La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Freebox par un routeur => Discussion démarrée par: mathew.lear.fr le 19 janvier 2019 à 09:01:33
-
Bonjour a tous,
Depuis quelque jours j'utilise ma Freebox en mode bridge (sur sw version 4.0.4 et pFsense 2.2.4p2) :
Freebox < -- 10GB/s -- > pFsense < -- 10GB/s -- > Mikrotik CRS305-1G-4S+IN
Toute fonction bien en IPV4 , je récupère mon ip public via dhcpv4
Pour le stack IPV6 , jai vue que pFsense envoie de router solicitation sur la port wan et le delta répondre avec de router advertisement qui contient un prefix /64:
(https://i.imgur.com/AA3W8JN.png)
(https://i.imgur.com/XWs7smS.png)
En suite pFsense auto assigne le prefix /64 a ça patte wan
Donc aucune souci de communique depuis pfsense en ipv6 par contre rien sur ma interface lan
Avez vous des idées comment configures pFsense pour que le préfixe fonctionne sur la lan ?
J'ai toujours access sur l'interface web de la delta via l'ip 212.27.38.253 , le plupart de paramétrés son grise par contre jai toujours access au parmetre ipv6, peut etre je dois faire un modif ici :
(https://i.imgur.com/51Pt6Ag.png)
Bref je sais pas comment faire, je suis preneur si vous avez des idées, merci en avance et bon weekend :)
-
Bonjour Mathew,
Je pense que tu peux t'inspirer de ce sujet :
https://lafibre.info/remplacer-freebox/ipv6-sur-ubiquiti-edgerouter-8-pro-comment-faire/
En gros, il faut déléguer un des 8 prefixes à ton sous-réseau, en indiquant comme next hop fe80::1, le prefixe réservé par défaut pour les interfaces locales.
-
en indiquant comme next hop fe80::1,
En indiquant surtout l'IP de son routeur, pas la ::1 !
-
Salut ,
Donc je indique le ipv6 link local de ma patte wan pfsense ?
cxl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=ec00bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
ether 00:07:43:28:f4:60
hwaddr 00:07:43:28:f4:60
inet6 fe80::207:43ff:fe28:f460%cxl0 prefixlen 64 scopeid 0x1
inet 82.64.83.8 netmask 0xffffff00 broadcast 82.64.83.255
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
media: Ethernet 10Gbase-Twinax <full-duplex,rxpause,txpause>
status: active
Regards,
Mat
-
C'est ça !
-
En indiquant surtout l'IP de son routeur, pas la ::1 !
J'avais cru comprendre que quelque soit l'adresse IPv6 du routeur, l'adresse fe80::1 était l'adresse par défaut lien local, voir le sujet mentionné ?
-
Non, c'est le prefixe fe80::/64, mais pas l'IP fe80::1 !
-
Comme ca :
(https://i.imgur.com/iwTk1Cm.png)
?
-
J'avais cru comprendre que quelque soit l'adresse IPv6 du routeur, l'adresse fe80::1 était l'adresse par défaut lien local, voir le sujet mentionné ?
non. mais c'est une pratique courante de rajouter a la main cette IPv6 sur un routeur de facon a ce que quand on le change (panne, remplacement, upgrade, etc) on n'a pas besoin de reconfigurer ce qui est statiquement configurer dans les autres équipements qui pointe sur ce routeur.
Je ne sais pas si Pfsense permet cela, mais s'il le permet autant ajouter fe80::1 sur l'interface wan et mettre fe80::1 dans le champ next-hop coté freebox.
mais bon c'est du fignolage pas forcement utile chez un particulier qui change pas souvent son routeur.
fe80::1 c'es purement arbitaire on peut choisir autre chose. Orange utilise fe80:ba:ob:ab
-
Donc, j'ai en fin l'ipv6 sur ma lan, je viens de vérifie avec un server win 10.
FreeboxOS :
(https://i.imgur.com/zgIbTOX.png)
Sur pfsense je fais le suivant :
Interface wan :
(https://i.imgur.com/d6nbkK4.png)
Interface lan :
(https://i.imgur.com/vogPQTJ.png)
(https://i.imgur.com/OtLkT3A.png)
Sur le fw block all ipv4/6 et allow icmpv6
Sur ma serveur windows jai bien mon ipv6 avec le prefix 7
(https://i.imgur.com/QYKjJZB.png)
Si quelqu’un de vous peu m'expliquer le mécanisme derrière tous ça ? Jai aucune idées de quoi je viens de faire :) IPV6 c'est la nouvelle territoire pour moi....
-
quel mécanisme tu ne comprend pas ?
-
quel mécanisme tu ne comprend pas ?
