La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: tivoli le 18 janvier 2015 à 09:47:44
-
A la recherche d'une raison pour me mettre a IPv6 je me demandais si je ne pouvais pas utiliser un tunnel gratuit he.net pour acceder a netflix US.
Pour he.net c'est assez simple d'avoir le tunnel mis en place avec un ERL ils fournissent meme la ligne de commande pour le faire, mais c'est la ou je me rends compte de ma meconnaissance de IPv6,
- comment distribuer les IPv6 sur mon reseau ? DHCP6 ? slaac ? autre ...
- comment proteger mon reseau de l'exterieur ? est il ouvert ? mes IPv6 sont elles accessibles depuis internet
- comment regarder netflix sur ma TV ? (appleTV en IPv6 ? client de la TV en IPv6 etc ...)
lien utiles :
http://michael.stapelberg.de/Artikel/fiber7_ubnt_erlite/ (http://michael.stapelberg.de/Artikel/fiber7_ubnt_erlite/)
https://community.ubnt.com/t5/EdgeMAX/ERL-has-ipv6-connectivity-but-desktops-behind-it-don-t-HE-net/td-p/963725 (https://community.ubnt.com/t5/EdgeMAX/ERL-has-ipv6-connectivity-but-desktops-behind-it-don-t-HE-net/td-p/963725)
https://community.ubnt.com/t5/EdgeMAX/IPv6-with-DHCP-PD-on-1-6/m-p/1137012#U1137012 (https://community.ubnt.com/t5/EdgeMAX/IPv6-with-DHCP-PD-on-1-6/m-p/1137012#U1137012)
http://community.ubnt.com/t5/EdgeMAX-CLI-Basics-Knowledge/EdgeMAX-Create-an-IPv6-Firewall-Rule/ta-p/570171 (http://community.ubnt.com/t5/EdgeMAX-CLI-Basics-Knowledge/EdgeMAX-Create-an-IPv6-Firewall-Rule/ta-p/570171)
-
Je commence a me repondre:
- le slaac semble le plus simple et compatible avec le plus de devices (j'ai lu qu'android n'etait pas compatible DHCPV6)
- Pour me proteger dans un premier temps je voudrais avoir la config suivante
Eth0 : Lan IPv4
Eth1 : Wan (ONT SFR)
Eth2 : Lan IPv4
-
Pour se protéger... ne pas démarrer de serveur si on ne veut pas rendre le service.
-
J'utilise des serveurs, meme si ce serait ideal de ne pas le faire pour me proteger, je prefere si possible dedier une interface du routeur et faire un reseau specifique IPv6, jouer avec le firewall etc...
-
Pour protéger les serveurs par defaut joue avec ip6tables ( pour les ip v6) et n'ouvre que ce dont tu as besoin.
ex :
### Configuration pour IPv6
# ipv6 on bloque tout par défaut
/sbin/ip6tables -t filter -P INPUT DROP
/sbin/ip6tables -t filter -P FORWARD DROP
/sbin/ip6tables -t filter -P OUTPUT DROP
# Autorise les connexions deja etablies et localhost
/sbin/ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -t filter -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
# ping ipv6
/sbin/ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
/sbin/ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT
# port 80 en sortie IPv6 ( apt entre autre )
/sbin/ip6tables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --destination-port 80 -j ACCEPT #en entrée aussi si c'est un serveur web
# NTP ipv6 (horloge du serveur) sortie uniquement
/sbin/ip6tables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
# DNS en sortie IPv6
/sbin/ip6tables -A OUTPUT -p tcp --dport domain -j ACCEPT
/sbin/ip6tables -A OUTPUT -p udp --dport domain -j ACCEPT
Et ainsi de suite..
Ça te protège et tu peux mettre 1 ipv6 par serveur. (Le firewall est à mettre sur le serveur)
-
J'utilise des serveurs, meme si ce serait ideal de ne pas le faire pour me proteger, je prefere si possible dedier une interface du routeur et faire un reseau specifique IPv6, jouer avec le firewall etc...
Quels serveurs?
Tu utilises quels protocoles?
