La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: rocho le 24 mai 2015 à 11:56:46
-
Bonjour,
Je viens à vous aujourd’hui car j’ai un de mes ami qui a besoin d’utiliser l’IPv6 mais qui est chez Orange sur un NRA non dégroupé sur lequel Orange ne prévoie apparemment pas de lui fournir une connectivité IPv6.
Il a un routeur MikroTik, et j’ai donc décidé de mettre en place un « 6to4 Tunnel » en utilisant le service Tunnelbroker de Hurricane Electric Internet Service. Je précise que sa « Box » est en DMZ sur le routeur. J’ai également fait un script qui vérifie l’IPv4 public tous les 5 minutes, la met à jour dans l’« Address List », la "Local Address" de l'interface sit1 et le « Client IPv4 Address » chez Hurricane Electric.
Les informations qu’ils m’ont fourni sont les suivantes :
IPv6 Tunnel Endpoints :
Server IPv4 Address: 216.66.84.42
Server IPv6 Address: 2001:470:1f12:3af::1/64
Client IPv4 Address: 86.200.123.66
Client IPv6 Address: 2001:470:1f12:3af::2/64
Routed IPv6 Prefixes :
Routed /64:2001:470:1f13:3af::/64
J’ai donc mit en place la configuration suivante :
(http://img11.hostingpics.net/pics/482215configrouteros.png)
Cela fonctionne parfaitement pour le routeur, quand celui-ci fait un ping sur une IPv6 il n’y a absolument aucun problème, aucune déconnexion.
(http://img11.hostingpics.net/pics/131638router.png)
Configuration d’un PC :
(http://img11.hostingpics.net/pics/836605pc2.png)
Mais tous les PC subissent des déconnexions : de façon périodique (entre 2 et 15 minutes) ils perdent tous leur connectivité IPv6 pendant une à deux minutes puis la retrouve, et ceci ce fait en boucle comme vous pouvez le voir ici :
(http://img11.hostingpics.net/pics/74328983pc.png)
Toutes les déconnexions ce passe de la même manière :
Tout d’abord l’état de la carte Ethernet 6 passe en Pas d’accès Internet en IPv6, mais le ping sur une IPv6 public continu à fonctionner pendant environ 30 seconde…
Pendant cette période de « transition » où le ping répond mais que Windows ne considère qu’il n’y a pas de connectivité, un test IPv6 donne les résultats suivants :
(http://img11.hostingpics.net/pics/302964pcfail.png)
Pourtant Windows ne qu’il n’y a plus d’accès IPv6 :
(http://img11.hostingpics.net/pics/534989pc1.png)
Puis la connectivité est réellement perdue :
(http://img11.hostingpics.net/pics/305933ipv6state.png)
Puis au bout de quelques minutes tout re-fonctionne :
(http://img11.hostingpics.net/pics/756361pcok.png)
(http://img11.hostingpics.net/pics/519166pcok2.png)
(http://img11.hostingpics.net/pics/783482pcdefaillance.png)
Je me demandais si le problème ne viendrait pas des DNS, pendant la période où il a encore une IPv6 public et qu’il Ping mais que Windows considère qu’il n’a a plus d’accès, il ne résout plus les noms de domaine IPv6 only (AAAA)… Les serveurs DNS sont deux Windows Server et le cache DNS de RouterOS est activé… Mais même en mettant les DNS public de Google le résultat est le même…
Donc j’aurais souhaitez savoir si il y avait quelque chose que j’ai mal configuré où qui pourrait m’aider car là moi je sèche…
PS : désolé pour les éventuelles faute de conjugaison, grammaire où orthographe ;)
Merci d'avance,
Cordialement, Rocho
-
Je ne comprend pas bien la config du routeur, je vois des IP publics...
C'est quoi la config sit du routeur?
il faut mettre son IP local (coté livebox) et pas l'ip public que fournit HE (Client IPv4 Address) car il est derriere le NAT de Livebox.
-
La configuration actuel de l'interface sit1 est la suivante :
(http://img11.hostingpics.net/pics/791910sit1.png)
L'IP local niveau Livebox est 192.168.1.100
L'IP indiqué par Client IPv4 Address chez HE est l'IP public de la Livebox (je peux utiliser plage d'IPv6 alloué par HE que via cette IPv4)
J'indique également l'IP Public de la Livebox sur le port WAN du routeur car sinon il me dit no route to host / packet rejected car la local adresses de l'interface sit1 est l'IP Public de la Livebox... Normalement le tunel 6to4 se fait sur un routeur qui à l'IP public sur l'interface WAN... C'est pas très propre mais je vois pas comment faire autrement...
