La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: dmarinov le 13 mai 2020 à 18:04:52
-
Bonjour à tous,
Je m'excuse d'avance si je ne poste pas au bon endroit, je suis nouveau ici :)
Je suis client FTTH avec une Livebox 5 chez Orange et il y a quelque chose que je ne comprends pas. J'utilise ma Livebox essentiellement pour le WAN, puisque j'ai un TP-Link Archer C3200 qui me sert de routeur. La partie IPv4 fonctionne très bien, mais ce n'est pas le cas de l'IPv6. Même si ma Livebox me donne une IPv6 WAN (qui n'est d'ailleurs pas la même que celle affichée sur les tests IP quand je suis connecté à la LB directement), mais pas d'adresse DNSv6 (déjà, malgré mon manque de connaissances, ça me paraît étrange...).
De plus, mon routeur me propose deux façons de le configurer: soit en "Dynamic IP" soit en "Static IP". Pour l'IPv4, j'utilise Static IP et j'ai rempli tous les champs manuellement parce que le DHCP de la LB est désactivé. Mais pour l'IPv6, je ne sais pas si je dois le configurer en "Dynamic IP" ou en "Static IP". Si je sélectionne "Dynamic IP", il ne semble pas réussir à choper une adresse IPv6 de la Livebox (c'est ce qu'il attend). Si je sélectionne "Static IP", on me demande de remplir les champs suivants: "IPv6 Address" (celui que je veux affecter au routeur pour se connecter à la LB) et "IPv6 Gateway" (que je n'arrive pas à trouver puisque je n'ai que le 192.168.1.1, mais qui est en IPv4).
J'ai réussi à trouver mon préfixe, mais je ne sais pas du tout quoi en faire...
J'ai aussi chercher à configurer le DHCPv6 de ma LB5, mais je ne trouve pas le menu. Il semblerai que la LB5 ne fournisse pas d'adresse IPv6 sur le réseau local (d'après le site d'Orange).
Merci d'avance pour vos réponses,
Deyan
-
Bonjour,
il me semble que la livebox ne gère pas la délégation de préfixe à un autre "routeur".
Donc pour avoir de l'IPv6 il faut être directement sur la livebox je crois.
(ou tenter IPv6 Pass-Through mais j'ai des doutes)
-
Merci beaucoup pour votre réponse.
Il me semble avoir lu cela autre part... Sachant que si je suis connecté à la Livebox j'ai une adresse publique IPv6 et ça fonctionne. Pourquoi est-ce que le routeur n'arrive pas à me filer la même IPv6 publique quand je suis connecté dessus ? Est-ce à cause de ce fameux préfixe ?
-
Parce qu'en IPv6 on ne fait pas de NAT.
Il faut donc utiliser un réseau /64 issu du préfixe /56 entre la Livebox et le routeur (ça tu l'as déjà, l'interface WAN de ton routeur a bien une IPv6), et le routeur doit annoncer un autre /64 issu du même /56 sur son port LAN. Mais:
- Le routeur ne peut pas savoir quel /64 annoncer sur son LAN (parce que la Livebox ne fait pas de délégation de préfixe)
- Même en forçant un /64 à la main sur l'interface LAN du routeur, ça ne marchera pas parce que la Livebox ne saura pas qu'elle doit router ce /64 vers le routeur (La livebox ne permet pas la modification de sa table de routage)
Conclusion: Pas d'IPv6 possible derrière un routeur lui-même derrière la Livebox.
-
Ah bah génial, je me doutais donc bien que le problème venait d'Orange... C'est vraiment relou parce que je demande pas non plus à faire une configuration super compliquée... Donc le seul moyen serait de ne plus utiliser de Livebox c'est ça (mais donc pour la TV et le téléphone fixe ce sera un gros soucis)?
-
C'est çà, (mais c'est relativement compliqué de configurer une connexion Orange sur n'importe quel routeur, il faut des options un peu exotiques pour le DHCP (option 90 par exemple)
Ou sinon passer le TP Lin Archer en simple point d'accès (tu gardes le wifi, mais tu perds la majorité des fonctionnalités de routage..)
-
Ouais nan.... Je ne veux pas, parce que je ne veux pas utiliser le DNS d'Orange (impossible de changer les adresses DNS aussi chez eux) et je veux les fonctionnalités de l'Archer qui m'a coûté une blinde. Pas non plus envie de faire mon propre serveur DHCP.
-
Bonjour,
il me semble que la livebox ne gère pas la délégation de préfixe à un autre "routeur".
Donc pour avoir de l'IPv6 il faut être directement sur la livebox je crois.
(ou tenter IPv6 Pass-Through mais j'ai des doutes)
Effectivement, pas de délégation de préfixe chez Orange, donc seul le premier /64 est utilisable.
Conclusion: Pas d'IPv6 possible derrière un routeur lui-même derrière la Livebox.
On "peut" utiliser un routeur derrière une livebox, mais il doit supporter le mode Pass-Through. Ce mode permet de créer un bridge entre le WAN et le LAN du routeur, mais je crois que le routeur modifie les RA envoyés par la Livebox (ou les bloque) afin de mettre le routeur comme gateway (à la place de la Livebox) et idem pour les DNS. En tout cas, c'est comme cela que ça fonctionne sur mon routeur Asus.
(Par contre, je suis d'accord que si un routeur "bridge", on ne peut plus vraiment appeler ça un routeur, mais plutôt un switch ;) )
Que vois-tu dans "Advanced" si tu sélectionnes "Static IP" dans la configuration d'IPv6 ?
-
apparement, il y a un mode passthrough pour ipv6 https://www.tp-link.com/fr/support/faq/1525/ §4.5)
-
Ce thread m'intéresse beaucoup, et merci pour vos réponses du coup qui me conforte dans l'idée de remplacer la LB par un routeur avec la fibre au cul en directe.
J'ai vu que y'avait une section dédié sur le fofo je vais check ça !
-
Effectivement, pas de délégation de préfixe chez Orange, donc seul le premier /64 est utilisable.