-
Pour protéger les serveurs par defaut joue avec ip6tables ( pour les ip v6) et n'ouvre que ce dont tu as besoin.
ex :
### Configuration pour IPv6
# ipv6 on bloque tout par défaut
/sbin/ip6tables -t filter -P INPUT DROP
/sbin/ip6tables -t filter -P FORWARD DROP
/sbin/ip6tables -t filter -P OUTPUT DROP
# Autorise les connexions deja etablies et localhost
/sbin/ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -t filter -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
# ping ipv6
/sbin/ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
/sbin/ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT
# port 80 en sortie IPv6 ( apt entre autre )
/sbin/ip6tables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --destination-port 80 -j ACCEPT #en entrée aussi si c'est un serveur web
# NTP ipv6 (horloge du serveur) sortie uniquement
/sbin/ip6tables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
# DNS en sortie IPv6
/sbin/ip6tables -A OUTPUT -p tcp --dport domain -j ACCEPT
/sbin/ip6tables -A OUTPUT -p udp --dport domain -j ACCEPT
Et ainsi de suite..
Ça te protège et tu peux mettre 1 ipv6 par serveur. (Le firewall est à mettre sur le serveur)
Merci c'est ce que je veux faire mais aussi limiter l'ipv6 sur un port lan du routeur (ERL)
-
Quels serveurs?
Tu utilises quels protocoles?
du web, du rdp, du ssh,du vmware rien que du classique
-
A la recherche d'une raison pour me mettre a IPv6 je me demandais si je ne pouvais pas utiliser un tunnel gratuit he.net pour acceder a netflix US.
Je pense qu'il faut vérifier ca avant tout autre considération...
Apres si cela marche, le plus simple est de n'activer IPv6 que sur les périfs ou tu utiliseras Netflix , ca sera plus simple niveau sécurité.
Au besoin, si c'est un ERL on peut configurer un statefull firewall IPv6 dessus.
-
Je viens de tester rapidement avec un tunnel HE.net sur New-York et un poste sous Windows 7.
Sur netflix.com et Chrome, la page d’accueil et le catalogue sont bien US. Si je choisi un truc qui n'existe pas sur Netflix France et qu'on le lance ca mouline un peu puis ca met une erreur de pays...un 2eme essai affiche une erreur de 'too many redirections'.
Y'a problablement un résidu d'IPv4 utilisé quelque part ou alors une localisation par DNS. Il faudrait faire un test en utilisant des serveurs DNS aux US mais cela va affecter le fonctionnement d'IPv4 (latence).
-
Apres ces commandes la, j'ai un tunnel qui fonctionne, je peux faire un ping6 www.google.com depuis l'erl
configure
edit interfaces tunnel tun0
set encapsulation sit
set local-ip mon_ip_publique_v4
set remote-ip 216.218.226.238
set address ipv6_fournie_par_HE/64
set description "HE.NET IPv6 Tunnel"
exit
set protocols static interface-route6 ::/0 next-hop-interface tun0
L'avantage d'IPv6 c'est qu'il n'y a plus besoin de NAT / masquerade donc maintenant comment configurer l'erl pour que seule eth1 obtienne des IPv6 (router advert)
-
Je viens de tester rapidement avec un tunnel HE.net sur New-York et un poste sous Windows 7.
Sur netflix.com et Chrome, la page d’accueil et le catalogue sont bien US. Si je choisi un truc qui n'existe pas sur Netflix France et qu'on le lance ca mouline un peu puis ca met une erreur de pays...un 2eme essai affiche une erreur de 'too many redirections'.
Y'a problablement un résidu d'IPv4 utilisé quelque part ou alors une localisation par DNS. Il faudrait faire un test en utilisant des serveurs DNS aux US mais cela va affecter le fonctionnement d'IPv4 (latence).
Merci pour ce test
si je configure juste mon eth1 en IPv6 ca ne me gene pas de forcer le DNS dans la config (si c'est possible mais il me semble avoir vu ca quelque part)
set interfaces ethernet eth0 ipv6 router-advert radvd-options
"RDNSS 2001:4860:4860::8888 {};"
-
oui mais attention certains périfs ne supportent pas RDNSS.
pour activer RA:
set interfaces ethernet eth1 ipv6 router-advert prefix xx:xx:xx:xx::/64
set interfaces ethernet eth1 ipv6 router-advert send-advert true
xx:xx:xx:xx le prefix LAN fourni par HE.net
-
avec cette config seul eth1 accede au tunnel ?
-
seul eth1 èmettra des RA qui permettent a ceux qui les écoutent de se configurer une IPv6 public.
une machine sur un autre port pourra uniquement utiliser le tunnel si on la configure manuellement, le routeur ne l'en empechera pas.
