Auteur Sujet: Recherche informations, tuto pour passage à IPV6 (Lu 1017 fois)

manchot · « **le:** 28 novembre 2023 à 19:59:31 »

Bonsoir à tous,

Depuis un moment déjà je me dit qu'il faudrait que je passe mon réseau chez moi en IPV6, mais je remets toujours cela à plus tard car mon réseau fonctionne bien et que forcément je sais que je risque d'avoir quelques galères.
Je ne vais pas dire non plus que j'ai quelque chose de complètement propre car j'ai une livebox avec derrière un ERX avec différentes VLAN et switch et wifi (si besoin je peux vous faire un schéma mais à la base c'est pas le but de ce post).
Je me décide à vouloir migrer car je vais réellement mettre en service mon home lab en auto hébergement et je pense que ça sera nettement mieux en IPV6.

Je voulais savoir si vous pouviez me donner des ressources, tutos ou autres vers où me diriger pour pouvoir en apprendre plus sur l'IPV6, comment je peux reconfigurer le tout sachant que je sais qu'il me faut quand même avoir toujours l'IPV4 pour l'accès à certains site dont le VPN de mon entreprise par exemple, mais je pense bcp de site encore actuellement également.

J'ai vu le MOOC qui je pense est déjà une bonne base https://www.fun-mooc.fr/fr/cours/objectif-ipv6/ mais si vous avez d'autres bon liens à partager je suis preneur.

Merci d'avance

vivien · « **Réponse #1 le:** 28 novembre 2023 à 20:38:25 »

Je confirme, le MOOC est une bonne base.

Après, pour des questions précises, c'est peut-être dans la section https://lafibre.info/routeurs/

wanou38 · « **Réponse #2 le:** 10 mars 2024 à 12:13:08 »

Manchot, Cela fait 10 que je travaille à la mise en place d'IPv6 chez moi et j'ai dû aller chercher chaque information aux quatre coins du net et parfois faire de l'ingénierie inverse pour y arriver donc je n'ai malheureusement aucun mooc à proposer sur ce sujet.

Je pensais pouvoir lancer un sujet ici pour faire profiter de mes trouvailles de manière centralisée mais mon temps libre est cannibalisé par une autre activité associative.

Si tu as des points durs sur un sujet en particulier, le mieux est de les poster ici je pense.

Voici les sujets sur lesquels je peux t'aider:

config de radvd.conf pour diffuser un préfixe ULA sans tout bloquer le traffic IPv6 sortant ;
config de radvd.conf pour diffuser le DNS
config de radvd.conf pour annoncer un préfixe global en next hop
config IPv6 only de samba (ingénierie inverse de mon synology), car les auteurs de ce logiciel n'ont manifestement pas envie de passer à IPv6 et ne se donnent pas la peine de documenter proprement la méthode pour y parvenir
utilisation de nginx en mandataire inverse ou « reverse proxy » pour transférer le trafic entrant sur les ports 80 et 443 et le renvoyer aux serveurs IPv6 only : le traffic https reste chiffré et c'est le serveur destinataire qui gère le certificat ssl.

Globalement, j'ai tout fait, et j'ai réussi, pour me passer de DHCPv6 car c'est une abomination selon moi.

trekker92 · « **Réponse #3 le:** 10 mars 2024 à 12:59:44 »

Citation de: wanou38 le 10 mars 2024 à 12:13:08

Manchot, Cela fait 10 que je travaille à la mise en place d'IPv6 chez moi et j'ai dû aller chercher chaque information aux quatre coins du net et parfois faire de l'ingénierie inverse pour y arriver donc je n'ai malheureusement aucun mooc à proposer sur ce sujet.

Je pensais pouvoir lancer un sujet ici pour faire profiter de mes trouvailles de manière centralisée mais mon temps libre est cannibalisé par une autre activité associative.

Si tu as des points durs sur un sujet en particulier, le mieux est de les poster ici je pense.

Voici les sujets sur lesquels je peux t'aider:
config de radvd.conf pour diffuser un préfixe ULA sans tout bloquer le traffic IPv6 sortant ;
config de radvd.conf pour diffuser le DNS
config de radvd.conf pour annoncer un préfixe global en next hop
config IPv6 only de samba (ingénierie inverse de mon synology), car les auteurs de ce logiciel n'ont manifestement pas envie de passer à IPv6 et ne se donnent pas la peine de documenter proprement la méthode pour y parvenir
utilisation de nginx en mandataire inverse ou « reverse proxy » pour transférer le trafic entrant sur les ports 80 et 443 et le renvoyer aux serveurs IPv6 only : le traffic https reste chiffré et c'est le serveur destinataire qui gère le certificat ssl.