On "peut" utiliser un routeur derrière une livebox, mais il doit supporter le mode Pass-Through. Ce mode permet de créer un bridge entre le WAN et le LAN du routeur, mais je crois que le routeur modifie les RA envoyés par la Livebox (ou les bloque) afin de mettre le routeur comme gateway (à la place de la Livebox) et idem pour les DNS. En tout cas, c'est comme cela que ça fonctionne sur mon routeur Asus.
(Par contre, je suis d'accord que si un routeur "bridge", on ne peut plus vraiment appeler ça un routeur, mais plutôt un switch ;) )
Que vois-tu dans "Advanced" si tu sélectionnes "Static IP" dans la configuration d'IPv6 ?
Merci pour toutes les infos. Si je sélectionne Static IP je vois ça:
IPv6 Address:_________
IPv6 Gateway:_________
IPv6 DNS Server:_________
Secondary IPv6 DNS Server:_________
-
apparement, il y a un mode passthrough pour ipv6 https://www.tp-link.com/fr/support/faq/1525/ §4.5)
Malheureusement pas dispo sur mon routeur.... Je n'ai que ça dans le menu:
- Dynamic IP
- Static IP
- PPPoE
- 6to4 Tunnel
-
Merci pour toutes les infos. Si je sélectionne Static IP je vois ça:
IPv6 Address:_________
IPv6 Gateway:_________
IPv6 DNS Server:_________
Secondary IPv6 DNS Server:_________
Il n’y a pas un menu « Advanced » en dessous de ces champs ?
-
Voici ce que je vois sur toute la page "IPv6"
(https://i.goopics.net/LjApW.png)
-
Ça me paraît compromis alors, à moins de remplacer la livebox (ce qui est impossible à ma connaissance pour la livebox 5)
-
Bon pas grave ! Heureusement que l'IPv6 n'est pas "obligatoire" encore haha, sinon je serais un peu dans le m*rde.
-
Parce qu'en IPv6 on ne fait pas de NAT.
Il faut donc utiliser un réseau /64 issu du préfixe /56 entre la Livebox et le routeur (ça tu l'as déjà, l'interface WAN de ton routeur a bien une IPv6), et le routeur doit annoncer un autre /64 issu du même /56 sur son port LAN. Mais:
- Le routeur ne peut pas savoir quel /64 annoncer sur son LAN (parce que la Livebox ne fait pas de délégation de préfixe)
- Même en forçant un /64 à la main sur l'interface LAN du routeur, ça ne marchera pas parce que la Livebox ne saura pas qu'elle doit router ce /64 vers le routeur (La livebox ne permet pas la modification de sa table de routage)
Conclusion: Pas d'IPv6 possible derrière un routeur lui-même derrière la Livebox.
@zoc
Je devrai prochainement être éligible à la fibre, je compte prendre une Livebox 5 avec 2Gbps.
je compte aussi avoir un routeur sous linux en "double nat" dans la DMZ derrière la box avec un interface 2,5Gbps du coté de mon réseau LAN et deux interfaces 1 Gbps sur la Livebox pour faire de la répartition de charges avec de l'ECMP.
En IPv4 cela devrait rouler...
Pour IPV6, j'ai lu que depuis le noyau 3.9.0 on peut aussi faire du NAT avec netfilter6 (ip6tables).
En faisant de IPv6 Masquerading sur les deux interfaces "WAN" de mon routeur linux je devrais pouvoir faire fonctionner mon réseau aussi en IPv6 ?
Je n'ai pas d’expérience en IPv6, et en fait je n'arrive pas à trouver de vrais scénarios pour lesquels IPv6 m’apporterait des bénéfices sur mon LAN perso.
Peux-tu me donner des exemples pour lesquels il y a des avantages dans un usage domestique (notamment chez Orange) à utiliser IPv6 ?
-
Si c'est pour faire du NAT en v6, autant rester en v4 :)
-
Si c'est pour faire du NAT en v6, autant rester en v4 :)
A terme, Orange ne pourrait-il pas imposer l'usage IPv6 sur la livebox ( et déactiver IPv4) ? du coup je serais bien embêté pour mon projet...
-
Bonjour,
ce que voulait dire Hugues c'était "contre intuitif" de faire du NAT sur de l'IPv6.
Après quel est l’intérêt ? Avoir 2 Gbit/s en IPv6 ?
Si tu veux juste avoir de l'IPv6, il faudrait voir si ton "routeur sous linux" ne sait pas faire de l'IPv6 passThrough ou autre pour laisser la livebox gérer çà
Orange ne te coupera pas IPv4 de si tôt, par contre si des services demain sont inaccessibles uniquement en IPv6 (peu probable à court terme), tu ne pourras pas y accéder.
-
Non surtout, si tu fais du NAT en v6, avec ton LAN en IP ULA ou privées, l'IPv4 sera prioritaire, donc ça ne servira à rien...
-
Bonjour,
ce que voulait dire Hugues c'était "contre intuitif" de faire du NAT sur de l'IPv6.
Après quel est l’intérêt ? Avoir 2 Gbit/s en IPv6 ?
Si tu veux juste avoir de l'IPv6, il faudrait voir si ton "routeur sous linux" ne sait pas faire de l'IPv6 passThrough ou autre pour laisser la livebox gérer çà
Orange ne te coupera pas IPv4 de si tôt, par contre si des services demain sont inaccessibles uniquement en IPv6 (peu probable à court terme), tu ne pourras pas y accéder.
l'archi que je prévois nécessite malheureusement du NAT sur le routeur Linux.
IPv6 était plus si je n'avais pas le choix et qu'orange était amener à le rendre obligatoire sur sa box ou bien qu'IPv6 m’apporterait dans certain cas un service ou une performance supérieur à ce que Ipv4 me fournirait.
Mon routeur linux, sous Debian, est en fait un mini PC à base carte mère ITX de https://www.asrock.com/mb/Intel/J5005-ITX/index.fr.asp
pourrais-tu me décrire plus précieusement ce que fait l'IPv6 passThrough pour voir s'il m'est possible de l'implémenter ?
