Merci à vous deux pour les réponses et les liens.
Concernant la partie vlan, je compte m'y attaquer après. Pour le moment, je me concentre sur l'IPv6.
Je n'avais pas du tout envisagé cet aspect accélération matérielle ; je ne sais pas de quoi est capable le Flint 2 à ce sujet.
Pour revenir sur la partie IPv6 : la doc suivante m'a bien aidé :
https://openwrt.org/docs/guide-user/network/ipv6/configuration#downstream_configuration_for_lan_interfacesJ'ai maintenant une conf qui fonctionne.
J'ai utilisé ip6hint pour adresser les sous-réseaux, et ip6assign pour définir la longueur de préfixe
/etc/config/network
config globals 'globals'
option ula_prefix 'fde4:c780:ca61::/48'
...
config interface 'wan6'
option device 'eth1'
option proto 'dhcpv6'
...
config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '64'
option ip6hint '10'
config interface 'lan2'
option proto 'static'
option device 'br-lan2'
option ipaddr '192.168.8.1'
option netmask '255.255.255.0'
option ip6assign '64'
option ip6hint '20'
/etc/config/dhcp
config dhcp 'lan'
option interface 'lan'
option start '100'
option limit '150'
option leasetime '12h'
option dhcpv4 'server'
option dhcpv6 'server'
option ra 'server'
list ra_flags 'managed-config'
list ra_flags 'other-config'
config dhcp 'lan2'
option interface 'lan2'
option start '100'
option limit '150'
option leasetime '12h'
option ra 'server'
option dhcpv6 'server'
list ra_flags 'managed-config'
list ra_flags 'other-config'
Ca donne ceci :
# ifconfig
...
br-lan Link encap:Ethernet HWaddr 94:83:C4:B6:B1:B8
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::9683:c4ff:feb6:b1b8/64 Scope:Link
inet6 addr: fde4:c780:ca61:10::1/64 Scope:Global
inet6 addr: 2a02:xxxx:xxxx:f610::1/64 Scope:Global
...
br-lan2 Link encap:Ethernet HWaddr 94:83:C4:B6:B1:B8
inet addr:192.168.8.1 Bcast:192.168.8.255 Mask:255.255.255.0
inet6 addr: fe80::9683:c4ff:feb6:b1b8/64 Scope:Link
inet6 addr: fde4:c780:ca61:20::1/64 Scope:Global
inet6 addr: 2a02:xxxx:xxxx:f620::1/64 Scope:Global Les équipements raccordés sur lan ou lan2 récupèrement bien une adresse IP globale, et peuvent communiquer en IPv6 avec l'extérieur.
Maintenant, je vais m'attaquer à la partie firewall.
Les règles actuelles me semblent pas trop mal pour protéger les équipements ; au moins de l'extérieur.
Il y a la règle par défaut :
config defaults
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
...Puis la partie wan :
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wan6'ensuite quelques règles autorisant DHCPv6, icmp, ...
L'étanchéité entre lan et lan2 est faite grace à la règle par défaut
Ensuite la partie vlan ; la doc DSA Mini-Tutorial devrait me permettre de m'en sortir.
Merci beaucoup ...