Je viens de configuré le wan ipv6 du pfsense en dhcpv6 , je recupere ma prefix via RA ? wireshark montre aucune reponse de ma requet dhcpv6 vers la freebox.. Etrange
Je viens configures le link local de patte wan pfsense sur la freebox os ipv6 prefix 7 ? donc, le freebox route toute trafic destiné a ce subnet vers ma pfsense patte wan, quelle mechanism dans pfsense faire le routage vers le lan interne ?
L'ipv6 de ma pfsense LAN semble etrange , normallement ca doit etre un melange du prefix et @mac de la interface ?
-
non. mais c'est une pratique courante de rajouter a la main cette IPv6 sur un routeur de facon a ce que quand on le change (panne, remplacement, upgrade, etc) on n'a pas besoin de reconfigurer ce qui est statiquement configurer dans les autres équipements qui pointe sur ce routeur.
Je ne sais pas si Pfsense permet cela, mais s'il le permet autant ajouter fe80::1 sur l'interface wan et mettre fe80::1 dans le champ next-hop coté freebox.
mais bon c'est du fignolage pas forcement utile chez un particulier qui change pas souvent son routeur.
fe80::1 c'es purement arbitaire on peut choisir autre chose. Orange utilise fe80:ba:ob:ab
Merci pour les explications. Je suis un peu comme Matthew, l'IPv6 est un nouveau territoire pour moi, et il y a en fait plein de subtilités, de préfixes réservés, différents types de tunnel etc... Je ne trouve pas à première vue, contrairement à ce qui est souvent dit, que l'IPv6 soit plus simple que l'IPv4. Mais il est donc de plus en plus présent, et j'essaye d'apprendre...
-
Merci de ma part aussi, j'apprendre l'ipv6 :)
-
Je viens de configuré le wan ipv6 du pfsense en dhcpv6 , je recupere ma prefix via RA ? wireshark montre aucune reponse de ma requet dhcpv6 vers la freebox.. Etrange
Le wan ipv6 du pfsense n'est pas necessaire (en fait c'est meme recommandé de ne pas le configurer).
Si tu as mis DHCPv6 comme mode de configuration il est normal que la freebox n'y reponde pas elle ne fait pas serveur DHCPv6 par défaut.
Si tu vois un prefix ipv6 public (commençant par 2a01) sur le wan du pfsense c'est surement via RA (mécanisme SLAAC).
Je viens configures le link local de patte wan pfsense sur la freebox os ipv6 prefix 7 ? donc, le freebox route toute trafic destiné a ce subnet vers ma pfsense patte wan, quelle mechanism dans pfsense faire le routage vers le lan interne ?
Le mécanisme qui fait le routage wan<->lan s'appele du 'routage' (routing) ! c'est le mécanisme normal et habituel d'un routeur... c'est cz que fait 'par défaut' un routeur entre ses interfaces (il fait cela en fonction de sa table de routage visible dans le menu Diagnostics -> Routes. Voir aussi System -> Routing).
Ce qui n'est pas "normal" (au sens du routage) c'est ce qu'on fait en IPv4 avec le NAT pour partager une adresse.
En fait avec IPv6 on revient a l'origine du protocol IP et au sens premier du routage. l'IPv4 actuel nous a un peu déformé. C'est d'ailleurs pour cela qu'on recommande fortement d'oublié IPv4 quand on aborde IPv6 et de ne pas chercher a reproduire en IPv6 ce qu'on sait et fait en IPv4.
L'ipv6 de ma pfsense LAN semble etrange , normallement ca doit etre un melange du prefix et @mac de la interface ?
quelle ipv6 ? la public commençant par 2a01 (en jargon IPv6 les IPv6 public sont appelés Global Unicast Address et plus usuellement "GUA" ou simplement "global") ou la 'link-local' commençant pas fe80 ? (menu Status->Interfaces pour voir)
Une machine peut se construire une IPv6 avec SLAAC en utilisant un prefix reçu par RA et son @mac. C'est le mécanisme usuel le plus simple. Apres pour des raisons de sécurité certains système n'utilise pas @mac mais un truc au hasard.
Dans le cas ici présent tu n'as pas besoin de global sur le wan du pfsense:
Internet Ipv6 -- Freebox(lan - fe80:aa:bb:cc:dd) ---- (wan - fe80:ee:ff:gg:hh) pfsense (lan - 2a01:e0a:ii:jj::1) -- lan
Le lien entre la freebox et le pfsense se fait uniquement en IPv6 link-local.
Si il y a une global sur l'interface wan du pfsense elle ne servira a rien si ce n'est a rendre ton pfsense accessible depuis Internet sur cette interface.
-
Le wan ipv6 du pfsense n'est pas necessaire (en fait c'est meme recommandé de ne pas le configurer).