-
Non surtout, si tu fais du NAT en v6, avec ton LAN en IP ULA ou privées, l'IPv4 sera prioritaire, donc ça ne servira à rien...
Je connais vraiment pas l'IPv6....
tu me dis que les hôtes de mon réseau LAN continuerons à utiliser IPv4 au lieu d'IPv6 et ça précisément à cause du NAT en V6 ?
dans ce cadre, les IP ULA ou privées seront obligatoires ?
Peux-tu m'expliquer le principe derrière cela ?
merci :)
Ça servira quand même dans le cas où IPv6 serait imposé (bien que peu probable manifestement ...) sur la livebox pour conserver mon architecture ?
-
Après quel est l’intérêt ? Avoir 2 Gbit/s en IPv6 ?
Cela à moins d’intérêt d'avoir 2 Gbps en IPv6 qu'en IPv4 ?
-
non, tu as le même intérêt... Mais pour moi il est quasi nul autant sur IPv4 que IPv6. (sauf le "chalenge technologique")
Ou alors autant passer directement sur une box adapté. (Bbox 6 avec son port RJ45 10 Gbit/s intégré, Freebox Delta avec son port SFP ou Pop avec son RJ45 port 2,5 Gbit/s).
Le CPU de ton mini PC sera suffisamment "costaud" pour gérer 2 Gbit/s en NAT ?
@Hugues, merci pour l'info.
-
non, tu as le même intérêt... Mais pour moi il est quasi nul autant sur IPv4 que IPv6. (sauf le "chalenge technologique")
Ou alors autant passer directement sur une box adapté. (Bbox 6 avec son port RJ45 10 Gbit/s intégré, Freebox Delta avec son port SFP ou Pop avec son RJ45 port 2,5 Gbit/s).
Le CPU de ton mini PC sera suffisamment "costaud" pour gérer 2 Gbit/s en NAT ?
@Hugues, merci pour l'info.
Oui je pense, le J5005 est vraiment performant pour un CPU basse conso refroidi passivement (10Watts) :
Chez un ami pour router/natter , marquer des paquets et permettre la communication inter-vlan avec un accès WAN 1G les 4 cores sont sollicité mais il y a bcp de marge...
Pour Chez moi (actuellement en ADSL) je n'ai qu'a acheter un carte pcie 2.5g à remplacer dans le routeur et mettre une partie de mon LAN à l’Ethernet 2,5g avec l'achat de ce genre de commutateur sans ventilo, nouveau et "pas trop cher (120 euros)" comme https://www.tp-link.com/fr/business-networking/unmanaged-switch/tl-sg105-m2/
Il est vrai que plutôt que d'avoir des Gbps de bande passante WAN je préfère déjà avoir un réseau d’accès performant et le plus stable dans le temps avec le moins de point de congestion possible... celui le mieux "raccordé" au différents acteurs constitutif d'Internet. Et je me dis que c'est le réseau d'Orange qui est le meilleur pour cela....
J'ai peut-être tort d'ailleurs... à ton avis ?
Les 2gbps c'est seulement la cerise sur le gâteau (et pour s'amuser un peu à faire du réseau sous Linux :) )
Il est vrai qu'attendre 5min au lieu de 10min pour un MAXI téléchargement (peu fréquent donc) n'est pas vraiment capital...
-
non, tu as le même intérêt... Mais pour moi il est quasi nul autant sur IPv4 que IPv6. (sauf le "chalenge technologique")
Rien à rajouter.
Essayer de contourner les limitations de la box en utilisant diverses techniques qui sont toute sub optimales c’est du temps perdu.
S’il y a vraiment besoin de plus d’1 Gbps sur un seul poste, alors autant s’orienter vers un FAI proposant une box adaptée comme celles déjà citées par @buddy.
-
Pas mieux :/
-
Rien à rajouter.
Essayer de contourner les limitations de la box en utilisant diverses techniques qui sont toute sub optimales c’est du temps perdu.
S’il y a vraiment besoin de plus d’1 Gbps sur un seul poste, alors autant s’orienter vers un FAI proposant une box adaptée comme celles déjà citées par @buddy.
@zoc : ton avis sur la supériorité supposée du réseau Orange que j'ai évoqué plus haut ?
Si c'est vrai je préfère être chez Orange et m'amuser à implémenter des solutions sub-optimales à celle d'avoir un seul lien supérieur au Gbps.
-
Je connais vraiment pas l'IPv6....
tu me dis que les hôtes de mon réseau LAN continuerons à utiliser IPv4 au lieu d'IPv6 et ça précisément à cause du NAT en V6 ?
dans ce cadre, les IP ULA ou privées seront obligatoires ?
Peux-tu m'expliquer le principe derrière cela ?
merci :)
Ça servira quand même dans le cas où IPv6 serait imposé (bien que peu probable manifestement ...) sur la livebox pour conserver mon architecture ?
@hugues pour revenir sur mes questions sur IPv6 à l'origine de mon poste.
Implémenter à la main des mécanismes réseau sur linux est certes consommateur en temps mais une bonne façon de monter en compétences pour avoir une fine compréhension des mécanisme réseau en jeux.
Ne connaissant rien à IPv6, je me suis dit que je pourrais m'amuser avec sur mon projet (bien que non nécessaire)
Aurais-tu la gentillesse de préciser tes propos en me donnant quelques explications afin que j'ai les premières billes pour pouvoir rechercher de la documentation sur le sujet.
Merci encore pour le temps accordé à me répondre :)
-
De la doc ? sur IPv6 ?
Cette section en est justement remplie, notamment le MOOC : https://lafibre.info/ipv6/
Pour le reste, je ne suis pas prof et j'ai appris tout seul.
Le mieux pour apprendre v6, c'est de virer la box, ou de faire des tunnels (par ex https://milkywan.fr/prices#popupTunnel). Avec un routeur derrière une box, on ne peut rien faire.
-
Ok, non c'est juste l'explication que tu as donné que je ne comprend pas. Peux-tu juste donner plus de précisions/explications à ta réponse si c'est possible ?
