La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Freebox par un routeur => Discussion démarrée par: ducat le 10 janvier 2026 à 05:57:14
-
[ Précision du 13/01/2026]
Pfsense est sous Proxmox
la solution de me problème est dans mon dernier poste : multicast snooping !!!! Merci @Paul et wireshark
[ -------]
Bonjour
je souhaiterai échanger avec des personne ayant réussi à faire fonctionner un configuration double stack ipv4 ipv6 avec un pfsense 2.7 derrière une freebox en bridge
j'ai suivi les divers post des forum
j'ai bien indiqué dans la freebox les nexthop pointant sur l ip link local du wan pfsense...
néanmoins dans le cas d'usage j'ai des doutes concernant la configuration fine et précise des partie du WAN,
Dhcpv6 et RA.
en effet j'arrive à avoir un resaeux ipv6 fonctionnel coté LAN (vlan multiple)
néanmoins je suis bloqué sur le fait de pouvoir faire fonctionner correctement le machine pc sous windows et le smartphone sous android simultanément
Pour info je "joue" avec les lifetime suite à lecture de different article relatif a android en ipv6 ou il est précisé que pour android le life time doivent etre réglé d'une certaine facon, > 180s mais dans ce cas le machine ne fonctionne plus...
je souhaiterai donc échanger pour revoir en détail ma configuration afin d'obtenir un réseaux pleinement fonctionnel
mon problème tourne autour des reglage du RA, et des temps de reglage de life time
de plus quelle est selon vous le meilleur choix globalement pour le type de RA : Umanaged ou assited ?
Configuration du WAN et LAN et Freebox
-
Configuration DHCPV6 LAN et RA LAN
(http://)
-
Sans doute parce que la durée de vie actuelle des RA est de 90s comme OPNSense prend automatiquement 3x l'intervalle RA maximum que tu as réglé sur 30s. C'est à cause de ton PC Windows que tu as essayé ça ? Je dirais que le problème est ailleurs. MikroTik a les mêmes valeurs par défaut qu'OPNSense (200-600s d'intervalle et 1800s de durée de vie), je n'y ai jamais touché et tout fonctionne.
Le mode assisted envoie des DHCPv6 ADVERTISE en plus d'annonces de routeur, ce que je ne trouve pas utile, mais dans ton cas, ça ne change rien parce que le serveur DHCPv6 est désactivé. Je te conseille quand même d'utiliser le mode unmanaged, c'est un peu plus propre.
Vois-tu une adresse IPv6 routable et une passerelle par défaut dans les paramètres de Windows ?
-
Sans doute parce que la durée de vie actuelle des RA est de 90s comme OPNSense prend automatiquement 3x l'intervalle RA maximum que tu as réglé sur 30s. C'est à cause de ton PC Windows que tu as essayé ça ? Je dirais que le problème est ailleurs. MikroTik a les mêmes valeurs par défaut qu'OPNSense (200-600s d'intervalle et 1800s de durée de vie), je n'y ai jamais touché et tout fonctionne.
Le mode assisted envoie des DHCPv6 ADVERTISE en plus d'annonces de routeur, ce que je ne trouve pas utile, mais dans ton cas, ça ne change rien parce que le serveur DHCPv6 est désactivé. Je te conseille quand même d'utiliser le mode unmanaged, c'est un peu plus propre.
Vois-tu une adresse IPv6 routable et une passerelle par défaut dans les paramètres de Windows ?
Merci Paul pour ton retour.
Effectivement j ai mis les réglage bas sinon Windows ne fonctionne pas en ipv6.
Je vais changer changer le réglage du mode RA en unmanaged avant de poursuivre mes essais... et je vérifie les z points que tu ma indiqué concernant Windows....
resultat en unamaged temps equivalent sous windows cela reste ok donc je valide unamaged ;-)
-
resulat apres passage en temps court ...
sous android tout est ok sur le test ip.libre.info
sous windows voici le resulat
effectivement je n'obtient pas d adresse ipv6 routable :-(
=>>> !!! correction en attendant le temps de la redaction de ce message j'ai bien une adresse ipv6 cf dernière capture ipconf mais toujours le test sur ip.lafibre.info qui echoue .
je ne comprend pas pourquoi dans la 2eme capture j'ai une notion de DHcpv6 et de DUID sachant que je suis en unamaged sur le RA proxmox ?!!! etrange non
-
durant me recherhce je suis tombé sur cela ...
https://learn.microsoft.com/en-us/answers/questions/884756/after-update-from-windows-10-to-windows-11-ipv6-rf
certainement une piste pour expliquer egalement les problème de RA en mode Umanaged .. :-(
-
et ceci mais je ne comprend pas ce qu'il faut faire malgré un traduction de l'article ;-)
https://learn.microsoft.com/en-us/answers/questions/2156008/actual-windows11-version-seems-to-have-a-bug-ipv6
-
Sur l'interface WAN tu as mis DHCPV6.
