La Fibre
Datacenter et équipements réseaux => Routeurs => 
MikroTik RouterOS => Discussion démarrée par: DrGeek le 06 juillet 2022 à 01:22:43
-
Bonjour à tous,
Cela fait plusieurs jours que je me suis lancé dans l'installation de l'IPV6 et je n'ai pas encore tout bien compris :)
La situation : j'essaie de mettre en place l'IPV6 grâce à un routeur Mikrotik derrière une freebox delta (en mode bridge).
En V4 pas de soucis, je "gère" (je suis pas un dieu du réseau mais je crois que j'ai fait ça propre), j'ai fait plusieurs VLANs en fonction des types de périphériques/client pour limiter telle ou telle ressource... Tout fonctionne à merveille (j'adore le routeur Mikrotik).
Sur la page de configuration de la freebox (cf image) j'ai configuré comme cela :
0 : link local port SFP vers freebox
1 : link local port SFP vers le switch
2 : link local port SFP vers un serveur
- Je me suis attribué une adresse de type 2a01:aaaa:bbbb:ccc0::2/64
- J'ai fait une route par défaut vers 2a01:aaaa:bbbb:ccc0::1/64 (la freebox)
Et donc j'arrive à faire un ping vers des adresses en IPV6 depuis le Mikrotik. (et en faisant un ND j'arrive même à faire fonctionner la tv de free (oqee) donc c'est que ça doit fonctionner)
Je souhaitais faire une dhcpv6 stateful pour mes appareils mais apriori Mikrotik ne faire permet que de faire du SLAAC ou du DHCPV6 stateless mais bon je pense mettre un dhcpv6 dans un container hosté sur le mikrotik et gérer ça ... à voir.
Ma première interrogation est : puis-je faire des subnets et déléguer un prefix par VLAN ? (j'en ai une dizaine ?)
Dans un des sujets sur l'IPV6 Vivien dit que l'on peut récupérer un préfix /61 mais comment ?
Et enfin question qui prouve que je n'ai rien compris à l'IPV6 mais je me lance... Pourquoi ne peut-on pas faire des subnets 2a01:aaaa:bbbb:ccc0:1::/80, 2a01:aaaa:bbbb:ccc0:2::/80?
Voilà désolé pour ces interrogations j'ai essayé de lire (beaucoup) mais j'en suis arrivé au point au j'ai besoin de vos lumières (svp) !
En vous remerciant :)
-
Bonjour à tous,
Cela fait plusieurs jours que je me suis lancé dans l'installation de l'IPV6 et je n'ai pas encore tout bien compris :)
La situation : j'essaie de mettre en place l'IPV6 grâce à un routeur Mikrotik derrière une freebox delta (en mode bridge).
En V4 pas de soucis, je "gère" (je suis pas un dieu du réseau mais je crois que j'ai fait ça propre), j'ai fait plusieurs VLANs en fonction des types de périphériques/client pour limiter telle ou telle ressource... Tout fonctionne à merveille (j'adore le routeur Mikrotik).
Sur la page de configuration de la freebox (cf image) j'ai configuré comme cela :
0 : link local port SFP vers freebox
1 : link local port SFP vers le switch
2 : link local port SFP vers un serveur
- Je me suis attribué une adresse de type 2a01:aaaa:bbbb:ccc0::2/64
- J'ai fait une route par défaut vers 2a01:aaaa:bbbb:ccc0::1/64 (la freebox)
Et donc j'arrive à faire un ping vers des adresses en IPV6 depuis le Mikrotik. (et en faisant un ND j'arrive même à faire fonctionner la tv de free (oqee) donc c'est que ça doit fonctionner)
Je souhaitais faire une dhcpv6 stateful pour mes appareils mais apriori Mikrotik ne faire permet que de faire du SLAAC ou du DHCPV6 stateless mais bon je pense mettre un dhcpv6 dans un container hosté sur le mikrotik et gérer ça ... à voir.
Ma première interrogation est : puis-je faire des subnets et déléguer un prefix par VLAN ? (j'en ai une dizaine ?)