Après je chercherai de la doc par moi même.
je te rappel la citation :
Citation de: Hugues le Aujourd'hui à 10:46:51
Non surtout, si tu fais du NAT en v6, avec ton LAN en IP ULA ou privées, l'IPv4 sera prioritaire, donc ça ne servira à rien...
-
De la doc sur le fait qu'une IPv4 soit prioritaire sur une IPv6 ULA ?
le premier résultat google : https://www.google.com/search?q=ipv6+priority+over+ipv4
Te donne ce lien : https://kb.firedaemon.com/support/solutions/articles/4000160803-prioritising-ipv4-over-ipv6-on-windows-10
dont le contenu est osef, a part ça :
netsh interface ipv6 show prefixpolicies
You should see the following output:
Precedence Label Prefix
---------- ----- --------------------------------
50 0 ::1/128
40 1 ::/0
35 4 ::ffff:0:0/96
30 2 2002::/16
5 5 2001::/32
3 13 fc00::/7
1 11 fec0::/10
1 12 3ffe::/16
1 3 ::/96
Y'a probablement une RFC à ce sujet, mais j'ai franchement la flemme de chercher, je donne l'info, ça suffit déjà :P
-
De la doc sur le fait qu'une IPv4 soit prioritaire sur une IPv6 ULA ?
le premier résultat google : https://www.google.com/search?q=ipv6+priority+over+ipv4
Te donne ce lien : https://kb.firedaemon.com/support/solutions/articles/4000160803-prioritising-ipv4-over-ipv6-on-windows-10
dont le contenu est osef, a part ça :
netsh interface ipv6 show prefixpolicies
You should see the following output:
Precedence Label Prefix
---------- ----- --------------------------------
50 0 ::1/128
40 1 ::/0
35 4 ::ffff:0:0/96
30 2 2002::/16
5 5 2001::/32
3 13 fc00::/7
1 11 fec0::/10
1 12 3ffe::/16
1 3 ::/96
Y'a probablement une RFC à ce sujet, mais j'ai franchement la flemme de chercher, je donne l'info, ça suffit déjà :P
En fait mon incompréhension est plutôt la : si je fais du NATv6, je suis obligé d'avoir un LAN en adressage en IP ULA ou privées ?
Après cela doit être évident... mais je ne maitrise presque aucun concepts d'IPv6 :)
-
Alors non, tu peux adresser ton LAN avec n'importe quel préfixe, public ou non.
Mais si tu pouvais éviter d'étaler encore plus de caca sur du caca et utiliser les préfixes qui sont faits pour faire du NAT, ça serait pas plus mal.
Franchement, je vais le dire autrement :
Soit tu fais de l'IPv6 proprement, sans NAT, soit tu n'en fais pas.
Ca n'a strictement aucun intérêt de faire de l'IPv6 avec du NAT. Aucun.
-
Comme je le dis dans le file de discussion, c 'est pour ne pas rester sans solution de secours (le NAT m'est apriori nécessaire dans mon archi) une fois que je me serais décider à faire mes achats carte réseau, switch.... (et mettre en place ma nouvelle solution évoquée) et qu'Orange se déciderai à imposer l'IPv6 sur sa box (bien que manifestement plus qu'improbable...)
je compte m'en passer d'IPv6 (sauf pour l’aspect pédagogique) puisque pour le moment personne n'a répondu à ma question :
Je n'ai pas d’expérience en IPv6, et en fait je n'arrive pas à trouver de vrais scénarios pour lesquels IPv6 m’apporterait des bénéfices sur mon LAN perso.
Peux-tu me donner des exemples pour lesquels il y a des avantages dans un usage domestique (notamment chez Orange) à utiliser IPv6 ?
tu aurais pas des exemples toi ? :)
-
Il est vrai que plutôt que d'avoir des Gbps de bande passante WAN je préfère déjà avoir un réseau d’accès performant et le plus stable dans le temps avec le moins de point de congestion possible... celui le mieux "raccordé" au différents acteurs constitutif d'Internet. Et je me dis que c'est le réseau d'Orange qui est le meilleur pour cela....
J'ai peut-être tort d'ailleurs... à ton avis ?
Au niveau des interconnexions avec les autres réseaux c'est plutôt
Bouygues > SFR > Orange > Free.
Sur certains RIP Bouygues et SFR rencontrent des saturations de la collecte quand ils passent pas l'opérateur d'infrastructure, mais le Grand Lyon n'est pas concerné.
-
Au niveau des interconnexions avec les autres réseaux c'est plutôt
Bouygues > SFR > Orange > Free.
Sur certains RIP Bouygues et SFR rencontrent des saturations de la collecte quand ils passent pas l'opérateur d'infrastructure, mais le Grand Lyon n'est pas concerné.
Sur les interco ce qui joue le plus c'est :
-> les fournisseurs de transit
-> la politique de peering
Bouygues est le plus ouvert en peering et a des liens de transit largement dimensionnés vers deux transitaires. Il supervise de très près tous ses liens de transit et de peering pour ajouter de la capa quand le besoin se fait sentir.
Free est historiquement pas très ouvert en peering et a un seul transitaire, dont le réseau n'est pas suffisamment dimensionné pour les usages d'aujourd'hui. Aujourd'hui Free a ouvert un peu plus sa politique de peering et ça aide un peu avec les Netflix/Youtube/... mais on voit toujours passer des soucis en heure de pointe. Enfin, Free ne s'appuie que sur un seul transitaire et niveau supervision des saturations, on a vu mieux.
SFR est un peu comme Bouygues, avec deux transitaires, mais avec une politique de peering un peu plus contraignante quand même et des liens de transit plus chargés que Bouygues.
