Bonjour à tous,

Je rencontre un soucis sur lequel mes connaissances se heurtent.

Je dispose d'un ER-6P derrière une Freebox en bridge avec une connectivité IPv6 fonctionnelle. En voici un extrait de configuration :

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        ipv6-network-group DENY_LANv6 {
            ipv6-network xxxxxxxxxxxxxxxx0::/60
        }
        network-group PROTECTED_NETWORKS {
            description "Protected networks"
            network 10.0.0.0/8
            network 192.168.0.0/16
            network 172.16.0.0/12
        }
    }
    ipv6-name GUESTv6_IN {
        default-action accept
        rule 10 {
            action accept
            description ""
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            protocol ipv6-icmp
        }
        rule 30 {
            action drop
            state {
                invalid enable
            }
        }
        rule 40 {
            action drop
            description "Guest to LAN"
            destination {
                group {
                    ipv6-network-group DENY_LANv6
                }
            }
        }
    }
    ipv6-name GUESTv6_LOCAL {
        default-action drop
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            protocol ipv6-icmp
        }
    }
    ipv6-name WANv6_IN {
        default-action drop
        description "IPv6 firewall IN"
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            protocol icmpv6
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "Accept GRE6 to 3::/64"
            destination {
                address 2a01:e0a:320:a8d3::ed6e/64
            }
            protocol gre
        }
    }
    ipv6-name WIFI_LOCAL {
        default-action drop
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            protocol ipv6-icmp
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
   
    name GUEST_WIFI_IN {
        default-action accept
        description ""
        rule 10 {
            action accept
            description "Allow Established/Related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop PROTECTED_NETWORKS"
            destination {
                group {
                    network-group PROTECTED_NETWORKS
                }
            }
            log disable
            protocol all
        }
        rule 40 {
            action drop
            description "Drop freebox"
            destination {
                address 212.27.38.253
                port 80,443
            }
            log disable
            protocol tcp
        }
    }
    name GUEST_WIFI_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Accept DNS"
            destination {
                port 53
            }
            log disable
            protocol udp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Accept DHCP"
            destination {
                port 67
            }
            log disable
            protocol udp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 3 {
            action accept
            description "Accept ping"
            destination {
                address 10.20.0.1
                group {
                }
            }
            log disable
            protocol icmp
        }
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth0
                }
            }
            log disable
            protocol icmp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 70 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        address fe80::1/64
        description Internet
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
        }
        ipv6 {
            router-advert {
            }
        }
        speed auto
    }
    ethernet eth1 {
        address 10.0.0.1/16
        address fe80::1:1/64
        address xxxxxxxxxxxxxxxx0::1/64
        description Local
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                prefix xxxxxxxxxxxxxxx0::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
        vif 10 {
            address 10.10.0.1/24
            address fe80::10:1/64
            address xxxxxxxxxxxxxxxxx1::1/64
            description Wifi
            firewall {
                local {
                    ipv6-name WIFI_LOCAL
                }
                out {
                }
            }
            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix xxxxxxxxxxxxxxx1::/64 {
                        autonomous-flag true
                        on-link-flag true
                        valid-lifetime 2592000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }
        vif 20 {
            address 10.20.0.1/24
            address fe80::20:1/64
            address xxxxxxxxxxxxx2::1/64
            description "Guest Wifi"
            firewall {
                in {
                    ipv6-name GUESTv6_IN
                    name GUEST_WIFI_IN
                }
                local {
                    ipv6-name GUESTv6_LOCAL
                    name GUEST_WIFI_LOCAL
                }
            }
            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix xxxxxxxxxxx2::/64 {
                        autonomous-flag true
                        on-link-flag true
                        valid-lifetime 2592000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }
    }
}

Dans les paramètres de la Freebox, les subnets xxxxxx0::/64, xxxxxxxx1::/64 et xxxxxxxxxxx2::/64 sont délégués vers fe80::1.

Je souhaite donner une IPv6 publique à mon routeur pour y monter des tunnels depuis l'extérieur.

J'ai don simplement utilisé une IP d'un subnet inutilisé de la Freebox :

set interfaces ethernet eth0 address xxxxxxxxxxxxxxxxx3::ed6e/64

Le routeur n'est pas pingable depuis cette adresse. Normal, je n'ai pas encore délégué le préfixe xxxxxxxxxxxxxx3::/64 dans la Freebox.

