Auteur Sujet: Supprimer les adresses dépréciées automatiquement avant leur expiration (Lu 1720 fois)

renaud07 · « **le:** 09 mars 2025 à 20:39:39 »

Bonsoir,

J'ai un petit problème avec ce qu'il semble être le nombre maximum d'IPv6 attribuable par défaut à une interface sous Linux (net.ipv6.conf.nic.max_addresses=16)

Ayant un soucis de ligne ADSL, mon routeur 4G a pris le relais. Il y a eu nombreuses coupures à un moment donné avec changement de préfixe, un de mes systèmes a eu 16 IPv6 en même temps et une fois la limite atteinte, il ne prend plus de nouvelles adresses même si un nouveau RA se présente. Ce qui veut dire plus de connexion fonctionnelle tant que je ne supprime pas au moins une adresse manuellement.

Je voudrais donc simplement que toutes les adresses deprecated soient supprimées immédiatement sans attendre le valid lifetime. Mais je n'arrive pas à trouver si une commande ou une conf existe ou s'il faut faire un script maison.

Merci.

renaud07 · « **Réponse #1 le:** 10 mars 2025 à 01:17:18 »

Bon, j'ai finalement posé la question à copilot : pas de mécanisme intégré directement pour supprimer les adresses deprecated avant l'expiration officielle, la seule solution est d'augmenter le max_adresses, en espérant que ça ne coupe pas trop souvent.

Puis je me suis rappelé que j'avais fait un peu la même chose avec le CLAT

J'ai donc réutilisé la commande pour lister les IP deprecated dans un script qui parcours toutes les interfaces :

Code: [Sélectionner]

#!/bin/bash

# Get interfaces list 
interfaces=$(ls /sys/class/net)

for interface in $interfaces; do
    # Get the list of deprecated IPv6 addresses for each interface
    deprecated_ips=$(ip -6 -o addr show deprecated scope global dev $interface | awk '{print $4}')
    
    for ip in $deprecated_ips; do
        # Delete deprecated IPv6
        sudo ip -6 addr del $ip dev $interface
        echo "Deleted deprecated IP: $ip on interface: $interface"
    done
done

Plus qu'à mettre ça dans un cron ou systemd et ça devrait être bon.

kgersen · « **Réponse #2 le:** 10 mars 2025 à 12:45:33 »

peut-être aussi en envoyant des RA avec un lifetime a 0 pour le/les prefix(es) deprecated ? en utilisant un truc comme https://github.com/fgont/ipv6toolkit ?

l'avantage est que ca diffuse partout plutot que juste traiter le problème sur ta machine.

apres la solution d'un simple script bash a l'avantage de la simplicité ...

zoc · « **Réponse #3 le:** 10 mars 2025 à 16:37:03 »

Citation de: kgersen le 10 mars 2025 à 12:45:33

peut-être aussi en envoyant des RA avec un lifetime a 0 pour le/les prefix(es) deprecated ? en utilisant un truc comme https://github.com/fgont/ipv6toolkit ?

Oui, c'est d'ailleurs ce que font automatiquement les versions récentes de RouterOS quand on change l'adresse IPv6 d'une interface.

Pegasus38 · « **Réponse #4 le:** 10 mars 2025 à 19:07:03 »

Petit HS :
Plus je parcours les pages du forum plus je vois que l'ipv6 est en fait une grosse usine à gaz et ça ne fonctionne pas aussi bien nativement comme on se l'imagine

Hugues · « **Réponse #5 le:** 10 mars 2025 à 19:21:14 »

Citation de: Pegasus38 le 10 mars 2025 à 19:07:03

Petit HS :
Plus je parcours les pages du forum plus je vois que l'ipv6 est en fait une grosse usine à gaz et ça ne fonctionne pas aussi bien nativement comme on se l'imagine

Non, le souci c'est pas IPv6, c'est l'opérateur teubé qui change le préfixe à chaque coupure.

zoc · « **Réponse #6 le:** 10 mars 2025 à 19:47:38 »

Citation de: Pegasus38 le 10 mars 2025 à 19:07:03

je vois que l'ipv6 est en fait une grosse usine à gaz

C'est sur que le NAT en IPv4, qui oblige à changer les entêtes TCP/UDP et IP de tous les paquets, de recalculer leur checksum, c'est pas une usine à gaz.

renaud07 · « **Réponse #7 le:** 11 mars 2025 à 02:19:29 »

Merci pour vos réponses.

Le routeur envoie bien un lifetime à 0 avant d’annoncer le nouveau préfixe. Mais les adresses restent jusqu'à la fin du valid llifetime, c'est bien comme ça que c'est censé marcher, non ? Le preferred lifetime est bien à 0 et donc la machine ne les utilise plus (mais essaie d'utiliser une ULA à la place, ce qui évidemment n'aboutit à rien).

Le problème ne se produit que lorsque il y a trop de coupures en 2h et que les préfixes n'ont pas le temps d’expirer, si pas de coupure ou très peu, tout va bien, ça s'efface au fur et à mesure.

Les préfixes sont en 7200 valid - 3600 pref.

EDIT : J'ai un doute @kgersen, tu parles du valid/pref du préfixe à 0 ou celui du routeur ? Car si c'est le préfixe, ça reste à 7200/3600 dans les 2 cas.

basilix · « **Réponse #8 le:** 11 mars 2025 à 05:09:41 »

@renaud07 :

Ces « annonces de routeur » (RA) sont purement rejetées car leur champ (Hop Limit) « Limite de saut » n'est pas égal à 255.

