Auteur Sujet: openwrt - sous réseaux et routage IPV6 (Lu 645 fois)

vmath54 · « **le:** 30 janvier 2026 à 17:56:06 »

Bonjour,

J'ai remplacé récemment ma box sfr par un routeur openwrt (GL Inet Flint 2) ; j'en suis très satisfait.
Je désire mettre en place des sous-réseaux ; deux pour commencer.
D'abord de manière simple, puis après, passer aux vlans, en utilisant des switchs administrés.

La version d'openwrt : 24.10.3. Je débute avec openwrt ; j'utilise presque exlusivement l'interface Luci.

J'ai bien mis en place 2 réseaux indépendants :
192.168.1.0/24 : le réseau initial, pré-paramétré lors de l'install openwrt
192.168.2.0/24 : le second réseau, ajouté
Tout fonctionne parfaitement en IPV4 : dhcp, règles de firewall, ...

Les interfaces initiales étaient :
wan sur eth1. IPV4 : 79.83.xx.xx/24
lan, avec le bridge br-lan. IPV4 : 192.168.1.1/24, IPv6: 2a02:xxxx:xxxx:f600::1/60 et fde4:xxxx:xxxx::1/60
wan6 sur eth1. IPv6-PD: 2a02:xxxx:xxxx:f600::/56

J'ai ajouté lan2 et le bridge br-lan2. IPv4: 192.168.8.1/24

Si je fais un test de connectivité ipv6 depuis un PC sur le 1er réseau vers https://test-ipv6.com/, tout est OK

Maintenant, j'aimerais paramétrer correctement IPV6 sur mon second réseau.
Pouvez-vous m'indiquer comment faire ?
Pour le routage IPV6, le DHCP V6, le firewall, ...

Merci

Paul · « **Réponse #1 le:** 01 février 2026 à 21:21:14 »

Tu ne fais pas de VLAN dans cette configuration, mais des switchs virtuels séparés, ce qui complexifie la configuration. Je ne sais pas si c'est le cas sur ton routeur, mais ça peut aussi ne pas être idéal du tout pour l'accélération matérielle (un bon nombre de puces de commutation ne supportent l'accélération que d'un pont).

Ce serait mieux de :

soit si tu veux terminer les VLAN sur le routeur, créer plusieurs VLAN sur le même pont. Ce sera nécessaire pour raccorder les switchs, parce qu'il faudra faire passer un trunk avec les VLAN désirés depuis le routeur. Ça implique que le port trunk soit dans un pont sur lequel tous les VLAN sont configurés.
soit si tu utilises la capacité L3 des switchs, pas de pont du tout sur le routeur, mais un port LAN hors d'un pont, comme le port WAN. Et les VLAN sont terminés sur le switch L3 le plus proche du routeur. Il faudra créer des routes (soit statiques soit OSPF) entre routeur et switch.

En IPv6, la différence avec IPv4 est que l'on choisit les sous-réseaux un peu différemment d'IPv4 parce que la partie préfixe opérateur nous est imposée. À part ça, tu choisis un sous-réseau /64 dans la partie variable du préfixe (2a02:xxxx:xxxx:f600::/64 à 2a02:xxxx:xxxx:f6ff::/64) et tu le configures sur l'interface VLAN (OpenWRT ou switch) en activant les RA. Pas besoin de DHCPv6 sauf cas particuliers.

Je ne sais plus s'il y a des règles de pare-feu par défaut dans OpenWRT, il faut en effet faire attention que seul le trafic sortant et établi soit autorisé, comme les appareils ont une adresse IP publique.

basilix · « **Réponse #2 le:** 03 février 2026 à 09:23:29 »

Les périphériques réseaux et interfaces du routeur sont définis dans network (/etc/config/network).

Les stations sont configurées dans dhcp. En IPv6, sur OpenWrt, les divers serveurs (RA, DHCPv6) sont implémentés par odhcpd.

Le routage est déterminé en se basant sur la configuration network. Aucune route à ajouter. C'est automatique. En IPv6, on peut
éventuellement spécifier l'identifiant de sous-réseau (Subnet ID) via l'option UCI ip6hint (pour suivre un plan d'adressage). L'option
UCI ip6prefix spécifie la taille du préfixe qui est annoncé sur le réseau par le routeur.

La configuration des nœuds peut être réalisée en SLAAC ou DHCPv6.

Le pare-feu est défini dans firewall. Il faut bien comprendre le concept de zone et d'interface.