Quand je le fait, tout fonctionne pendant environ 30 secondes (y compris ping depuis l'extérieur), puis je perds toute résolution de DNS sur l'intégralité de mon réseau (l'ER-6P servant de serveur DNS). Les pings vers des IPv4 ou IPv6 fonctionnent, mais pas de résolution DNS (les commandes suivantes sont issues d'une VM sous Windows Server 2019, mais le comportement est le même sur tout le réseau, Windows ou Linux) :

C:\Users\Administrateur>nslookup ipv6now.com.au
Serveur :   UnKnown
Address:  10.0.0.1

*** Aucun enregistrement internal type for both IPv4 and IPv6 Addresses (A+AAAA) disponible pour ipv6now.com.au

Quand je désactive la délégation du préfixe xxxxxxxxxxx3::/64 dans la Freebox, tout revient instantanément dans l'ordre :

C:\Users\Administrateur>nslookup ipv6now.com.au
Serveur :   UnKnown
Address:  10.0.0.1

Réponse ne faisant pas autorité :
Nom :    ipv6now.com.au
Addresses:  2600:3c01::f03c:91ff:fe93:48f8
          173.255.242.216

J'ai réalisé deux petites captures Wireshark si ça peut aider. J'ai essayer de regarder, mais mes connaissances sont assez limitées avec Wireshark, je dois sûrement louper des choses.


Je dois sûrement louper quelque chose de bête, ou mal faire quelque chose, ou encore une subtilité d'IPv6 que je ne maîtrise pas, mais là je sèche. Merci d'avance pour votre aide 

Que ce soit quand ça marche ou quand c'est cassé, j'ai le même retour :

$ show ipv6 route
IPv6 Routing Table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type 2, B - BGP
Timers: Uptime

IP Route Table for VRF "default"
S      ::/0 [1/0] via fe80::xxxx:xxxx:xxxx:b116, eth0, 1d05h31m
C      ::1/128 via ::, lo, 1d05h32m
C      2a01:xxxxxxxxxxxxx0::/64 via ::, eth1, 1d05h31m
C      2a01:xxxxxxxxxxxxx1::/64 via ::, eth1.10, 1d05h31m
C      2a01:xxxxxxxxxxxxx2::/64 via ::, eth1.20, 1d05h31m
C      2a01:xxxxxxxxxxxxx3::/64 via ::, eth0, 1d05h31m
C      fe80::/64 via ::, eth1.10, 1d05h31m

$ show ipv6 route 2001:4860:4860::8888
Routing entry for ::/0
  Known via "static", distance 1, metric 0, best
  Last update 1d05h31m ago
  * via fe80::xxxx:xxxx:xxxx:b116, eth0

Il s'agit du link-local de la Freebox.

Voici ce que ça donne :

# ip -6 -s route get 2001:4860:4860::8888
2001:4860:4860::8888 from :: via fe80::xxxx:xxxx:xxxx:b116 dev eth0  src xxxxxxxxxxxxxxx3::1  metric 0
    cache  users 1 used 1

Et si j'enlève l'IP publique de eth0 :

# ip -6 -s route get 2001:4860:4860::8888
2001:4860:4860::8888 from :: via fe80::xxxx:xxxx:xxxx:b116 dev eth0  src xxxxxxxxxxxxxxx0::1  metric 0
    cache  users 1 used 1

Donc si je comprends bien ce qui se passe, quand je délègue le préfixe xxxxxxxx3::/64, l'IP source de l'interface étant dans le même subnet, ça part en boucle entre le routeur et la Freebox ?



Concrètement, si je n'affecte pas d'adresse publique sur eth0 et que j'utilise disons l'adresse sur eth1 en xxxxxxxx0::/64, la règle de pare-feu qui s'applique est toujours WANv6_LOCAL pour quelque chose en rapport avec eth1 ? (La question est peut-être un peu bête, mais je préfère m'en assurer pour ne pas avoir de réseau "troué")

non c'est sensé marché correctement. l'IP source (ce qui suit "src") est correcte et logique. C'est probablement le firewall, essai en l'enlevant completement pour valider que c'est bien lui.

J'ai désactivé tout ce qu'il y avait en v4 et v6 sur eth0 (Il n'y a pas de règles sur eth1), et le soucis est toujours là

la regle qui s'applique est celle sur in/out/local de l'interface tarversée. Dans le cas du serveur DNS c'est du 'local' sur eth0 de  l'exterieur vers le routeur et du 'local' sur eth1 pour les machines du lan vers le routeur.

