Auteur Sujet: utiliser IPv6 avec HE.net pour avoir netflix US sans VPN ? (ERL inside) (Lu 12278 fois)

tivoli · « **le:** 18 janvier 2015 à 09:47:44 »

A la recherche d'une raison pour me mettre a IPv6 je me demandais si je ne pouvais pas utiliser un tunnel gratuit he.net pour acceder a netflix US.

Pour he.net c'est assez simple d'avoir le tunnel mis en place avec un ERL ils fournissent meme la ligne de commande pour le faire, mais c'est la ou je me rends compte de ma meconnaissance de IPv6,

- comment distribuer les IPv6 sur mon reseau ? DHCP6 ? slaac ? autre ...
- comment proteger mon reseau de l'exterieur ? est il ouvert ? mes IPv6 sont elles accessibles depuis internet
- comment regarder netflix sur ma TV ? (appleTV en IPv6 ? client de la TV en IPv6 etc ...)

lien utiles :
http://michael.stapelberg.de/Artikel/fiber7_ubnt_erlite/
https://community.ubnt.com/t5/EdgeMAX/ERL-has-ipv6-connectivity-but-desktops-behind-it-don-t-HE-net/td-p/963725
https://community.ubnt.com/t5/EdgeMAX/IPv6-with-DHCP-PD-on-1-6/m-p/1137012#U1137012
http://community.ubnt.com/t5/EdgeMAX-CLI-Basics-Knowledge/EdgeMAX-Create-an-IPv6-Firewall-Rule/ta-p/570171

tivoli · « **Réponse #1 le:** 18 janvier 2015 à 12:19:58 »

Je commence a me repondre:
- le slaac semble le plus simple et compatible avec le plus de devices (j'ai lu qu'android n'etait pas compatible DHCPV6)
- Pour me proteger dans un premier temps je voudrais avoir la config suivante
Eth0 : Lan IPv4
Eth1 : Wan (ONT SFR)
Eth2 : Lan IPv4

corrector · « **Réponse #2 le:** 18 janvier 2015 à 15:29:08 »

Pour se protéger... ne pas démarrer de serveur si on ne veut pas rendre le service.

tivoli · « **Réponse #3 le:** 18 janvier 2015 à 15:46:59 »

J'utilise des serveurs, meme si ce serait ideal de ne pas le faire pour me proteger, je prefere si possible dedier une interface du routeur et faire un reseau specifique IPv6, jouer avec le firewall etc...

buddy · « **Réponse #4 le:** 18 janvier 2015 à 16:01:08 »

Pour protéger les serveurs par defaut joue avec ip6tables ( pour les ip v6) et n'ouvre que ce dont tu as besoin.
ex :
### Configuration pour IPv6
# ipv6 on bloque tout par défaut
/sbin/ip6tables -t filter -P INPUT DROP
/sbin/ip6tables -t filter -P FORWARD DROP
/sbin/ip6tables -t filter -P OUTPUT DROP

# Autorise les connexions deja etablies et localhost
/sbin/ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -t filter -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -t filter -A OUTPUT -o lo -j ACCEPT

# ping ipv6
/sbin/ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
/sbin/ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT

# port 80 en sortie IPv6 ( apt entre autre )
/sbin/ip6tables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --destination-port 80 -j ACCEPT #en entrée aussi si c'est un serveur web

# NTP ipv6 (horloge du serveur) sortie uniquement
/sbin/ip6tables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# DNS en sortie IPv6
/sbin/ip6tables -A OUTPUT -p tcp --dport domain -j ACCEPT
/sbin/ip6tables -A OUTPUT -p udp --dport domain -j ACCEPT

Et ainsi de suite..

Ça te protège et tu peux mettre 1 ipv6 par serveur. (Le firewall est à mettre sur le serveur)

corrector · « **Réponse #5 le:** 18 janvier 2015 à 16:32:47 »

Citation de: tivoli le 18 janvier 2015 à 15:46:59

J'utilise des serveurs, meme si ce serait ideal de ne pas le faire pour me proteger, je prefere si possible dedier une interface du routeur et faire un reseau specifique IPv6, jouer avec le firewall etc...

Quels serveurs?

