Auteur Sujet: Livebox 6 DHCPV6-PD ne délègue pas de préfixe (Lu 18698 fois)

zfil · « **le:** 25 mars 2023 à 14:46:02 »

Bonjour

Je viens de migrer d'une offre fibre jet avec une livebox play remplacée par ER4 vers une offre Max avec la livebox 6.

J'ai connecté derrière la livebox en DMZ mon edgerouter mais je n'arrive pas à obtenir une délégation de préfixe IPV6, je vois bien les requêtes émise par l'ER4 mais la livebox ne répond pas.

Voici la config de mon ER4 (firmware 2.0.9 hotfix 6).

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN IPv6 inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 3000 {
            action accept
            description "Allow ICMPv6 (Echo request)"
            icmpv6 {
                type 128
            }
            limit {
                burst 5
                rate 30/minute
            }
            protocol ipv6-icmp
        }
        rule 3010 {
            action accept
            description "Allow ICMPv6 (Destination Unreachable)"
            icmpv6 {
                type 1
            }
            protocol ipv6-icmp
        }
        rule 3020 {
            action accept
            description "Allow ICMPv6 (Packet Too Big)"
            icmpv6 {
                type 2
            }
            protocol ipv6-icmp
        }
        rule 3030 {
            action accept
            description "Allow ICMPv6 (Time Exceeded)"
            icmpv6 {
                type 3
            }
            protocol ipv6-icmp
        }
        rule 3040 {
            action accept
            description "Allow ICMPv6 (Parameter Problem)"
            icmpv6 {
                type 4
            }
            protocol ipv6-icmp
        }
        rule 3100 {
            action accept
            description "Allow ICMPv6 (All other types)"
            limit {
                burst 5
                rate 5/second
            }
            protocol ipv6-icmp
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN IPv6 inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
            log enable
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
            log enable
        }
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
}
interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        dhcpv6-pd {
            no-dns
            pd 0 {
                interface eth1 {
                    no-dns
                    service slaac
                }
                prefix-length /64
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth1 {
        address 192.168.0.1/24
        description LAN
        duplex auto
        speed auto
    }
    ethernet eth2 {
        duplex auto
        speed auto
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN_HOME {
            authoritative enable
            subnet 192.168.0.0/24 {
                default-router 192.168.0.1
                dns-server 192.168.0.1
                domain-name invitro.lan
                lease 3600
                ntp-server 192.168.0.1
                start 192.168.0.100 {
                    stop 192.168.0.200
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        forwarding {
            cache-size 10000
            listen-on eth1
            name-server 1.1.1.1
            name-server 1.0.0.1
            options bogus-priv
            options domain-needed
            options rebind-localhost-ok
            options stop-dns-rebind
        }
    }
    gui {
        http-port 80
        https-port 443
        listen-address 192.168.0.1
        older-ciphers disable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            log disable
            outbound-interface eth0
            type masquerade
        }
    }
    snmp {
        community public {
            authorization ro
        }
        listen-address 192.168.0.1 {
            port 161
        }
    }
    ssh {
        listen-address 192.168.0.1
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
    upnp2 {
        acl {
            rule 200 {
                action allow
                external-port 1024-65535
                local-port 0-65535
                subnet 192.168.0.0/24
            }
            rule 9000 {
                action deny
                description "Deny all"
                external-port 0-65535
                local-port 0-65535
                subnet 0.0.0.0/0
            }
        }
        listen-on eth1
        nat-pmp enable
        port 34651
        secure-mode enable
        wan eth0
    }
}
system {
    analytics-handler {
        send-analytics-report true
    }
    conntrack {
        expect-table-size 2048
        hash-size 32768
        ignore {
            rule 10 {
                destination {
                    address 255.255.255.255
                }
            }
        }
        modules {
            h323 {
                disable
            }
            sip {
                disable
            }
            tftp {
                disable
            }
        }
        table-size 262144
        timeout {
            icmp 10
            other 600
            tcp {
                close 10
                close-wait 10
                established 86400
                fin-wait 10
                last-ack 10
                syn-recv 5
                syn-sent 5
                time-wait 10
            }
        }
    }
    crash-handler {
        send-crash-report true
    }
    domain-name invitro.lan
    host-name er4
    login {
    }
    name-server 192.168.1.1
    ntp {
        server time1.google.com {
        }
        server time2.google.com {
        }
        server time3.google.com {
        }
        server time4.google.com {
        }
        server time.cloudflare.com {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            bonding enable
            forwarding enable
            gre enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    packet-rx-core-num 1
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
}

Avec un tcpdump je vois bien les solicits partir de mon routeur mais jamais de réponses ...

Code: [Sélectionner]

14:43:38.346059 IP6 (flowlabel 0x94456, hlim 1, next-header UDP (17) payload length: 109) fe80::6ad7:9aff:fe49:ff8e.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=bde0c3 (client-ID hwaddr/time type 1 time 733061955 68d79a49ff8d) (IA_NA IAID:0 T1:0 T2:0) (rapid-commit) (elapsed-time 65535) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:0 T2:0 (IA_PD-prefix ::/64 pltime:4294967295 vltime:4294967295)))

Je ne comprends pas ce que je rate, pourquoi la LB6 ne réponds pas ?

renaud07 · « **Réponse #1 le:** 25 mars 2023 à 16:53:23 »

Essaies de désactiver le rapid-commit. Orange ne le supporte pas côté WAN, m’étonnerais pas qu'ils aient foutu une limitation du style sur la box aussi.

