Auteur Sujet: Bbox remplacée par un serveur Debian: comment configurer IPv6 ? (Lu 8453 fois)

butler_fr · « **Réponse #24 le:** 22 avril 2025 à 14:28:59 »

je vais tester ce soir de rebrancher la bbox voir si je recupère un bloc avec elle

wobble · « **Réponse #25 le:** 22 avril 2025 à 18:24:40 »

Pardon j'ai lu trop vite le "pas plus de succès" en "j'ai du succès" !

Quand j'ai débranché la box, il a fallu attendre un certain temps, plus d'une heure il me semble, avant que le routeur réponde. testdhcpv6pd ne fonctionne toujours pas ? Est-ce qu'il a un jour fonctionné pour toi ?

butler_fr · « **Réponse #26 le:** 22 avril 2025 à 21:26:50 »

jamais fonctionné
je n'ai jamais réussi à avoir une IPv6 depuis que j'ai viré la bbox et je ne suis plus sur de si j'en avais une ou pas avec la bbox

kgersen · « **Réponse #27 le:** 23 avril 2025 à 10:56:19 »

ca 'devrait marcher' avec testdhcpv6pd au moins... Question basique mais tu ne bloques pas les ICMPv6 entrant par hasard ? t'es certain de l'@ mac ?

a priori a relire ce sujet, il faudrait aussi que l'interface utilise l'@mac de la bbox pour bien recevoir les RA ? (ca semble bizarre, wobble pourra confirmer/infirmer).

je commencerai par la donc: changer l'@ MAC wan de ton equipment en mettant celle de la bbox.
en principe ca suffit pour faire un DUID correct mais par précaution tu peux aussi forcer le DUID pour qu'il soit en LL.
ensuite test avec testdhcpv6pd, tant qu'il ne passe pas, pas la peine de chercher plus.

si ca passe et que tu obtiens bien un préfixe reste a voir ensuite si tu geres bien la route par défaut (il faut accept_ra=2 sur l'interface wan)

butler_fr · « **Réponse #28 le:** 23 avril 2025 à 12:22:12 »

bingo kgersen

putain quand je pense au temps que j'y ai passé alors que c'était juste l'iptables pas ouvert
le boulet...

maintenant faut que je trouve la bonne règle pour autoriser ça sans me mettre à poil sur le net

butler_fr · « **Réponse #29 le:** 23 avril 2025 à 12:33:12 »

du coup a priori il faut ouvrir en udp sur le port 546 pour que ça marche

butler_fr · « **Réponse #30 le:** 23 avril 2025 à 12:36:08 »

Citer

avril 23 12:34:24 - systemd-networkd[531]: enp4s0f1.100: DHCP: received delegated prefix 2001:861:****::/60
avril 23 12:34:24 - systemd-networkd[531]: enp4s0f1.100: DHCP-PD address 2001:861:****/64 (valid for 1h 59min 59s, preferred for 1h 29min 59s)

reste plus qu'à le propager

kgersen · « **Réponse #31 le:** 23 avril 2025 à 12:44:42 »

Citation de: butler_fr le 23 avril 2025 à 12:33:12

du coup a priori il faut ouvrir en udp sur le port 546 pour que ça marche

oui et il faut aussi les ICMPv6 (toutes ou une selection) pour recevoir la route par défaut et gérer correctement les MTU.

ICMPv6 types a laisser passer:

o Destination Unreachable (Type 1) - All codes
o Packet Too Big (Type 2)
o Time Exceeded (Type 3) - Code 0 et 1
o Parameter Problem (Type 4) - all codes
o Router Solicitation (Type 133) --> Ca sort en principe
o Router Advertisement (Type 134) --> TRES IMPORTANT c'est la réponse pour obtenir la route par défaut
o Neighbor Solicitation (Type 135)
o Neighbor Advertisement (Type 136)
o Redirect (Type 137)
o Inverse Neighbor Discovery Solicitation (Type 141)
o Inverse Neighbor Discovery Advertisement (Type 142)

optionnel (pour ping/mtr):
o Echo Request (Type 128)
o Echo Response (Type 129)

cf https://datatracker.ietf.org/doc/html/rfc4890#section-4.3.1

wobble · « **Réponse #32 le:** 23 avril 2025 à 13:20:55 »

De mon côté, j'ai autorisé tout ICMPv6 en input, je trouve ça poli de répondre au ping

Et je ne pense pas que des paquets ICMPv6 reçus puissent être très dangereux pour le routeur.
Voilà mes deux règles nft pour le DHCPv6 et l'ICMPv6 :

Code: [Sélectionner]

        iifname wan ip6 daddr fe80::/64 udp sport 547 udp dport 546 ct state new accept comment "DHCPv6"
        meta l4proto ipv6-icmp accept

butler_fr · « **Réponse #33 le:** 23 avril 2025 à 13:49:52 »

et bah clairement je me coucherais moins con ce soir

merci pour toute les infos
et j'arrive à ping l'extérieur maintenant grâce à ça.

Paul · « **Réponse #34 le:** 23 avril 2025 à 13:57:46 »

Citation de: kgersen le 23 avril 2025 à 10:56:19

a priori a relire ce sujet, il faudrait aussi que l'interface utilise l'@mac de la bbox pour bien recevoir les RA ? (ca semble bizarre, wobble pourra confirmer/infirmer).

je commencerai par la donc: changer l'@ MAC wan de ton equipment en mettant celle de la bbox.
en principe ca suffit pour faire un DUID correct mais par précaution tu peux aussi forcer le DUID pour qu'il soit en LL.

C'est plus propre d'imiter au maximum le routeur opérateur, mais pas besoin de clonage ni de DUID chez Bouygues.

wobble · « **Réponse #35 le:** 23 avril 2025 à 13:58:53 »

Je confirme, j'ai obtenu un préfixe même quand j'avais oublié de cloner la MAC et de changer le DUID.