Tu utilises quels protocoles?

tivoli · « **Réponse #6 le:** 18 janvier 2015 à 16:51:13 »

Citation de: buddy le 18 janvier 2015 à 16:01:08

Pour protéger les serveurs par defaut joue avec ip6tables ( pour les ip v6) et n'ouvre que ce dont tu as besoin.
ex :
### Configuration pour IPv6
# ipv6 on bloque tout par défaut
/sbin/ip6tables -t filter -P INPUT DROP
/sbin/ip6tables -t filter -P FORWARD DROP
/sbin/ip6tables -t filter -P OUTPUT DROP

# Autorise les connexions deja etablies et localhost
/sbin/ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -t filter -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -t filter -A OUTPUT -o lo -j ACCEPT

# ping ipv6
/sbin/ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
/sbin/ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT

# port 80 en sortie IPv6 ( apt entre autre )
/sbin/ip6tables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --destination-port 80 -j ACCEPT #en entrée aussi si c'est un serveur web

# NTP ipv6 (horloge du serveur) sortie uniquement
/sbin/ip6tables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# DNS en sortie IPv6
/sbin/ip6tables -A OUTPUT -p tcp --dport domain -j ACCEPT
/sbin/ip6tables -A OUTPUT -p udp --dport domain -j ACCEPT

Et ainsi de suite..

Ça te protège et tu peux mettre 1 ipv6 par serveur. (Le firewall est à mettre sur le serveur)

Merci c'est ce que je veux faire mais aussi limiter l'ipv6 sur un port lan du routeur (ERL)

tivoli · « **Réponse #7 le:** 18 janvier 2015 à 16:52:19 »

Citation de: corrector le 18 janvier 2015 à 16:32:47

Quels serveurs?

Tu utilises quels protocoles?

du web, du rdp, du ssh,du vmware rien que du classique

kgersen · « **Réponse #8 le:** 18 janvier 2015 à 17:37:32 »

Citation de: tivoli le 18 janvier 2015 à 09:47:44

A la recherche d'une raison pour me mettre a IPv6 je me demandais si je ne pouvais pas utiliser un tunnel gratuit he.net pour acceder a netflix US.

Je pense qu'il faut vérifier ca avant tout autre considération...

Apres si cela marche, le plus simple est de n'activer IPv6 que sur les périfs ou tu utiliseras Netflix , ca sera plus simple niveau sécurité.

Au besoin, si c'est un ERL on peut configurer un statefull firewall IPv6 dessus.

kgersen · « **Réponse #9 le:** 18 janvier 2015 à 17:56:15 »

Je viens de tester rapidement avec un tunnel HE.net sur New-York et un poste sous Windows 7.

Sur netflix.com et Chrome, la page d’accueil et le catalogue sont bien US. Si je choisi un truc qui n'existe pas sur Netflix France et qu'on le lance ca mouline un peu puis ca met une erreur de pays...un 2eme essai affiche une erreur de 'too many redirections'.

Y'a problablement un résidu d'IPv4 utilisé quelque part ou alors une localisation par DNS. Il faudrait faire un test en utilisant des serveurs DNS aux US mais cela va affecter le fonctionnement d'IPv4 (latence).

tivoli · « **Réponse #10 le:** 18 janvier 2015 à 17:59:24 »

Apres ces commandes la, j'ai un tunnel qui fonctionne, je peux faire un ping6 www.google.com depuis l'erl

Code: [Sélectionner]

configure
edit interfaces tunnel tun0
set encapsulation sit
set local-ip mon_ip_publique_v4
set remote-ip 216.218.226.238
set address ipv6_fournie_par_HE/64
set description "HE.NET IPv6 Tunnel"
exit
set protocols static interface-route6 ::/0 next-hop-interface tun0

L'avantage d'IPv6 c'est qu'il n'y a plus besoin de NAT / masquerade donc maintenant comment configurer l'erl pour que seule eth1 obtienne des IPv6 (router advert)

tivoli · « **Réponse #11 le:** 18 janvier 2015 à 18:01:26 »

Citation de: kgersen le 18 janvier 2015 à 17:56:15

Je viens de tester rapidement avec un tunnel HE.net sur New-York et un poste sous Windows 7.

Sur netflix.com et Chrome, la page d’accueil et le catalogue sont bien US. Si je choisi un truc qui n'existe pas sur Netflix France et qu'on le lance ca mouline un peu puis ca met une erreur de pays...un 2eme essai affiche une erreur de 'too many redirections'.

Y'a problablement un résidu d'IPv4 utilisé quelque part ou alors une localisation par DNS. Il faudrait faire un test en utilisant des serveurs DNS aux US mais cela va affecter le fonctionnement d'IPv4 (latence).

Merci pour ce test

si je configure juste mon eth1 en IPv6 ca ne me gene pas de forcer le DNS dans la config (si c'est possible mais il me semble avoir vu ca quelque part)

Code: [Sélectionner]

set interfaces ethernet eth0 ipv6 router-advert radvd-options
  "RDNSS 2001:4860:4860::8888 {};"