Bonjour,

La box SFR NB6 est réputée pour être buggée concernant la mise en place d'une DMZ en IPV6 derrière un routeur interne (on en trouve quelques traces dans ce forum). J’ai trouvé un contournement qui permet bien de déployer une telle architecture. Voici comment:

Le contexte

Box SFR NB6VAC, version firmware NB6VAC-MAIN-R4.0.45d,  fonction DMZ uniquement proposée en IPV6.

Le menu de configuration de la Box:

-> voir pièce jointe 1


Une configuration logique dans laquelle on donne une adresse IP interne d'une passerelle (le routeur) vers la DMZ ne fonctionne pas : la box ne transmet pas les paquets entrants à la passerelle.

La solution

En revanche, cela fonctionne si l’on indique une adresse IP de passerelle qui appartient au réseau DMZ (très illogique, cela fait surement partie du bug général autour de cette fonction). L‘adresse de la box à utiliser sur la passerelle est alors PREFIXDMZ::1

Ci dessous un schéma pour exemple de ce que j’ai fait pour m’adapter au comportement singulier de la box:

-> voir pièce jointe 2


A noter qu’il faut refaire la manip de configuration de DMZ sur la box en cas de redémarrage de cette dernière.

Considérations de sécurité

J’ai également testé ce que faisait une activation de DMZ sans l’option passerelle (possibilité offerte dans le menu DMZ de la box). Dans ce cas, la box monte une interface PREFIXDMZ::1/64 sur le réseau Ethernet interne. Je déconseille vivement cette option :
- qui entraine une forte porosité entre la DMZ et les réseaux internes (IPV4 et IPV6) car tout ce beau monde se retrouve sur un même LAN Ethernet.
- qui nécessite de mettre un Firewall sur chaque machine de la DMZ, la box ne faisant pas de filtrage sur les adresses du sous réseau DMZ.
Dans ce cas, il est préférable d’utiliser la fonction Firewall de la Box sur adresse interne. Cela évite de monter un Firewall sur chaque machine cible et rend le risque pris plus explicite (je le rappelle quand même: l’ouverture d’un service sur une machine interne induit que si la machine est compromise, tout le réseau interne est exposé par rebond).
Le mieux reste bien de mettre en place une DMZ avec passerelle, étant entendu que la passerelle héberge un Firewall qui filtre les flux entrants et sortants.

C'est tragique de voir que des utilisateurs, qui ont sans doute eu du mal à comprendre le fonctionnement d'IPv4, ont du mal à assimiler les principes de fonctionnement d'IPv6, à ne pas transposer sous IPv6 leurs connaissances acquises sous IPv4.

Une DMZ n'a pas lieu d'être en IPv6 puisque les serveurs du LAN ont une adresse routable sur Internet. Le problème se situe au niveau du pare-feu et pas au niveau de la translation d'adresse. Il n'y a pas de NAT en IPv6 donc pas besoin de DMZ. En revanche, il faut ouvrir des ports ou des adresses IP pour les connexions entrantes dans les règles du pare-feu.

Les utilisateurs lambda n'ont pas de serveurs ouverts sur l'extérieur donc pas besoin de créer des règles spécifiques de pare-feu dans la box SFR. Les utilisateurs avancés qui veulent accéder à leur serveur depuis l'extérieur n'ont pas besoin d'utiliser une box SFR. Ils peuvent utiliser un routeur personnel de milieu de gamme. SFR est l'un des seuls FAI qui laissent aux utilisateurs avancés cette possibilité d'utiliser leur routeur personnel à la place de la box SFR grâce à une protection minimaliste de leur réseau (réseau accessible par tout routeur qui dispose de l'option 60 dans son client DHCPv4 et de l'option "Délégation de préfixe" dans le client DHCPv6).