Bonjour,

J'essaye de mettre en place un tunnel 6to4 d'Hurricane Electric / tunnelbroker sur mon poste Debian. Ma connexion est gérée par une SFR box 8 (qui chez moi ne fournit pas de connexion IPv6).

J'applique donc la config préconisée par HE :
/etc/network/interfaces.d/ipv6 :
auto he-ipv6
iface he-ipv6 inet6 v4tunnel
        address 2001:XXX:YYY:10c::2
        netmask 64
        endpoint 216.66.TTT.SSS
        local 192.168.1.201
        ttl 255
        gateway 2001:XXX:YYY:10c::1

Utilisant DHCP sur mon réseau local, j'utilise l'adresse privée locale de mon poste pour "local". J'ai testé en mettant l'adresse IP publique de ma box, pour des résultats exactement identiques.

Les routes semblent ok :
# ip -6 route
::1 dev lo proto kernel metric 256 pref medium
2001:XXX:YYY:10c::1 dev he-ipv6 metric 1024 pref medium
2001:XXX:YYY:10c::/64 dev he-ipv6 proto kernel metric 256 pref medium
fe80::/64 dev enp3s0 proto kernel metric 100 pref medium
fe80::/64 dev he-ipv6 proto kernel metric 256 pref medium
default via 2001:XXX:YYY:10c::1 dev he-ipv6 metric 1024 onlink pref medium

# ip tunnel show
sit0: ipv6/ip remote any local any ttl 64 nopmtudisc 6rd-prefix 2002::/16
he-ipv6: ipv6/ip remote 216.66.TTT.SSS local 192.168.1.201 ttl 255 6rd-prefix 2002::/16

L'adresse IPv6 locale est bien up :
# ping6 -c1 2001:XXX:YYY:10c::2
PING 2001:XXX:YYY:10c::2(2001:XXX:YYY:10c::2) 56 data bytes
64 bytes from 2001:XXX:YYY:10c::2: icmp_seq=1 ttl=64 time=0.031 ms
Mais impossible de contacter l'adresse à l'autre bout du tunnel :
# ping6 -c1 2001:470:1f12:10c::1
PING 2001:XXX:YYY:10c::1(2001:XXX:YYY:10c::1) 56 data bytes

--- 2001:XXX:YYY:10c::1 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms
Pourtant l'IPv4 de sortie de tunnel est bien up et joignable :
# ping -c1 216.66.TTT.SSS
PING 216.66.TTT.SSS (216.66.TTT.SSS) 56(84) bytes of data.
64 bytes from 216.66.TTT.SSS: icmp_seq=1 ttl=53 time=15.9 ms
Sur l'interface de ma box, je ne vois rien qui se réfère au protocole 41. J'ai désactivé les firewall IPv4 comme IPv6, sans résultat.

J'avoue que je ne sais pas trop où chercher. Quelqu'un a déjà pu utiliser un tunnel 6to4 sur la SFR Box 8 ?

Calaad.

Sur l'interface de ma box, je ne vois rien qui se réfère au protocole 41. J'ai désactivé les firewall IPv4 comme IPv6, sans résultat.

Tu as essayé en mettant ton ordi dans la DMZ, et en laissant le firewall IPv4 activé ?

J'avoue que je ne sais pas trop où chercher. Quelqu'un a déjà pu utiliser un tunnel 6to4 sur la SFR Box 8 ?

Après, il est possible que ton opérateur (ou ta box) filtre le protocole 41.

Pour info, Hurricane Electric utilise 6in4, et non 6to4  (même si 6to4 est un cas spécifique de 6in4).

Si c'est le cas, il faudra utiliser un autre fournisseur de tunnel, qui ne sera pas forcément gratuit. Milkywan par exemple ? (@Hugues)

Oui on peut faire en L2TP par exemple, ou en wireguard, ça passe bien le NAT

Bonjour,

Alors c'est bizarre parfois le ping passe au -début et plus après.

Eric

Salut,

Si tu ping la gateway ipv6 côté HE, tu remarques le même phénomène ?

Bonjour,

Effectivement, après quelques essais, le protocole 41 est filtré en sortie par SFR.
Quand j'envoi des paquets IP protocole 41 ver une autre machine sur internet, la machine ne reçoit rien, une analyse des paquet entre la box et le terminal optique montre que les paquets traverse parfaitement la box mais rien n'est reçu par l'autre machine...
Même essais depuis un autre opérateur, dans ce cas les paquets protocole 41 arrive bien.

Curieusement, les paquets du protocole 41 qui sont envoyé ver une connexion SFR depuis un autre opérateur arrivent... c'est donc un filtrage en sortie effectué par les équipements SFR.

C'est pas le seul protocole filtré par SFR ! vive la neutralité d'internet chez SFR.