS : désolé pour les éventuelles faute de conjugaison, grammaire où orthographe

Merci d'avance,

Cordialement, Rocho

kgersen · « **Réponse #1 le:** 24 mai 2015 à 12:16:22 »

Je ne comprend pas bien la config du routeur, je vois des IP publics...
C'est quoi la config sit du routeur?
il faut mettre son IP local (coté livebox) et pas l'ip public que fournit HE (Client IPv4 Address) car il est derriere le NAT de Livebox.

rocho · « **Réponse #2 le:** 24 mai 2015 à 13:12:52 »

La configuration actuel de l'interface sit1 est la suivante :

L'IP local niveau Livebox est 192.168.1.100
L'IP indiqué par Client IPv4 Address chez HE est l'IP public de la Livebox (je peux utiliser plage d'IPv6 alloué par HE que via cette IPv4)
J'indique également l'IP Public de la Livebox sur le port WAN du routeur car sinon il me dit no route to host / packet rejected car la local adresses de l'interface sit1 est l'IP Public de la Livebox... Normalement le tunel 6to4 se fait sur un routeur qui à l'IP public sur l'interface WAN... C'est pas très propre mais je vois pas comment faire autrement...

Je pense pas que la problème vienne de là car le routeur arrive à ping en v6 sans problème même quand tous les clients derrière lui perde leurs connectivité IPv6...

Je pense que sa viens plutôt d'un problème de configuration dans l'IPv6 Neighbor / Address / Route List... mais je vois pas ce qui pose problème...

kgersen · « **Réponse #3 le:** 24 mai 2015 à 13:14:22 »

pour completer:

Internet --- (86.200.123.66)Livebox(192.168.1.1) --- (192.168.1.100)Routeur(192.168.2.1)--LAN

le 'end point' (Client IPv4 Address) vu depuis l'exterieur est bien l'ip public de la Livebox mais vu de l'interieur c'est l'IP WAN du routeur qui est donc 192.168.1.100. C'est cette valeur qu'il faut mettre la config sit (local address = 192.168.1.100) donc.
Il faut supprimer aussi la premiere ligne dans:

L'IP public n'a rien à faire dans la config du routeur. La livebox fournit un DMZ et pas un bridge ca n'est pas la même chose.

rocho · « **Réponse #4 le:** 24 mai 2015 à 13:24:11 »

Effectivement cela fonctionne aussi et c'est beaucoup plus propre

Par contre le problème d'origine est toujours d'actualité, les PC connecté au LAN perdent toujours la connectivité IPv6 alors que le routeur qui passe également par sit1 pour la connectivité IPv6 non...

PS : le packet loss sur le routeur est du à des périodes où j'ai mit volontairement hors connexion sit1 pour modifier des paramètre, pas une perte de connectivité

kgersen · « **Réponse #5 le:** 24 mai 2015 à 13:33:12 »

que donne http://test-ipv6.com/ depuis un poste maintenant ?
comment sont configurés les postes pour IPv6 ? stateless ou dhcpv6? ca doit se voir dans le routeur.
Que donne l'affichage de la config IPv6 d'un poste ? vérifier que la "passerelle par défaut IPv6" est bien l'adresse link-local du routeur (ou au pire son adresse sur le "Routed IPv6 Prefix").

Il faut aussi s'assurer que le routeur fasse bien que du routage 'pur' en IPv6 (pas de proxy ou de NATing ipv6 ou autre).

Optrolight · « **Réponse #6 le:** 24 mai 2015 à 13:53:32 »

Cela ne pourrait pas venir de ton script qui vérifie l'IPv4 orange ? Il peut interférer avec ta configue?

rocho · « **Réponse #7 le:** 24 mai 2015 à 13:56:59 »

Citer

"Cela ne pourrait pas venir de ton script qui vérifie l'IPv4 orange ? Il peut interférer avec ta configue? "

J'ai pensé à la même chose, je l'ai désactivé et pour le moment je le laisse désactivé jusqu'à ce que tout marche correctement ^^

Voila ce que donne un ipconfig :

Carte Ethernet :

Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Adresse physique . . . . . . . . . . . : 14-CC-20-05-82-AC
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6. . . . . . . . . . . . . .: 2001:470:1f13:3af:1c3b:cc7f:8c1e:8d27(préféré) [passe en (déprécié) quand il pert la connectivité IPv6]
Adresse IPv6 de liaison locale. . . . .: fe80::1c3b:cc7f:8c1e:8d27%21(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.2.200(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : fe80::4e5e:cff:febf:7280%21 / 192.168.2.1
IAID DHCPv6 . . . . . . . . . . . : 404016160
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1C-4A-D4-7F-00-40-F4-B0-4C-B5
Serveurs DNS. . . . . . . . . . . . . : 192.168.2.200 / 192.168.2.202
NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Chaque poste du LAN se voit attribué via sit1 une IPv6 public du /64 fournit par HE ce qui est le but recherché, mais apparemment il y a un conflit avec l'IPv6 privé qui doit être fournit par la Livebox...