Citer

A node MUST silently discard any received Router Advertisement messages that do not satisfy all of the following validity checks:

- The IP Hop Limit field has a value of 255, i.e., the packet could not possibly have been forwarded by a router.

Source : https://www.rfc-editor.org/rfc/rfc4861.html#section-6.1.2

basilix · « **Réponse #9 le:** 11 mars 2025 à 08:52:30 »

Il me semble qu'on ne peut pas « définir » zéro comme durée de validité d'un préfixe (qui apparaît dans l'option d'information de préfixe).

Citer

e) If the advertised prefix is equal to the prefix of an address configured by stateless autoconfiguration in the list, the preferred lifetime of
the address is reset to the Preferred Lifetime in the received advertisement.

The specific action to perform for the valid lifetime of the address depends on the Valid Lifetime in the received advertisement and the
remaining time to the valid lifetime expiration of the previously autoconfigured address. We call the remaining time "RemainingLifetime"
in the following discussion:

1. If the received Valid Lifetime is greater than 2 hours or greater than RemainingLifetime, set the valid lifetime of the corresponding
address to the advertised Valid Lifetime.

2. If RemainingLifetime is less than or equal to 2 hours, ignore the Prefix Information option with regards to the valid lifetime, unless
the Router Advertisement from which this option was obtained has been authenticated (e.g., via Secure Neighbor Discovery [RFC3971]).
If the Router Advertisement was authenticated, the valid lifetime of the corresponding address should be set to the Valid Lifetime in
the received option.

3. Otherwise, reset the valid lifetime of the corresponding address to 2 hours.

The above rules address a specific denial-of-service attack in which a bogus advertisement could contain prefixes with very small
Valid Lifetimes. Without the above rules, a single unauthenticated advertisement containing bogus Prefix Information options with
short Valid Lifetimes could cause all of a node’s addresses to expire prematurely. The above rules ensure that legitimate advertisements
(which are sent periodically) will "cancel" the short Valid Lifetimes before they actually take effect.

Note that the preferred lifetime of the corresponding address is always reset to the Preferred Lifetime in the received Prefix Information
option, regardless of whether the valid lifetime is also reset or ignored. The difference comes from the fact that the possible attack for
the preferred lifetime is relatively minor. Additionally, it is even undesirable to ignore the preferred lifetime when a valid administrator
wants to deprecate a particular address by sending a short preferred lifetime (and the valid lifetime is ignored by accident).

Source : https://www.rfc-editor.org/rfc/rfc4862#section-5.5.3

simon · « **Réponse #10 le:** 11 mars 2025 à 10:07:37 »

Citation de: renaud07 le 09 mars 2025 à 20:39:39

Ayant un soucis de ligne ADSL, mon routeur 4G a pris le relais. Il y a eu nombreuses coupures à un moment donné avec changement de préfixe, un de mes systèmes a eu 16 IPv6 en même temps et une fois la limite atteinte, il ne prend plus de nouvelles adresses même si un nouveau RA se présente.

Je voudrais donc simplement que toutes les adresses deprecated soient supprimées immédiatement sans attendre le valid lifetime. Mais je n'arrive pas à trouver si une commande ou une conf existe ou s'il faut faire un script maison.

La solution ne serait-elle pas simplement de réduire le valid lifetime? Tu peux commencer par definir preferred lifetime à la meme valeur que valid lifetime, puis réduire progressivement?

Sinon, il y a la solution de faire de la translation de préfixe si ta connexion de backup (mobile) change de préfixe constament: utilises le préfixe délégué à la livebox (qui coupe, mais qui est stable) et NAT vers le préfixe actuellement alloué au routeur 4G.

Citation de: Hugues le 10 mars 2025 à 19:21:14

Non, le souci c'est pas IPv6, c'est l'opérateur teubé qui change le préfixe à chaque coupure.

+1. Sur l'archi fixe, aucune excuse.
Sur le mobile, étant donné l'archi 3GPP et l'intérêt de réattacher un mobile à un PGW plus proche lorsque le mobile se déplace, c'est plus difficile.

levieuxatorange · « **Réponse #11 le:** 11 mars 2025 à 10:26:42 »

Citation de: Hugues le 10 mars 2025 à 19:21:14

Non, le souci c'est pas IPv6, c'est l'opérateur teubé qui change le préfixe à chaque coupure.

Bonjour

Je ne me permettrai pas de faire un jugement de valeur d'un collègue sur une infra réseau (que je ne connais pas) qui a fait des choix différents des miens pour des contraintes différentes des miennes.

Grâce à l'ARCEP il y a ici un magnifique tableau de comparaison des caractéristiques des différents opérateurs sur les IPv4 et préfix
https://www.arcep.fr/cartes-et-donnees/nos-publications-chiffrees/transition-ipv6/barometre-annuel-de-la-transition-vers-ipv6-en-france.html

Chacun choisi ce qu'il préfère, Orange est bien transparent sur ses choix. Et c'est cela le point important. Après, chacun est libre de ses choix et priorise ce qu'il veut dans les caractéristiques des différents opérateurs.

Je sais (étant vieux) que répondre quoi que ce soit c'est "nourrir le Troll" mais tant pis, là je fais. Cela sera mon dernier message sur ce point.

LeVieux