Et autre info importante, mais je pense que t'es déjà au courant : tu ne peux pas demander plus qu'un /64 pour un même équipement. Donc si t'as d'autres LAN à adresser, c'est mort.

zfil · « **Réponse #2 le:** 25 mars 2023 à 17:31:39 »

Hélas j'ai déjà essayé désactiver le rapid-commit sans résultats

renaud07 · « **Réponse #3 le:** 25 mars 2023 à 17:51:28 »

La délégation de préfixe est bien activée sur la box ? L'ipv6 marche correctement en direct ?

zfil · « **Réponse #4 le:** 25 mars 2023 à 19:26:47 »

Oui, c’est activé et je peux faire fonctionner l’ipv6 sur une équipement directement connecté à la livebox …

renaud07 · « **Réponse #5 le:** 25 mars 2023 à 19:53:13 »

Hum... Un reboot ne change rien ? Sinon tentes un reset. Et en dernier recours, appelle le SAV pour faire changer la box. À moins que ce soit le firmware qui soit bugué vu les derniers retours concernant l'ipv6, ils ont peut-être foiré cette partie également

zfil · « **Réponse #6 le:** 25 mars 2023 à 20:01:17 »

J’ai fais ça aussi … et j’ai reçu ma 2eme box aujourd’hui aucun changement…

Je pense pas que ce soit le firmware de la lb6 qui pose problème car j’ai un collègue qui a la même version et ça fonctionne…
Par contre il utilise une dream machine unify à la place de mon edgerouter.

Ce qui me rend complètement perplexe c’est que je ne comprends pas pkoi la lb ne réponds pas a mes solicits …
Ce que je vois dans le tcpdump me semble tout à fait correct.
Il doit y avoir un truc qui m’échappe

renaud07 · « **Réponse #7 le:** 25 mars 2023 à 20:08:27 »

Tu as comparé le solicit de l'UDM avec l'ER4 ?

zfil · « **Réponse #8 le:** 25 mars 2023 à 23:47:07 »

Ca c'est le solicit de l'UDM:

Code: [Sélectionner]

19:19:23.037026 IP6 (flowlabel 0x79f26, hlim 1, next-header UDP (17) payload length: 138) fe80::72a7:41ff:fe7b:707b.546 > ff02::1:2.547: [bad udp cksum 0x21c0 -> 0xf927!] dhcp6 solicit (xid=d53cba (elapsed-time 0) (option-request SIP-servers-domain SIP-servers-address DNS-server DNS-search-list SNTP-servers NTP-server AFTR-Name opt_67 opt_94 opt_95 opt_96 opt_82) (client-ID hwaddr type 1 70a7417b707b) (reconfigure-accept) (Client-FQDN) (IA_NA IAID:1 T1:0 T2:0) (IA_PD IAID:1 T1:0 T2:0 (IA_PD-prefix ::/64 pltime:0 vltime:0)))

Ca celui de l'ER4 sans le rapid-commit

Code: [Sélectionner]

27:28.562793 IP6 (flowlabel 0x64ca6, hlim 1, next-header UDP (17) payload length: 105) fe80::6ad7:9aff:fe49:ff8e.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=f25245 (client-ID hwaddr/time type 1 time 733061955 68d79a49ff8d) (IA_NA IAID:0 T1:0 T2:0) (elapsed-time 13435) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:0 T2:0 (IA_PD-prefix ::/64 pltime:4294967295 vltime:4294967295)))

l'UDM demande plus d'options, IAID à 1 au lieu de 0 (mais ça ne devrait rien changer ...) par contre y'a les options reconfigure-accept et Client-FQDN ...

renaud07 · « **Réponse #9 le:** 26 mars 2023 à 00:14:28 »

J'ai revérfié les captures de x0r sur son blog : https://x0r.fr/blog/76

Il a le rapid commit activé et demande seulement les DNS et le domain search list et ça fonctionne...

Franchement, je ne sais pas quoi te dire. Il faudrait tester ton ER4 sur la box de ton collègue pour être fixé.

zfil · « **Réponse #10 le:** 26 mars 2023 à 00:52:13 »

Après x0r est sur une LB4.

Sinon je viens de virer dhcpv6-pd et configurer directement le dhcpv6 (address dhcpv6).
Du coup coté ER4 il utilise le client ISC DHCP au lieu de Wide-dhcpv6 ...

Code: [Sélectionner]

:44:52.794205 IP6 (flowlabel 0xb2c15, hlim 1, next-header UDP (17) payload length: 60) fe80::6ad7:9aff:fe49:ff8e.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=600374 (client-ID hwaddr/time type 1 time 733102899 68d79a49ff8e) (option-request DNS-server DNS-search-list) (elapsed-time 19332) (IA_NA IAID:2588540814 T1:3600 T2:5400))

Toujours aucune réponse de la livebox ...
Faut que je fasse le test avec un autre équipement pour voir. Je comprends plus rien.

simon · « **Réponse #11 le:** 26 mars 2023 à 08:54:23 »

C'est une tangeante, mais tu gagnerais probablement plus à remplacer la Livebox par ton ER4. Il est bien supporté par OpenWRT et il y a déjà des configs toutes prêtes pour Orange sur ce forum.