Bonjour à tous,

je publie ce mini guide si ça peut servir à d'autres, le but étant d'activer l'IPv6 sur des machines connectées derrière un Juniper SRX avec en amont une Freebox en mode bridge (en mode routeur ça doit pas changer grand chose !). Comme j'ai un peu galéré pour y arriver, si ça peut éviter à d'autres des heures de recherche sur internet...

Bon à savoir, j'utilise de mon coté des instances et la notion de "routeur virtuel" sur le SRX. Il tourne en version 20.2R3-S2.5 (qui est la version recommandé par Juniper en date de Mars 2022 pour mon SRX340).

La première à chose à faire est d'aller sur l'interface d'admin de la freebox pour récupérer les infos de préfixes.
Ici on a 2a01:xxx:xxx:xxx0::/64 pour le premier préfixe et 2a01:xxx:xxx:xxx1::/64 pour le second.

Ensuite il faut indiquer au SRX de traiter les flux IPv6 :
forwarding-options {
        family {
            inet6 {
                mode flow-based;
            }
        }
    }(plus d'informations ici : https://kb.juniper.net/InfoCenter/index?page=content&id=KB25697&actp=METADATA
J'ai pu lire parfois qu'il fallait obligatoirement être en packet-based, je pense que ce sont pour des versions très anciennes, ne vous inquiétez pas on peut rester sur du flow-based.
Il faut reboot le SRX une fois qu'on a activé ça.

Une fois fait, on peut alors activer l'IPv6 sur l'interface connectée à la Freebox (la 6.0 chez moi), ainsi que sur l'interface LAN (la 3.0). On va alors attribuer des adresses basés sur nos préfixes.
L'interface associée à la freebox doit avoir une IPv6 basé sur le prefix0. On lui attribue la seconde, 2a01:xxx:xxx:xxx0::2/64 (la première est utilisée par la Freebox, c'est notre IPv6 publique).
L'interface associée au LAN doit avoir une IPv6 basé sur le prefix1. On lui attribue la première : 2a01:xxx:xxx:xxx1::1/64 qui est disponible.


ge-0/0/3 {
        unit 0 {
            description lan;
            family inet {
                address 192.168.2.1/24;
            }
            family inet6 {
                address 2a01:xxx:xxx:xxx1::1/64;
            }
        }
    }
ge-0/0/6 {
        unit 0 {
            description free;
            family inet {
                dhcp;
            }
            family inet6 {
                address 2a01:xxx:xxx:xxx0::2/64;
            }
        }
    }
Il faut maintenant activer le Router Advertisement pour que le SRX relaie bien les infos sur le LAN :
protocols {
    router-advertisement {
        interface ge-0/0/3.0 {
            prefix 2a01:xxx:xxx:xxx1::/64;
        }
        interface ge-0/0/6.0 {
            prefix 2a01:xxx:xxx:xxx1::/64;
        }
    }
}Cela permet de les recevoir coté Freebox et les relayer coté LAN. On peut vérifier que cela fonctionne (fe80::e69e:12ff:fe85:7458 étant l'ipv6 de la boucle locale de la freebox)
root@srx> show ipv6 router-advertisement
Interface: ge-0/0/3.0
  Advertisements sent: 824, last sent 00:03:03 ago
  Solicits received: 5, last received 2d 23:07:15 ago
  Advertisements received: 0
  Solicited router advertisement unicast: Disable
  IPv6 RA Preference: DEFAULT/MEDIUM
Interface: ge-0/0/6.0
  Advertisements sent: 411, last sent 00:00:54 ago
  Solicits received: 0
  Advertisements received: 412
  Solicited router advertisement unicast: Disable
  IPv6 RA Preference: DEFAULT/MEDIUM
  Advertisement from fe80::e69e:12ff:fe85:7458, heard 00:04:58 ago
    Managed: 0
    Other configuration: 0
    Link MTU: 1500 bytes
    Reachable time: 0 ms
    Default lifetime: 1800 sec
    Retransmit timer: 0 ms
    Current hop limit: 64
    RDNSS address: fd0f:ee:b0::1
      Lifetime: 86400 sec
    Prefix: 2a01:xxx:xxx:xxx0::/64
      Valid lifetime: 86400 sec
      Preferred lifetime: 86400 sec
      On link: 1
      Autonomous: 1


