Auteur Sujet: Questions sur l'IPV6 d'Orange  (Lu 20706 fois)

0 Membres et 1 Invité sur ce sujet

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #48 le: 26 juillet 2021 à 11:56:54 »
Le "truc" NAT64 ou NAT46 ça ne peut pas aider dans mon cas en ayant un adressage IPv6 seulement  dans l'iterco entre la livebox et le routeur Linux ?
les réseaux IP derrière restent en IPv4.....

JCLB

  • Abonné Orange Fibre
  • *
  • Messages: 53
  • Orléans (45)
Questions sur l'IPV6 d'Orange
« Réponse #49 le: 26 juillet 2021 à 12:05:38 »
NAT64 c'est pour offir du v4 à un réseau client v6 only.

NPTv6 c'est de la translation de préfixe.
Tu prends un préfixe routable public dans la fin de plage IANA (pas joli mais ULA a une précédence basse maintenant)
Tu fais une règle préfixe interne > NPTv6 vers préfixe orange
Et tu fais en sorte que pour chaque IP existante en interne le routeur linux fasse périodiquement des échanges NDP avec la livebox avec le même suffixe.

C'est la solution alternative à NDproxy.

Exemple:
la Livebox fournit 2001:cafe::/64
Tu fais ton LAN interne en 3000::/64

Dès qu'une IP discute sur le LAN interne pour faire son Duplicate Address Detection, par exemple 3000::BB, tu fais en forte que la requête soit convertie vers 2001:cafe::BB
Si l'adresse est libre tu laisse la machine la prendre, et ensuite le fonctionne normal de NPTv6 va swapper les 64 premiers bits de chaque paquet qui entre ou sort.

Ainsi c'est stateless et plus propre que NDproxy, bien qu'il faille toujours simuler la présence de chaque hôte auprès de la livebox avec des messages NDP et des @MAC

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #50 le: 26 juillet 2021 à 12:22:10 »
NAT64 c'est pour offir du v4 à un réseau client v6 only.

NPTv6 c'est de la translation de préfixe.
Tu prends un préfixe routable public dans la fin de plage IANA (pas joli mais ULA a une précédence basse maintenant)
Tu fais une règle préfixe interne > NPTv6 vers préfixe orange
Et tu fais en sorte que pour chaque IP existante en interne le routeur linux fasse périodiquement des échanges NDP avec la livebox avec le même suffixe.

C'est la solution alternative à NDproxy.

Exemple:
la Livebox fournit 2001:cafe::/64
Tu fais ton LAN interne en 3000::/64

Dès qu'une IP discute sur le LAN interne pour faire son Duplicate Address Detection, par exemple 3000::BB, tu fais en forte que la requête soit convertie vers 2001:cafe::BB
Si l'adresse est libre tu laisse la machine la prendre, et ensuite le fonctionne normal de NPTv6 va swapper les 64 premiers bits de chaque paquet qui entre ou sort.

Ainsi c'est stateless et plus propre que NDproxy, bien qu'il faille toujours simuler la présence de chaque hôte auprès de la livebox avec des messages NDP et des @MAC

OK,  merci pour cette explication sur NPTv6
Et NAT46 comme NAT64 ne sera d'aucune aide dans mon contexte ?

JCLB

  • Abonné Orange Fibre
  • *
  • Messages: 53
  • Orléans (45)
Questions sur l'IPV6 d'Orange
« Réponse #51 le: 26 juillet 2021 à 12:55:35 »
Du tout, NAT64 est très utilisé sur les réseaux mobiles où les téléphones n'ont plus que du v6.

NAT46, ou plutôt Stateless IP/ICMP Translation (SIIT), permet à un client v4 de contacter un serveur v6.
SIIT-DC est notamment utilisé far FB ou Google par exemple, qui n'ont plus d'IPv4 en interne DC.

