Auteur Sujet: Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN  (Lu 4302 fois)

0 Membres et 1 Invité sur ce sujet

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« le: 18 décembre 2020 à 22:04:34 »
Bonsoir,
ByTel ne m'ayant pas encore fourni un préfixe IPv6, je me résous à utiliser un tunnel HE. La configuration est simple et tout va bien pour Openwrt:
config interface 'wan6'
option proto '6in4'
option tunlink 'wan'
option mtu '1480'
option peeraddr '216.66.84.42'
option ip6addr '2001:470:1f12:4bc::1/64'
option ip6prefix '2001:470:c977::/48'
option tunnelid '611025'
option username 'derp'
option updatekey '12des41fdze4f5'
Le tunnel est stable.

Ensuite je configure odhcpd:
config odhcpd 'odhcpd'
option maindhcp '0'
option leasefile '/tmp/hosts/odhcpd'
option leasetrigger '/usr/sbin/odhcpd-update'
option loglevel '4'
en laissant les autres options par défaut.

et ça devrait fonctionner... mais pas pour tous les clients.
Pour résumer:
  • OK: Windows, Ubuntu, Debian, Fedora
  • KO après quelques minutes: Alpine Linux, Android TV, Network Manager (qui ignore même les RA pour repasser sur du DHCPv6...)

Exemple d'un client Debian fonctionnel (http(s), ping, etc.) sans NM:
ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fde2:acdc:8af2:0:10a4:a8ff:feb7:577/64 scope global dynamic mngtmpaddr
       valid_lft forever preferred_lft forever
    inet6 2001:470:c977:0:10a4:a8ff:feb7:577/64 scope global dynamic mngtmpaddr
       valid_lft forever preferred_lft forever
    inet6 fe80::10a4:a8ff:feb7:577/64 scope link
       valid_lft forever preferred_lft forever

ip -6 r
::1 dev lo proto kernel metric 256 pref medium
2001:470:c977::/64 dev eth0 proto kernel metric 256 pref medium
fde2:acdc:8af2::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via fe80::5401:adff:fe4e:a759 dev eth0 proto ra metric 1024 expires 1679sec hoplimit 64 pref medium

Exemple d'un client Alpine Linux KO après quelques minutes:
ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0@if35: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 state UP qlen 1000
    inet6 fde2:acdc:8af2:0:1808:29ff:fedd:7edb/64 scope global dynamic
       valid_lft forever preferred_lft forever
    inet6 2001:470:c977:0:1808:29ff:fedd:7edb/64 scope global dynamic
       valid_lft forever preferred_lft forever
    inet6 fe80::1808:29ff:fedd:7edb/64 scope link
       valid_lft forever preferred_lft forever

ip -6 r
2001:470:c977::/64 dev eth0  metric 256
fde2:acdc:8af2::/64 dev eth0  metric 256
fe80::/64 dev eth0  metric 256
default via fe80::5401:adff:fe4e:a759 dev eth0  metric 1024  expires 0sec
ff00::/8 dev eth0  metric 256

Veuillez noter que si je lance un ping -6 dans une session screen, la connectivité ne saute pas.
Le fait d'avoir plusieurs comportements différents me rend perplexe.
Je soupçonne éventuellement un problème avec une variable sysctl, mais laquelle ? Les options d'adressage temporaire sont désactivées partout.

J'ai fait des captures réseau, tout le monde reçoit les RA de la part du routeur.
Avec ou sans l'ULA fournie par OpenWRT, je n'ai pas constaté de différence notable.
L'interface LAN est bridgée du côté OpenWRT.
« Modifié: 19 décembre 2020 à 22:15:36 par mirtouf »

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #1 le: 19 décembre 2020 à 04:27:28 »
Quel est le type de tes interfaces comme eth0@if35 ?
Le M-DOWN correspond à la négation d'un IFF_UP, mais je ne sais pas sur quoi.

Le client Debian qui fonctionne traite les probablement les RA dans le kernel.

