Auteur Sujet: openwrt - sous réseaux et routage IPV6 (Lu 281 fois)

vmath54 · « **le:** 30 janvier 2026 à 17:56:06 »

Bonjour,

J'ai remplacé récemment ma box sfr par un routeur openwrt (GL Inet Flint 2) ; j'en suis très satisfait.
Je désire mettre en place des sous-réseaux ; deux pour commencer.
D'abord de manière simple, puis après, passer aux vlans, en utilisant des switchs administrés.

La version d'openwrt : 24.10.3. Je débute avec openwrt ; j'utilise presque exlusivement l'interface Luci.

J'ai bien mis en place 2 réseaux indépendants :
192.168.1.0/24 : le réseau initial, pré-paramétré lors de l'install openwrt
192.168.2.0/24 : le second réseau, ajouté
Tout fonctionne parfaitement en IPV4 : dhcp, règles de firewall, ...

Les interfaces initiales étaient :
wan sur eth1. IPV4 : 79.83.xx.xx/24
lan, avec le bridge br-lan. IPV4 : 192.168.1.1/24, IPv6: 2a02:xxxx:xxxx:f600::1/60 et fde4:xxxx:xxxx::1/60
wan6 sur eth1. IPv6-PD: 2a02:xxxx:xxxx:f600::/56

J'ai ajouté lan2 et le bridge br-lan2. IPv4: 192.168.8.1/24

Si je fais un test de connectivité ipv6 depuis un PC sur le 1er réseau vers https://test-ipv6.com/, tout est OK

Maintenant, j'aimerais paramétrer correctement IPV6 sur mon second réseau.
Pouvez-vous m'indiquer comment faire ?
Pour le routage IPV6, le DHCP V6, le firewall, ...

Merci

Paul · « **Réponse #1 le:** 01 février 2026 à 21:21:14 »

Tu ne fais pas de VLAN dans cette configuration, mais des switchs virtuels séparés, ce qui complexifie la configuration. Je ne sais pas si c'est le cas sur ton routeur, mais ça peut aussi ne pas être idéal du tout pour l'accélération matérielle (un bon nombre de puces de commutation ne supportent l'accélération que d'un pont).

Ce serait mieux de :

soit si tu veux terminer les VLAN sur le routeur, créer plusieurs VLAN sur le même pont. Ce sera nécessaire pour raccorder les switchs, parce qu'il faudra faire passer un trunk avec les VLAN désirés depuis le routeur. Ça implique que le port trunk soit dans un pont sur lequel tous les VLAN sont configurés.
soit si tu utilises la capacité L3 des switchs, pas de pont du tout sur le routeur, mais un port LAN hors d'un pont, comme le port WAN. Et les VLAN sont terminés sur le switch L3 le plus proche du routeur. Il faudra créer des routes (soit statiques soit OSPF) entre routeur et switch.

En IPv6, la différence avec IPv4 est que l'on choisit les sous-réseaux un peu différemment d'IPv4 parce que la partie préfixe opérateur nous est imposée. À part ça, tu choisis un sous-réseau /64 dans la partie variable du préfixe (2a02:xxxx:xxxx:f600::/64 à 2a02:xxxx:xxxx:f6ff::/64) et tu le configures sur l'interface VLAN (OpenWRT ou switch) en activant les RA. Pas besoin de DHCPv6 sauf cas particuliers.

Je ne sais plus s'il y a des règles de pare-feu par défaut dans OpenWRT, il faut en effet faire attention que seul le trafic sortant et établi soit autorisé, comme les appareils ont une adresse IP publique.

basilix · « **Réponse #2 le:** **Aujourd'hui** à 09:23:29 »

Les périphériques réseaux et interfaces du routeur sont définis dans network (/etc/config/network).

Les stations sont configurées dans dhcp. En IPv6, sur OpenWrt, les divers serveurs (RA, DHCPv6) sont implémentés par odhcpd.