Aucun NAT46 stateful n'a été ratifié finalement, de même pour un NAT66, et c'est tant mieux

dupp231

  • Abonné Orange adsl
  • *
  • Messages: 35
  • Grand Lyon 69
Questions sur l'IPV6 d'Orange
« Réponse #52 le: 26 juillet 2021 à 14:30:22 »
ok :)

Bon, les nouveaux mécanismes d'IPv6 sont trop nombreux et complexes pour que j'ai une vision d’ensemble pertinente, pour le moment, de ce qu'est IPv6 et de se qu'il permet de mettre en œuvre.
Va falloir que je m'y plonge sérieusement quand j'aurais du temps.


Maintenant que la présentation de mon architecture cible IPv4 est claire,
si quelqu'un peu me proposer une solution de migration de mon architecture vers de l'IPv6, si Orange l'imposait en déactivant l'IPv4 sur la Livebox, je suis preneur :)


Il faudrait que cette solution de secours me permette de conserver mon archi et principalement le mécanisme de répartition de charge via ECMP.
De plus, il faudrait que les mécanisme éventuels supplémentaires à mettre en place sous Linux ne mettent pas à genoux mon J5005 en me permettant de conserver une capacité de traitement CPU pour bénéficier du débit WAN cumulé de 2Gbps.

Merci à tous :)


zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 258
  • Antibes (06) / Mercury (73)
Questions sur l'IPV6 d'Orange
« Réponse #53 le: 26 juillet 2021 à 16:37:07 »
si Orange l'imposait en déactivant l'IPv4 sur la Livebox, je suis preneur :)
Non mais ça ça n’arrivera pas avant 10 ans en étant optimiste….

vivien

  • Administrateur
  • *
  • Messages: 47 083
    • Twitter LaFibre.info
Questions sur l'IPV6 d'Orange
« Réponse #54 le: 26 juillet 2021 à 19:09:19 »
Orange parle d’extinction d'IPv4 sur son réseau mobile dans la contribution ci-dessous : (attention, c'est entre l'APN et le mobile que ce sera IPv6 only, l’accès à l'internet IPv4 sera encore possible via le NAT64)

Contributions des opérateurs sur IPv6 :

Contribution de Bouygues Telecom et Orange :



Ozwel

  • Abonné Free fibre
  • *
  • Messages: 67
  • Issy (92)
Questions sur l'IPV6 d'Orange
« Réponse #55 le: 22 août 2021 à 00:35:19 »
Je ferais peut-être mieux de créer un sujet mais... le titre de ce sujet est identique à celui que j'aurais créé donc je tente :

Je suis chez Sosh avec livebox4 et je me penche tout juste sur l'ipv6. J'ai bossé pas mal d'années + études en ipv4, donc mon cerveau n'est pas encore formaté ipv6, malgré quelques lectures web tout n'est pas bien clair.

Je vois qu'il m'est alloué un préfixe, jusque là pas de problème. Ce que j'aimerais comprendre toutefois c'est pourquoi ma box me donne une ipv6 qui n'est pas la même que celle vue par ce forum ou tout autre site ipv6.
En réalité l'ipv6 vue par ce forum / internet est mon ipv6 temporaire cf. ipconfig :

IPv6 Address. . . . . . . . . . . : 2a01:cb00:aaaa:aaaa:cccc:cccc:cccc:cccc
Temporary IPv6 Address. . . . . . : 2a01:cb00:aaaa:aaaa:ffff:ffff:ffff:ffff

Je suppose (petit doigt mouillé) qu'il s'agit d'une solution de confidentialité, que ma box me fait sortir avec une ipv6 random appartenant à ma plage et change cette IP régulièrement afin que mon IPv6 fixe attribuée à mon PC ne soit pas divulguée. Partant de là :

1) S'agit-il vraiment d'une solution de confidentialité ?

2) Comment Orange gère la politique d'attribution d'ipv6 temporaire ?
   a) Mon IP temp change tous les combiens ou sur la base de quel événement ?
   b) Quel serveur gère la génération de l'IPv6 temporaire ?
   c) Sur quoi se base ce serveur pour savoir que mon PC à qui il a attribué une ipv6 fixe est toujours le même PC dans le temps ? Sa MAC address comme en IPv4 ?