Au niveau du routeur il n'y a pas de DHCPv6.
Il y a juste un proxy web qui fait office de cache en qui fonctionne en IPv4 et v6... je vais le désactiver dans le doute mais je pense pas qu'il puisse poser problème...

Voilà ce qui s'affiche dans IPv6 Neighbor quand le LAN pert ses IPv6 public de HE :

Je suis pas très calé en IPv6 donc je comprend pas trop ce qui se passe

kgersen · « **Réponse #8 le:** 24 mai 2015 à 15:05:40 »

Les IPv6 privées (on dit "link-local" ou liaison locale plutot que privées) commencent toutes par fe80.
Elle ne sont pas attribuées par la livebox ou le routeur.
Chaque machine en configure une automatiquement pour chacunes de ses interfaces physiques.
Elle permettent aux machines du même segment physique de discuter entre elles directement sans configuration.

Ce n'est pas le 'sit' ou HE qui configure les IP publics (celle du /64 attribué par HE) mais ca doit être un routeur.
A priori c'est donc ton routeur qui fait ca, il doit y avoir un parametrage pour ca quelque part. A cet endroit il y a surement les parametres pour la durée de vie des IP c'est peut etre ca qui cloche. Ca s'appele le 'router advertissement' ou RA, en general le programme s'appele radvd mais je ne sais pas le nom dans l'environnement Winbox/Microtik.

Le principe:

un PC demarre, il s'autoconfigure une IP link-local en fe80... sur son interface Ethernet.
ensuite il emet un requete de routeur sur cette interface en utilisant cette IP ('hello y'a un routeur sur ce tronçon ?').
En principe ton routeur doit recevoir cette requete et il doit y répondre: oui moi je suis un routeur, voici mon IP link-local, je serais donc ta passerelle par défaut et tu vas te configurer une IP public avec le prefix "2001:470:1f13::/64". Le poste s'auto-configure ensuite une IP public commençant par ce prefix (avec une méthode pour s'assurer qu'elle est unique).
(en pratique c'est plus complexe, le routeur peut éventuellement répondre qu'il faut faire un requete DHCP pour avoir des options par exemple).

pour diagnostiquer tout ca, le mieux ce sont les commandes suivantes (sous invite de commande admin):

Code: [Sélectionner]

netsh interface ipv6 show address

affiche les IP et leur durée de vie

Code: [Sélectionner]

netsh interface ipv6 show interface

affiche les interfaces

Code: [Sélectionner]

netsh interface ipv6 show routeaffiche la table de routage (equivalent a "route print /6")

Un "tracert" peut etre utile aussi.

Regarder aussi si teredo ne vient pas mettre la zone. Au pire le désactiver sur les postes avec:

Code: [Sélectionner]

netsh interface teredo set state disableou via un stratégie Windows s'il y a plusieurs postes.

ps: une IP public qui passe en "deprecated" est typique d'un routeur RA qui n'a pas répondu/renouvellé au dela de la durée de l'IP.

rocho · « **Réponse #9 le:** 24 mai 2015 à 15:55:13 »

Je vais aller prendre un cours sur l'IPv6

Effectivement le problème venait bien du "router advertissement" que j'ai passé en infinity pour pas être embêté... Il passait les IPv6 en déprécié au bout de 2 minutes mais il ne les renouvelait pas... Je vais voir sur un routeur de test si il fait là même chose...

En tout cas merci beaucoup

rocho · « **Réponse #10 le:** 24 mai 2015 à 16:55:11 »

J'ai encore un problème

Les sites qui ont un enregistrement DNS A fonctionne, ceux qui ont un enregistrement DNS AAAA aussi mais ceux qui ont les deux ne s'affiche pas

Quand je tape directement l'IPv4 où v6 d'un site cela fonctionne également...

Vous savez de quoi cela pourrait venir ?

[EDIT] Je n'arrive pas à afficher un site en "double pile"...

kgersen · « **Réponse #11 le:** 24 mai 2015 à 17:54:26 »

avec ou sans le proxy ?
avec quel navigateur?