Je pense pas que la problème vienne de là car le routeur arrive à ping en v6 sans problème même quand tous les clients derrière lui perde leurs connectivité IPv6...
Je pense que sa viens plutôt d'un problème de configuration dans l'IPv6 Neighbor / Address / Route List... mais je vois pas ce qui pose problème...
-
pour completer:
Internet --- (86.200.123.66)Livebox(192.168.1.1) --- (192.168.1.100)Routeur(192.168.2.1)--LAN
le 'end point' (Client IPv4 Address) vu depuis l'exterieur est bien l'ip public de la Livebox mais vu de l'interieur c'est l'IP WAN du routeur qui est donc 192.168.1.100. C'est cette valeur qu'il faut mettre la config sit (local address = 192.168.1.100) donc.
Il faut supprimer aussi la premiere ligne dans:
(http://i.imgur.com/nKjwbPU.png?1)
L'IP public n'a rien à faire dans la config du routeur. La livebox fournit un DMZ et pas un bridge ca n'est pas la même chose.
-
Effectivement cela fonctionne aussi et c'est beaucoup plus propre :D
Par contre le problème d'origine est toujours d'actualité, les PC connecté au LAN perdent toujours la connectivité IPv6 alors que le routeur qui passe également par sit1 pour la connectivité IPv6 non... :o
PS : le packet loss sur le routeur est du à des périodes où j'ai mit volontairement hors connexion sit1 pour modifier des paramètre, pas une perte de connectivité ;)
(http://img11.hostingpics.net/pics/961142pbc.png)
-
que donne http://test-ipv6.com/ depuis un poste maintenant ?
comment sont configurés les postes pour IPv6 ? stateless ou dhcpv6? ca doit se voir dans le routeur.
Que donne l'affichage de la config IPv6 d'un poste ? vérifier que la "passerelle par défaut IPv6" est bien l'adresse link-local du routeur (ou au pire son adresse sur le "Routed IPv6 Prefix").
Il faut aussi s'assurer que le routeur fasse bien que du routage 'pur' en IPv6 (pas de proxy ou de NATing ipv6 ou autre).
-
Cela ne pourrait pas venir de ton script qui vérifie l'IPv4 orange ? Il peut interférer avec ta configue?
-
"Cela ne pourrait pas venir de ton script qui vérifie l'IPv4 orange ? Il peut interférer avec ta configue? "
J'ai pensé à la même chose, je l'ai désactivé et pour le moment je le laisse désactivé jusqu'à ce que tout marche correctement ^^
Voila ce que donne un ipconfig :
Carte Ethernet :
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Adresse physique . . . . . . . . . . . : 14-CC-20-05-82-AC
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6. . . . . . . . . . . . . .: 2001:470:1f13:3af:1c3b:cc7f:8c1e:8d27(préféré) [passe en (déprécié) quand il pert la connectivité IPv6]
Adresse IPv6 de liaison locale. . . . .: fe80::1c3b:cc7f:8c1e:8d27%21(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.2.200(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : fe80::4e5e:cff:febf:7280%21 / 192.168.2.1
IAID DHCPv6 . . . . . . . . . . . : 404016160
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1C-4A-D4-7F-00-40-F4-B0-4C-B5
Serveurs DNS. . . . . . . . . . . . . : 192.168.2.200 / 192.168.2.202
NetBIOS sur Tcpip. . . . . . . . . . . : Activé
Chaque poste du LAN se voit attribué via sit1 une IPv6 public du /64 fournit par HE ce qui est le but recherché, mais apparemment il y a un conflit avec l'IPv6 privé qui doit être fournit par la Livebox...
Au niveau du routeur il n'y a pas de DHCPv6.
Il y a juste un proxy web qui fait office de cache en qui fonctionne en IPv4 et v6... je vais le désactiver dans le doute mais je pense pas qu'il puisse poser problème...
Voilà ce qui s'affiche dans IPv6 Neighbor quand le LAN pert ses IPv6 public de HE :
(http://img11.hostingpics.net/pics/723717deffaillancegeneral.png)
Je suis pas très calé en IPv6 donc je comprend pas trop ce qui se passe ::)
-
Les IPv6 privées (on dit "link-local" ou liaison locale plutot que privées) commencent toutes par fe80.
