La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => 
Actus Orange => Discussion démarrée par: alex_ le 23 avril 2023 à 21:44:00
-
Anciennement chez Free puis SFR je pouvais modifier les DNS de la box pour y mettre à la place mon pi-hole, je vois que ce n'est pas possible avec Orange. Aucune solution hormis utiliser un autre routeur (ce que je souhaite éviter). Merci !
-
Pour utiliser Pi-Hole avec la résolution DNS, il faut désactiver le serveur DHCP de la Livebox et activer celui du Pi-Hole. Les demandes de DHCP seront traités automatiquement par les appareils pour obtenir un IP via le Pi-Hole.
-
Encore que pas sûr.
La Livebox annonce aussi son DNS... en IPv6. Du coup, tu te retrouves avec le pihole en v4 et la box en v6.
Et selon ce que client choisi, tu auras ou non le blocage des pubs voir intermittent (genre windows alterne entre v4 et v6). Il faut donc définir manuellement le DNS en IPv6. Et sous Linux, sélectionner "automatique, adresses uniquement" si on utilise netwok manager et rajouter si on veut le DNS en v6, sinon tout passera en v4.
Sur smartphone par contre, aucune action possible. Hormis avoir son propre routeur derrière (ou en remplacement) pour bypasser.
-
J'utilise un Mikrotik hEX pour diffuser un RA + DHCPv6 avec des adresses ULA qui prennent le dessus sur la Livebox et permettent donc d'utiliser des DNS perso, sans la complexité de bypass de box. Effectivement la plupart des OS modernes choisissent le DNS v6 et donc changer les DNS v4 est peu utile.
Cela fait 4 mois que je roule comme ça et cela fonctionne bien, mais il faudrait ouvrir un autre sujet pour parler de ça.
-
Ah intéressant.
Ce que je trouve bizarre, c'est que ça prenne le dessus sur la box, normalement ça devrait venir en complément (rajouter un DNS). Comme si deux routeurs étaient sur le réseau. C'est ce qui se passe chez moi si j'annonce un autre DNS.
Tu balances quoi dans ton RA exactement ? préfixe ULA + DNS + flags M=1 O=0 ou M=0 O=1 ?
Les DHCPv6 du mikrotik et de la LB n'entrent pas en confit par contre ?
-
Re,
alors effectivement cela ne remplace pas, mais ajoute des DNS sur les clients. La Livebox continue de diffuser son DNS en 2a01:[...].
J'ai procédé à une expérience, je n'ai aucune idée de si ce que j'ai fais est conforme en réseau. Personne ne m'a fait de retour dans la section Orange Pro quand j'ai tenté l'expérience.
Ce que je sais :
- Tu peux avoir plusieurs routeurs sur un réseau v6 qui diffusent des RA, les clients se débrouillent avec les adresses qu'ils reçoivent
- Une adresse ULA est prioritaire sur une adresse globale, donc si tu diffuses un Pi-hole en v6, les clients vont préférer automatiquement interroger ton DNS local en ULA
- Ma configuration fonctionne depuis 4 mois
Ce que je ne sais pas :
- Il n'y a aucune info si plusieurs DHCPv6 sur un réseau est toléré
- Je ne sais pas s'il y a un serveur DHCPv6 dans la Livebox
- Je ne sais pas pourquoi mes clients (Windows/Mac/iOS/Autres) préfèrent le DNS Cloudflare par défaut que j'annonce dans le ND et DHCPv6 par rapport à la Livebox en 2a01:[...]