La documentation OpenWrt s'adresse aux techniciens réseaux. Il faut plonger dedans mais en nageant dans la bonne direction.

Voir aussi DSA Mini-Tutorial

vmath54 · « **Réponse #3 le:** 03 février 2026 à 18:33:52 »

Merci à vous deux pour les réponses et les liens.

Concernant la partie vlan, je compte m'y attaquer après. Pour le moment, je me concentre sur l'IPv6.
Je n'avais pas du tout envisagé cet aspect accélération matérielle ; je ne sais pas de quoi est capable le Flint 2 à ce sujet.

Pour revenir sur la partie IPv6 : la doc suivante m'a bien aidé :
https://openwrt.org/docs/guide-user/network/ipv6/configuration#downstream_configuration_for_lan_interfaces

J'ai maintenant une conf qui fonctionne.
J'ai utilisé ip6hint pour adresser les sous-réseaux, et ip6assign pour définir la longueur de préfixe

Code: [Sélectionner]

/etc/config/network
config globals 'globals'
        option ula_prefix 'fde4:c780:ca61::/48'
...
config interface 'wan6'
        option device 'eth1'
        option proto 'dhcpv6'
...
config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option ip6hint '10'

config interface 'lan2'
        option proto 'static'
        option device 'br-lan2'
        option ipaddr '192.168.8.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option ip6hint '20'

/etc/config/dhcp
config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option ra 'server'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

config dhcp 'lan2'
        option interface 'lan2'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option ra 'server'
        option dhcpv6 'server'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

Ca donne ceci :

Code: [Sélectionner]

# ifconfig
...
br-lan    Link encap:Ethernet  HWaddr 94:83:C4:B6:B1:B8
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::9683:c4ff:feb6:b1b8/64 Scope:Link
          inet6 addr: fde4:c780:ca61:10::1/64 Scope:Global
          inet6 addr: 2a02:xxxx:xxxx:f610::1/64 Scope:Global
...
br-lan2   Link encap:Ethernet  HWaddr 94:83:C4:B6:B1:B8
          inet addr:192.168.8.1  Bcast:192.168.8.255  Mask:255.255.255.0
          inet6 addr: fe80::9683:c4ff:feb6:b1b8/64 Scope:Link
          inet6 addr: fde4:c780:ca61:20::1/64 Scope:Global
          inet6 addr: 2a02:xxxx:xxxx:f620::1/64 Scope:Global

Les équipements raccordés sur lan ou lan2 récupèrement bien une adresse IP globale, et peuvent communiquer en IPv6 avec l'extérieur.

Maintenant, je vais m'attaquer à la partie firewall.

Les règles actuelles me semblent pas trop mal pour protéger les équipements ; au moins de l'extérieur.
Il y a la règle par défaut :

Code: [Sélectionner]

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
...

Puis la partie wan :

Code: [Sélectionner]

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'
        list network 'wan6'

ensuite quelques règles autorisant DHCPv6, icmp, ...

L'étanchéité entre lan et lan2 est faite grace à la règle par défaut

Ensuite la partie vlan ; la doc DSA Mini-Tutorial devrait me permettre de m'en sortir.

Merci beaucoup ...

basilix · « **Réponse #4 le:** 03 février 2026 à 19:50:26 »

Certaines options sont redondantes.

Code: [Sélectionner]

        option ra 'server'
        option dhcpv6 'server'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

ra_flags 'managed-config' est équivalent à DHCPv6 avec état.

ra_flags 'other-config' est équivalent à DHCPv6 sans état.

option ra 'server'
option dhcpv6 'server'

~~Les deux mécanismes d’auto-configuration SLAAC et DHCPv6 sont activés sur le même réseau.~~

[04/02/26]

J'ai mélangé les options dans mes souvenirs. Voir modif. dans le post ci-dessous.

basilix · « **Réponse #5 le:** 04 février 2026 à 05:52:30 »

SLAAC

Code: [Sélectionner]

# cat /etc/config/dhcp
config dhcp lan
    option dhcpv6 disabled
    option ra server
    list ra_flags 'none'
    ...

SLAAC + DHCPv6 sans état

Code: [Sélectionner]

# cat /etc/config/dhcp
config dhcp lan
    option dhcpv6 server
    option ra server
    list ra_flags 'other-config'
    ...

DHCPv6 avec état

Code: [Sélectionner]

# cat /etc/config/dhcp
config dhcp lan
    option dhcpv6 server
    option ra server
    option ra_slaac 0
    list ra_flags 'managed-config'
    ...