Dans un des sujets sur l'IPV6 Vivien dit que l'on peut récupérer un préfix /61 mais comment ?
Et enfin question qui prouve que je n'ai rien compris à l'IPV6 mais je me lance... Pourquoi ne peut-on pas faire des subnets 2a01:aaaa:bbbb:ccc0:1::/80, 2a01:aaaa:bbbb:ccc0:2::/80?
Voilà désolé pour ces interrogations j'ai essayé de lire (beaucoup) mais j'en suis arrivé au point au j'ai besoin de vos lumières (svp) !
En vous remerciant :)
Bonjour @ DrGeek,
Je vais essayer de te résumer ce que j'ai :
- De mon coté je suis chez Orange qui par défaut affecte à la Livebox un prefix /56 du type adresse public 2a01:cb00:xxxx:yyyy::/56
- La méthode pour récupérer le prefix se fait en DHCPv6 Sollicit et ensuite au travers de SLAAC (Stateless Address Auto-configuration) chaque équipement s'affecte une adresse IPv6 à l'intérieur du prefix qui sera unique.
- il faut ensuite sur le LAN un serveur DHCPv6 pour fournir le DNS qui ne peut pas être configuré par SLAAC
- sur ton réseau local chaque équipement génère une adresse IPv6 locale non routable et unique du type fe00:: (c'est comme une adresse 169.xxx.xxx.xxx en IPv4)
Maintenant pour ta Freebox en mode bridge, dans ce mode pour IPv4 c'est ton routeur qui possède l'IPv4 publique et fait la NAT pour ton LAN, cette partie est assez classique.
Pour la partie IPv6 je sais pas comme cela se passe avec Free en mode Bridge mais on peut dire :
- sais tu le prefix que Free t'affecte en IPv6 ? un /56 ou autre ?
- je pense que tu n'as pas besoin de faire du DHCPv6 Stateful qui va te permettre de gérer l'affection des tes IPv6 sur ton LAN, le mécanisme par défaut du SLAAC qui permet à un équipement de s'attribuer une IPv6 dans un subnet et cela de manière unique est déjà très bien géré. Par contre tu as besoin du DHCPv6 Stateless pour fournir à tes équipements du LAN un DNSv6
- de mémoire Free au début pour IPv6 faisait des tunnels en mode 6RD au dessus de IPv4, mais il me semble qu'aujourd'hui c'est l'inverse IPv6 natif et la partie IPv4 qui est en mode tunnel dans IPv6
- en regardant rapidement sur Google, il semble que Free t'affecte 8 prefix en /64, sur la Freebox tu as toutes les informations sur IPv6 et on peut même faire de la délégation de prefix, ce qu'il te faut faire dans ton cas
- j'ai rapidement regardé sur un site avec un OpenSense (https://www.osnet.eu/fr/content/tutoriels/ipv6-sur-une-freebox-en-bridge-avec-opnsense-ou-pfsense) cela reste similaire avec un Mikrotik
- tu as aussi un autre site en OpenWRT (https://blog.kulakowski.fr/post/openwrt-derriere-une-freebox-ipv6-dmz-et-bridge)
- et un dernier avec Ubiquiti (https://julien.io/ipv6-sur-un-routeur-unifi-avec-une-freebox/)
-
Bonjour !
Merci de ta réponse :)
Effectivement le mécanisme de Free est différent, j'avais également vu les pages que tu as citées.
Pour l'instant :
- j'ai compris une erreur, il faut mettre l'adresse link-locale du port qui va vers la Freebox dans l'interface Freebox au niveau des délégations de 0 à 7.
- on ne peut pas faire de subnet supérieur à /64 c'est pas dans la RFC et le SLAAC ne marche qu'en /64.
Je continue de creuser !
-
Il n'y a pas de delegation de prefix avec Free vu qu'ils proposent du routage statique de plusieurs /64 dans l'interface.
le premier /64 est special car il peut etre geré par la freebox mais dans ton cas pas besoin donc met l'ip link-local de ton routeur comme ca tu peux gerer tout les /64
si tu mets 8 fois ta link-local (pour les 8 /64 dans l'interface de la fbx) tu recupere donc l'équivalent d'un /61 dans ton routeur. mais c'est manuel et pas par délégation de prefix.
le truc a comprendre c'est que la freebox n'a plus d'IPv6 public et qu'une IPv6 link-local (fe80...) ce qui ne l'empeche pas de router le /61 vers ton routeur (mais ce dernier n'a donc pas aussi d'IPv6 public sur son interface wan).