Le routage est déterminé en se basant sur la configuration network. Aucune route à ajouter. C'est automatique. En IPv6, on peut
éventuellement spécifier l'identifiant de sous-réseau (Subnet ID) via l'option UCI ip6hint (pour suivre un plan d'adressage). L'option
UCI ip6prefix spécifie la taille du préfixe qui est annoncé sur le réseau par le routeur.

La configuration des nœuds peut être réalisée en SLAAC ou DHCPv6.

Le pare-feu est défini dans firewall. Il faut bien comprendre le concept de zone et d'interface.

La documentation OpenWrt s'adresse aux techniciens réseaux. Il faut plonger dedans mais en nageant dans la bonne direction.

Voir aussi DSA Mini-Tutorial

vmath54 · « **Réponse #3 le:** **Aujourd'hui** à 18:33:52 »

Merci à vous deux pour les réponses et les liens.

Concernant la partie vlan, je compte m'y attaquer après. Pour le moment, je me concentre sur l'IPv6.
Je n'avais pas du tout envisagé cet aspect accélération matérielle ; je ne sais pas de quoi est capable le Flint 2 à ce sujet.

Pour revenir sur la partie IPv6 : la doc suivante m'a bien aidé :
https://openwrt.org/docs/guide-user/network/ipv6/configuration#downstream_configuration_for_lan_interfaces

J'ai maintenant une conf qui fonctionne.
J'ai utilisé ip6hint pour adresser les sous-réseaux, et ip6assign pour définir la longueur de préfixe

Code: [Sélectionner]

/etc/config/network
config globals 'globals'
        option ula_prefix 'fde4:c780:ca61::/48'
...
config interface 'wan6'
        option device 'eth1'
        option proto 'dhcpv6'
...
config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option ip6hint '10'

config interface 'lan2'
        option proto 'static'
        option device 'br-lan2'
        option ipaddr '192.168.8.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option ip6hint '20'

/etc/config/dhcp
config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option ra 'server'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

config dhcp 'lan2'
        option interface 'lan2'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option ra 'server'
        option dhcpv6 'server'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

Ca donne ceci :

Code: [Sélectionner]

# ifconfig
...
br-lan    Link encap:Ethernet  HWaddr 94:83:C4:B6:B1:B8
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::9683:c4ff:feb6:b1b8/64 Scope:Link
          inet6 addr: fde4:c780:ca61:10::1/64 Scope:Global
          inet6 addr: 2a02:xxxx:xxxx:f610::1/64 Scope:Global
...
br-lan2   Link encap:Ethernet  HWaddr 94:83:C4:B6:B1:B8
          inet addr:192.168.8.1  Bcast:192.168.8.255  Mask:255.255.255.0
          inet6 addr: fe80::9683:c4ff:feb6:b1b8/64 Scope:Link
          inet6 addr: fde4:c780:ca61:20::1/64 Scope:Global
          inet6 addr: 2a02:xxxx:xxxx:f620::1/64 Scope:Global

Les équipements raccordés sur lan ou lan2 récupèrement bien une adresse IP globale, et peuvent communiquer en IPv6 avec l'extérieur.

Maintenant, je vais m'attaquer à la partie firewall.

Les règles actuelles me semblent pas trop mal pour protéger les équipements ; au moins de l'extérieur.
Il y a la règle par défaut :

Code: [Sélectionner]

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
...

Puis la partie wan :

Code: [Sélectionner]

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'
        list network 'wan6'

ensuite quelques règles autorisant DHCPv6, icmp, ...

L'étanchéité entre lan et lan2 est faite grace à la règle par défaut

Ensuite la partie vlan ; la doc DSA Mini-Tutorial devrait me permettre de m'en sortir.

Merci beaucoup ...

basilix · « **Réponse #4 le:** **Aujourd'hui** à 19:50:26 »

Certaines options sont redondantes.

Code: [Sélectionner]

        option ra 'server'
        option dhcpv6 'server'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

ra_flags 'managed-config' est équivalent à DHCPv6 avec état.

ra_flags 'other-config' est équivalent à DHCPv6 sans état.

option ra 'server'
option dhcpv6 'server'

Les deux mécanismes d’auto-configuration SLAAC et DHCPv6 sont activés sur le même réseau.