Hyperliens

IPv6 configuration: Router Advertisement & DHCPv6
odhcpd: README.md

vmath54 · « **Réponse #6 le:** 05 février 2026 à 13:10:00 »

Pour cette partie SLAAC - DHCPv6, j'ai paramétré br-lan2 à l'identique de br-lan, qui avait été paramétré automatiquement, lors de la mise en route.

Donc, dans mon cas, il y a activation de SLAAC et DHCPv6 stateless et statefull sur ces réseaux.
Peut-être que SLAAC seul suffirait ? Je n'ai pas d'options DHCP spécifiques à pousser vers les équipements raccordés.

basilix · « **Réponse #7 le:** 05 février 2026 à 21:37:37 »

Les deux mécanismes d'auto-configuration ~~avec état~~ (ne pas faire d'amalgame entre état et adresse) font redondance. Par contre, on peut combiner SLAAC et DHCPv6 sans état (c'est prévu).

Citer

M 1-bit "Managed address configuration" flag. When set, it indicates that addresses are available via Dynamic Host Configuration Protocol [DHCPv6]. If the M flag is set, the O flag is redundant and
can be ignored because DHCPv6 will return all available configuration information.

O 1-bit "Other configuration" flag. When set, it indicates that other configuration information is available via DHCPv6. Examples of such information are DNS-related information or information on other
servers within the network.

Source : RFC 4861, page 20

Citation de: vmath54

Peut-être que SLAAC seul suffirait ? Je n'ai pas d'options DHCP spécifiques à pousser vers les équipements raccordés.

Je ne sais pas. Mon usage est assez avancé. Je constate que je ne maîtrise pas suffisamment le sujet. Il faudrait que je lise plusieurs docs.
Il y a le problème de la résolution de noms sur mon réseau local segmenté en sous-réseaux. Techniquement, je ne sais plus s'il faut du
DHCPv6 pour mettre à jour les enregistrements DNS.

J'ai travaillé sur odhcpd. Sur OpenWrt, un serveur DHCPv6 activé (en plus ou en moins) ne devrait plus me poser trop de problème.

vmath54 · « **Réponse #8 le:** **Hier** à 18:24:15 »

Après avoir traité la partie IPv6, je viens de faire la partie vlan.
Il y a deux manières de le faire avec DSA dans openwrt ; j'ai choisi l'option "Bridging all LAN ports" : https://openwrt.org/docs/guide-user/network/dsa/dsa-mini-tutorial#bridging_all_lan_ports

C'est facile (quand on a compris), il faut juste faire attention de ne pas se couper les pattes lors de la manip initiale.
Ca simplifie ma conf précédente : je n'ai plus de bridge br-lan2 : le bridge br-lan contient maintenant tous les ports LAN, et le dispatch se fait dans la partie "Bridge VLAN filtering" de br-lan.

Tout fonctionne comme je le voulais ; merci de votre aide.

Il ya une chose que ne suis pas sur de bien comprendre ; c'est l'option "Primary VLAN" (PVID, je suppose).
Quand faut-il la cocher, et pourquoi ?
Pour le moment, je ne l'ai cochée nulle part.

basilix · « **Réponse #9 le:** **Hier** à 19:15:32 »

Un PVID affecte un VLAN ID spécifique aux trames entrantes non taguées.

Une station émet des trames sans configuration particulière. L'admin. réseau configure le commutateur pour créer des sous-réseaux.
Les VLANs ont été intégré dans les commutateurs pour simplifier les branchements complexes et éviter de devoir remplacer toutes
les cartes réseaux non compatibles avec le standard 802.1Q.

Il me semble que ce n'est pas indispensable de spécifier le PVID d'un port lorsque celui-ci est en mode « access ». En mode « trunk »,
le port supporte plusieurs VLANs donc il faut préciser le PVID du port. Je ne sais pas si le PVID est celui définit par port ou par défaut.
Dans la doc. de mon commutateur Netgear il est indiqué qu'on peut spécifier un PVID par défaut, par port, ou encore par protocole.

vmath54 · « **Réponse #10 le:** **Aujourd'hui** à 16:40:12 »

Merci @basilix pour les infos concernant le PVID. J'ai également trouvé de l'info ici :
https://openwrt.org/docs/guide-user/network/dsa/converting-to-dsa#untagged_tagged_and_pvid

Ce que j'ai mis en place me convient coté fonctionnel, et la gestion des vlans est facile ; mais la remarque de @Paul concernant l'accélération matérielle, en début de ce fil, me titille.