NetworkManager, du moins dans certaines versions, désactive le sysctl "accept_ra", cf https://gitlab.freedesktop.org/NetworkManager/NetworkManager/-/commit/c937d6be7ad6a12006563574e69be5d2204b3956.
Il traite les RA lui-même, soit quelque chose (firewall ?) fait qu'il ne les reçoit pas, soit il a effectivement décidé de privilégier le DHCPv6, ou il est dans un état bizarre.
Tu peux faire par exemple :
Citer
nmcli general logging level TRACE domains "DHCP6 IP6 CONCHECK PLATFORM DEVICE"
Et regarder dans syslog, il devrait tracer les RA reçus, les durées de vie, etc...

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #2 le: 19 décembre 2020 à 11:49:58 »
C'est une interface réseau d'un container sur un bridge qui inclut aussi OpenWRT (l'interface br-lan).
M-DOWN semble lié à busybox, difficile d'en savoir plus.
Pour sûr, il n'est pas présent quand la connectivité ipv6 fonctionne.

NM traite bien les RA côté userspace, j'ai pu constater que les variables sysctl sont remises à leur valeur par défaut à chaque démarrage de l'interface réseau.
Le firewall des clients NM est down tant que je ne comprends pas les échecs liés aux RA.
Effectivement ça ne va pas:
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0199] device[fae64316c7388528] (enp0s31f6): connectivity: [IPv6] periodic-check: re-scheduled in 299899 milliseconds (300 seconds interval)
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0201] device[fae64316c7388528] (enp0s31f6): connectivity: [IPv6] start check (seq:202, periodic-check)
déc. 19 11:46:57 X270 NetworkManager[528]: <debug> [1608374817.0201] connectivity: (enp0s31f6,IPv6,202) start request to 'http://www.archlinux.org/check_network_status.txt' (systemd-resolved not available)
déc. 19 11:46:57 X270 NetworkManager[528]: <debug> [1608374817.0261] connectivity: (enp0s31f6,IPv6,202) check completed: LIMITED; check failed: (7) Couldn't connect to server
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0263] device[fae64316c7388528] (enp0s31f6): connectivity: [Ipv6] complete check (seq:202, state:LIMITED)
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0264] device[fae64316c7388528] (enp0s31f6): connectivity: [IPv6] periodic-check: re-scheduled in 299893 milliseconds (300 seconds interval)

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #3 le: 19 décembre 2020 à 11:51:53 »
Côté alpine linux, la route a un peu changé avec iproute2 installé:
ip -6 r
2001:470:c977::/64 dev eth0 proto kernel metric 256 pref medium
fde2:acdc:8af2::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via fe80::5401:adff:fe4e:a759 dev eth0 proto ra metric 1024 expires 1601sec mtu 1480 hoplimit 64 pref medium

mais ça saute quand même:
ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0@if35: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fde2:acdc:8af2:0:1808:29ff:fedd:7edb/64 scope global dynamic mngtmpaddr
       valid_lft forever preferred_lft forever
    inet6 2001:470:c977:0:1808:29ff:fedd:7edb/64 scope global dynamic mngtmpaddr
       valid_lft forever preferred_lft forever
    inet6 fe80::1808:29ff:fedd:7edb/64 scope link
       valid_lft forever preferred_lft forever

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #4 le: 19 décembre 2020 à 12:48:09 »
Effectivement ça ne va pas:
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0199] device[fae64316c7388528] (enp0s31f6): connectivity: [IPv6] periodic-check: re-scheduled in 299899 milliseconds (300 seconds interval)
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0201] device[fae64316c7388528] (enp0s31f6): connectivity: [IPv6] start check (seq:202, periodic-check)
déc. 19 11:46:57 X270 NetworkManager[528]: <debug> [1608374817.0201] connectivity: (enp0s31f6,IPv6,202) start request to 'http://www.archlinux.org/check_network_status.txt' (systemd-resolved not available)
déc. 19 11:46:57 X270 NetworkManager[528]: <debug> [1608374817.0261] connectivity: (enp0s31f6,IPv6,202) check completed: LIMITED; check failed: (7) Couldn't connect to server
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0263] device[fae64316c7388528] (enp0s31f6): connectivity: [Ipv6] complete check (seq:202, state:LIMITED)
déc. 19 11:46:57 X270 NetworkManager[528]: <trace> [1608374817.0264] device[fae64316c7388528] (enp0s31f6): connectivity: [IPv6] periodic-check: re-scheduled in 299893 milliseconds (300 seconds interval)
curl n'a pas pu se connecter à www.archlinux.org, mais je ne sais pas si c'est la cause ou juste une conséquence.
Est-ce que NM trace bien les RA ?