Salut à tous, je débute aussi en IPv6. j'essaie de configurer l'ipv6 sur mon opnsense (c'est un fork de pfsense, l'interface est quasiment semblable) (Freebox mini 4k en bridge)
Je ne sais pas si je dois activer le DHCPv6 de la Freebox et quel "mode" mettre ipv6 sur opnsense WAN (DHCPv6 ou SLAAC ou Static IPv6 ?)
Pareil pour LAN, je ne sais pas si je dois laisser "Track interface" ou "DHCPv6" ou "static ipv6"
Pour l'instant je n'arrive pas à profiter de l'ipv6 sur mon réseau :/ un peu d'aide ? merci :)
-
pas de besoin de DHCPv6 dans la freebox.
le plus simple (fait avec pfsense donc tu adaptera pour opnsense):
1. mettre fe80::1 dans le champ 'next -hop' du prefix de ton choix dans l'interface de la freebox
2. dans pfsense, menu interface WAN:
mettre static IPv6 et fe80:1 comme adresse (pas fc80 comme dans la capture ci-dessous):
(https://i.imgur.com/njToaaQ.png)
3. dans pfsense, menu interface LAN:
meme chose, mettre static IPv6 et mettre une adresse de ton choix du prefix choisi en 1 et /64. Par exemple 2a01:e0a:ii:jj::1/64. Ceci sera l'adresse public de l'interface LAN du Pfsense. Ton prefix de réseau local sera donc 2a01:e0a:ii:jj/64
4. appliquer les changements et vérifier dans status/interfaces que les valeurs sont bonnes.
5. menu service DHCPv6 server & RA. choisir LAN, choisir onglet "Router Advertisements":
mettre "router mode" a Unmanaged.
(https://i.imgur.com/CaX8g5q.png)
6. appliquer.
a partir de la , les postes sur le lan qui ont IPv6 activé devraient recevoir une IPv6 public.
Tu peux plus tard rafiner en mettant stateless dhcpv6 en 5 et activer l'onglet DHCPv6 server (en laissant les champs ranges vides) (utile si postes sous Windows 7 ou 8 ou si tu veux envoyer des options particulières aux postes).
-
Merci de ta réponse.
Sauf que ça commence mal. je cite
1. mettre fc80::1 dans le champ 'next -hop' du prefix de ton choix dans l'interface de la freebox
(https://screenshotscdn.firefoxusercontent.com/images/900f34e3-c3c0-42f2-b595-4a6ce9f42626.png)
C'est normal ?
-
typo c'est fe80::1 :)
-
Pour l'étape 2 tu voulais surement dire fe80::1 et pas fe80:1 non ? Lorsque je rajoute ça il me dit que l'adresse est déjà utilisé par une autre interface ou "VIP" Je vais essayer de voir où y'a le conflit
-
Voir screenshot :
(https://screenshotscdn.firefoxusercontent.com/images/fb4f85f9-39bf-480f-bd8a-c10fbe3b9d27.png)
-
c'est peut-etre deja le cas. met 2 ou 3, etc. Sinon check les IP utilisés par ton opnsense (status/interfaces).
ou alors met l'ip link-local wan de ton opnsense dans le next-hop coté Freebox.
-
Alors j'ai
wan static ipv6 en fe80::2
lan static ipv6 en 2a01:e0a:173:8291::1
Dans freebox j'ai :
prefixe : 2a01:e0a:173:8291::/64
nexthop : fe80::1
et j'ai aussi changé le unmanaged dans le RA.
Toujours pas d'ipv6 sur mes machines. J'ai mal fait un truc ?
-
Alors j'ai
wan static ipv6 en fe80::2
lan static ipv6 en 2a01:e0a:173:8291::1
Dans freebox j'ai :
prefixe : 2a01:e0a:173:8291::/64
nexthop : fe80::1
et j'ai aussi changé le unmanaged dans le RA.
Toujours pas d'ipv6 sur mes machines. J'ai mal fait un truc ?
met fe80::2 dans nexthop aussi.c'est la base du fonctionnement, ca indique a la Freebox d'envoyer le traffic pour ce prefix a ton opnsense.
-
Fait, et fonctionne toujours pas. (j'ai redémarré le routeur et ma machine) :-[
-
poste des screens sur les pages de config de ton opnsense qui correspondent (status interface, config router adv, etc) parce que la on ne connait pas bien ta config.
si ton lan est bien static et "unmanaged" est bien reglé les postes devraient avoir une IPv6 indépendamment du fait que le wan fonctionne ou pas.
apres quand tu dis 'toujours pas d'ipv6' ou 'ne fonctionne pas' ca veut dire quoi exactement. comment tu test/verifies ?
-
poste des screens sur les pages de config de ton opnsense qui correspondent (status interface, config router adv, etc) parce que la on ne connait pas bien ta config.
si ton lan est bien static et "unmanaged" est bien reglé les postes devraient avoir une IPv6 indépendamment du fait que le wan fonctionne ou pas.
apres quand tu dis 'toujours pas d'ipv6' ou 'ne fonctionne pas' ca veut dire quoi exactement. comment tu test/verifies ?
