Pages: [1]   En bas

Auteur Sujet: wireguard en ipv6 sur opnsense 24.7 avec orange pro  (Lu 673 fois)

0 Membres et 1 Invité sur ce sujet

guldil

  • Abonné Orange Fibre
  • *
  • Messages: 61
wireguard en ipv6 sur opnsense 24.7 avec orange pro
« le: 15 mars 2025 à 18:19:34 »
Bonjour,

J'ai une configuration fonctionnelle en Opnsense sur Orange Pro FTTH et mon propre ONT.
j'ai donc une ipv4 fixe et une ipv6 fixe, je passe par DHCP pour les récupérer (pas de PPPOE).
Le Wireguard fonctionne en IPV4, c'est à dire que mon pc portable avec un partage en 4G se connecte bien et ressort bien sur internet avec l'IP fixe v4 attribué par Orange.
J'ai également accès à mes tunnels IPSEC par ce biais.

Ce que je voudrai maintenant c'est réussir à monter le tunnel sur l'IPV6 aussi et donc réussir à me connecter à mon VPN même si je suis dans un environnement sans ipv4 ou aller sur internet en ipv6.

Et là je sèche, je suis un peu perdu avec les histoire de LUA, GA et le reste...

Si quelqu'un a réussi je suis pas contre un petit coup de main ;-)

Merci

Guldil
« Modifié: 17 mars 2025 à 21:13:19 par guldil »
IP archivée

kgersen

  • Modérateur
  • Abonné Orange Fibre
  • *
  • Messages: 9 539
  • Paris (75)
wireguad en ipv6 sur opnsense 24.4 avec orange pro
« Réponse #1 le: 15 mars 2025 à 23:53:10 »
pour faire soi-meme:

apprendre les bases d'IPv6: Link-local, GUA, configuration IPv6 sur les interfaces, préfixes découpage prefixes

Faire passer le tunnel sur IPv6 c'est assez simple, il faut une IPv6 GUA (donc public) fixe coté serveur et configuré wireguard dessus. ca sera ton "endpoint" à mettre dans les clients wirguard. Cette IPv6 n'a pas besoin d'être forcement sur l'interface wan mais elle doit être fixe (ou dyndns sinon) et le port accessible niveau firewall.

Faire passer IPv6 dans le tunnel (qu'il soit lui sur IPv4 ou IPv6 c'est pareil) pour sortir avec une IPv6 de ta livebox c'est plus complexe: il faut réserver un prefix GUA /64 pour cela et l'affecter aux clients wireguard (un peu comme un pool en IPv4).

Le problème c'est ton prefix IPv6 (le /56 attribué par Orange) n'est pas forcement stable et peu changé (encore que avec Orange Pro c'est peut-être stable).


c'est complexe...

sinon y'a tailscale.com qui te permet de faire ca sans gérer toi-meme la conf de wireguard.

https://tailscale.com/kb/1097/install-opnsense

Y'a des alternatives "full selfhosted" a Tailscale, notamment https://www.netmaker.io/ (mais avec opnsense c'est pas simple)
voir (overlay networks): https://github.com/anderspitman/awesome-tunneling#overlay-networks-and-other-advanced-tools
IP archivée

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 725
  • Antibes (06) / Mercury (73)
wireguad en ipv6 sur opnsense 24.4 avec orange pro
« Réponse #2 le: 16 mars 2025 à 17:34:58 »
Le vrai problème avec WireGuard dans le contexte IPv6 d’Orange c’est que WireGuard ne supporte pas l’assignation dynamique d’adresses à partir du serveur. Les IP sont donc assignées statiquement sur chaque client, et si le préfixe d’Orange change il faut reprendre toutes les configs…

Moi je m’en sors en attribuant des IPv6 dans un préfixe ULA et je fais du « netmap » entre ce préfixe ULA et un préfixe GUA issu du /56 d’Orange sur mon routeur (mikrotik): Quand mon préfixe Orange change, seule la règle netmap a besoin d’être changée.