Elle ne sont pas attribuées par la livebox ou le routeur.
Chaque machine en configure une automatiquement pour chacunes de ses interfaces physiques.
Elle permettent aux machines du même segment physique de discuter entre elles directement sans configuration.
Ce n'est pas le 'sit' ou HE qui configure les IP publics (celle du /64 attribué par HE) mais ca doit être un routeur.
A priori c'est donc ton routeur qui fait ca, il doit y avoir un parametrage pour ca quelque part. A cet endroit il y a surement les parametres pour la durée de vie des IP c'est peut etre ca qui cloche. Ca s'appele le 'router advertissement' ou RA, en general le programme s'appele radvd mais je ne sais pas le nom dans l'environnement Winbox/Microtik.
Le principe:
un PC demarre, il s'autoconfigure une IP link-local en fe80... sur son interface Ethernet.
ensuite il emet un requete de routeur sur cette interface en utilisant cette IP ('hello y'a un routeur sur ce tronçon ?').
En principe ton routeur doit recevoir cette requete et il doit y répondre: oui moi je suis un routeur, voici mon IP link-local, je serais donc ta passerelle par défaut et tu vas te configurer une IP public avec le prefix "2001:470:1f13::/64". Le poste s'auto-configure ensuite une IP public commençant par ce prefix (avec une méthode pour s'assurer qu'elle est unique).
(en pratique c'est plus complexe, le routeur peut éventuellement répondre qu'il faut faire un requete DHCP pour avoir des options par exemple).
pour diagnostiquer tout ca, le mieux ce sont les commandes suivantes (sous invite de commande admin):
netsh interface ipv6 show address
affiche les IP et leur durée de vie
netsh interface ipv6 show interface
affiche les interfaces
netsh interface ipv6 show routeaffiche la table de routage (equivalent a "route print /6")
Un "tracert" peut etre utile aussi.
Regarder aussi si teredo ne vient pas mettre la zone. Au pire le désactiver sur les postes avec:
netsh interface teredo set state disableou via un stratégie Windows s'il y a plusieurs postes.
ps: une IP public qui passe en "deprecated" est typique d'un routeur RA qui n'a pas répondu/renouvellé au dela de la durée de l'IP.
-
Je vais aller prendre un cours sur l'IPv6 8)
Effectivement le problème venait bien du "router advertissement" que j'ai passé en infinity pour pas être embêté... Il passait les IPv6 en déprécié au bout de 2 minutes mais il ne les renouvelait pas... Je vais voir sur un routeur de test si il fait là même chose...
(http://img11.hostingpics.net/pics/962501renouvelle.png)
En tout cas merci beaucoup ;)
-
J'ai encore un problème >:(
Les sites qui ont un enregistrement DNS A fonctionne, ceux qui ont un enregistrement DNS AAAA aussi mais ceux qui ont les deux ne s'affiche pas :o
Quand je tape directement l'IPv4 où v6 d'un site cela fonctionne également...
Vous savez de quoi cela pourrait venir ?
[EDIT] Je n'arrive pas à afficher un site en "double pile"...
-
avec ou sans le proxy ?
avec quel navigateur?
-
Avec et sans le proxy, dans les deux cas cela ne fonctionne pas...
Testé avec IE, Chrome et Chromium
[EDIT] C'est peux être plus complexe que sa car par exemple je n'arrive pas à accéder à http://ipv6.test-ipv6.com/ qui n'a pourtant qu'un enregistrement AAAA... Par contre un ping sur ipv6.test-ipv6.com fonctionne :o
-
Le serveur DNS est lequel ?
On dirait un probleme de Happy Eyeballs (https://en.wikipedia.org/wiki/Happy_Eyeballs).
sous Chrome, aller sur : chrome://net-internals/#dns
clicker sur le button 'clear host cache' (j'ai pas la version francaise mais y'a qu'un bouton donc clicker sur lui).
puis réessayer le site qui pose probleme dans un autre onglet.
revenir dans l'onglet ou y'a le bouton pour voir les 2 valeurs que Chrome essai de joindre.
-
(http://img15.hostingpics.net/pics/214293doualshak.png)
Il n'y a aucune règle activé sur le Firewall en IPv6...
[EDIT] Le proxy transparent est désactivé et le poste sur lequel je suis n'a pas de proxy activé
[EDIT] Sur l'IP indiqué par Chrome, le ping fonctionne...