Orange a une politique de peering très difficile et contraignante car il est transitaire (opérateur tier 1, au même titre que Cogent par exemple, qui fournit Bouygues, SFR et Free). Cependant, comme il est transitaire, il a donc de très bonnes interconnexions avec les autres opérateurs de transit et la plupart des fournisseurs de contenus, donc ce n'est pas vraiment un problème. Un inconvénient cependant : dans le cas ou un lien sature, contrairement à Bouygues et SFR qui pourront "switcher" vers l'autre transitaire, Orange est un peu plus coincé et des saturations occasionnels peuvent se faire ressentir. Souvent les problèmes de ce type sont réglés très rapidement, car l'opérateur supervise de très près tous ses liens, de la collecte jusqu'aux peering avec les autres transitaires.
-
Effectivement,mon questionnement était plus sur ce qui se passe en amont des réseaux de collectes et du status de tier one d’Orange.
Il est vrai que j'aimerai éviter le genre de situation, que j'ai connu il y a bien des années chez un opérateur : vous avez une maxi ligne ADSL2+ à 200m du central téléphonique à plus 20 Mbps, mais en pratique mon accès au services de Youtube était bien souvent inexploitable...
Merci Tarkok pour toutes ces pertinentes informations :))
Du point de vue qualité de peering/transit,
comment classerais-tu le réseau des différents opérateurs français :
Orange >Bouygues > SFR > FREE ?
-
SFR est un peu comme Bouygues, avec deux transitaires, mais avec une politique de peering un peu plus contraignante quand même et des liens de transit plus chargés que Bouygues.
Selon https://bgp.he.net/
SFR : 4 transits
Bouygues: 3 transits
-
Effectivement,mon questionnement était plus sur ce qui se passe en amont des réseaux de collectes et du status de tier one d’Orange.
Il est vrai que j'aimerai éviter le genre de situation, que j'ai connu il y a bien des années chez un opérateur : vous avez une maxi ligne ADSL2+ à 200m du central téléphonique à plus 20 Mbps, mais en pratique mon accès au services de Youtube était bien souvent inexploitable...
Merci Tarkok pour toutes ces pertinentes informations :))
Du point de vue qualité de peering/transit,
comment classerais-tu le réseau des différents opérateurs français :
Orange >Bouygues > SFR > FREE ?
En évaluant qualité du réseau (du transit à la collecte), qualité du service et réactivité en cas d'incident, sérieux des équipes et du service client, démarche RSE, etc.
Je dirais Orange > Bouygues > SFR > Free
Après Bouygues et Orange sont clairement au coude à coude pour moi, et le prix pourrait clairement me faire basculer chez Bouygues si je n'étais pas éligible à l'offre coup de pouce livebox.
Selon https://bgp.he.net/
SFR : 4 transits
Bouygues: 3 transits
Cela ne montre pas la charge des liens. De plus tous le monde n'est pas d'accord sur le statut de tier one de plusieurs transitaires.
-
Comme je le dis dans le file de discussion, c 'est pour ne pas rester sans solution de secours (le NAT m'est apriori nécessaire dans mon archi) une fois que je me serais décider à faire mes achats carte réseau, switch.... (et mettre en place ma nouvelle solution évoquée) et qu'Orange se déciderai à imposer l'IPv6 sur sa box (bien que manifestement plus qu'improbable...)
je compte m'en passer d'IPv6 (sauf pour l’aspect pédagogique) puisque pour le moment personne n'a répondu à ma question :
tu aurais pas des exemples toi ? :)
Si l'opérateur faisait du DHCPv6 Prefix Delegation ça serait tranquille. Malheureusement c'est pas obligatoire. (Tout comme permettre de router un simple /24 RFC 1918 vers un autre routeur depuis une livebox :-X)
Il faut donc étendre le /64 que file la LB via un proxy NDP. Tu pourras toujours refiler des infos complémentaires via DCHPv6 Stateless aux clients situés dans la partie enfant de ton routeur linux.
Il commence également à exister des méthodes permettant de faire du DHCPv6 stateful côté enfant après avoir vérifié via DAD que l'adresse à filer était dispo côté parent (Livebox)
Capilotracté mais logique.
Tu devras faire tes règles de filtrage en te basant sur l'interface physique, comme un pare-feu L2 en bridge.
Bon courage, on est tous tributaires de ces foutus BOX qui ne savent pas router vers le LAN, qui n'offrent pas de véritable client DDNS à jour (la box coax de SFR contient encore une référence à un service fermé depuis 3 ans..., encore une Drahison ::) )
Personnellement je rencontre un problème similaire avec wireguard sur un Raspberry pi. Il tourne dans docker donc en IPv4 NAT docker + NAT wireguard. Impossible de simplement faire un ND proxy IPv6 de bout en bout. Ni même un Prefix Delegate, même si la BOX le supportait.
Mais petit à petit des solutions arrivent, cependant il serait bon de pouvoir rendre obligatoire certaines fonctionnalités sur les accès domestiques.
-
Si l'opérateur faisait du DHCPv6 Prefix Delegation ça serait tranquille. Malheureusement c'est pas obligatoire. (Tout comme permettre de router un simple /24 RFC 1918 vers un autre routeur depuis une livebox :-X)
Il faut donc étendre le /64 que file la LB via un proxy NDP. Tu pourras toujours refiler des infos complémentaires via DCHPv6 Stateless aux clients situés dans la partie enfant de ton routeur linux.
Il commence également à exister des méthodes permettant de faire du DHCPv6 stateful côté enfant après avoir vérifié via DAD que l'adresse à filer était dispo côté parent (Livebox)
Capilotracté mais logique.
Tu devras faire tes règles de filtrage en te basant sur l'interface physique, comme un pare-feu L2 en bridge.
Bon courage, on est tous tributaires de ces foutus BOX qui ne savent pas router vers le LAN, qui n'offrent pas de véritable client DDNS à jour (la box coax de SFR contient encore une référence à un service fermé depuis 3 ans..., encore une Drahison ::) )
Personnellement je rencontre un problème similaire avec wireguard sur un Raspberry pi. Il tourne dans docker donc en IPv4 NAT docker + NAT wireguard. Impossible de simplement faire un ND proxy IPv6 de bout en bout. Ni même un Prefix Delegate, même si la BOX le supportait.
Mais petit à petit des solutions arrivent, cependant il serait bon de pouvoir rendre obligatoire certaines fonctionnalités sur les accès domestiques.