Voici ma conf IPv6 sur mon MikroTik :
/ipv6 dhcp-server option add code=23 name=DNS value=0x26064700470000000000000000001112
/ipv6 dhcp-server option add code=24 name=DOMAIN value=0x03686f6d6500
/ipv6 pool add name=ULA-pool6 prefix=fd00::/64 prefix-length=64
/ipv6 settings set forward=no
/ipv6 address add address=fd00::1 comment="IPv6 ULA address" interface=bridge
/ipv6 dhcp-server add address-pool=ULA-pool6 dhcp-option=DNS,DOMAIN interface=bridge lease-time=30m name=LAN-dhcp6 route-distance=255
/ipv6 nd set [ find default=yes ] advertise-mac-address=no dns=2606:4700:4700::1112 hop-limit=64 interface=bridge ra-lifetime=none ra-preference=low
Très important :
ra-lifetime=none dans le ND, pour indiquer aux clients que ce n'est pas un routeur, quand j'avais une valeur de temps, les clients ne savaient pas trop quoi faire dans de rares moments
route-distance=255 dans le DHCPv6, distance la plus grande pour dire aux clients (ne passez pas par là pour router votre trafic)
ra-preference=low, je ne sais pas quoi mettre comme valeur, priorité low fonctionne, comme le MikroTik ne "route" pas et diffuse uniquement les DNS, cela me semble approprié que la préférence de routage pour les clients soient en low
Remarques :
Windows récupère une IP ULA grace au RA et le DNSv6 également dans le RA
Mes appareils Apple récupèrent une IP ULA dans le RA, mais leur DNSv6 dans le DHCPv6 sans prendre d'IP dans le Pool du DHCPv6 (j'imagine que c'est parce-que j'ai configuré en stateless dans le RA ?)
Je suis obligé d'activer le serveur DHCPv6 pour que mes appareils Apple prennent un DNSv6
Je suis obligé d'affecter une IP ULA au bridge, ce qui popule la section ND > Prefixes dans le MikroTik, sinon Windows ne récupère pas son DNS via le RA
-
J'ai procédé à une expérience, je n'ai aucune idée de si ce que j'ai fais est conforme en réseau. Personne ne m'a fait de retour dans la section Orange Pro quand j'ai tenté l'expérience.
Ce que je sais :
- Tu peux avoir plusieurs routeurs sur un réseau v6 qui diffusent des RA, les clients se débrouillent avec les adresses qu'ils reçoivent
- Une adresse ULA est prioritaire sur une adresse globale, donc si tu diffuses un Pi-hole en v6, les clients vont préférer automatiquement interroger ton DNS local en ULA
- Ma configuration fonctionne depuis 4 mois
-Plusieurs routeurs : exact, c'est possible et prévu dans la norme.
-La ULA n'est justement pas prioritaire, c'est la GUA qui l'est. Mais dans le cas du DNS c'est peut-être simplement l'ordre, par contre je ne sais pas comment influer dessus (hormis être en 100% DHCPv6)
Ce que je ne sais pas :
- Il n'y a aucune info si plusieurs DHCPv6 sur un réseau est toléré
- Je ne sais pas s'il y a un serveur DHCPv6 dans la Livebox
- Je ne sais pas pourquoi mes clients (Windows/Mac/iOS/Autres) préfèrent le DNS Cloudflare par défaut que j'annonce dans le ND et DHCPv6 par rapport à la Livebox en 2a01:[...]
-Multiples DHCPv6 : je n'ai pas trouvé non plus, faut que je cherche un peu plus.
-La livebox intègre bien un DHCPv6, mais stateless seulement on dirait (j'ai vu passer le JSON de l'interface web quand je cherchais pour la délégation de préfixe, et il renvoie IA_NA à 0) mais répond aux information-request
-Chez moi aussi mon DNS ULA se positionne premier, alors que j'annonce aussi une GUA (les DNS google).