Maintenant on va paramétrer notre Routing-instance pour qu'elle ait bien la route IPv6 (pour accéder à n'importe quelle IPv6 routable sur internet (= 2000::/3 ), utiliser notre freebox) . On doit déjà avoir l'équivalent pour l'IPv4, et pour préciser qu'on bosse en IPv6 chaque routing-instance sur un SRX a une sous instance "inet6.0" qui le permet :
routing-instances {
    RouteInternetFree {
        interface ge-0/0/3.0;
        interface ge-0/0/6.0;
        routing-options {
            rib RouteInternetFree .inet6.0 {
                static {
                    route 2000::/3 next-hop 2a01:xxxxxx:xxx0::1;
                }
            }
            static {
                route 0.0.0.0/0 next-hop xx.xx.xx.xx;
            }
        }
    }
}
On met donc en route par défaut l'IPv6 publique de la freebox.
On commit, à partir de là on peut voir également que les interfaces du SRX ont alors une IPv6 pour la boucle locale qui est assignée :
>show interfaces terse
ge-0/0/3.0              up    up   inet     192.168.2.1/24
                                            inet6   2a01:xxx:xxx:xxx1::1/64
                                                      fe80::dab1:22ff:fe5a:c284/64
ge-0/0/6.0              up    up   inet     xx.xx.xx.xx/24
                                            inet6   2a01:xxx:xxx:xxx0::2/64
                                                      fe80::dab1:22ff:fe5a:c287/64

Ensuite, assez classiquement, il faut se connecter à l'interface d'admin de la Freebox pour mettre l'IPv6 de la boucle locale de la patte du SRX reliée à la freebox dans le prefix 1 (le second champs texte). Dans mon cas c'est donc fe80::dab1:22ff:fe5a:c287/64


à partir de là, les clients sur le LAN doivent recevoir une IPv6 publique sur le prefix1
C:\Users\petoulachi>ipconfig /all

Configuration IP de Windows

   Nom de l’hôte . . . . . . . . . . : PETOULACHI-PC
   Suffixe DNS principal . . . . . . :
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Adresse physique . . . . . . . . . . . : 00-15-5D-58-8C-00
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv6. . . . . . . . . . . . . .: 2a01:xxx:xxx:xxx1:6408:ffe:f79f:ed9(préféré)
   Adresse IPv6 temporaire . . . . . . . .: 2a01:xxx:xxx:xxx1:38fd:4743:81b3:3e19(déprécié)
   Adresse IPv6 temporaire . . . . . . . .: 2a01:xxx:xxx:xxx1:e5ff:e213:9e08:c4eb(préféré)
   Adresse IPv6 de liaison locale. . . . .: fe80::6408:ffe:f79f:ed9%7(préféré)
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.2.50(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : mercredi 23 mars 2022 16:09:16
   Bail expirant. . . . . . . . . . . . . : mardi 29 mars 2022 05:11:36
   Passerelle par défaut. . . . . . . . . : fe80::dab1:22ff:fe5a:c284%7
                                       192.168.2.1
   Serveur DHCP . . . . . . . . . . . . . : 192.168.2.1
   IAID DHCPv6 . . . . . . . . . . . : 83891549
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-22-8B-5C-1E-00-15-5D-58-8C-00
   Serveurs DNS. . .  . . . . . . . . . . : 1.1.1.1
                                       1.0.0.1
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé
L'IPv6 est maintenant fonctionnel !


Ce qui m'a permis de trouver toutes ces infos :
pour les IPv6 a assigner au SRX : https://lafibre.info/remplacer-freebox/recap-ipv6-avec-mikrotik-mini4k-mode-bridge-en-zmd-10g-epon/
pour activer le RA : https://www.juniper.net/documentation/en_US/junos/topics/topic-map/ipv6-interfaces-neighbor-discovery.html
pour activer le routage ipv6 sur notre instance : https://www.juniper.net/documentation/us/en/software/junos/static-routing/topics/topic-map/config_static-routes.html#id-example-configuring-a-basic-set-of-static-routes-for-connecting-to-stub-networks