Merci pour ce retour.
- Ok pour l'usage d'un proxy NDP à l'image un peu de ce qui est présenté sur ce lien :
https://linux-attitude.fr/post/proxy-ndp-ipv6
- Ok pour ta remarque concernant les règles de firewalling à implémenter.
Avec ce que tu proposes, je pourrais continuer à faire de la répartition de charge via un routage statique basé sur ECMP sur mon équipement sous Linux ?
Ce lien ne t'est d'aucune aide dans ta problématique de wireguard sous docker ? :
https://medium.com/@skleeschulte/how-to-enable-ipv6-for-docker-containers-on-ubuntu-18-04-c68394a219a2
-
Avec ce que tu proposes, je pourrais continuer à faire de la répartition de charge via un routage statique basé sur ECMP sur mon équipement sous Linux ?
Ce lien ne t'est d'aucune aide dans ta problématique de wireguard sous docker ? :
https://medium.com/@skleeschulte/how-to-enable-ipv6-for-docker-containers-on-ubuntu-18-04-c68394a219a2
ECMP fonctionne avec 2 routes qui ont une destination différente, donc un next hop différent.
T'as Livebox n'a qu'une seule IP.
Fut une époque, j'ai utilisé le multiwan d'OpenWRT pour faire du load balancing entre plusieurs modems avec du contracking.
Dans ton cas tu cherches à pallier au fait que la LB5 n'as pas de port LAN mGig ni de support de LACP.
La question est traitée ici
https://lafibre.info/orange-les-news/livebox-5-2-gbs-sur-un-seul-pc/516/ (https://lafibre.info/orange-les-news/livebox-5-2-gbs-sur-un-seul-pc/516/)
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/ (https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/)
Il faut arriver avec 2 IP et 2 MAC vers la bête.
Ce qui oblige à proxifier les flux (ou à la les nater) :-[
Au mieux sous ton linux tu peux manuellement pousser les MAC et IP de certains clients via le port uplink A, les autres sur le B.
Le plus simple étant de faire 2 VLAN qui terminent en mode access sur la box. Tu peux même bridger l'inter vlan pour ne pas qu'il repasse par la box mais ça devient technique, et attention au spanning-tree.
Si tu fais un vilain bonding des 2 ports, la box va voir les mêmes MAC sur les 2 ports et elle va permettre de cuire des oeufs au plat en moins de 2 min.
Le régulateur devrait-il demander à ce que le LAN filaire permette d'exploiter l'ensemble du débit de l'offre via un port à débit équivalent ou via le support de 802.3ad ? j'ai envie de dire pourquoi pas 8)
Bref, on ne peut pas tout avoir, où le mettrait-on ;)
Pour docker, la fin de l'article est intéressant. Pour l'instant je n'avais vu que du NAT v6 ou du NPTv6 (sauf bien sûr à sortir du mode bridge par défaut de docker, ce que fait k8s par exemple, encore faut-il avoir une délégation de préfixe)
Je regarderais ce mode NDPproxy.
-
ECMP fonctionne avec 2 routes qui ont une destination différente, donc un next hop différent.
T'as Livebox n'a qu'une seule IP.
Fut une époque, j'ai utilisé le multiwan d'OpenWRT pour faire du load balancing entre plusieurs modems avec du contracking.
Dans ton cas tu cherches à pallier au fait que la LB5 n'as pas de port LAN mGig ni de support de LACP.
La question est traitée ici
https://lafibre.info/orange-les-news/livebox-5-2-gbs-sur-un-seul-pc/516/ (https://lafibre.info/orange-les-news/livebox-5-2-gbs-sur-un-seul-pc/516/)
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/ (https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/)
Il faut arriver avec 2 IP et 2 MAC vers la bête.
Ce qui oblige à proxifier les flux (ou à la les nater) :-[
Au mieux sous ton linux tu peux manuellement pousser les MAC et IP de certains clients via le port uplink A, les autres sur le B.
Le plus simple étant de faire 2 VLAN qui terminent en mode access sur la box. Tu peux même bridger l'inter vlan pour ne pas qu'il repasse par la box mais ça devient technique, et attention au spanning-tree.
Si tu fais un vilain bonding des 2 ports, la box va voir les mêmes MAC sur les 2 ports et elle va permettre de cuire des oeufs au plat en moins de 2 min.
Le régulateur devrait-il demander à ce que le LAN filaire permette d'exploiter l'ensemble du débit de l'offre via un port à débit équivalent ou via le support de 802.3ad ? j'ai envie de dire pourquoi pas 8)
Bref, on ne peut pas tout avoir, où le mettrait-on ;)
Pour docker, la fin de l'article est intéressant. Pour l'instant je n'avais vu que du NAT v6 ou du NPTv6 (sauf bien sûr à sortir du mode bridge par défaut de docker, ce que fait k8s par exemple, encore faut-il avoir une délégation de préfixe)
Je regarderais ce mode NDPproxy.
mon archi présenté est opérationnelle en IPv4 je pense (bien que non testé en maquette)
C'est exactement ce qui est présenté sur ce lien d'ailleurs (regarde ses schémas réseaux) :
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/36/
Ma question était plutôt ça continuera à marche en IPv6 avec ce que tu proposes (il me faut le temps d’assimiler les nouveaux concepts IPv6 pour y voir plus clair....:) )
en IPv4 l'implémentation devrait tourner autour de ça (un exemple imaginaire):
echo 1 > /proc/sys/net/ipv4/fib_multipath_hash_policy
et
ip route add default proto static scope global nexthop via 11.11.11.50 dev ens37 weight 1 nexthop via 11.11.11.50 dev ens38 weight 1
c.à.d. l'implémentation de 2 routes statiques par défaut de même poids pointant le même routeur de prochain saut (d'@ip 11.11.11.50 la livebox) mais via des interfaces réseaux différentes ici ens37 et ens38
il existe qu'un seul subnet d’interco entre le routeur Linux et la livebox par exemple celui-ci : 11.11.11.0/24
- la livebox à une patte dans ce sous-réseau avec @IP 11.11.11.50 (sa seule patte de niveau 3 disponible)
- et le routeur Linux a lui 2 pattes dans ce sous-réseau (adressées respectivement par exemple par 11.11.11.1 sur ens37 et .2 sur ens38)
Au niveau 2, ce sous réseau IP peut être porté par un VLAN ou pas, peu importe.