-
ok merci c'est exactement ce que je cherche à faire
par contre je branche mon PC sur eth1 et voici la config IP :
Carte Ethernet ERL-mgmt :
Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::54bf:80e6:2c15:9243%30
Passerelle par défaut. . . . . . . . . :C'est donc une APIPA donc je n'ai pas obtenu l'ip souhaitee, je reboote l'ERL au cas ou
-
Pas mieux, au cas ou je me suis dit que j'allais betement assigner une IP fixe
ERL : 2001:470:a:44c::2 (ca marche elle peut ping6 www.google.com et elle meme)
PC : 2001:470:a:44c::3 (forcee manuellement) elle se ping -6 mais ne ping -6 pas 2001:470:a:44c::2 ni www.google.com, on ne peut pas faire plus simple comme config il me semble.
Pas de firewall sur le PC et au niveau de l'ERL pas de regles firewall IPv6
-
attention a pas confondre ,dans la page HE.Net sur leur site:
Client IPv6 Address 2001:470:XXXX:YYYY::2/64
et le
Routed /64: 2001:470:ZZZZ:WWWW:/64
(souvent XXXX et ZZZZ se suivent de 1 donc ca trompe).
"Client IPv6 Address" c'est l'@ IPv6 du tunnel de ton coté (tun0 donc).
le "Routed /64" est le réseau IPv6 que tu disposes pour ton LAN. Tu dois choisir un adresse dedans et la mettre a eth1 (2001:470:ZZZZ:WWWW:1/64 par exemple) et mettre ce meme réseau dans la "router-advert prefix".
(l'ERL a donc 2 ipv6, une pour le tunnel et une pour eth1)
-
merci de la clarification je vais tester
-
Détermination de l'itinéraire vers 2001:470:a:44c::3 avec un maximum de 30 sauts.
1 <1 ms <1 ms <1 ms 2a01:e35:XXXX:XXXX::1
2 31 ms 34 ms 31 ms 2a01:e00:17::5
3 31 ms * 31 ms 2a01:e00:1e::1
4 38 ms 37 ms 36 ms 2a01:e00:1b::e
5 107 ms 106 ms 105 ms newyork-6k-1-po1.intf.routers.proxad.net [2a01:e04:1:1::2]
6 113 ms 112 ms 112 ms washington-6k-1-po3.intf.routers.proxad.net [2a01:e08:2:1::2]
7 121 ms 110 ms 112 ms gigabitethernet3-13.core1.ash1.he.net [2001:470:0:e9::1]
8 128 ms 126 ms 126 ms 10ge1-6.core1.chi1.he.net [2001:470:0:1f0::2]
9 137 ms 144 ms 135 ms 100ge13-1.core1.msp1.he.net [2001:470:0:18e::2]
10 182 ms 179 ms 180 ms 100ge9-1.core1.sea1.he.net [2001:470:0:2a0::1]
11 183 ms 183 ms 182 ms tserv1.sea1.he.net [2001:470:0:9b::2]
12 * 327 ms 328 ms tivoli-1-pt.tunnel.tserv14.sea1.ipv6.he.net [2001:470:a:44c::2]
13 330 ms 329 ms 330 ms tserv1.sea1.he.net [2001:470:0:9b::2]
14 475 ms 474 ms * tivoli-1-pt.tunnel.tserv14.sea1.ipv6.he.net [2001:470:a:44c::2]
15 477 ms 476 ms 476 ms tserv1.sea1.he.net [2001:470:0:9b::2]
16 * 621 ms * tivoli-1-pt.tunnel.tserv14.sea1.ipv6.he.net [2001:470:a:44c::2]
17 622 ms 624 ms 623 ms tserv1.sea1.he.net [2001:470:0:9b::2]
18 * 768 ms * tivoli-1-pt.tunnel.tserv14.sea1.ipv6.he.net [2001:470:a:44c::2]
19 773 ms 778 ms 769 ms tserv1.sea1.he.net [2001:470:0:9b::2]
20 * * 915 ms tivoli-1-pt.tunnel.tserv14.sea1.ipv6.he.net [2001:470:a:44c::2]
21 917 ms 916 ms 916 ms tserv1.sea1.he.net [2001:470:0:9b::2]
22 * * * Délai d'attente de la demande dépassé.
23 1062 ms 1065 ms 1062 ms tserv1.sea1.he.net [2001:470:0:9b::2]
24 * * * Délai d'attente de la demande dépassé.
25 1212 ms 1213 ms 1213 ms tserv1.sea1.he.net [2001:470:0:9b::2]
26 * * * Délai d'attente de la demande dépassé.