Voici ma conf IPv6 sur mon MikroTik :
/ipv6 dhcp-server option add code=23 name=DNS value=0x26064700470000000000000000001112
/ipv6 dhcp-server option add code=24 name=DOMAIN value=0x03686f6d6500
/ipv6 pool add name=ULA-pool6 prefix=fd00::/64 prefix-length=64
/ipv6 settings set forward=no
/ipv6 address add address=fd00::1 comment="IPv6 ULA address" interface=bridge
/ipv6 dhcp-server add address-pool=ULA-pool6 dhcp-option=DNS,DOMAIN interface=bridge lease-time=30m name=LAN-dhcp6 route-distance=255
/ipv6 nd set [ find default=yes ] advertise-mac-address=no dns=2606:4700:4700::1112 hop-limit=64 interface=bridge ra-lifetime=none ra-preference=low
Très important :
ra-lifetime=none dans le ND, pour indiquer aux clients que ce n'est pas un routeur, quand j'avais une valeur de temps, les clients ne savaient pas trop quoi faire dans de rares moments
route-distance=255 dans le DHCPv6, distance la plus grande pour dire aux clients (ne passez pas par là pour router votre trafic)
ra-preference=low, je ne sais pas quoi mettre comme valeur, priorité low fonctionne, comme le MikroTik ne "route" pas et diffuse uniquement les DNS, cela me semble approprié que la préférence de routage pour les clients soient en low
Merci pour la conf. Perso, j'utilise une VM avec radvd, ça revient au même et beaucoup plus souple pour la config :)
RA lifetime : oui il faut bien le mettre à 0 pour pas le déclarer en route par défaut. Par contre pour route distance et la priorité, je pense que ça n'a pas d'importance du moment qu'il n'est pas déclaré en route par défaut.
Windows récupère une IP ULA grace au RA et le DNSv6 également dans le RA
Mes appareils Apple récupèrent une IP ULA dans le RA, mais leur DNSv6 dans le DHCPv6 sans prendre d'IP dans le Pool du DHCPv6 (j'imagine que c'est parce-que j'ai configuré en stateless dans le RA ?)
Pour windows, c'est soit en RDNSS (dans les RA) soit DHCPv6, mais c'est un peu cassé. Sur windows 11, le RDNSS ne fonctionne pas si v4 activé. Il faut du DHCPv6. Sur 10, le RDNSS fonctionne normalement (enfin à partir de la 1703, mais je suppose que tu n'as pas l'utilité des versions antérieures).
Je suis obligé d'activer le serveur DHCPv6 pour que mes appareils Apple prennent un DNSv6
Je suis obligé d'affecter une IP ULA au bridge, ce qui popule la section ND > Prefixes dans le MikroTik, sinon Windows ne récupère pas son DNS via le RA
iOS et macOS ne savent pas faire du RDNSS ? J'avais pourtant lu le contraire, bizarre.
-
Merci pour tes précisions
-La ULA n'est justement pas prioritaire, c'est la GUA qui l'est. Mais dans le cas du DNS c'est peut-être simplement l'ordre, par contre je ne sais pas comment influer dessus (hormis être en 100% DHCPv6)
-Chez moi aussi mon DNS ULA se positionne premier, alors que j'annonce aussi une GUA (les DNS google).
Pourtant, ce site (https://www.22decembre.eu/fr/2016/12/02/ula/) explique que ULA est prioritaire, qu'est-ce-qui te fait dire que GUA est prioritaire sur ULA ?
Pour windows, c'est soit en RDNSS (dans les RA) soit DHCPv6, mais c'est un peu cassé. Sur windows 11, le RDNSS ne fonctionne pas si v4 activé. Il faut du DHCPv6. Sur 10, le RDNSS fonctionne normalement (enfin à partir de la 1703, mais je suppose que tu n'as pas l'utilité des versions antérieures).
J'utilise pas Windows 11, uniquement 10 et effectivement RDNSS fonctionne
iOS et macOS ne savent pas faire du RDNSS ? J'avais pourtant lu le contraire, bizarre.
Peut-être, je n'ai pas cherché, mais pour rappel je suis dans une sale situation réseau, où il n'y a aucun moyen de désactiver la diffusion des DNSv6 de la Livebox
-
Pourtant, ce site (https://www.22decembre.eu/fr/2016/12/02/ula/) explique que ULA est prioritaire, qu'est-ce-qui te fait dire que GUA est prioritaire sur ULA ?
Le mec se trompe, c'est toujours GUA > ULA. Si dans le DNS tu mets GUA + ULA, le système va toujours choisir la GUA. À moins bien sûr d'une configuration contraire.
-
Le mec se trompe, c'est toujours GUA > ULA. Si dans le DNS tu mets GUA + ULA, le système va toujours choisir la GUA. À moins bien sûr d'une configuration contraire.
J'ai cherché, à part la ToS par défaut changée dans les RFC je n'ai pas trouvé d'explication claire. La priorité serait GUA > RFC1918 > ULA ?
