Auteur Sujet: Serveur en ipv6 sur une freebox V8 (Lu 966 fois)

davlefou · « **le:** 12 février 2025 à 16:14:01 »

Bonjour,
j'aimerais utilise les ipv6 de la freebox v8 pour avoir des serveurs dédier en accès directement sur internet. Pouvoir accéder et avoir des services accessibles via l'ipv6 sur la machine.
Comment doit on faire?

dr191 · « **Réponse #1 le:** 12 février 2025 à 17:43:57 »

Salut,

En config par défaut, la freebox distribue une ipv6 à vos machines sur le LAN.
Et sauf si ca a changé, le parefeu ipv6 n'est pas activé par défaut, donc vos machines sont déjà accessibles depuis internet en ipv6 ( et ce n'est pas une bonne chose ).

Il n'a pas de bonne solution pour le moment, l'option d'ouvir un port vers une ipv6 n'est pas disponible sur la freebox ( corrigez moi si c'est différent sur la box v8= ultra ? ):
option 1: laisser votre réseau lan ouvert à tous les vents ( config par défaut, je repète, ce n'est pas du tout une bonne idée coté sécurité)
option 2: activer le firewall ipv6 qui marche en tout en rien ( ca ne répond pas à votre besoin ).
option 3: box en mode bridge avec un routeur derrière qui vous permettra de gérer cela, ouvrir un port vers une ipv6 ( et tant qu'on y est, gérer les routes en ipv4, coucou freebox ).

simon · « **Réponse #2 le:** 12 février 2025 à 17:52:14 »

Citation de: dr191 le 12 février 2025 à 17:43:57

Et sauf si ca a changé, le parefeu ipv6 n'est pas activé par défaut, donc vos machines sont déjà accessibles depuis internet en ipv6 ( et ce n'est pas une bonne chose ).

Discutable. Autant c'était vrai du temps de Windows XP, autant les OS ont un pare feu intégré et activé par défaut depuis des années.

Il y a bien le souci des devices IoT chinois, mais on peut se demander si ils devraient être raccordés en premier lieu :-)

Personnellement, je préfère que le routeur ne filtre pas le trafic entrant. Je gère la sécu au niveau des machines, et ca me permet d'héberger ce que je veux sans devoir modifier la configuration du routeur.

dr191 · « **Réponse #3 le:** 12 février 2025 à 18:14:39 »

Citation de: simon le 12 février 2025 à 17:52:14

Personnellement, je préfère que le routeur ne filtre pas le trafic entrant. Je gère la sécu au niveau des machines, et ca me permet d'héberger ce que je veux sans devoir modifier la configuration du routeur.

Je préfère le contraire, du moins sur un réseau domestique. Je n'ai pas trouvé le firewall sur l'imprimante réseau

En étant plus sérieux:
1 vlan / wlan iot et truc pas clair
1 vlan réseau domestique filtré à l'entrée
1 vlan serveur où la éventuellement on peut laisser le serveur gérer le firewall en direct.
Mais on en revient au point de départ, une box domestique ne fait pas ca.

vocograme · « **Réponse #4 le:** 13 février 2025 à 09:46:41 »

Citation de: simon le 12 février 2025 à 17:52:14

Discutable. Autant c'était vrai du temps de Windows XP, autant les OS ont un pare feu intégré et activé par défaut depuis des années.

Il y a bien le souci des devices IoT chinois, mais on peut se demander si ils devraient être raccordés en premier lieu :-)

Personnellement, je préfère que le routeur ne filtre pas le trafic entrant. Je gère la sécu au niveau des machines, et ca me permet d'héberger ce que je veux sans devoir modifier la configuration du routeur.

Hmm je ne suis pas vraiment d'accord. Je préfère largement un pare-feu bloquant le trafic entrant par défaut MAIS complètement désactivable facilement pour "les gens comme toi". Nous allons quand même vers des maisons ultra-connectées, même sans y faire trop attention. Imprimante, télé connecté, frigo, air fryer et j'en passe et des meilleurs. Et même sans ça, combien d'ado qui désactive le pare-feu windows parce qu'un tuto sur Internet a dit de le faire pour x ou y raisons.

