La Fibre
Datacenter et équipements réseaux => Routeurs => Remplacer la Bbox par un routeur => Discussion démarrée par: Oxynux le 23 mai 2022 à 09:57:23
-
Hello,
J'ai remplacé ma bbox par un Edge Router Lite (je suis en firmware v2.0.9-hotfix.2).
J'ai un Raspberry pi que j'utilise pour du self hosting, j'ai ouvert les ports 443, 80 et 22 et ça fonctionne bien en IPv4 avec le port forwarding.
J'ai IPv6 de configuré et ça fonctionne bien derriere le routeur. https://ipv6-test.com/ (https://ipv6-test.com/) me donne la note de 19/20, seul un rDNS en IPv6 est manquant pour avoir la note maximale.
Pour avoir accès a mon RPi en IPv6 depuis d'extérieur j'ai essayé d'ajouter des règles dans WANv6_IN pour les ouvrir également mais ça ne fonctionne pas.
Voici ma config complète : https://gist.github.com/oxynux/0eb38c87048d6d2106ecb80e2765b5df#file-config-boot= (https://gist.github.com/oxynux/0eb38c87048d6d2106ecb80e2765b5df#file-config-boot=)
Hors de chez moi "curl -6" sur l'adresse de mon RPi timeout :
curl -6 "https://[2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx]"
curl: (28) Failed to connect to 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx port 443 after 75008 ms: Operation timed out
Par ailleurs je n'arrive pas a ping en ipv6 mon RPi hors de chez moi:
ping6 -c 1 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
PING6(56=40+8+8 bytes) 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx --> 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
ping6: sendmsg: No buffer space available
ping6: wrote 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx 16 chars, ret=-1
--- 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx ping6 statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss
Une idée de comment faire ?
Merci :)
-
en IPv6 il faut plutôt ouvrir des ports dans 'FORWARD'. On ne doit pas faire de NAT en IPv6, chaque appareil connecté a une adresse unique, routable depuis internet ;)
-
Dans forward ? C’est à dire ?
Car dans la config ERL "port-forward" concerne bien que ipv4 et le nat justement, pas possible d’ajouter une adresse ipv6 dans cette section.
-
Dans forward ? C’est à dire ?
Car dans la config ERL "port-forward" concerne bien que ipv4 et le nat justement, pas possible d’ajouter une adresse ipv6 dans cette section.
Je pense que chez UBQT la chaine s'appelle 'firewall LOCAL IN':
https://community.ui.com/questions/Laymans-firewall-explanation/2dafa379-3269-4749-b224-0dee15374de9 (https://community.ui.com/questions/Laymans-firewall-explanation/2dafa379-3269-4749-b224-0dee15374de9)
Ca fait très longtemps que je n'utilise pas edgerouter, je peux me tromper.
-
La config me semble bonne pourtant (à première vue). Elle est en fait très similaire à la mienne, hormis le fait que j'utilise le firewall en mode "zone", et que je match la destination sur le suffixe uniquement (parce que le préfixe peut changer chez Orange).
-
Je pense que chez UBQT la chaine s'appelle 'firewall local':
https://community.ui.com/questions/Laymans-firewall-explanation/2dafa379-3269-4749-b224-0dee15374de9 (https://community.ui.com/questions/Laymans-firewall-explanation/2dafa379-3269-4749-b224-0dee15374de9)
Ca fait très longtemps que je n'utilise pas edgerouter, je peux me tromper.
De ce que je vois j'ai bien modifié les rules de WANv6_IN et c'est bien ça qui permet d'ouvrir les ports en IPv6. Etrange que ça ne fonctionne pas.
-
Salut,
en IPv6 il faut plutôt ouvrir des ports dans 'FORWARD'. On ne doit pas faire de NAT en IPv6, chaque appareil connecté a une adresse unique, routable depuis internet ;)
Non, c'est bien la chaine "IN" qu'il faut utiliser pour traverser le routeur, la chaine "LOCAL" concerne les flux destinés au routeur lui-même, et le NAT n'a rien à voir là-dedans.
Question bête : je vois que tu utilises DHCP-PD avec slaac sur un subnet /60, ce qui est plutôt atypique comme configuration (pour du slaac, on utilise normalement RA et un /64 par subnet). Tu as sûr que ton RPI à bien une adresse fonctionnelle en IPv6 et qu'elle ne change pas régulièrement ? Tu l'as fixée directement sur le RPI ?
-
Salut,
Non, c'est bien la chaine "IN" qu'il faut utiliser pour traverser le routeur, la chaine "LOCAL" concerne les flux destinés au routeur lui-même, et le NAT n'a rien à voir là-dedans.
Question bête : je vois que tu utilises DHCP-PD avec slaac sur un subnet /60, ce qui est plutôt atypique comme configuration (pour du slaac, on utilise normalement RA et un /64 par subnet). Tu as sûr que ton RPI à bien une adresse fonctionnelle en IPv6 et qu'elle ne change pas régulièrement ? Tu l'as fixée directement sur le RPI ?
tu as raison, j'ai corrigé mon message.
-
Question bête : je vois que tu utilises DHCP-PD avec slaac sur un subnet /60, ce qui est plutôt atypique comme configuration (pour du slaac, on utilise normalement RA et un /64 par subnet). Tu as sûr que ton RPI à bien une adresse fonctionnelle en IPv6 et qu'elle ne change pas régulièrement ? Tu l'as fixée directement sur le RPI ?
En fait il me semble que le 60 c'est car Bytel donne un /60 ensuite mes interfaces eth1 et eth2 héritent chacune d'un /64
Mon Pi (et tout les équipements connecté a eth1 ou eth2) obtiennent donc une adresse IPv6 de ce /64 automatiquement et elle ne change pas.
-
Tu as essayé d'activer les logs histoire de s'assurer que c'est bien le firewall qui bloque ? Car ta config me semble propre.
-
Tu as essayé d'activer les logs histoire de s'assurer que c'est bien le firewall qui bloque ? Car ta config me semble propre.
Comment on les active / consulte sur l’ERL ?
-
Question stupide (mais on sait jamais, une erreur de conf est vite arrivée…) : Sur le Pi les services écoutent bien en IPv6 ? Une connexion en IPv6 entre un client sur le LAN et le Pi fonctionne ?
-
Comment on les active / consulte sur l’ERL ?
set firewall ipv6-name [NOM] rule [NUMERO] log enable
Et on récupère les logs dans /var/log/messages
Question stupide (mais on sait jamais, une erreur de conf est vite arrivée…) : Sur le Pi les services écoutent bien en IPv6 ? Une connexion en IPv6 entre un client sur le LAN et le Pi fonctionne ?
En effet, si le firewall du routeur est OK, c'est soit que le service n'écoute pas en IPv6, soit qu'un firewall au niveau de l'équipement filtre le trafic.