Petit complément concernant le firewall :
Pour le nouveau sous-réseau, j'ai suivi les différentes doc que l'on peut trouver à ce sujet ; par exemple
https://openwrt.org/docs/guide-user/network/wifi/guestwifi/configuration_webinterface#firewallj'ai crée une zone guest, avec un reject en input :
config zone
option name 'guest'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
list network 'guest' Ce reject en input interdit toute communication entre le sous-réseau et le routeur. En particulier, ssh, http, ...
il est indiqué qu'il faut ajouter la règle suivante pour permette les requetes DHCP et DNS du nouveau réseau vers le routeur :
config rule
option src 'guest'
option name 'Allow-DHCP-DNS-Guest'
option dest_port '53 67 68'
option target 'ACCEPT'Ca marche bien pour IPv4, mais pas pour IPv6. Après avoir fait du debug, j'ai modifié la règle précédente comme cela :
config rule
option src 'guest'
option name 'Allow-DHCP-DNS-Guest'
option dest_port '53 67 68 546 547'
option target 'ACCEPT'les ports 546 et 547 sont nécessaires pour DHCPv6
Ca n'était pas suffisant : lors de la connexion d'un nouvel équipement dans le sous-réseau, de nombreuses requetes ICMPv6 sont générées vers le routeur.
- J'ai dupliqué la règle 'Allow-ICMPv6-Input' et renommé la nouvelle règle en 'Allow-ICMPv6-Input-All'
- j'ai modifié la zone source pour la règle Allow-ICMPv6-Input-All : de wan à any
- j'ai désactivé la règle Allow-ICMPv6-Input
Maintenant, les équipements du réseau guest peuvent communiquer complètement en IPv4 et IPv6
Je pense avoir maintenant toutes les billes pour mettre en place des sous-réseaux opérationnels, qui fonctionnent correctement en IPv4 et IPv6
Merci de votre aide
OpenWrt