Ps: cool un couche tard comme moi :)) !
-
Regarde le schéma réseau niveau IP sur le pdf dans le premier poste.
https://lafibre.info/remplacer-livebox/projet-fibre-domicile-livebox-5-2gbps-passelle-linux/
Son schéma semble plutôt clair....
Et ton maintenant en phase sur mon archi cible en IPv4 ?
-
Ha oui, l'ECMP de même hop via 2 interfaces qu'on utilise pour remplacer un agrégat, effectivement... Il était trop tard pour moi ::)
Le reste du problème est qu'on est pas ici dans un NAT comme en IPv4, mais que ND proxy oblige à ce que la LB voit les hôtes en L2 de façon unitaire ou simulée via le proxy. Et donc qu'elle associe des @MAC aux @IP.
-
Ha oui, l'ECMP de même hop via 2 interfaces qu'on utilise pour remplacer un agrégat, effectivement... Il était trop tard pour moi ::)
Le reste du problème est qu'on est pas ici dans un NAT comme en IPv4, mais que ND proxy oblige à ce que la LB voit les hôtes en L2 de façon unitaire ou simulée via le proxy. Et donc qu'elle associe des @MAC aux @IP.
OK :)
Pour migrer mon architecture vers de l'IPv6 ( au cas où orange me l'obligerai s'il déactivait l'IPv4 sur sa box) :
tu me proposes pas d'une part de conserver de la mascarade IP mais en V6 (du NAPTV6....) ? c est pas possible ?
et d'autre part de mettre en place un proxy ND.
Mais tu ne penses pas que cela puisse me permettre de retrouver mon réseau opérationnel (comme il l’était en V4) ?
Tu ne vois pas de solution pour résoudre ce problème en conservant mon archi (et principalement le mécanisme de répartition de charge via ECMP) donc ?
Mon archi cible IPv4 est en fait, presque exactement, ce qui est décrit sur le .pdf que cela soit au niveau physique ou logique.
-
Le "truc" NAT64 ou NAT46 ça ne peut pas aider dans mon cas en ayant un adressage IPv6 seulement dans l'iterco entre la livebox et le routeur Linux ?
les réseaux IP derrière restent en IPv4.....
-
NAT64 c'est pour offir du v4 à un réseau client v6 only.
NPTv6 c'est de la translation de préfixe.
Tu prends un préfixe routable public dans la fin de plage IANA (pas joli mais ULA a une précédence basse maintenant)
Tu fais une règle préfixe interne > NPTv6 vers préfixe orange
Et tu fais en sorte que pour chaque IP existante en interne le routeur linux fasse périodiquement des échanges NDP avec la livebox avec le même suffixe.
C'est la solution alternative à NDproxy.
Exemple:
la Livebox fournit 2001:cafe::/64
Tu fais ton LAN interne en 3000::/64
Dès qu'une IP discute sur le LAN interne pour faire son Duplicate Address Detection, par exemple 3000::BB, tu fais en forte que la requête soit convertie vers 2001:cafe::BB
Si l'adresse est libre tu laisse la machine la prendre, et ensuite le fonctionne normal de NPTv6 va swapper les 64 premiers bits de chaque paquet qui entre ou sort.
Ainsi c'est stateless et plus propre que NDproxy, bien qu'il faille toujours simuler la présence de chaque hôte auprès de la livebox avec des messages NDP et des @MAC
-
NAT64 c'est pour offir du v4 à un réseau client v6 only.
NPTv6 c'est de la translation de préfixe.
Tu prends un préfixe routable public dans la fin de plage IANA (pas joli mais ULA a une précédence basse maintenant)
Tu fais une règle préfixe interne > NPTv6 vers préfixe orange
Et tu fais en sorte que pour chaque IP existante en interne le routeur linux fasse périodiquement des échanges NDP avec la livebox avec le même suffixe.
C'est la solution alternative à NDproxy.
Exemple:
la Livebox fournit 2001:cafe::/64
Tu fais ton LAN interne en 3000::/64
Dès qu'une IP discute sur le LAN interne pour faire son Duplicate Address Detection, par exemple 3000::BB, tu fais en forte que la requête soit convertie vers 2001:cafe::BB
Si l'adresse est libre tu laisse la machine la prendre, et ensuite le fonctionne normal de NPTv6 va swapper les 64 premiers bits de chaque paquet qui entre ou sort.
Ainsi c'est stateless et plus propre que NDproxy, bien qu'il faille toujours simuler la présence de chaque hôte auprès de la livebox avec des messages NDP et des @MAC
OK, merci pour cette explication sur NPTv6
Et NAT46 comme NAT64 ne sera d'aucune aide dans mon contexte ?
-
Du tout, NAT64 est très utilisé sur les réseaux mobiles où les téléphones n'ont plus que du v6.
NAT46, ou plutôt Stateless IP/ICMP Translation (SIIT), permet à un client v4 de contacter un serveur v6.
SIIT-DC est notamment utilisé far FB ou Google par exemple, qui n'ont plus d'IPv4 en interne DC.
Aucun NAT46 stateful n'a été ratifié finalement, de même pour un NAT66, et c'est tant mieux
-
ok :)
Bon, les nouveaux mécanismes d'IPv6 sont trop nombreux et complexes pour que j'ai une vision d’ensemble pertinente, pour le moment, de ce qu'est IPv6 et de se qu'il permet de mettre en œuvre.
Va falloir que je m'y plonge sérieusement quand j'aurais du temps.
Maintenant que la présentation de mon architecture cible IPv4 est claire,
si quelqu'un peu me proposer une solution de migration de mon architecture vers de l'IPv6, si Orange l'imposait en déactivant l'IPv4 sur la Livebox, je suis preneur :)
Il faudrait que cette solution de secours me permette de conserver mon archi et principalement le mécanisme de répartition de charge via ECMP.