Un pare-feu désactivable et activée par défaut ne mange pas de pain, et est plus sain pour tous ces utilisateurs non avertis, je trouve.

davlefou · « **Réponse #5 le:** 13 février 2025 à 17:42:50 »

J'avais faire une erreur de configuration, je pense avoir compris le fonctionnement.
Merci a tous pour vos conseils précieux.

davlefou · « **Réponse #6 le:** 13 février 2025 à 18:10:16 »

Sauf erreur de ma part, les appareils reçoivent un ipv6 prive du réseau, pas public. Si aucun appareil n'a d'adresse publique pour répondre, il n'y a pas de risque? C'est pour cela que le par feu n'est pas activé par défaut. Si on pose un ipv6 public alors le matériel deviens accessible. Peut on scanner pour avoir les ipv6 attribué comme avec nmap?

dr191 · « **Réponse #7 le:** 13 février 2025 à 19:05:24 »

Citation de: davlefou le 13 février 2025 à 18:10:16

Sauf erreur de ma part, les appareils reçoivent un ipv6 prive du réseau, pas public. Si aucun appareil n'a d'adresse publique pour répondre, il n'y a pas de risque? C'est pour cela que le par feu n'est pas activé par défaut. Si on pose un ipv6 public alors le matériel deviens accessible. Peut on scanner pour avoir les ipv6 attribué comme avec nmap?

Vous devriez faire un

Code: [Sélectionner]

ipconfig sur windows ou un

Code: [Sélectionner]

ip -6 a sous un linux derrière une freebox, vous allez avoir une surprise !

cf aussi https://lafibre.info/ipv6/ipv6-pays/msg1103010/#msg1103010
Et c'est pareil pour toutes les box FR. Certains FAI on quand meme un réglage par défaut plus sécurisé ( Parefeu activé)

nmap sur un réseau ipv6 /64, ca va prendre vraiment beaucouuuuuuuuuuuuuup de temps.
Le risque n'est pas vraiment la, le scan en brut force comme en ipv4.

buddy · « **Réponse #8 le:** 13 février 2025 à 20:56:07 »

Le sujet a déjà été abordé sur le forum mais pour le résumer rapidos.

1) les ipv6 données par les box sont publiques
2) par défaut orange, sfr et Bouygues filtrent les connexions ipv6 entrantes. Free non.
3) pour naviguer sur internet les périphériques utilisent un ipv6 temporaire qui a une durée de vie de 15 à 30 min.
4) c'est pour ça aussi qu'il faut mettre à jour son matériel pour combler les failles de sécurité et par défaut il y a aussi des pare-feu sur les périphériques normalement.

nbanba · « **Réponse #9 le:** 05 avril 2025 à 19:44:30 »

Bonjour

Une solution simple existe et permettant de conserver les firewall ipv6 activé (utilise 1 prefixe pour 1 machine, mais bon...).
voir:

https://dev.freebox.fr/bugs/task/39597#comment187841

NB: cette solution ne nécessite pas de matériel additionnel

Cordialement
nbanba

kgersen · « **Réponse #10 le:** 05 avril 2025 à 22:06:44 »

Citation de: davlefou le 13 février 2025 à 18:10:16

Peut on scanner pour avoir les ipv6 attribué comme avec nmap?

oui on peut scanné mais y'a tellement d'adresses possibles que personne ne scan comme en IPv4 (le /64 utilisé par une box sur son lan a 18 446 744 073 709 551 616 adresses possibles soit 4 milliards de fois toutes les IPv4 du monde... et elles sont toutes publiques).

Un des principes d'IPv6 est d'utilisé plusieurs IPv6 par appareil. En sortie on a une IPv6 temporaire ("privacy extension") qui change régulièrement, en entrée une ou plusieurs IPv6 stable(s) (EUI-64 basé sur l'adresse MAC ou "Semantically Opaque" (rfc7217) ou statique (token) supporté par systemd notamment).

L'avenir est IPv6 partout, sans firewall, de bout en bout a fond (plusieurs Gbps). La sécurité se fera aux extrémités et via des 'overlay chiffré' comme Tailscale par exemple.
Mais on y est pas encore donc on recommande au moins un statefull firewall sur la box.