3) Question d'ordre général sur la sécurité ipv6 : en ipv4 on a le NAT qui fait barrage avec les devices privés du LAN et les requêtes entrantes en provenance d'internet. Il n'y a pas de NAT en ipv6, dès lors dois-je comprendre que ma seule protection pour les requêtes entrantes est le pare-feu Windows 10 ? (ou dit autrement la gestion d'ouverture des ports se fait-elle sur le firewall de l'OS plutôt que sur le routeur ?)

JCLB

  • Abonné Orange Fibre
  • *
  • Messages: 53
  • Orléans (45)
Questions sur l'IPV6 d'Orange
« Réponse #56 le: 22 août 2021 à 00:45:04 »
Difficile d'oublier IPv4 on dirait.  ;D

Orange fournit à ta Livebox un gros préfixe /56, elle crée ton LAN à partir d'un /64 enfant.
Ensuite tes machines prennent une ou plusieurs adresses aléatoirement via SLAAC (autoconfiguration d'adresse). Orange ne connaît rien aux machines et MAC de ton réseau, en dehors de la livebox qui voit les messages NDP (le remplaçant d'ARP).

Pour plus de détails je t'invite à chercher "stable privacy address", "temporary ipv6 address" et à jeter un coup d'oeil à la config par défaut de ton OS.
Typiquement les connexions sortantes prennent une adresse temporaire qui change toute les X minutes, mais les sessions entrantes et l'IP que le système va filer au DNS pour s'auto enregistrer est la stable.
Il est même possible de n'exploiter que des adresses temporaires...

Pour la sécurité les box intègrent un parefeu IPv6 qui fait du tracking de connexion tout comme le fait le NAT IPv4. Il est plutot granuleux chez orange mais pas toujours fonctionnel (les ouvertures ne suivent pas les IP changeantes, la box ne sait pas se baser sur les messages NDP pour maintenir à jour la correspondance...)
Mais l'effort est là, chez free c'est tout ou rien le parefeu IPv6, et c'est openbar par défaut  :-X

Bonnes recherches, et bienvenu dans le paradigme du vrai bout en bout.


Ozwel

  • Abonné Free fibre
  • *
  • Messages: 67
  • Issy (92)
Questions sur l'IPV6 d'Orange
« Réponse #57 le: 22 août 2021 à 00:49:15 »
Merci pour la réponse claire. J’ai un peu de pain sur la planche.

Édit : Ah tiens mon IPv6 vient de changer si je me fie à ce post :P

Fuli10

  • Abonné Free fibre
  • *
  • Messages: 1 004
  • Conflans Sainte Honorine (78)
Questions sur l'IPV6 d'Orange
« Réponse #58 le: 19 janvier 2022 à 11:11:48 »
Hello,
Je re-up ce sujet. Toujours rien pour réussir à avoir une configuration fonctionnelle de l'IPv6 avec un routeur derrière la box ?
Le proxy ndp est toujours aussi capricieux à configurer côté openWRT ?
Edit:
Je me répond rapidement à moi même après quelques tests rapides.
En IPv6 la livebox est toujours aussi pourrite:
- le firewall IPv6 est toujours bloquant par défaut même en "sécurité faible" (ne concerne que l'IPv4)
- toujours pas (des années plus tard) de délégation de préfixe
- pas possible d'ouvrir un port/protocole pour tout les clients d'un coup (sauf "hack").

Bref pas au point en IPv6.

Sinon concernant le "hack", il est au moins possible d'ouvrir le firewall IPv6 un peu plus en "hackant" les requête d'ouverture de port et en les rejouant (F12 avec firefox + chercher la requète au moment du "Créer") en modifiant le nom et surtout la destination adresse par un range genre prefixIpv6::/64
=> résultat, je peux voir qu'un ping depuis l'extérieur vers prefix::1234 (qui n'existe pas) provoque bien une réaction de la livebox.
« Modifié: 19 janvier 2022 à 17:14:51 par Fuli10 »