J'ai à nouveau consulté cette doc : https://openwrt.org/docs/guide-user/network/vlan/switch_configuration
En particulier celle qui permet de savoir si le routeur dispose d'un switch hardware :
https://openwrt.org/docs/guide-user/network/vlan/switch_configuration#is_there_a_vlan-capable_hardware_switch_integrated_in_your_device

Voici ce que ca donne chez moi :

Code: [Sélectionner]

# ls -l /sys/class/net
lrwxrwxrwx    1 root     root             0 Feb  7 18:02 br-lan -> ../../devices/virtual/net/br-lan
lrwxrwxrwx    1 root     root             0 Feb  7 18:02 br-lan.10 -> ../../devices/virtual/net/br-lan.10
lrwxrwxrwx    1 root     root             0 Feb  7 18:02 br-lan.80 -> ../../devices/virtual/net/br-lan.80
lrwxrwxrwx    1 root     root             0 Jan  1  1970 eth0 -> ../../devices/platform/soc/15100000.ethernet/net/eth0
lrwxrwxrwx    1 root     root             0 Jan  1  1970 eth1 -> ../../devices/platform/soc/15100000.ethernet/net/eth1
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lan1 -> ../../devices/platform/soc/15100000.ethernet/mdio_bus/mdio-bus/mdio-bus:1f/net/lan1
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lan2 -> ../../devices/platform/soc/15100000.ethernet/mdio_bus/mdio-bus/mdio-bus:1f/net/lan2
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lan3 -> ../../devices/platform/soc/15100000.ethernet/mdio_bus/mdio-bus/mdio-bus:1f/net/lan3
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lan4 -> ../../devices/platform/soc/15100000.ethernet/mdio_bus/mdio-bus/mdio-bus:1f/net/lan4
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lan5 -> ../../devices/platform/soc/15100000.ethernet/mdio_bus/mdio-bus/mdio-bus:1f/net/lan5

br-lan est le bridge déclaré dans le routeur, qui contient les ports lan1 à lan5
br-lan.10 et br-lan.80 sont les 2 vlans que j'ai créé selon la technique précédente (Bridge VLAN filtering).

J'essaie de savoir si mon routeur (flint 2) dispose d'un switch matériel, qui pilote lan1 à lan5.

Mon routeur dispose de 2 ports à 2.5Gb, étiquetés WAN ; le second est également étiqueté lan1. Et de 4 ports à 1 Gb, etiquetés lan2 à lan5.
eth1 est le premier port physique, celui relié aux interfaces wan et wan6. eth2 n'apparait pas dans les fichiers de conf. En creusant un peu, je trouve ceci :

Code: [Sélectionner]

# ls -al /sys/devices/platform/soc/15100000.ethernet/net/eth0/
...
lrwxrwxrwx    1 root     root             0 Feb  8 14:30 upper_lan1 -> ../../mdio_bus/mdio-bus/mdio-bus:1f/net/lan1
lrwxrwxrwx    1 root     root             0 Feb  8 14:30 upper_lan2 -> ../../mdio_bus/mdio-bus/mdio-bus:1f/net/lan2
lrwxrwxrwx    1 root     root             0 Feb  8 14:30 upper_lan3 -> ../../mdio_bus/mdio-bus/mdio-bus:1f/net/lan3
lrwxrwxrwx    1 root     root             0 Feb  8 14:30 upper_lan4 -> ../../mdio_bus/mdio-bus/mdio-bus:1f/net/lan4
lrwxrwxrwx    1 root     root             0 Feb  8 14:30 upper_lan5 -> ../../mdio_bus/mdio-bus/mdio-bus:1f/net/lan5

Ca tend à me confirmer que le routeur comprend bien un switch hardware, qui contient lan1 à lan5.

Si je reviens à la doc précédente, paragraphe "Assigning VLAN IDs on VLAN-enabled switch hardware", j'ai l'impression que, pour bénéficier du switch matériel, il ne faudrait pas que je déclare mes vlans comme je l'ai fait, et qu'il faudrait plutot déclarer chaque vlan comme un device de type "VLAN 802.1q". C'est bien cela ?
Difficile à bien comprendre la doc : cette section concerne les systèmes qui n'utilisent pas DSA ...

[EDIT] Je confirme pour le switch physique : https://openwrt.org/toh/gl.inet/gl-mt6000#switch