Le problème de cette solution, c’est qu’en cas de VPN dual stack avec IPv6 ULA, l’IPv4 sera systématiquement préférée à l’IPv6. Du coup mon VPN WireGuard est IPv6 only, et j’ai donc du mettre en œuvre un serveur DNS64 ainsi qu’une passerelle 6to4 sur mon réseau afin de pouvoir joindre les sites IPv4 only.
IP archivée

guldil

  • Abonné Orange Fibre
  • *
  • Messages: 61
wireguad en ipv6 sur opnsense 24.4 avec orange pro
« Réponse #3 le: 16 mars 2025 à 17:37:18 »
Bonjour Kgersen,

Citation de: kgersen le 15 mars 2025 à 23:53:10
pour faire soi-meme:

apprendre les bases d'IPv6: Link-local, GUA, configuration IPv6 sur les interfaces, préfixes découpage prefixes


Oui je pense que je vais commencer par là, car j'ai pas les bases...

Citation de: kgersen le 15 mars 2025 à 23:53:10
Faire passer le tunnel sur IPv6 c'est assez simple, il faut une IPv6 GUA (donc public) fixe coté serveur et configuré wireguard dessus. ca sera ton "endpoint" à mettre dans les clients wirguard. Cette IPv6 n'a pas besoin d'être forcement sur l'interface wan mais elle doit être fixe (ou dyndns sinon) et le port accessible niveau firewall.

Pour le coup, simplement ouvrir en IPV6 le port 51820 de Wireguard ne suffit pas, la connexion ne fonctionne pas, handshake failed. Et pourtant c'est la bonne ipv6 de mon opnsense car je sais la ping (et la bloquer en fermant le ping icmp v6).

Citation de: kgersen le 15 mars 2025 à 23:53:10
Faire passer IPv6 dans le tunnel (qu'il soit lui sur IPv4 ou IPv6 c'est pareil) pour sortir avec une IPv6 de ta livebox c'est plus complexe: il faut réserver un prefix GUA /64 pour cela et l'affecter aux clients wireguard (un peu comme un pool en IPv4).

Le problème c'est ton prefix IPv6 (le /56 attribué par Orange) n'est pas forcement stable et peu changé (encore que avec Orange Pro c'est peut-être stable).

c'est complexe...


A priori avec Orange Pro c'est fixe, comme l'ipv4 d'ailleurs.

Citation de: kgersen le 15 mars 2025 à 23:53:10

sinon y'a tailscale.com qui te permet de faire ca sans gérer toi-meme la conf de wireguard.

https://tailscale.com/kb/1097/install-opnsense

Y'a des alternatives "full selfhosted" a Tailscale, notamment https://www.netmaker.io/ (mais avec opnsense c'est pas simple)
voir (overlay networks): https://github.com/anderspitman/awesome-tunneling#overlay-networks-and-other-advanced-tools

Je prefere rester sur un systeme avec juste mon opsense en mode labs ;-)

Merci en tout cas, je vais continuer de creuser ce sujet !
IP archivée

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 725
  • Antibes (06) / Mercury (73)
wireguad en ipv6 sur opnsense 24.4 avec orange pro
« Réponse #4 le: 16 mars 2025 à 17:41:13 »
Citation de: guldil le 16 mars 2025 à 17:37:18
Pour le coup, simplement ouvrir en IPV6 le port 51820 de Wireguard ne suffit pas, la connexion ne fonctionne pas, handshake failed. Et pourtant c'est la bonne ipv6 de mon opnsense car je sais la ping (et la bloquer en fermant le ping icmp v6).
Ça devrait pourtant…

Par contre attention, si la connexion au VPN s’effectue avec un FQDN ayant un enregistrement A et un AAAA, alors WireGuard va systématiquement privilégier La connexion au VPN en IPv4. Et ce n’est pas un hasard c’est explicitement implémenté pour forcer cette préférence dans le code source.
IP archivée

guldil

  • Abonné Orange Fibre
  • *
  • Messages: 61
wireguad en ipv6 sur opnsense 24.4 avec orange pro
« Réponse #5 le: 17 mars 2025 à 09:35:11 »
Citation de: zoc le 16 mars 2025 à 17:41:13
Ça devrait pourtant…

J'ai trouvé mon erreur, çà fonctionne maintenant.

En fait sur dans Firewall \ Rules \ WAN le port 51820 était ouvert que pour la destination "WAN Address".
Cela fonctionne en IPV4 mais pas pour l'IPV6.
En mettant"Any" çà passe alors parfaitement et mon PC Portable montre bien un Tunnel IPV6 avec WireGuard. Ensuite je sors sur internet en IPV4 "only" (logique).
IP archivée
Pages: [1]   En haut