IPV6 public -- internet -- freebox (A)-- fe80::.. --- (B) routeur --(C)
A et B sont des IPv6 link-local mais n'empeche pas C de joindre l'IPv6 public
-
Hum ok bien compris.
Ce que je n'ai pas compris c'est pourquoi j'arrive depuis le routeur à pinger l'adresse IPV6 Globale 2a01 de la freebox et pas son link-locale ? j'avais cru comprendre que le but de ces adresses était justement de relier d'un équipement à un autre.
J'ai donc suivi le tuto ici : https://squeaky.tech/2022/03/07/fr-notes-freebox-bridge-ipv6-et-mikrotik/
Résultat les VM sur le vlan arrivent bien à avoir une adresse IPV6 en SLAAC (bon elles sont composées à partir de l'adresse mac j'aime pas trop ça je verrai s'il y a possibilité de faire autrement) mais c'est tout elles n'arrivent pas à faire de ping6 vers un autre hôte (ni la passerelle ni une quelconque adresse)...
Voici ma configuration :
/ipv6 address
add address=2a01:XXX:XXX:XXX0::2 interface="Freebox"
add address=2a01:XXX:XXX:XXX3::1 interface="VLAN1"
/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
add action=drop chain=input comment="DROP Input" in-interface="Freebox"
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="DROP Forward" in-interface="Freebox"
/ipv6 nd
set [ find default=yes ] disabled=yes
add hop-limit=64 interface="VLAN1" managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m ra-preference=high
add hop-limit=64 interface="Freebox"
/ipv6 route
add disabled=no distance=1 dst-address=::/0 gateway=2a01:XXX:XXX:XXX0::1 routing-table=main scope=30 target-scope=10
/ipv6 settings
set accept-router-advertisements=yes
Une idée ? Merci ! ;D
-
J'avance, j'arrive en fait à me connecter depuis l'host mais pas depuis les VM donc c'est un problème intra proxmox...
-
C'est bien un problème du routeur, il suffit que je ping la VM depuis le routeur pour débloquer la situation. C'est très étrange... (dans le cas présent j'avais fixé en dur l'IPV6 donc pas en SLAAC).
-
J'ai donc suivi le tuto ici : https://squeaky.tech/2022/03/07/fr-notes-freebox-bridge-ipv6-et-mikrotik/
je ne comprend pas pourquoi ce tuto configure de l'IPv6 sur le wan...c'est gâché un /64 pour rien et introduire de la confusion.
en plus il n'a pas compris ce qui est pourtant indiqué dans la capture d'écran de sa freebox:
il est écrit
Nous avons ensuite 3 prefixes, le premier sera dédié au WAN, a noter que la freebox possède xxx0::1, notre WAN aura donc xxx0::2, ensuite le second prefix, notre LAN aura xxx1::1, le 3ème prefix n’est pas utilisé, mais si vous avez un autre (v)LAN vous pourrez faire pareil.
mais a gauche on peut lire:
(https://squeaky.tech/wp-content/uploads/2022/03/image.png)
= la freebox ne possede pas xxx0::1 quand on renseigne le 1er next-hop....
bref je ne suis pas sur que son tuto soit valable...
tl,dr:
si on met quelque chose dans le 1er next-hop il ne faut pas
add address=2a01:XXX:XXX:XXX0::2 interface="Freebox"car cela n'a plus de sens de mettre de l'IPv6 public coté WAN...
dans la partie /ipv6 nd:
add hop-limit=64 interface="Freebox"
n'a pas de sens aussi. donc a enlever
il faut mettre une bonne route par défaut: via la link-local de fbx donc:
/ipv6 route
add disabled=no distance=1 dst-address=::/0 gateway=fe08::xxxx%Freebox routing-table=main scope=30 target-scope=10il faut donc mettre la link-local de la fbx (indiquée en 1ere ligne dans l'interface web comme sur le screen posté) et pas 2a01:XXX:XXX:XXX0::1 puisque la fbx ne gere pas cette addresse.