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #5 le: 19 décembre 2020 à 12:54:41 »
Je vais laisser de côté NM pour le moment, cela ajoute une couche supplémentaire au problème.
Il faut déjà que je comprenne pourquoi certains containers perdent la connectivité ipv6.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #6 le: 19 décembre 2020 à 13:18:34 »
Comment les conteneurs gèrent-ils le réseau ?
Si c'est juste avec le accept_ra, ça suggère qu'ils ne reçoivent plus les RA, peut-être qu'il y a un soucis du côté du bridge.
Tu n'as pas dit comment tu te connectais au conteneur, ni si l'IPv4 fonctionnait toujours.
Est-ce que l'adresse MAC n'est pas simplement enlevée de la liste après un certain temps (ageing time à 300s) ?

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #7 le: 19 décembre 2020 à 13:47:22 »
Non, les RA sont reçus. En installant iproute2, je vois que le compteur d'expiration ne tombe pas à 0, j'ai aussi des captures réseau:
tcpdump -nvvi eth0 icmp6
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:29:11.002345 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1808:29ff:fedd:7edb
  source link-address option (1), length 8 (1): 56:01:ad:4e:a7:59
    0x0000:  5601 ad4e a759
13:29:11.002379 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::1808:29ff:fedd:7edb, Flags [solicited]
13:31:16.331167 IP6 (flowlabel 0xbb865, hlim 255, next-header ICMPv6 (58) payload length: 128) fe80::5401:adff:fe4e:a759 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 128
hop limit 64, Flags [managed, other stateful], pref medium, router lifetime 1800s, reachable time 0ms, retrans timer 0ms
  source link-address option (1), length 8 (1): 56:01:ad:4e:a7:59
    0x0000:  5601 ad4e a759
  mtu option (5), length 8 (1):  1480
    0x0000:  0000 0000 05c8
  prefix info option (3), length 32 (4): 2001:470:c977::/64, Flags [onlink, auto], valid time infinity, pref. time infinity
    0x0000:  40c0 ffff ffff ffff ffff 0000 0000 2001
    0x0010:  0470 c977 0000 0000 0000 0000 0000
  prefix info option (3), length 32 (4): fde2:acdc:8af2::/64, Flags [onlink, auto], valid time infinity, pref. time infinity
    0x0000:  40c0 ffff ffff ffff ffff 0000 0000 fde2
    0x0010:  acdc 8af2 0000 0000 0000 0000 0000
  rdnss option (25), length 24 (3):  lifetime 1800s, addr: fde2:acdc:8af2::1
    0x0000:  0000 0000 0708 fde2 acdc 8af2 0000 0000
    0x0010:  0000 0000 0001
  advertisement interval option (7), length 8 (1):  600ms
    0x0000:  0000 0000 0258
13:31:16.331832 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2001:470:c977:0:e5a8:7072:8d05:eceb, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:31:16.331972 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fde2:acdc:8af2:0:8203:6031:f84d:83f6, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:31:17.332269 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2001:470:c977:0:e5a8:7072:8d05:eceb, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:31:17.332705 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fde2:acdc:8af2:0:8203:6031:f84d:83f6, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:31:18.333927 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2001:470:c977:0:e5a8:7072:8d05:eceb, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:31:18.334053 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fde2:acdc:8af2:0:8203:6031:f84d:83f6, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:34:35.079510 IP6 (flowlabel 0x3630b, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:815::2003: [icmp6 sum ok] ICMP6, echo request, seq 0
13:34:36.079679 IP6 (flowlabel 0x3630b, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:815::2003: [icmp6 sum ok] ICMP6, echo request, seq 1
13:34:37.079820 IP6 (flowlabel 0x3630b, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:815::2003: [icmp6 sum ok] ICMP6, echo request, seq 2
13:34:40.320745 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::5401:adff:fe4e:a759
  source link-address option (1), length 8 (1): 1a:08:29:dd:7e:db
    0x0000:  1a08 29dd 7edb
13:34:40.320953 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::5401:adff:fe4e:a759, Flags [router, solicited]
13:34:45.322216 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1808:29ff:fedd:7edb
  source link-address option (1), length 8 (1): 56:01:ad:4e:a7:59
    0x0000:  5601 ad4e a759
13:34:45.322243 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::1808:29ff:fedd:7edb, Flags [solicited]
13:37:12.101155 IP6 (flowlabel 0x5d079, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:809::2003: [icmp6 sum ok] ICMP6, echo request, seq 0