De plus, il faudrait que les mécanisme éventuels supplémentaires à mettre en place sous Linux ne mettent pas à genoux mon J5005 en me permettant de conserver une capacité de traitement CPU pour bénéficier du débit WAN cumulé de 2Gbps.
Merci à tous :)
-
si Orange l'imposait en déactivant l'IPv4 sur la Livebox, je suis preneur :)
Non mais ça ça n’arrivera pas avant 10 ans en étant optimiste….
-
Orange parle d’extinction d'IPv4 sur son réseau mobile dans la contribution ci-dessous : (attention, c'est entre l'APN et le mobile que ce sera IPv6 only, l’accès à l'internet IPv4 sera encore possible via le NAT64)
Contributions des opérateurs sur IPv6 :
Contribution de Bouygues Telecom et Orange :
(https://lafibre.info/images/doc/202107_arcep_rapport_etat_internet_2021_bouygues_orange.png)
-
Je ferais peut-être mieux de créer un sujet mais... le titre de ce sujet est identique à celui que j'aurais créé donc je tente :
Je suis chez Sosh avec livebox4 et je me penche tout juste sur l'ipv6. J'ai bossé pas mal d'années + études en ipv4, donc mon cerveau n'est pas encore formaté ipv6, malgré quelques lectures web tout n'est pas bien clair.
Je vois qu'il m'est alloué un préfixe, jusque là pas de problème. Ce que j'aimerais comprendre toutefois c'est pourquoi ma box me donne une ipv6 qui n'est pas la même que celle vue par ce forum ou tout autre site ipv6.
En réalité l'ipv6 vue par ce forum / internet est mon ipv6 temporaire cf. ipconfig :
IPv6 Address. . . . . . . . . . . : 2a01:cb00:aaaa:aaaa:cccc:cccc:cccc:cccc
Temporary IPv6 Address. . . . . . : 2a01:cb00:aaaa:aaaa:ffff:ffff:ffff:ffff
Je suppose (petit doigt mouillé) qu'il s'agit d'une solution de confidentialité, que ma box me fait sortir avec une ipv6 random appartenant à ma plage et change cette IP régulièrement afin que mon IPv6 fixe attribuée à mon PC ne soit pas divulguée. Partant de là :
1) S'agit-il vraiment d'une solution de confidentialité ?
2) Comment Orange gère la politique d'attribution d'ipv6 temporaire ?
a) Mon IP temp change tous les combiens ou sur la base de quel événement ?
b) Quel serveur gère la génération de l'IPv6 temporaire ?
c) Sur quoi se base ce serveur pour savoir que mon PC à qui il a attribué une ipv6 fixe est toujours le même PC dans le temps ? Sa MAC address comme en IPv4 ?
3) Question d'ordre général sur la sécurité ipv6 : en ipv4 on a le NAT qui fait barrage avec les devices privés du LAN et les requêtes entrantes en provenance d'internet. Il n'y a pas de NAT en ipv6, dès lors dois-je comprendre que ma seule protection pour les requêtes entrantes est le pare-feu Windows 10 ? (ou dit autrement la gestion d'ouverture des ports se fait-elle sur le firewall de l'OS plutôt que sur le routeur ?)
-
Difficile d'oublier IPv4 on dirait. ;D
Orange fournit à ta Livebox un gros préfixe /56, elle crée ton LAN à partir d'un /64 enfant.
Ensuite tes machines prennent une ou plusieurs adresses aléatoirement via SLAAC (autoconfiguration d'adresse). Orange ne connaît rien aux machines et MAC de ton réseau, en dehors de la livebox qui voit les messages NDP (le remplaçant d'ARP).
Pour plus de détails je t'invite à chercher "stable privacy address", "temporary ipv6 address" et à jeter un coup d'oeil à la config par défaut de ton OS.
Typiquement les connexions sortantes prennent une adresse temporaire qui change toute les X minutes, mais les sessions entrantes et l'IP que le système va filer au DNS pour s'auto enregistrer est la stable.
Il est même possible de n'exploiter que des adresses temporaires...
Pour la sécurité les box intègrent un parefeu IPv6 qui fait du tracking de connexion tout comme le fait le NAT IPv4. Il est plutot granuleux chez orange mais pas toujours fonctionnel (les ouvertures ne suivent pas les IP changeantes, la box ne sait pas se baser sur les messages NDP pour maintenir à jour la correspondance...)
Mais l'effort est là, chez free c'est tout ou rien le parefeu IPv6, et c'est openbar par défaut :-X
Bonnes recherches, et bienvenu dans le paradigme du vrai bout en bout.
-
Merci pour la réponse claire. J’ai un peu de pain sur la planche.
Édit : Ah tiens mon IPv6 vient de changer si je me fie à ce post :P
-
Hello,
Je re-up ce sujet. Toujours rien pour réussir à avoir une configuration fonctionnelle de l'IPv6 avec un routeur derrière la box ?
Le proxy ndp est toujours aussi capricieux à configurer côté openWRT ?
Edit:
Je me répond rapidement à moi même après quelques tests rapides.
En IPv6 la livebox est toujours aussi pourrite:
- le firewall IPv6 est toujours bloquant par défaut même en "sécurité faible" (ne concerne que l'IPv4)
- toujours pas (des années plus tard) de délégation de préfixe
- pas possible d'ouvrir un port/protocole pour tout les clients d'un coup (sauf "hack").
Bref pas au point en IPv6.
Sinon concernant le "hack", il est au moins possible d'ouvrir le firewall IPv6 un peu plus en "hackant" les requête d'ouverture de port et en les rejouant (F12 avec firefox + chercher la requète au moment du "Créer") en modifiant le nom et surtout la destination adresse par un range genre prefixIpv6::/64
=> résultat, je peux voir qu'un ping depuis l'extérieur vers prefix::1234 (qui n'existe pas) provoque bien une réaction de la livebox.