Du coup j'utilise une GUA en DNS, c'est pour ça que j'ai rien trouvé d'anormal, je pense.
ps : j'ai demandé un déplacement des messages
-
La priorité serait GUA > RFC1918 > ULA ?
Yep.
EDIT : Section 10.6 de la RFC 6724 (https://www.rfc-editor.org/rfc/rfc6724.html) :
By default, global IPv6 destinations are preferred over ULA destinations, since an arbitrary ULA is not necessarily reachable
-
Il ne faut en effet pas comprendre que les adresses ULA sont prioritaires. Dans l'article, c'est comme cela que fonctionne son réseau dans son cas particulier, pour empêcher ses services de communiquer avec l'extérieur et de conserver son plan d'adressage quel que soit l'opérateur.
Le deuxième motif est très compréhensible. Pour le premier, il existe des pare-feu. Au moins il ne fait pas de NAT et laisse une GUA pour sortir (ouf).
-
Pensez-vous qu'il est possible de spoofer un RA / DHCPv6 en décortiquant la partie DNS, en la remplaçant, et en forwardant les trames modifiées ? Un peu à la manière des changements de CoS à la volée dans la section remplacement Livebox.
-
Avec un outil de manipulation de paquets, sans doute. Mais à ce stade, autant juste installer radvd ou un serveur DHCPv6 sur la machine et lui faire dire ce que l'on veut au réseau.
-
* dans le cas où l’on conserve la Livebox ? Car contrairement au v4 on ne peut pas dissocier l’attribution d’adresse dans les réglages.
-
Ce qu'il propose revient un peu à ce que tu fais déjà, j'ai l'impression. Pour moi il n'y a pas de solution miracle.
Si tu veux quand même conserver la box car trop complexe de remplacer l'ONT et cie, il faut que tu mettes ton mikrotik derrière avec DMZ + DHCPv6-PD. Et là tu pourras faire ce que tu veux de tes RA.
Perso, c'est aussi la solution que j'envisage si ça devenait trop complexe en espérant qu'on puisse bientôt déléguer plus grand qu'un /64. C'est vraiment LE truc qui manque pour avoir un minimum de flexibilité et ne pas tomber dans le NPTv6 et autres trucs crados. Même si en l'état on peut apparemment ruser avec des MAC VLAN.
Après je ne cracherais pas sur un petit onglet routes statiques histoire d'avoir un truc encore plus propre, mais je crois que je rêve ;D (ah que c'était bien quand j'avais une livebox pro v2, même si j'avoue elle plantait souvent... c'est d'ailleurs suite à ses trop nombreux plantages que je l'ai viré pour de bon)
-
Plutôt avoir la main coupée que de faire du double NAT
Quant aux routes statiques, si je veux mettre une autre passerelle c'est un UDMP, pas un MikroTik, et pour l'instant pas moyen de désactiver le NAT proprement sur l'interface graphique de l'UDMP :(
-
Ah... pas de bol :-\
Pour le coup, je tourne avec openWRT/pfsense/opnsense, bien plus souple en matière de conf.
T'as déjà essayé de soutirer un ONT à Orange des fois ? En plus je crois qu'ils sont dans l'obligation d'en fournir un en raison de la loi européenne, même si dans les faits c'est la loterie.
-
Oui c'est sûr
Les changements inopinés sur leur réseau m'ont fait arrêter d'utiliser un USG quand j'étais en cuivre, je n'ai pas renouvelé l'expérience en fibre.
Il parait qu'ils ne fournissent plus d'ONT, ou que c'est compliqué, certains membres du forum ont plutôt conseillé d'en commander un sur eBay et de le faire activer par le SC.
-
Sinon tu as les Leox (Ethernet ou SFP) et FS (SFP) où tu peux paramétrer toi-même le numéro de série. Ça évite la variable service client, certains conseillers pouvant être réticents à prendre le numéro de série d'un ONT acheté par un client.
-
Yep, on doit pouvoir s'en tirer pour pas trop cher en se procurant un SFP GPON sur FS et le glissant dans un convertisseur SFP Ethernet. Ceci dit, les ONT Huawei de seconde main sont pas bien chers sur leboncoin/ebay.