D'accord, voici ma config Freebox
https://screenshotscdn.firefoxusercontent.com/images/308541e3-6a44-4634-84bc-5810fbce4a3f.png
Ma config opnsense (wan, lan, router adver et overview.
https://screenshotscdn.firefoxusercontent.com/images/1e498dc0-f6b7-4322-915e-53dafd2d5645.png
https://screenshotscdn.firefoxusercontent.com/images/10a4209d-84ce-4e3c-8ecc-4d7c5af3ed38.png
https://screenshotscdn.firefoxusercontent.com/images/aac0f306-4791-4ff7-9cb5-0144f6a07cd9.png
https://screenshotscdn.firefoxusercontent.com/images/ddd4404e-9596-4255-b747-0c95c58525c0.png
Et concrètement je vérifie sur mon poste avec un ping de ipv6.google.com
gregouille@carbon : ping ipv6.google.com
PING ipv6.google.com(par21s03-in-x0e.1e100.net (2a00:1450:4007:810::200e)) 56 data bytes
From OPNsense.plerion.lan (2a01:e0a:173:8291::1): icmp_seq=1 Destination unreachable: No route
From OPNsense.plerion.lan (2a01:e0a:173:8291::1): icmp_seq=2 Destination unreachable: No route
^C
--- ipv6.google.com ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 3ms
et voici la commande ip addr
2: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 48:a4:72:d0:55:48 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.122/24 brd 192.168.1.255 scope global dynamic noprefixroute wlp2s0
valid_lft 4307sec preferred_lft 4307sec
inet6 2a01:e0a:173:8291:3af6:8659:dfa2:de58/64 scope global dynamic noprefixroute
valid_lft 86255sec preferred_lft 14255sec
inet6 fe80::9188:d876:b8ed:d1d7/64 scope link noprefixroute
valid_lft forever preferred_lft forever
-
donc ok les postes ont bien ipv6 et le lien freebox<->opnsense est bien configuré.
"Destination unreachable: No route"
Il n'y a pas de route par défaut IPv6 sortante dans opnsense -> verifies le routage -> System/Routes/Status et/ou System/Gateways/Single.
Si y'a pas de route par défaut pour IPv6 c'est que la Freebox ne s'annonce pas ou son annonce est ignorée.
Dans ce cas il faut ajouter la gateway a la main :
soit dans System/Gateways/Single en cliquant sur +Add
soit dans Interfaces/[WAN] dans la partie "Static IPv6 configuration" en clickant le + dans la 2eme ligne (IPv6 Upstream Gateway).
dans les 2 cas (pas les 2, choisi un), la gateway doit être l'adresse IPv6 link-local de la Freebox (commencement par fe80 donc) qui est visible dans l'interface de la Freebox en 2eme ligne pour la partie IPv6 (au dessus de ton screen sur les sous-réseaux: https://screenshotscdn.firefoxusercontent.com/images/308541e3-6a44-4634-84bc-5810fbce4a3f.png)
Ca devrait établir le routage et fonctionner
-
ça fonctionne ! :D merci beaucoup de ton aide. Pourquoi je dois rajouter manuellement le gateway ? étrange que la freebox ne le donne pas ?
-
Pourquoi je dois rajouter manuellement le gateway ? étrange que la freebox ne le donne pas ?
Je ne sais pas, faudrait capturer le traffic coté wan pour voir ce que la Freebox envoi.
A priori elle diffuse un RA (router advertisement) avec le 1er sous-réseau (...8290::/64) et elle meme comme gateway. Mais la on n'utilise pas SLAAC coté WAN donc peut-être que OpnSense ne tient pas compte du RA.
-
Tu sais si du côté d'opnsense je peux forcer une de mes machines à avoir une ipv6 spécifique ?
Parce que j'ai un serveur, pour l'ipv4 j'suis bon, avec le NAT et mon serveur DHCP. j'aimerais faire pareil en ipv6 je sais à qui renvoyer mes paquets mais en ipv6. quelle est la méthode ?
-
sous linux tu peux choisir avec un 'ip token'( voir "man 8 ip-token").
En gros ca permet de choisir la partie "interface identifier" (64 dernier bits) d'une l'IPv6 configurée automatiquement par SLAAC.
par exemple:
ip token set ::11:22:33:44/64 dev eth0
si eth0 est configuré par SLAAC (RA) et recoit le prefix 2000:aa:bb:cc::/64 alors l'interface prendra l'IP 2000:aa:bb:cc:11:22:33:44 au lieu d'un truc basé sur l'adresse MAC (ou random).
pour rendre ca permanent on peut le mettre dans "pre-up" par exemple ou via une dépendance systemd.