nb: les link-local ayant une portée limitée a une interface précise, il faut préciser celle-ci avec la notation %interface après l'adresse (donc ajuster au nom de l'interface wan);
enfin "managed-address-configuration=yes" dans ipv6/nd n'a pas d'intérêt aussi: cela indique la présence d'un serveur DHCPv6 stateful pour obtenir des IPv6.
et
set accept-router-advertisements=yes
n'est pas nécessaire car la fbx n'emet de route quand le 1er hop est renseigné.
on résume from scratch:
- coté wan on ne configure rien, juste s'assurerr que la link-local est bien présente
- on ajoute la route par défaut IPv6 (::/0) vers la link-local de la freebox
- on configure un /64 par interface LAN (réelle ou vlan) qu'on souhaite utilisée via ipv6/nd en précisant a la main le prefix pour chacun (avec ipv6/nd prefix, 2a01:XXX:XXX:XXX0::/64 pour le 1er par exemple). on fait un RADVD simple avec rdnss recommandé (= advertise-dns dans ipv6/nd) voir https://wiki.mikrotik.com/wiki/Manual:IPv6/ND
j'ai pas de mikrotik libre dispo sous la main mais un truc du genre:
/ipv6 nd prefix
prefix=2a01:XXX:XXX:XXX0::/64 6to4-interface=none interface=VLAN1 on-link=yes autonomous=yes valid-lifetime=1d preferred-lifetime=1h
(ajuster les durées a quelque chose de réaliste, les valeurs par défaut de mikrotik semble excessives).
(bon elles sont composées à partir de l'adresse mac j'aime pas trop ça je verrai s'il y a possibilité de faire autrement)
pour les IPv6 sur les machines Linux des LANs, si on veut choisir la partie interface identifier (https://en.wikipedia.org/wiki/IPv6_address#Address_formats) de l'IPv6 (= 64 derniers bits) on peut utiliser avec 'ip token' (voir https://man7.org/linux/man-pages/man8/ip-token.8.html ).
par exemple:
ip token set ::4/64 dev eth0sur une machine prendra l'IPv6 2a01:XXX:XXX:XXX0::4 si elle sur le VLAN1
Sur Windows ce mécanisme n'existe pas.
On peut aussi et c'est recommandé d'activiter les 'privacy extensions fo SLACC' (rrfc 4941) qui font générer des adresses aléatoires temporaires. C'est par défaut sur Windows. pour Linux voir: https://tldp.org/HOWTO/Linux+IPv6-HOWTO/ch06s05.html (ou via systemd-networkd ou autre network manager).
De toute facon le mieux avec IPv6 est de ne pas de chercher a connaitre ou imposer des adresses a ses machines. Il faut utiliser DNS et mDNS/LLMNR pour se simplifier la vie.
-
Milles mercis kgersen d'avoir pris le temps de me répondre !
Je suis plutôt du genre à ne pas poser trop de questions en ligne et bien me documenter et souvent plutôt aider les autres sur les forums mais ça fait du bien quand ça marche aussi dans l'autre sens surtout quand c'est aussi clair :)
Effectivement débutant en IPV6 (j'avais jamais pris le temps de m'y intéresser plus que ça) je n'avais pas encore compris tous les concepts. Là c'est donc devenu TRES clair grâce à toi.
J'ai donc suivi des recommandations mais j'ai un problème.
Pour mes VMs je n'ai pas besoin de SLAAC ou DHCP stateless car je fixe tout à la main mais ça ne marche pas sans /ipv6/nd (j'arrive dans ce cas à pinger les fe80 des autres VM mais pas celle de l'hôte et aucune autre adresses IPV6).
Si j'ajoute une /ipv6/nd ET (et j'insiste sur le ET) que depuis le terminal du mikrotik je ping la vm ALORS ça marche nickel :o
J'ai l'impression que le fait de pinguer la VM ouvre une route... J'ai remarqué que l'adresse de la VM apparaît alors dans les neighbors en "reachable". J'ai mal réglé quelque chose ?