-
Et chrome affiche quelle erreur quand on tente d'aller sur ce site ?
Sinon un bon utilitaire: https://technet.microsoft.com/fr-fr/sysinternals/jj729731.aspx (suite PsTools).
psping -n 3 -i 0 -q test-ipv6.com:80va faire 3 tentatives d'acces web au site.
-
Il affiche ERR_TIMED_OUT...
https://testdebit.info/ qui pointe vers 2a01:6e00:10:410::2 ne marche pas non plus... Mais par contre http://[2a01:6e00:10:410::2]/ s'affiche...
Je vais tester avec ton utilitaire ;)
-
Sur domaine qui n'a qu'un enregistrement AAAA et en "double pile" :
(http://img15.hostingpics.net/pics/980350dualtrio.png)
[EDIT] Chrome m'a fait ERR_CONNECTION_RESET cette foie... Après avoir tenté de charger la page pendant plus d'une minute...
-
Un simple "ping www.google.com" ca le fait en v4 ou v6 ?
Ce qui est curieux c'est que ca passe avec les adresses en dur et pas avec les noms. Le seul truc qui peut expliquer ca c'est un proxy quelque part ou une mauvaise résolution DNS mais d'apres Chrome il recoit la bonne résolution DNS donc c'est pas le DNS.
Sous Chrome: chrome://net-internals/#proxy affiche si proxy ou pas.
ERR_TIMEOUT en plus ca veut dire qu'il a bien envoyé la requete HTTP et qu'il n'a pas recu de réponse...donc a priori ca part bien du poste mais ca revient pas.
-
(http://img15.hostingpics.net/pics/492341proxy.png)
J'ai aussi souvent : ERR_CONNECTION_RESET
D'ailleurs, https://www.google.fr/ qui est en "double pile" s'affiche parfaitement et c'est l'IPv6 qui est utilisé...
-
Curieux en effet...
on recap:
DNS - ok (test dans chrome)
Pas proxy local - ok (test dans chrome)
ipv6 prio sur ipv4 - ok (quand on fait un ping www.google.com c'est l'ipv6 qui est choisi).
symptômes:
A- Les url pures ipv4 marchent (url = www.domain.com qui ne se résous qu'en ipv4 (A) ou http://adresse_ipv4 )
B- Les url pures ipv6 marchent (url = www.domain.com qui ne se résous qu'en ipv6 (AAAA) ou http://[adresse_ipv6])
C- Les url mixtes ne marchent pas, sauf certaines comme https://www.google.fr/ ? (a confirmer).
causes probables:
un proxy quelque part sur le réseau ? (voir http://whatismyipaddress.com/proxy-check et http://www.lagado.com/proxy-test )
un taux d'erreur élevés dans le tunnel ? (douteux)
un antivirus/protection réseau dans le poste qui détecte du "spoofing" d'IP car il ne fonctionne pas (ou pas bien) en v6 ? (a verifier)
Ce qui me gene c'est que C soit pas tout ou rien et que certains sites mixtes fonctionnent ...c'est tres curieux ca.
-
Apparemment cela ne concerne que le web (un rdp sur un domaine mixtes où AAAA only - qui ne fonctionnais pas sur le port 80 - marche parfaitement)
J'ai dit que cela venait des url mixtes car j'avais testé que sur une url à moi qui est IPv6 only ( http://vps14.vpsbenchmark.eu/ ) et cela avait fonctionné. Mais finalement cela semble vraiment aléatoire, par exemple http://ipv6.cybernode.com/ qui est IPv6 only ne s'affiche pas...
Donc pour l'instant sur le web :
IPv4 : Ok
IPv6 et mixtes : Parfois oui, parfois non... Cela dépend des sites web mais je n'arrive pas à trouver les points commun que pourrait avoir ceux qui fonctionne et ceux qui ne fonctionne pas... mais quand cela fonctionne c'est l'IPv6 qui est utilisé.
Pour la présence d'un proxy, les deux tests sont négatif mais apparament ils ne sont effectués qu'en IPv4...
Il y a eu 525 paquets perdu pour environ 660 000 paquets échangé sur sit1, c'est vraiment négligeable...
Le poste que j'utilise principalement pour tester c'est un Windows Server 2012 R2 donc sans "Antimalware service executable" et il n'y a pas d'antivirus.