13:37:13.101349 IP6 (flowlabel 0x5d079, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:809::2003: [icmp6 sum ok] ICMP6, echo request, seq 1
13:37:14.101473 IP6 (flowlabel 0x5d079, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:809::2003: [icmp6 sum ok] ICMP6, echo request, seq 2
13:37:17.248729 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::5401:adff:fe4e:a759
  source link-address option (1), length 8 (1): 1a:08:29:dd:7e:db
    0x0000:  1a08 29dd 7edb
13:37:17.248891 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::5401:adff:fe4e:a759, Flags [router, solicited]
13:37:22.282067 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1808:29ff:fedd:7edb
  source link-address option (1), length 8 (1): 56:01:ad:4e:a7:59
    0x0000:  5601 ad4e a759
13:37:22.282097 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::1808:29ff:fedd:7edb, Flags [solicited]
13:37:26.791035 IP6 (flowlabel 0x1370a, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, echo request, seq 0
13:37:26.791188 IP6 (flowlabel 0xa8f5b, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, echo reply, seq 0
13:37:27.791118 IP6 (flowlabel 0x1370a, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, echo request, seq 1
13:37:27.791274 IP6 (flowlabel 0xa8f5b, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, echo reply, seq 1
13:37:28.791204 IP6 (flowlabel 0x1370a, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, echo request, seq 2
13:37:28.791380 IP6 (flowlabel 0xa8f5b, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, echo reply, seq 2
13:37:29.791290 IP6 (flowlabel 0x1370a, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::1808:29ff:fedd:7edb > fe80::5401:adff:fe4e:a759: [icmp6 sum ok] ICMP6, echo request, seq 3
13:37:29.791431 IP6 (flowlabel 0xa8f5b, hlim 64, next-header ICMPv6 (58) payload length: 64) fe80::5401:adff:fe4e:a759 > fe80::1808:29ff:fedd:7edb: [icmp6 sum ok] ICMP6, echo reply, seq 3
13:37:37.610661 IP6 (flowlabel 0x81f82, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:80a::2003: [icmp6 sum ok] ICMP6, echo request, seq 0
13:37:38.610831 IP6 (flowlabel 0x81f82, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:80a::2003: [icmp6 sum ok] ICMP6, echo request, seq 1
13:37:39.610926 IP6 (flowlabel 0x81f82, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:80a::2003: [icmp6 sum ok] ICMP6, echo request, seq 2
13:37:40.611013 IP6 (flowlabel 0x81f82, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:80a::2003: [icmp6 sum ok] ICMP6, echo request, seq 3
13:37:41.611124 IP6 (flowlabel 0x81f82, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:80a::2003: [icmp6 sum ok] ICMP6, echo request, seq 4
13:37:42.611220 IP6 (flowlabel 0x81f82, hlim 64, next-header ICMPv6 (58) payload length: 64) 2001:470:c977:0:1808:29ff:fedd:7edb > 2a00:1450:4007:80a::2003: [icmp6 sum ok] ICMP6, echo request, seq 5
13:39:13.863416 IP6 (flowlabel 0xbb865, hlim 255, next-header ICMPv6 (58) payload length: 128) fe80::5401:adff:fe4e:a759 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 128
hop limit 64, Flags [managed, other stateful], pref medium, router lifetime 1800s, reachable time 0ms, retrans timer 0ms
  source link-address option (1), length 8 (1): 56:01:ad:4e:a7:59
    0x0000:  5601 ad4e a759
  mtu option (5), length 8 (1):  1480
    0x0000:  0000 0000 05c8
  prefix info option (3), length 32 (4): 2001:470:c977::/64, Flags [onlink, auto], valid time infinity, pref. time infinity
    0x0000:  40c0 ffff ffff ffff ffff 0000 0000 2001
    0x0010:  0470 c977 0000 0000 0000 0000 0000
  prefix info option (3), length 32 (4): fde2:acdc:8af2::/64, Flags [onlink, auto], valid time infinity, pref. time infinity
    0x0000:  40c0 ffff ffff ffff ffff 0000 0000 fde2
    0x0010:  acdc 8af2 0000 0000 0000 0000 0000
  rdnss option (25), length 24 (3):  lifetime 1800s, addr: fde2:acdc:8af2::1
    0x0000:  0000 0000 0708 fde2 acdc 8af2 0000 0000
    0x0010:  0000 0000 0001
  advertisement interval option (7), length 8 (1):  600ms
    0x0000:  0000 0000 0258
13:39:13.864019 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2001:470:c977:0:e5a8:7072:8d05:eceb, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247
13:39:13.864254 IP6 (flowlabel 0xab072, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::bc69:42c4:9434:870e > ff02::1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fde2:acdc:8af2:0:8203:6031:f84d:83f6, Flags [override]
  destination link-address option (2), length 8 (1): b2:98:84:8b:82:47
    0x0000:  b298 848b 8247