Enfin petite question subsidiaire, puis-je avoir le même prefix mais avec des adresses différentes bien évidemment sur plusieurs VLANS (tout en maintenant les VLANS séparés en terme d'échange) ?
Merci encore !!!
-
Pour mes VMs je n'ai pas besoin de SLAAC ou DHCP stateless car je fixe tout à la main mais ça ne marche pas sans /ipv6/nd (j'arrive dans ce cas à pinger les fe80 des autres VM mais pas celle de l'hôte et aucune autre adresses IPV6).
Si j'ajoute une /ipv6/nd ET (et j'insiste sur le ET) que depuis le terminal du mikrotik je ping la vm ALORS ça marche nickel :o
J'ai l'impression que le fait de pinguer la VM ouvre une route... J'ai remarqué que l'adresse de la VM apparaît alors dans les neighbors en "reachable". J'ai mal réglé quelque chose ?
check ta config firewall peut-etre , notamment le filtrage ICMPv6
"mais ça ne marche pas sans /ipv6/nd" -> ipv6/nd a 2 roles:
A - annoncer les routeurs et routes
B - annoncer un ou des prefix pour s'autoconfigurer une/des ipv6 via SLAAC
Si tu ne veux pas B tu dois quand même fournir A sauf à mettre les routes a main dans chaque machine ...
Donc soit tu coupes B dans les annonces ipv6/nd (tu n'annonce pas de prefix avec ipv6/nd/prefix)
soit tu ignores B sur les VMs (sysctl net.ipv6.conf.interface: autoconf=0, accept_ra=1)
Enfin petite question subsidiaire, puis-je avoir le même prefix mais avec des adresses différentes bien évidemment sur plusieurs VLANS (tout en maintenant les VLANS séparés en terme d'échange) ?
non sauf à faire du NDPProxy (je ne sais si possible sur un Mikrotik).
sinon tu peux bridgés tes VLANs et firewaller au niveau du bridge (possible sur mikrotik je crois)
-
check ta config firewall peut-etre , notamment le filtrage ICMPv6
Je viens de trouver ! En fait mes VM sont sur sur une interface que j'ai bridgé avec le switch (car je voulais gérer la diffusion du multicast bref) et j'avais activé l'IGMP Snooping. Dès que je désactive ça fonctionne correctement... Ce qui m'embête un peu je vais voir si je dois pas faire aussi de l'IGMP Proxy ?
Bref si ça te parle je veux bien de tes lumières sinon je vais fouiller :D
-
hum IGMP ne concerne pas IPv6 , curieux que ca influe.
c'est quoi comme switch et comment le tout est relié ?
-> peut-être un petit dessin de ton réseau aidera a mieux comprendre (je vais toujours ca quand les choses coincent).
-
hum IGMP ne concerne pas IPv6 , curieux que ca influe.
c'est quoi comme switch et comment le tout est relié ?
-> peut-être un petit dessin de ton réseau aidera a mieux comprendre (je vais toujours ca quand les choses coincent).
J'ai trouvé plusieurs posts sur le forum de mikrotik qui relève le même problème :( peut-être que je dois configurer l'IGMP proxy ?
Sinon pour mon réseau voici :)
En gros il y a 4 SFP sur le mikrotik
- SFP1 vers la freebox
- SFP2 vers le switch
- SFP3 vers le serveur (interface de l'host)
- SFP4 vers le serveur (vmbr0 partagé avec les VM)
Sur le mikrotik j'ai fait un bridge SFP2 et SFP4 les autres interfaces sont traitées en direct.
-
Ah attends, je viens desactiver le "Multicast Querier" et hop ça marche aussi :/
-
le RA/SLAAC utilise du multicast IPv6 donc ca peut effectivement mal interagir avec MLD
sans doute un souci/bug avec les Mikrotik, y'en a tellement notamment quand on bridge avec l'offload matériel...