27 1359 ms 1354 ms 1355 ms tserv1.sea1.he.net [2001:470:0:9b::2]
28 * * * Délai d'attente de la demande dépassé.
29 * 1504 ms 1502 ms tserv1.sea1.he.net [2001:470:0:9b::2]
30 * * * Délai d'attente de la demande dépassé.
Itinéraire déterminé.
-
MERCI A VOUS :-)
j'etais un boulet, mauvais cablage physique...
Donc ca fonctionne bien meme si pour l'instant j'ai configure le dns a la main dans windows
Resultat : je peux lire des videos netflix dispo uniquement aux US grace au tunnel
je vais essayer de pousser le DNS pour voir
-
Tu as corrigé le souci de routage?
-
Resultat : je peux lire des videos netflix dispo uniquement aux US grace au tunnel
bien ca. T'avais quel config DNS? Chez moi ca me jete quand je lance la lecture d'une video.
Pour en revenir a la sécurité il y a ce site: http://ipv6.chappell-family.com/ipv6tcptest/ qui permet de scanner les ports ouverts en IPv6. Ca ne marche que depuis un navigateur donc pas pour un serveur en ligne de commande (y'a nmap sinon). C'est pratique pour voir les trous de sécurité ou pour tester le firewall IPv6 (si tu l'actives).
A noter aussi pour les Chromecast. Ils utilisent 'en dur' les serveur DNS anycast de Google (8.8.8.8 et 8.8.4.4) mais en bloquant ces IP dans le routeur le Chromecast bascule sur la config dns fourni par DHCP. Au pire on peut aussi nater ces 2 IP vers des serveurs US.
Mon ERL est briqué et j'attend de recevoir un câble série pour le réparer, je ferais un test Chromecast quand il remarchera.
-
Marche pu!
-
Je faisais les tests avec mon ordi de prod, ma config definitive sera differente donc j'ai deco cette machine
pour le DNS j'utilise celui fourni par he.net
Available DNS Resolvers
Anycasted IPv6 Caching Nameserver:2001:470:20::2
Je n'ai pas encore teste le chromecast, mon wifi n'est pas IPv6 (par configuration)
Je vais mettre un deuxieme point wifi
-
Bon a l'usage c'est peu utilisable (2mb max donc flux de mauvaise qualite), le testdebit IPv6 me donne download 5/ upload 18 mais ca me permet de mettre les doigts dans IPv6
Les etapes pour memoire :
Creation du tunnel
configure
edit interfaces tunnel tun0
set encapsulation sit
set local-ip mon_ip_publique_v4
set remote-ip 216.218.226.238
set address ipv6_fournie_par_HE/64
set description "HE.NET IPv6 Tunnel"
exit
set protocols static interface-route6 ::/0 next-hop-interface tun0
Activer RA (ne pas oublier que Client IPv6 Address ressemble beaucoup au routed /64 mais est un peu different
set interfaces ethernet eth2 ipv6 router-advert prefix xx:xx:xx:xx::/64
set interfaces ethernet eth2 ipv6 router-advert send-advert true
Configurer une IPv6 du range routed /64 pour eth2
Configurer le DNS US 2001:470:20::2
set interfaces ethernet eth2 ipv6 router-advert radvd-options "RDNSS 2001:470:20::2 {};"
P.S. le web full IPv6 c'est limite, meme le forum n'est pas dispo :p
-
Si, https://ipv6.lafibre.info
-
Effectivement mais bon il fallait y penser, dans le style mauvaise nouvelle, mon routeur TP link de moins d'un an est non compatible
-
Si tu peux donner le modèle exact histoire que je l'alimente dans mon tableau :)
-
TP-Link TL-WR1043ND V2
-
TP-Link TL-WR1043ND V2
Qui est bien documenté chez OpenWRT (http://wiki.openwrt.org/toh/tp-link/tl-wr1043nd)
Comme d'habtitude, OpenWRT signifie la perte de l'offloading NAT ...
-
SMF 2.1 Beta 1 est sortie en novembre 2014.
J’espère que la version finale sera là début 2016. (ils ne sont pas rapide)
C'est la première version compatibles IPv6.
-
C'est pour ça que lafibre.info n'est pas accessible en IPv6... C'est long :o
-
J'ai testé avec un AP (en fait un routeur-wifi avec la patte Wan non branchée) sous OpenWRT: Netflix marche niquel avec une tablette Android en 'IPv6 only' via un tunnel HE.Net a New-York. Qualité HD ok, catalogue US ok. C'est quasi le seul truc qui marchais dans la tablette d'ailleurs (meme le Play Store ne marche pas en 'IPv6 only'). Il ne voyait pas le Chromecast présent sur le même réseau wifi pourtant.