Le routeur reste pingable:
ping fe80::5401:adff:fe4e:a759 -I eth0
PING fe80::5401:adff:fe4e:a759 (fe80::5401:adff:fe4e:a759): 56 data bytes
64 bytes from fe80::5401:adff:fe4e:a759: seq=0 ttl=64 time=0.233 ms
64 bytes from fe80::5401:adff:fe4e:a759: seq=1 ttl=64 time=0.190 ms
64 bytes from fe80::5401:adff:fe4e:a759: seq=2 ttl=64 time=0.218 ms
64 bytes from fe80::5401:adff:fe4e:a759: seq=3 ttl=64 time=0.211 ms

C'est du proxmox, on a un bridge pour tous les containers.
En IPv4, tout fonctionne, cela reste stable.

Je me pose la question en effet de savoir si je n'aurais pas pris en compte d'autres mécanismes.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #8 le: 19 décembre 2020 à 15:03:35 »
     advertisement interval option (7), length 8 (1):  600ms
       0x0000:  0000 0000 0258
Il déclare envoyer des RA toutes les 600ms  :o, mais je vois 8 minutes d'écart (plus cohérent avec l'intervalle par défaut de 600s).
Je ne sais pas qui pourrait utiliser ça, l'option fait partie de https://tools.ietf.org/html/rfc6275 (Mobility Support in IPv6), et le kernel ne semble pas la traiter.

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #9 le: 19 décembre 2020 à 22:14:59 »
J'ai fait un diagramme Q&D pour y voir peut-être plus clair.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #10 le: 19 décembre 2020 à 22:34:04 »
Il déclare envoyer des RA toutes les 600ms  :o, mais je vois 8 minutes d'écart (plus cohérent avec l'intervalle par défaut de 600s).
Je ne sais pas qui pourrait utiliser ça, l'option fait partie de https://tools.ietf.org/html/rfc6275 (Mobility Support in IPv6), et le kernel ne semble pas la traiter.
C'est corrigé sur le master : https://github.com/openwrt/odhcpd/commit/2677fa10dc2eb455e9135ab40022ae586c651c0f

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Tunnel IPv6 HE + Openwrt + SLAAC = panique sur le LAN
« Réponse #11 le: 19 décembre 2020 à 22:41:51 »
Cela pourrait être la source des mes maux ?