Ce sont quels modeles le switch et le routeur ?
sans le bridge ca fonctionne ? le bridge est-il nécessaire ? (faut mieux un bon switch qu'un bridge dans le routeur :; )
-
Le routeur est un ccr2116-12g-4s et le switch un zyxel XGS1930-28HP.
Je peux mettre sur le switch directement mais je crois que j’avais un soucis de multicast justement (le serveur samba n’était pas annoncé partout)…
Je vais tenter :)
Là j’ai fait des bridges mais pour les prefix ça a l’air de fonctionner !
-
Le routeur est un ccr2116-12g-4s et le switch un zyxel XGS1930-28HP.
Je peux mettre sur le switch directement mais je crois que j’avais un soucis de multicast justement (le serveur samba n’était pas annoncé partout)…
Je vais tenter :)
Là j’ai fait des bridges mais pour les prefix ça a l’air de fonctionner !
Le multicast (en IPv4) c'est pour les flux TV principalement.
Samba c'est du broadcast.. tu ne confond pas les 2 ?
-
En fait c’était le mDNS donc bien en multicast….
-
Bon j'ai tenté le NDP Proxy mais sur le serveur, le temps que je comprenne que je ne pouvais pas le faire car c'était le routeur qui était désigné pour redispatcher le /64.
Je crois que j'ai trouvé une solution : depuis la version 7.4beta il est possible d'installer des containers dockers sur le mikrotik. Je vais donc ajouter un module M.2 et tenter d'installer ndppd par ce biais là.
C'est vraiment dommage que free ne permettent pas plus de prefix sur la freebox ou carrément mettre à dispo à /60 ou /56...
-
Bon j'ai laissé tombé, les containers ne permettent pas de faire du VLAN ou avec plusieurs interfaces donc ça n'irait pas. Et le problème des bridges c'est que ça casse mon orga IPV4 (serveur DHCP impossible sur chaque VLAN qui devient slave du bridge).
Donc au final j'ai utilisé les 8 prefixes et pour mes autres VLAN je resterai en IPV4.
J'espère qu'un jour free proposera un /56 ou un /60 ou plus de prefixe /64
Le reste semble fonctionner correctement ! Merci de ton aide en tout cas !
-
tu as plus de 8 VLAN ? ça fait beaucoup quand même :)
-
J’aime bien segmenter :)
Un vlan pour :
- les caméras
- les switch / les AP
- les enfants
- les invités
- les parents
- la domotique
- les imprimantes
- …
Bref c’est propre et secure ^^
-
Tu devrais plutôt voir pour interdire la communication client-to-client pour segmenter, là ça ne sert vraiment à rien ;)
-
Tu devrais plutôt voir pour interdire la communication client-to-client pour segmenter, là ça ne sert vraiment à rien ;)
J'avoue que je suis toujours en réflexion sur mon orga réseau :) Le client-to-client je peux faire mais je trouve que l'usage de différent VLAN avec un serveur DHCP par VLAN et des règles firewall pré-établies me simplifie la vie...
Après bien que psychologiquement parlant j'aimerais être en full IPV6, plusieurs éléments du réseau sont privés d'internet (les cameras IP par exemple), quel intérêt dans ce cas à avoir une adresse IPV6 pour ces derniers éléments ?
Quand j'aurais fini et que j'aurais un truc vraiment présentable je te ferai visiter t'es pas loin :)
-
@DrGeek
Dans un schema comme le tien, avec des Vlan qui empechent les équipements de communiquer ensemble sur le réseau. Comment peut-on faire, par exemple, pour permettre a tous les équipements de pouvoir acceder à un serveur de fichiers ? ou un serveur dns auto-hébergé ?
il faut un port trunk qui laisse passer tous les vlans ?
-
@DrGeek
Dans un schema comme le tien, avec des Vlan qui empechent les équipements de communiquer ensemble sur le réseau. Comment peut-on faire, par exemple, pour permettre a tous les équipements de pouvoir acceder à un serveur de fichiers ? ou un serveur dns auto-hébergé ?
il faut un port trunk qui laisse passer tous les vlans ?
