Auteur Sujet: [feature request] Modification DNSv6  (Lu 850 fois)

0 Membres et 1 Invité sur ce sujet

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
[feature request] Modification DNSv6
« le: 19 décembre 2022 à 11:26:04 »
Bonjour,

sur LB5 Pro, j'ai moyen de modifier les DNSv4 et cela convenait bien jusqu'à ce que la LB s'annonce elle-même en serveur DNSv6. Mes appareils choisissent donc d'interroger en priorité le DNSv6, ce qui casse l'intérêt d'avoir des DNS personnalisés qui apportent un cran de sécurité supplémentaire sur le réseau (1.1.1.2).

Je ne peux mettre en dur les DNS puisque j'ai des VPN qui viennent se greffer et les DNS poussés sont des DC qui permettent de résoudre des serveurs locaux avec des suffixes différents. Lors de déplacements, c'était très pénible de modifier à la main les suffixes et les DNS à cause de la LB qui ne diffusait pas les bons DNS. Après une mise à jour, cela s'est mis à fonctionner, jusqu'à maintenant où les DNSv6 sont prioritaires sur les v4.

Si quelqu'un d'Orange passe par là pour transférer cette demande à la division logicielle, merci d'avance.

---

En attendant, y'a t-il un moyen, par exemple avec un MikroTik de spoofer ou de bloquer la diffusion sur le réseau des DNSv6 sans avoir à désactiver la pile v6 entière, ou sans devoir faire de la PD derrière la LB ?

nslookup
> malware.testcategory.com
Server: 2a01:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx
Address: 2a01:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx#53

Non-authoritative answer:
Name: malware.testcategory.com
Address: 104.18.5.35
Name: malware.testcategory.com
Address: 104.18.4.35
> server 1.1.1.2
Default server: 1.1.1.2
Address: 1.1.1.2#53
> malware.testcategory.com
Server: 1.1.1.2
Address: 1.1.1.2#53

Non-authoritative answer:
Name: malware.testcategory.com
Address: 0.0.0.0
>

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
[feature request] Modification DNSv6
« Réponse #1 le: 26 décembre 2022 à 15:02:28 »
Pour ceux que cela intéresse, j'ai réussi à faire ce que je voulais avec un MikroTik :

Avoir un switch compatible RouterOS et appliquez ces commandes :

/ipv6 pool
add name=ULA-pool6 prefix=fd00::/64 prefix-length=64

Pour créer un pool d'adresse ULA qui semble être prioritaires sur les autres types d'IPv6

---

/ipv6 address
add address=fd00::1 comment="IPv6 ULA address" interface=bridge

Pour affecter une adresse ULA à votre bridge

---

/ipv6 nd
set [ find default=yes ] dns=2606:4700:4700::1112 interface=bridge

Pour diffuser le DNSv6 de votre choix sur le bridge via ND

---

C'est tout, cela semble bypasser les DNSv6 de la Livebox. Pour ceux en config grand public, vous avez juste à désactiver le serveur DHCPv4 de votre Livebox et d'activer celui de RouterOS, en laissant bien la Livebox en adresse secondaire si vous utilisez des services Orange.

Cela permet de conserver la Livebox et de profiter des mécanismes natifs de qualité de service (voir section) et en même temps d'avoir plus de flexibilité que veut nous donner Orange.


~ % scutil --dns
DNS configuration

resolver #1
  search domain[0] : home
  nameserver[0] : 2606:4700:4700::1112
  nameserver[1] : 1.1.1.2
  nameserver[2] : 10.1.1.1
  if_index : 4 (en0)
  flags    : Request A records, Request AAAA records
  reach    : 0x00000002 (Reachable)

Config complète RouterOS :

/interface bridge
add admin-mac=DC:2C:6E:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=ether5 name=defconf
/ipv6 pool
add name=ULA-pool6 prefix=fd00::/64 prefix-length=64
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether5 network=192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ipv6 address
add address=fd00::1 comment="IPv6 ULA address" interface=bridge
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 nd
set [ find default=yes ] dns=2606:4700:4700::1112 interface=bridge
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

---

Est-ce-que c'est moche, je ne sais pas, peut-être, sûrement, mais cela fonctionne :


iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
[feature request] Modification DNSv6
« Réponse #2 le: 26 décembre 2022 à 17:59:58 »
Deux commandes en + pour Windows :

/ipv6 dhcp-server option
add code=23 name=DNS value=0x26064700470000000000000000001112

/ipv6 dhcp-server
add address-pool=ULA-pool6 dhcp-option=DNS interface=bridge lease-time=30m name=LAN-dhcp6

thinklad

  • Abonné Orange Fibre
  • *
  • Messages: 29
  • Paris (75)
[feature request] Modification DNSv6
« Réponse #3 le: 14 mai 2023 à 19:28:41 »
Merci pour ce post et la solution!
Je ne suis pas encore client Orange Pro mais ça faisait partie de mes points à considérer.

(J’ai fait pas mal de recherche ces dernières semaines mais j’ai beaucoup de mal à obtenir des infos sur la configuration de la Livebox Pro.)

Dans l’interface de gestion du coup, il n’est pas possible du tout de désactiver le DNSv6?

Autre question, un peu tangentielle : j’imagine qu’il n’y a pas de mode passerelle sur la Pro, tout comme sur la LB grand public ?

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 096
  • Alpes Maritimes (06)
[feature request] Modification DNSv6
« Réponse #4 le: 14 mai 2023 à 19:31:07 »
C'est plus radical, mais tu peux désactiver IPv6 complètement ...
Le mode passerelle ça serait un mode Bridge ? Non alors.

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
[feature request] Modification DNSv6
« Réponse #5 le: 14 mai 2023 à 21:22:03 »
La configuration est obsolète et contient des erreurs, j'ai refais un truc "un peu plus propre" que j'ai partagé ici.

Je confirme, ni bridge, ni modification DNSv6 sur la Livebox Pro, qui n'est qu'une Livebox grand public avec quelques fonctions en plus dont voici la liste de ce que j'ai remarqué comme différence :

- Débit montant un peu plus élevé 1000 Mbps contre 800
- Un service client géographiquement "un peu plus proche de la capitale"
- Possible de modifier les DNSv4 du serveur DHCPv4
- Possible de configurer un ou deux ports FXS en mode téléalarme / ascenseur pour la rétrocompatibilité
- Serveur VPN L2TP "roadwarrior" + serveur VPN site à site IKEv1/2
- Routage statique IPv4
- Client DynDNS gratuit intégré
- Backup 4G en option

Sinon chez OBS tu as des forfaits où tu peux mettre n'importe quel routeur car ils te routent des blocs IPv4 sur ton LAN et délégation de préfixe IPv6 classique.