Bonjour,
Je rejoins enfin de magnifique forum que je consulte depuis un moment déjà, car j'aurais besoin de votre aide pour pouvoir accéder au monde de l'IPv6.
Je suis actuellement sur une configuration basée sur une Freebox Mini en mode bridge avec derrière un Ubiquiti EdgeRouter Lite et 3 sous-réseaux derrière dans des VLANs différents. Tout fonctionne parfaitement en IPv4 mais voilà, je souhaiterai accéder au merveilleux mode de l'IPv6 !
J'ai suivi le tuto trouvé ici :
https://lafibre.info/remplacer-freebox/ipv6-sur-ubiquiti-edgerouter-8-pro-comment-faire/ mis à part la partie des DNS que je n'ai pas encore appliqué (j'aurais aimé utiliser les DNS de Free et non ceux de Google et je ne sais pas quoi mettre en ce sens). N'étant pas très au point concernant l'IPv6 je ne sais pas ce que j'ai loupé.
Voici ma configuration niveau interfaces / firewall dans mon ERL :
firewall {
all-ping enable
broadcast-ping disable
group {
network-group PROTECTED_NETWORKS {
description "Protected networks"
network 10.0.0.0/8
network 192.167.0.0/16
network 172.16.0.0/12
}
}
ipv6-name WANv6_IN {
default-action drop
description "IPv6 firewall IN"
rule 10 {
action accept
description "Allow ESTABLISHED, RELATED"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop INVALID"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
rule 10 {
action accept
description "Allow ESTABLISHED, RELATED"
state {
established enable
new enable
related enable
}
}
rule 20 {
action drop
description "Drop Invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name GUEST_WIFI_IN {
default-action accept
description ""
rule 10 {
action accept
description "Allow Established/Related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop PROTECTED_NETWORKS"
destination {
group {
network-group PROTECTED_NETWORKS
}
}
log disable
protocol all
}
rule 40 {
action drop
description "Drop freebox"
destination {
address 212.27.38.253
port 80,443
}
log disable
protocol tcp
}
}
name GUEST_WIFI_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "Accept DNS"
destination {
port 53
}
log disable
protocol udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 2 {
action accept
description "Accept DHCP"
destination {
port 67
}
log disable
protocol udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 3 {
action accept
description "Accept ping"
destination {
address 10.20.0.1
group {
}
}
log disable
protocol icmp
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth0
}
}
log disable
protocol icmp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 70 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address dhcp
address fe80::1/64
description Internet
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
speed auto
}
ethernet eth1 {
address 10.0.0.1/16
address fe80::1:0:1/64
address 2a01:e35:xxxx:da50::1/64
description Local
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix 2a01:e35:xxxx:da50::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
vif 10 {
address 10.10.0.1/24
address fe80::1:10:1/64
address 2a01:e35:xxxx:da51::1/64
description Wifi
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix 2a01:e35:xxxx:da51::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
}
vif 20 {
address 10.20.0.1/24
address fe80::1:20:1/64
address 2a01:e35:xxxx:da52::1/64
description "Guest Wifi"
firewall {
in {
name GUEST_WIFI_IN
}
local {
name GUEST_WIFI_LOCAL
}
}
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix 2a01:e35:xxxx:da52::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
}
}
ethernet eth2 {
description "Local 2"
disable
duplex auto
speed auto
}
loopback lo {
}
}
La configuration de la Freebox est en pièce jointe.
Avec cette configuration, j'ai l'impression que mon PC arrive à avoir une adresse IPv6 :
Carte Ethernet Ethernet :
Suffixe DNS propre à la connexion. . . :
Adresse IPv6. . . . . . . . . . . . . .: 2a01:e35:xxxx:da50:7dfb:726c:ffe6:9c11
Adresse IPv6 temporaire . . . . . . . .: 2a01:e35:xxxx:da50:217c:d05:9e94:1186
Adresse IPv6 de liaison locale. . . . .: fe80::7dfb:726c:ffe6:9c11%12
Adresse IPv4. . . . . . . . . . . . . .: 10.0.1.101
Masque de sous-réseau. . . . . . . . . : 255.255.0.0
Passerelle par défaut. . . . . . . . . : fe80::1:0:1%12
10.0.0.1
Mais quand je teste via
http://test-ipv6.com/, je n'ai pas de connexion. Idem avec
https://ipv6-test.com/.
J'ai également tenté de pinger l'adresse locale de la freebox (fe80::e69e:12ff:fe10:b116) mais sans succès.
Est-ce l'absence des paramètres liés aux DNS ? Ou ai-je loupé quelque chose quelque part ?
J'ai l'impression que mon pare-feu bloque les paquets alors qu'il y a pourtant les règles qui vont bien :
IPv6 Firewall "WANv6_IN":
Active on (eth0,IN)
rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 0 0
condition - state RELATED,ESTABLISHED
20 drop all 0 0
condition - state INVALID
30 accept ipv6-icmp 0 0
10000 drop all 0 0
--------------------------------------------------------------------------------
IPv6 Firewall "WANv6_LOCAL":
Active on (eth0,LOCAL)
rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 0 0
condition - state NEW,RELATED,ESTABLISHED
20 drop all 0 0
condition - state INVALID
30 accept udp 0 0
condition - udp spt:dhcpv6-server dpt:dhcpv6-client
10000 drop all 311 22392
Merci d'avance pour votre aide !