Pour le coup j'ai mis le serveur de fichier sur un vlan dédié (mais bon là j'avoue c'est too-much) et il simplement accessible avec une règle FORWARD sur le routeur. C'est exactement comme quand tu as des machines avec des subnets différents sur un même réseau.
-
Oué mais les VLAN c'est pas l'unique manière de segmenter un réseau, et en l'occurence je doute que tu aies besoin d'un /64 pour ton vlan caméras par exemple, un /124 suffirait amplement avec un adressage statique
-
mon conseil: KISS (https://fr.wikipedia.org/wiki/Principe_KISS) et surtout ne jamais découper plus petit que /64. (donc pas de/65,/66, ... /124, ...)
Pour les éléments qui n 'ont pas besoin d'Internet, la link-local suffit en général. On met un seul lan/vlan (réel ou via un bridge firewall (https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall) de plusieurs vlan par exemple).
Si on veut du trafic IPv6 routé et firewallé mais non public (si on a pas de bridge firewall par exemple) il y a les ULA (https://en.wikipedia.org/wiki/Unique_local_address).
-
Oué mais les VLAN c'est pas l'unique manière de segmenter un réseau, et en l'occurence je doute que tu aies besoin d'un /64 pour ton vlan caméras par exemple, un /124 suffirait amplement avec un adressage statique
Oui mais dans ce cas existe-t-il un vrai intérêt de passer en IPV6 ces caméras si elles n'ont pas d'accès à internet ?
mon conseil: KISS (https://fr.wikipedia.org/wiki/Principe_KISS) et surtout ne jamais découper plus petit que /64. (donc pas de/65,/66, ... /124, ...)
Plutôt d'accord, surtout qu'en dessous de /64 plus de SLAAC et donc il faut tout régler à la main...
Pour les éléments qui n 'ont pas besoin d'Internet, la link-local suffit en général. On met un seul lan/vlan (réel ou via un bridge firewall (https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall) de plusieurs vlan par exemple).
Si on veut du trafic IPv6 routé et firewallé mais non public (si on a pas de bridge firewall par exemple) il y a les ULA (https://en.wikipedia.org/wiki/Unique_local_address).
Je vais zieuter :) en tout cas, merci encore car maintenant ça fonctionne bien l'IPV6 (en tout cas pour les utilisateurs), Oqee est content il arrive enfin à se connecter, j'ai la tortue toute nette (cf The KAME project) et j'ai 10/10 aux test-ipv6 (mais je n'arrive pas à faire le test google de l'IPV6...)
-
mon conseil: KISS (https://fr.wikipedia.org/wiki/Principe_KISS) et surtout ne jamais découper plus petit que /64. (donc pas de/65,/66, ... /124, ...)
Je suis d'accord, mais si il veut vraiment des VLAN a gogo, y'a plus trop le choix, j'ai quand même précisé que ce n'était pas la bonne manière de faire.
-
Je suis d'accord, mais si il veut vraiment des VLAN a gogo, y'a plus trop le choix, j'ai quand même précisé que ce n'était pas la bonne manière de faire.
Honnêtement, je suis pas enfermé dans cette logique (je vois bien en me relisant que j'ai l'air obstiné mais pas du tout).
Mais je vois pas en quoi c'est plus facile (ou mieux) de faire sans ?
Par exemple si je prends le cas de mes caméras. Je n'ai pas trop confiance au soft interne (dans le sens émission vers l'exterieur, et potentielle faille permettant de lire le flux depuis l'exterieur). Donc je les ai mises sur un VLAN isolé d'internet, avec un serveur DHCP pour l'adressage automatique V4 et seule 1 machine peut accéder à ce VLAN.
Pareil pour mes imprimantes (mais bon là c'est moins grave pour les failles) mais je voulais mettre à dispo d'uniquement des parents (pas les invités et pas les enfants, ma fille est responsable à elle seule de 10% de la déforestation mondiale), donc même logique un VLAN avec serveur DHCP (isolé d'internet car pas besoin) et seul le VLAN parental peut communiquer avec ce VLAN (et donc un VLAN pour les invités, un VLAN pour les parents, et un VLAN pour les enfants).
Comment penses-tu que j'aurais dû faire avec cette partie réseau ?
Merci :)