[EDIT] Cela affecte aussi bien le HTTP que le HTTPS. Et encore plus étrange, cela affecte certain élèment sur un domaine qui fonctionne... Je peux accéder à http://ipv6.teddy.ch/ mais je ne vois pas le logo en haut à gauche et quand j'essaie de charger dans un autre onglet http://ipv6.teddy.ch/logo.png j'obtiens ERR_CONNECTION_RESET...
J'ai constaté que jusqu'à présent, les sites où fichiers qui ne s'affichait donnaient l'erreur ERR_CONNECTION_RESET en HTTP et ERR_TIMED_OUT en HTTPS...
Je commence vraiment à pensé que le problème viens de HE... Ils pourraient quand même pas fournir un tunnel 6to4 aussi filtré ? Il est envisageable qu'ils aient un problème technique qui entraîne ce genre de problème ?
[EDIT] J'ai peux être un début de réponse grâce à un miroir de test-ipv6.com
(http://img15.hostingpics.net/pics/230744mtu.png)
Je vais aller voir ce que je peux faire pour ses problèmes de MTU et je vous tiens au courant ;)
[EDIT] Problème réglé ! J'ai modifié le MTU de l'interface sit1 de 1480 à 1280 comme conseillé par un des miroir test-ipv6.com et maintenant tout fonctionne parfaitement :D
Un grand merci à kgersen pour m'avoir aidé à solutionner mes problèmes et m'avoir appris plein de choses sur l'IPv6 ;)
-
Je commence vraiment à pensé que le problème viens de HE... Ils pourraient quand même pas fournir un tunnel 6to4 aussi filtré ? Il est envisageable qu'ils aient un problème technique qui entraîne ce genre de problème ?
J'en doute et il n'y a rien a ce sujet sur leur forums. Ils ne filtrent rien. De chez moi ca marche niquel (le logo de http://ipv6.teddy.ch/ s'affiche bien) mais je passe par New-York.
Je pense plutot que ca vient du routeur mikrotik. on n'est pas sur que ca configuration soit complètement réussie (edit: le MTU est bon?).
Tu peux tester en faisant un tunnel directement depuis le serveur Windows en le branchant derriere la livebox (ou avec un simple poste derriere la livebox si c'est plus simple). il y a les instructions sur le site de HE pour faire le tunnel avec Windows.
Tu peux aussi tester avec une "autre sortie" de tunnel, par exemple a NY ou Londres (un tunnel HE vers NY pour Netflix ca marche sans souci).
Ca donne quoi un tracert sur le tunnel francais de HE ? (tracert -4 tserv1.par1.he.net)
Depuis SFR ca passe par Londres...:
HOST: UserPC Loss% Snt Last Avg Best Wrst StDev
1.|-- box 0.0% 1 0.3 0.3 0.3 0.3 0.0
2.|-- 92com1-nro-1.nro.gaoland.net 0.0% 1 0.9 0.9 0.9 0.9 0.0
3.|-- 109.13.6.109.rev.sfr.net 0.0% 1 0.9 0.9 0.9 0.9 0.0
4.|-- 2.122.3.109.rev.sfr.net 0.0% 1 3.5 3.5 3.5 3.5 0.0
5.|-- 40ge1-3.core1.lon2.he.net 0.0% 1 9.7 9.7 9.7 9.7 0.0
6.|-- 100ge5-1.core1.par2.he.net 0.0% 1 9.5 9.5 9.5 9.5 0.0
7.|-- 10ge3-1.core1.par1.he.net 0.0% 1 10.0 10.0 10.0 10.0 0.0
8.|-- tserv1.par1.he.net 0.0% 1 9.5 9.5 9.5 9.5 0.0
Paris -> Londres -> Paris ;) les joies du peering
-
ah cool j'ai vu ta modif sur le MTU qu'apres mon 2eme edit. Effectivement on l'avait zappé au debut.
edit: c'est vrai qu'avec Orange on a du PPPoE donc deja sans tunnel on est pas a 1500.
par defaut un 6in4 se met a 1480 (1500 - les 20 pour faire le tunnel).
1280 c'est le plus bas possible et ca peut réduire les performances mais effectivement c'est le plus sur.
Dans ton cas, 1480 - les 8 de PPPoE = 1472 devrait marcher aussi. tu gagnes 200 octets par paquets ca peut jouer a haut débit (j'ai pas fait le calcul).
-
C'est de l'ADSL à 10 Mbps x)
Je vais quand même le mettre à 1472 ^^ ::)
Merci encore :)