Ma question était dans le cas ou je terminais un tunnel sur mettons xxxxxxxxxxxxxxx1::1 qui est actuellement sur eth1. Pour autoriser par exemple GRE depuis le WAN (eth0) vers cette IP, il me semblait logique de mettre la règle sur eth0 local et non eth1, non ?

Il faudrait voir ce qui ne fonctionne plus depuis le routeur aussi, notamment peut-on encore 'ping' en ipv6  de le routeur ou si c'est juste le serveur dns (localement ou depuis le lan) qui ne fonctionne plus pour déterminer ou est le probleme.

J'ai poussé un peu les recherches et j'observe quelque chose d'étonnant : je pense avoir un soucis de dns forwading depuis le routeur.

Quand c'est cassé, je peux toujours résoudre depuis un poste client une machine avec un nom de domaine écrit en dur dans le routeur (ex jeedom.lan, qui pointe vers ma VM hébergeant Jeedom.). L'entrée en dur est configurée avec

set system static-host-mapping host-name jeedom.lan inet 10.0.2.100
Donc je pense qu'on peut dire que le serveur DNS de l'ER fonctionne.

Mais là où ça devient étonnant, c'est quand je tente de faire des pings depuis l'ER vers le WAN. Sans la délégation de xxxxxx3::/64 dans la Freebox :

~$ host google.fr
google.fr has address 216.58.209.227
google.fr has IPv6 address 2a00:1450:4007:805::2003
google.fr mail is handled by 10 aspmx.l.google.com.
google.fr mail is handled by 20 alt1.aspmx.l.google.com.
google.fr mail is handled by 30 alt2.aspmx.l.google.com.
google.fr mail is handled by 40 alt3.aspmx.l.google.com.
google.fr mail is handled by 50 alt4.aspmx.l.google.com.

~$ ping google.fr
ping: unknown host google.fr

~$ ping6 google.fr
unknown host

~$ ping 216.58.209.227
PING 216.58.209.227 (216.58.209.227) 56(84) bytes of data.
64 bytes from 216.58.209.227: icmp_req=1 ttl=121 time=10.7 ms
64 bytes from 216.58.209.227: icmp_req=2 ttl=121 time=10.5 ms
64 bytes from 216.58.209.227: icmp_req=3 ttl=121 time=10.2 ms
64 bytes from 216.58.209.227: icmp_req=4 ttl=121 time=10.3 ms
^C
--- 216.58.209.227 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 10.297/10.480/10.781/0.212 ms

~$ ping6 2a00:1450:4007:805::2003
PING 2a00:1450:4007:805::2003(2a00:1450:4007:805::2003) 56 data bytes
^C
--- 2a00:1450:4007:805::2003 ping statistics ---
35 packets transmitted, 0 received, 100% packet loss, time 34016ms
Avec la délégation :

~$ host google.fr
google.fr has address 216.58.213.131
google.fr has IPv6 address 2a00:1450:4007:807::2003
google.fr mail is handled by 10 aspmx.l.google.com.
google.fr mail is handled by 20 alt1.aspmx.l.google.com.
google.fr mail is handled by 30 alt2.aspmx.l.google.com.
google.fr mail is handled by 40 alt3.aspmx.l.google.com.
google.fr mail is handled by 50 alt4.aspmx.l.google.com.

:~$ ping google.fr
ping: unknown host google.fr

paul@ubnt:~$ ping6 google.Fr
unknown host

:~$ ping 216.58.213.131
PING 216.58.213.131 (216.58.213.131) 56(84) bytes of data.
64 bytes from 216.58.213.131: icmp_req=1 ttl=122 time=9.38 ms
64 bytes from 216.58.213.131: icmp_req=2 ttl=122 time=10.2 ms
64 bytes from 216.58.213.131: icmp_req=3 ttl=122 time=10.2 ms
64 bytes from 216.58.213.131: icmp_req=4 ttl=122 time=10.0 ms
^C
--- 216.58.213.131 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 9.380/9.984/10.245/0.375 ms

