@kgersen : Les sous-réseaux sont formés avec des préfixes GUA. Les nœuds vont faire acheminer leurs paquets via des adresses GUA (table de routage).
Donc, je pense que c'est pas vraiment logique de renvoyer à une adresse LLA (utilisée en principe pour l'auto-configuration et pas routée). Il est vrai que
je ne comprends pas la logique des interfaces d'administration des routeurs des FAI.

@kgersen : Je ne connais quasiment pas IPv4.

C'est insensé !

• Les paquets ne sont pas routés avec des LLA.
• On ne peut pas utiliser à la fois une LLA et une GUA dans l'en-tête d'un paquet IP.
• Il n'y a pas de mécanisme de routage en fonction spécifique de la portée (locale au lien, au site...).

Une LLA est systématiquement associée à une interface pour pouvoir faire abstraction de la configuration d'une adresse IP.

Il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.

Les paquets routés ne contiennent pas l'adresse du routeur. Seules les adresses source et destination doivent être routables.

Ces assertions sont tout simplement fausses. En principe, chaque nœud dispose d'une adresse GUA pour communiquer avec des nœuds situés dans d'autres réseaux.
Un routeur dispose de plusieurs adresses GUA, chacune dans un réseau auquel il est connecté. Grâce au concept de route, on rattache une adresse L3 à une adresse L2.
La route peut changer (l'adresse L2 est modifiée à chaque saut) mais pas la direction (adresse L3). Ce sont les adresses IP qui permettent de définir des réseaux logiques.
En d'autres termes, la logique de réseau est fondée sur des adresses IP routables. On définit ainsi où les paquets peuvent aller et de quelle façon y aller par composition
(AS...). L'Internet (interconnexion de réseaux) est décentralisé grâce à la multitude de jonctions mais hiérarchisé au niveau IP (recollé de bouts en bouts).

Je me demande bien comment un paquet avec une LLA peut être acheminé à un nœud dans un autre réseau. D'un côté on est restreint à un domaine de diffusion, de l'autre
on accède à des milliards de nœuds.

@ppn_sd :

Je ne donne pas de leçon et c'est en faisant des erreurs qu'on apprend.

D'ailleurs, je viens de m'apercevoir que j'avais mal lu le schéma général d'une DMZ. Je croyais qu'une DMZ était formée avec deux routeurs alors
qu'en fait il s'agissait de deux dispositifs pare-feux distincts mais pas sur deux routeurs : un routeur et deux équipements pare-feux.

[05/22 16:30] Note : Un dispositif matériel faisant pare-feu (firewall appliance, en anglais) est un routeur avec des fonctionnalités dédiées pour filtrer des paquets.



Source : Wikimedia.org

J'étais encore persuadé qu'un réseau local segmenté en sous-réseaux était forcément constitué avec plusieurs routeurs. Alors qu'on peut avoir un seul routeur relié à plusieurs commutateurs.
Je ne sais pas si cela est significatif niveau sécurité. C'est plus facile d'imaginer un sous-réseau protégé par un routeur faisant pare-feu (d’où ma méprise).

Cela change quelque peu ma conception de la topologie d'un réseau local segmenté. Avant, j'assimilais la jonction entre un routeur et un commutateur comme équivalente à la jonction entre
deux routeurs. En fait, on a deux types de réseaux : un sous-réseau d'infrastructure (réseau entre les deux routeurs) et au moins deux sous-réseaux de distribution.

Au final, je ne suis même pas certain qu'on parle tout à fait de la même chose. Ce qui m'intéresse, en dépit de l'interface d'administration du sujet, c'est la route existante vers une vraie DMZ.

Je ne donne pas de leçon et c'est en faisant des erreurs qu'on apprend.

Pas d'accord. On ne peut pas dire tout et son contraire à quelques posts d'intervalle et avec le même aplomb.

Au final, je ne suis même pas certain qu'on parle tout à fait de la même chose.

De quoi parles-tu d'ailleurs ?

La box SFR NB6 est réputée pour être buggée concernant la mise en place d'une DMZ en IPV6 derrière un routeur interne (on en trouve quelques traces dans ce forum).

Toutes les box SFR que j'ai eues, sont buggées : NB4, NB6v2, NBVAC NB8. Par contre, pourais-tu détailler le soi-disant bug de la DMZ.