Globalement, j'ai tout fait, et j'ai réussi, pour me passer de DHCPv6 car c'est une abomination selon moi.

mouais.
pour moi, c'est plutot simple :
a/ trouver un fournisseur d'ipv6, normalement ton fai, ou un vpn
b/ il doit évidemment fournir un préfixe, sinon tu vas le voir ailleurs
c/ tu configures l'ip et le préfixe dans le petit wrt
d/ normalement avec un radvd/dhcp6, ca passe

et ca, en moins d'une demie journée

manchot · « **Réponse #4 le:** 10 mars 2024 à 15:35:18 »

Merci pour vos 2 retours.

J'ai essayé plusieurs config mais en fait la livebox ne peut pas déléguer son /56 à l'erx.
Et c'est bien dommage.

Pour le moment la seule chose que je suis arrivé à faire :
- Livebox donne une ipv6 /64 à l'erx sur le port wan
- serveur dns sur l'erx (ce qui était déjà en place pour ipv4, j'y ai ajouté l'ipv6)
- ipv6 LUA pour chacun de mes vlan en /64
- postouting ip6table vers port wan

Cela permet à chacun de mes appareils sur chacun de mes vlan d'accéder aux sites ou autres opv6 mais ne permet pas un accès depuis l'extérieur, il faudrait que je fasse des règles spécifiques pour cela.
J'aurais clairement préférer pouvoir utiliser les GUA du /56 pour chacun de mes vlan.

J'ai gardé jusque là la livebox car j'ai le téléphone dessus et surtout je ne voulais pas risquer de devoir bidouiller pour comprendre pourquoi je perds la connexion si un changement de config de la part d'orange ou autre.
Aujourd'hui je me pose clairement la question de peut être passer mon erx sur openwrt et voir les configs pour remplacer la livebox, si c'est vraiment stable, cela me permettrait de profiter justement du /56.

wanou38 · « **Réponse #5 le:** 10 mars 2024 à 16:34:44 »

Aucune box ne délègue tous ses préfixes, c'est normal. Ce sera pareil avec n'importe quelle box même celle de free.

Il te faut donc configurer des next hop : un par préfixe chez free.

Chez free, tu dispose d'un /60, ce qui laisse à penser que tu dispose de 16 préfixes mais en fait, tu ne peux utiliser que 8 préfixes pour toi ; les 8 premiers. Les 8 autres sont réservé à free ; le lecteur multimédia dispose du 8 sur le vlan 100 .

La question est donc: quelle valeur dans le champ next-hop ? Là, c'est une adresse link local que tu dois mettre donc l'adresse link local de ton port entrant sur erx.

Si tu donne un next-hop identique pour plusieurs préfixes, tu délègue de fait toute une plage même si ce n'est pas toute la plage d'origine. Chez free par exemple, mettre le même next hop dans les 8 champs implique de déléguer un /61.

Attention, si tu délègue tous les préfixes sur une box, tu perd la connectivité IPv6 sur le wifi.

zoc · « **Réponse #6 le:** 10 mars 2024 à 18:59:31 »

Citation de: wanou38 le 10 mars 2024 à 16:34:44

Il te faut donc configurer des next hop : un par préfixe chez free.

C’est impossible sur une livebox.

Chez Orange/Sosh, le seul moyen d’obtenir un préfixe sur un routeur derrière la box, c’est de faire du DHCP6-PD (et du coup je suis surpris que ça ne fonctionne pas sur EdgeOS car il dispose d’un client DHCP6-PD). L’avantage c’est que le next-hop est configuré automatiquement dans la box.

Il y a par contre un bug sur la livebox qui empêche la délégation de plus d’un préfixe, ce qui est ennuyeux quand on veut en exploiter plusieurs derrière un routeur (cas des VLAN, comme mentionné par @manchot). Du coup dans ce cas pas d’autres choix que de virer la box (perso je peux exploiter les 256 /64 qu’orange me délégue).

manchot · « **Réponse #7 le:** 10 mars 2024 à 19:15:15 »

Je confirme effectivement qu'avec DHCP6-PD je récupère bien l'ip /64 de la livebox sans autre configuration complémentaire mais vu que j'ai des VLAN et que le but n'est pas de permettre les accès inter-vlan en ipv6 alors qu'ils ne sont pas possible en ipv4, c'est pour cela que pour le moment j'ai fait des LUA.

Je vais regarder plus en détails l'utilisation sans le box, mais je veux être sûr que ça soit stable et je ne sais pas si il vaut mieux que je reste avec le system de l'erx ou que je passe sous openwrt sur l'erx.

renaud07 · « **Réponse #8 le:** 11 mars 2024 à 19:24:40 »

Citation de: zoc le 10 mars 2024 à 18:59:31

Il y a par contre un bug sur la livebox qui empêche la délégation de plus d’un préfixe, ce qui est ennuyeux quand on veut en exploiter plusieurs derrière un routeur (cas des VLAN, comme mentionné par @manchot). Du coup dans ce cas pas d’autres choix que de virer la box (perso je peux exploiter les 256 /64 qu’orange me délégue).

C'est même pas un bug, mais une limitation volontaire... leVieux l'avait dit sur le topic du DHCP.

Ça me fait penser que j'ai pas testé les MAC VLAN.