:~$ ping6 2a00:1450:4007:807::2003
PING 2a00:1450:4007:807::2003(2a00:1450:4007:807::2003) 56 data bytes
64 bytes from 2a00:1450:4007:807::2003: icmp_seq=1 ttl=118 time=10.3 ms
64 bytes from 2a00:1450:4007:807::2003: icmp_seq=2 ttl=118 time=9.74 ms
64 bytes from 2a00:1450:4007:807::2003: icmp_seq=3 ttl=118 time=10.0 ms
64 bytes from 2a00:1450:4007:807::2003: icmp_seq=4 ttl=118 time=10.5 ms
^C
--- 2a00:1450:4007:807::2003 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 9.747/10.197/10.595/0.340 ms

L'affichage des résultats des commandes "host", "ping" avec DNS et "ping6" avec DNS est beaucoup plus rapide.

Mes DNS sont configurés ainsi dans l'ER :

set system name-server '2a01:e0c:1:1599::22'
set system name-server '2a01:e0c:1:1599::23'
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set system name-server 212.27.40.240
set system name-server 212.27.40.241
set system name-server '2620:119:35::35'
set system name-server '2620:119:53::53'
Pourquoi l'ER n'arrive t-il pas à résoudre les adresses via "ping" alors qu'il y arrive via "host" ? Et dans le cas sans délégation, ça fonctionne sur les postes clients mais pas en déléguant le préfixe ?

J'ai également testé de mettre une adresse de xxxxxxxxxxxx0::/64 sur eth0 (un préfixe qui fonctionne puisque utilisé sur eth1), et ça casse la résolution également.

Mauvaise config ? Firmware buggé ? Je suis en 1.10.11, j'attends la sortie de la 2.0.9 pour upgrader (je vais avoir plus tard besoin d'IPv6 PBR qui est arrivé avec la branche 2.x).

ps: regarde /etc/resolv.conf aussi pour voir ce qu'il y a dedans.

ps2: attention si tu mets une ip de xxxxxx3::/64 sur eth0 et tu ne fais pas la délégation pour ce subnet dans la Freebox c'est normal que ca foire...(c'est une lapalissade mais autant check ca quand meme).

La 'source address selection' que je mentionnais dans mon premier post est le comportement du routeur quand il cherche a joindre l'extérieur (joindre une ipv6 public comme 2001:4860:4860::8888 par exemple) .

Le routeur a besoin d'une IPv6 public comme "adresse source" pour que l'extérieur puisse lui répondre.

quand eth0 n'est pas d'ipv6 public c'est celle d'eth1 qui est utilisé.
quand eth0 a une ipv6 public c'est celle la qui est utilisé car elle est plus 'prioritaire' que celle d'eth1 (car elle plus 'prêt' de la sortie, c'est la regle n°5 de https://tools.ietf.org/html/rfc6724#section-5 qui s'applique).

c'est ce que "ip -6 -s route get  ...." affiche (valeur apres le 'src').

ce mécanisme est utilisé par les services qui tournent sur le routeur et cherchent a joindre l'extérieur (par exemple un ping local depuis le routeur ou le serveur dns qui tourne dans le routeur). Pour le trafic entrant direct ce mécanisme n'est pas utilisé puisque l'IPv6 de destination est fourni par l'émetteur.

tl/dr: quand tu fais un 'ping6 google.fr' tu précise quelle IPv6 destination tu veux joindre (celle de google.fr) mais pas sur quelle IPv6 source il faut répondre. Un mécanisme appelé 'source address selection' est utilisé pour déterminer quelle IPv6 configuré sur ton routeur sera utilisée pour cela: si tu n'as pas d'IPv6 (public) sur eth0 (wan) c'est l'IPv6 d'eth1 (lan) qui est utilisée. Sinon c'est celle d'eth0 (wan).

C'est là que c'est épatant (ou alors j'ai rien compris ) : quand je ne fais pas de délégation pour xxxxxxxxxx3::/64 dans la Freebox, ça marche (sauf bien sûr pour pinger xxxxxxx3::ed6e depuis l'extérieur), mais quand je fais la délégation, ça foire ! En théorie, ça devrait être l'inverse ! (Enfin, quand je ne délègue pas, l'ER à l'air de s'adapter et utiliser l'adresse sur eth1 comme adresse source sans utiliser celle de eth0).

c'est plutot qu'IPv6 ne marchant pas, il bascule en IPv4 d'ou le "delai" dans la résolution.
ton ping6 ne marchait pas dans ce que tu as posté.