J'ai tenté d'activé IPv4+IPv6 mais je n'arrive a 'restreindre' IPv6 sur la partie Wifi uniquement, ca part sur tout le LAN (router advert) ce que je ne veux pas car le débit IPv6 est limité (et passe par New York). Si quelqu'un a une idée ? (le souci est le bridge ethernet-wifi , on peut rien filtré 'dedans'). Apres quelques manips foireuses j'ai briqué l'AP et j'ai du le reset donc j'ai laissé tombé pour le moment . Je reprendrais a la fin du mois.
-
Tu as fait ton test a 21-23h ?
car moi a 21-23h le debit ne depassait pas 2mb ce qui peut aller sur une tablette mais est clairement insuffisant sur grand ecran
-
Tu as fait ton test a 21-23h ?
car moi a 21-23h le debit ne depassait pas 2mb ce qui peut aller sur une tablette mais est clairement insuffisant sur grand ecran
non c'étais tot le matin. Je retesterai a fond quand j'aurais 'réparé' l'AP.
La réso sur tablette avait l'air d'être HD (la tablette est sous Android 5.0 et le minimum pour avoir Netflix HD sur Android (https://help.netflix.com/en/node/237) est 4.4 donc a priori c'etait en HD, en tout cas visuellement ca resemblait a de la HD).
Le but est d'avoir un fonctionnement avec le Chromecast de toute facon. donc a suivre.
-
Nouveau test ce soir je fais bien du 8Mb/s sur house of cards mais ca a mis du temps, ca a bien commence par du 2Mb/s pendant un temps certain
Control+Alt+Shift+D donne les infos
Control+Alt+Shift+S permet de choisir la bande passante
d'ailleurs la je suis a 15Mb/s
-
Avec l'offre "UHD" ?
-
Question IPv6, qu'est ce qui active le routage ? d'experience je dirais le RA (et un reboot) mais je ne comprends pas si c'est "normal"
-
Avec l'offre "UHD" ?
offre UHD oui mais le 15Mb/s c'est du buffering je pense, la qualite reste sur 3000
-
Question IPv6, qu'est ce qui active le routage ? d'experience je dirais le RA (et un reboot) mais je ne comprends pas si c'est "normal"
qu'entends tu par 'active le routage' ?
RA est une sorte de DHCP en plus simple. Ca permet aux perifs sur le meme LAN que le serveur RA de se configurer une IPv6 public et de connaitre la passerelle de sortie vers Internet.
Le reboot n'est pas forcement nécessaire.
ou c'etais pas la question?
-
interface eth0 : Lan
interface eth1 : WAN
tun0 : Tunnel HE.net
ma question est comment le routeur sait il qu'il doit router de LAN vers tun0 ?
test simple, je mets une IPv6 manuelle sur un ordi sur le meme range que celle de eth0 et elles se ping6 (normal) mais ne ping6 pas www.google.com
si je configure le RA elles se ping6 ainsi que www.google.com
apres le reboot NECESSAIRE me mets le doute
-
interface eth0 : Lan
interface eth1 : WAN
tun0 : Tunnel HE.net
ma question est comment le routeur sait il qu'il doit router de LAN vers tun0 ?
test simple, je mets une IPv6 manuelle sur un ordi sur le meme range que celle de eth0 et elles se ping6 (normal) mais ne ping6 pas www.google.com
si je configure le RA elles se ping6 ainsi que www.google.com
apres le reboot NECESSAIRE me mets le doute
ton routeur a une route de sortie par défaut pour IPv6:, sans doute un truc du genre:
set protocols static interface-route6 ::/0 next-hop-interface tun0
via RA l'ordi recoit du routeur le prefix IPv6 (que l'ordi utilise pour se fabriquer une IPv6 public) et la passerelle par défaut (le routeur lui meme dans ce cas) et d'autres infos si c'est configuré (RDDNS par exemple).
En manuel si tu ne met qu'une IPv6 dans l'ordi, celui ci ne connait pas la passerelle par defaut donc ne peut 'pinger' au dela du LAN. Il faut donc lui mettre la passerelle par defaut aussi (en l'occurence l'IPv6 link-local de l'ERL plutot que son IPv6 public, config recommandée).
-
merci pour l'explication