Quelqu'un a déjà essuyé plusieurs refus d'enregistrer un ONT tiers de la part du service client ? J'ai pas l'impression qu'ils refusent volontairement, c'est plus qu'ils ne comprennent pas ce qui leur est demandé, non ?
-
J'ai peut-être une solution en conservant la box et sans faire de double NAT, mais il faut le bon matos :
-OpenWRT ou autre routeur faisant de la délégation de préfixe
-Un switch supportant les ACL
L'idée serait de passer par le routeur pour l'IPv6 et d'avoir l'IPv4 en direct : On branche un port LAN de la box sur le switch et un autre sur le routeur. Sur le switch, on crée une ACL pour interdire tout le trafic IPv6 sur le port de la box. Et on configure le routeur en ipv6 only et on branche son LAN sur un autre port du switch.
Côté openWRT, on utilise le mode hybride qui permet de propager le /64 de la box au LAN tout en réécrivant les RA (pour les DNS notamment), soit une délégation préfixe en bonne et due forme avec n'importe quel autre routeur.
Ça vous parait réalisable ?
-
J'y ai pensé au blocage d'IPv6 mais c'est pas au niveau switch (couche 2), plutôt côté pare-feu (couche 3).
Il faut effectivement avoir le client DHCPv6-PD côté box et RA (+ serveur DHCPv6 si besoin) côté LAN, après comment faire sans se prendre trop la tête
-
Bon je crois savoir : Je viens de découvrir que mon switch est un L3 (j'ai acheté 2 modèles identiques sur ebay il a quelques mois pour 20 balles). Aussi bien je me disais que c'était bizarre cet onglet VLAN routing ;D
Ce sont des netgear GS716Tv3 (même famille que le GS108Tv3)
Du coup, il faudrait un truc comme ça (je suppose) :
-
ce serait pas plus simple de reduire le range du DHCP de la Livebox au minimum, genre tu lui laisses attribuer une seule IP, que tu affectes en statique a un périphérique bidon. Comme ça le DHCP de la box est "verrouillé" il donnera plus d'ip et donc plus de DNS.
En parallele dans le meme sous réseau que la livebox tu mets un routeur openwrt qui joue le role de DNS et de DHCP.
-
Tu parles en ipv4 là. Et on peut le désactiver de toute façon.
Le vrai problème c'est l'ipv6, tu n'as aucun contrôle dessus.
-
ha oui pardon ;D ;D
-
;D
-
Oui en v4 y'a le bouton, aucun soucis ;)
En v6 on ne peut que désactiver que tout le protocole tout entier :(
Merci pour la proposition,
pour composer avec mon MikroTik, je pense à une interface physique WAN en client DHCPv6-PD côté box, une interface physique LAN qui distribue les RA côté reste du LAN, ipv6-forward en disable pour pas que les RA de la Livebox traversent le WAN-LAN, une interface bridge qui relie les 2 interfaces avec une règle de blocage d'IPv6 pour ne faire passer que IPv4 par le bridge.
Je me demande s'il faut pas faire comme tu dis avoir vraiment 2 ports sur le switch de la Livebox et filtrer que v4 d'un côté et router v6 de l'autre ? Ou ça passe avec le bridge ? J'suis pas expert MikroTik x)
-
Moi non plus, j'ai pas de matos mikrotik à dispo...
Je pense que tu peux tenter les deux possibilités et si le bridge fonctionne, garde cette solution c'est quand même plus simple. À voir aussi si y'a pas une différence de perfs.
-
Bon pour l'instant c'est simple le switch MT7621 de mon hEX ne permet pas de faire du filtrage, et je pense pas que le CPU puisse supporter tout le trafic + filtrages
-
Oui c'est peu la loterie selon le matos... d'où la prise en charge par le switch, qui permet de décharger le routeur surtout s'il n'est pas très puissant.
-
Hello,
Est-ce qu'il est possible de partager votre configuration en dehors de Mikrotik, en GUA par exemple sur une VM radvd ?
Merci à vous, je pense que ce sera utile pour certains membres et autres visiteurs :)