En ce qui me concerne, j'utilise la DMZ de ma BOX pour tester le pare-feu de mes ordinateurs. J'active la DMZ de l'IPv4 de ma BOX SFR en lui donnant une adresse de routage (le libellé de la BOX 8 est : "entrer le nom ou l'adresse du serveur DMZ"). De ce fait, il n'y a aucun filtrage du coté de la BOX SFR alors que si je n'applique pas la DMZ, je subis le filtrage qui est déjà mis en place dans ma BOX SFR. Pour vérifier qu'il n'y a aucun filtrage quand la DMZ est activée, je désactive le pare-feu de mon ordinateur et j'utilise le site "Gibson research corporation". Ainsi je vois tous les ports ouverts depuis mon ordinateur. Après, il n'y a plus qu'à activer le pare-feu, écrire les règles et tester à nouveau ces ports.

Pour la DMZv6, j'ai un sous-réseau (subnet) qui est déjà pré-renseigné, différent de celui déjà mis en place pour mon réseau local. Dans les notations de Tinybo,il s'agit de "PREFIXDMZ". Je dois renseigner le "Gateway Next Hop" où je retrouve le même préfixe, que je vais noter "PREFIXLOCAL". Ce "Gateway Next Hop" attend une adresse de passerelle IPv6 où va se trouver un pare-feu. En ce qui me concerne, je n'ai jamais utilisé la DMZv6.

Je suppose que le bug en question est cette différence de préfixe entre le sous-réseau IPv6 (PREFIXDMZ) et ce "Gateway Next Hop" (PREFIXLOCAL) où je devrais retrouver le même préfixe. Peut-on me confirmer que c'est bien de ce bug dont il est question ici ?

il y aussi confusion entre firewalling et NAT ... DMZ est un terme de firewall, qui peut ou pas utiliser du NAT (souvent le cas en IPv4)

Je suis d'accord avec toi qu'il y a une confusion entre pare-feu, NAT, PAT, DMZ et autre dans la signification de ces termes chez les différents FAI.

Et que pour eux "DMZ" a un sens qui n'est pas le bon.

D'après je que j'ai compris de la DMZ coté BOX, (vous me dites si je fais erreur), cela fait deux choses :
--> désactive tout le filtrage mis en place dans la box. Tout se passe comme s'il n'y avait pas de BOX.
--> effectue une redirection du flux entrant vers un ordinateur (ou serveur) où un pare-feu a été mis en place.

La vraie DMZ, ce n'est pas cela mais deux sous-réseaux et deux pares-feux distincts.

Je l'ai toujours compris ainsi. Donc pourquoi parler de vrai ou de faux DMZ ? Cela ne fait qu'embrouiller les lecteurs de ce sujet, comme Basilix.
Après, je ne sais pas trop ce qui a été fait dans les BOX pour sa mise en place. Ne dit-on pas que "Le diable se cache dans les détails".

C'est quoi une DMZ basilix ?

Bonne question. Quand on ne sait pas, ne faut-il pas justement donner la définition que l'on croit connaitre, afin d'avoir les vrais explications ?
Ma réponse est celle que j'ai donné à kgersen.

en pratique 'correct' on met en général une adresse link-local (fe80...) pour la "passerelle" (ce n'est pas le bon terme) pour un subnet IPv6.

Tu ne peux pas mettre une adresse Link-Local car SFR impose un préfixe IPv6 différent de celui utilisé en local.

il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.

Je n'ai pas bien compris le sens de ta phrase. Quand la DMZv6 de la BOX SFR est activée, le flux entrant dans la BOX est redirigé vers ce sous-réseau ipv6 distinct du réseau local ipv6 mise en place, dont l'adresse n'est pas un link-local.

Ces assertions sont tout simplement fausses.

Pas du tout. Et dire cela à un expert réseau comme kgersen.

J'étais encore persuadé qu'un réseau local segmenté en sous-réseaux était forcément constitué avec plusieurs routeurs.

Un routeur ne sert qu'à faire une seule chose, du routage. Chaque sous-réseau que ce soit de l'IPv4 ou de l'IPv6 appartient au même réseau. Un seul routeur suffit pour gérer ton réseau local. Le flux entrant dans le routeur aura le même préfixe IPv6 ou la même adresse publique IPv4. La distinction des sous-réseaux se fait par le masque de sous-réseau.

C'est plus facile d'imaginer un sous-réseau protégé par un routeur faisant pare-feu (d’où ma méprise).

Un routeur ne fait pas pare-feu. Tu confonds cela avec une BOX qui fait plein de choses en plus du routage.