Perso je suis en static avec le lien local de la patte wan (pour ne pas avoir d'ip V6 sur le WAN)
Mais dans ton cas du devrais mettre l'ip du nexthop avec ::1 par exemple (si tu veux une ip sur la WAN)
Et j'ai mis aucun next hop sur les 1, bizarrement ça me permet de ne plus avoir de pb avec la télé et la résolution (V6) de mafreebox.frebox.fr
Ton RA n'annonce pas les routes, tu devrais avoir l'ip du next hop "xxxx:xxx:xxx:xxxx::" en 64 et sans le DHCP ( a moins que ce soit requis dans ta config )
En assisted ça fonctionne très bien :)
Juste avec ça, ça devrait passer normalement.
-
je ne comprend pas pourquoi dans la 2eme capture j'ai une notion de DHcpv6 et de DUID sachant que je suis en unamaged sur le RA proxmox ?!!! etrange non
DHCPv6 coté LAN n'est utile sauf config avancée (style serveur Active Directory par exemple).
c'est ipconfig qui affiche le DUID mais ce n'est pas forcement utilisé. pour verifier comment tes IPv6 sont obtenues, tu peux utiliser cette commande powershell:
Get-NetIPAddress -AddressFamily IPv6 | Select-Object InterfaceAlias, IPAddress, PrefixOrigin, SuffixOrigin, AddressState | Format-Table -AutoSize
A regarder rapidement ta config, WAN n'a pas a etre en DHCPv6. Tu peux mettre static et "fe80::1/64" comme IPv6.
La config LAN DHCPv6 n'est pas bonne non plus car le prefix range est bien trop grand: tu vas de ..6::0 a .. 6:ffff:ffff:ffff:ffff soit tout le /64 donc ca comprend l'ip lan (...6::1) du routeur
En pratique on prend une plage bien moins large (1000 adresses par exemple ou meme 10000) et qui n'est pas en conflig avec les adresses SLAAC.
Mais bon de toute facon DHCPv6 n'est pas utile ici donc autant ne pas s'en servir.
-
DHCPv6 coté LAN n'est utile sauf config avancée (style serveur Active Directory par exemple).
c'est ipconfig qui affiche le DUID mais ce n'est pas forcement utilisé. pour verifier comment tes IPv6 sont obtenues, tu peux utiliser cette commande powershell:
Get-NetIPAddress -AddressFamily IPv6 | Select-Object InterfaceAlias, IPAddress, PrefixOrigin, SuffixOrigin, AddressState | Format-Table -AutoSize
A regarder rapidement ta config, WAN n'a pas a etre en DHCPv6. Tu peux mettre static et "fe80::1/64" comme IPv6.
La config LAN DHCPv6 n'est pas bonne non plus car le prefix range est bien trop grand: tu vas de ..6::0 a .. 6:ffff:ffff:ffff:ffff soit tout le /64 donc ca comprend l'ip lan (...6::1) du routeur
En pratique on prend une plage bien moins large (1000 adresses par exemple ou meme 10000) et qui n'est pas en conflig avec les adresses SLAAC.
Mais bon de toute facon DHCPv6 n'est pas utile ici donc autant ne pas s'en servir.
Merci pour ton retour.
En fait dhcpv6 n est pas actif..
Je note néanmoins le point de vigilance sur la plage d adresses ;-)
Merci pour la commande en PS
j ai également passé le RA en unmagamed sur kes conseil de Paul.
Je prend en compte ta remarque côté Wan a passer en SLAAC
.
-
Ah ça serait "mieux" le RA en unmanaged ?
-
@zyon .. mieux je ne sais pas car d après les articles trouve en double stock ipv4 ipv6 Windows est plutôt capricieux .. et ne prend pas en compte le dns ipv6.. dans ce cas..
-
tant que ton serveur dns est dual stack tu n'as pas forcement besoin de config DNS pour IPv6 meme pour les domaines IPv6 only.
Il n'y a pas de lien entre les réponses DNS (A ou AAAA) et le lien IP utilisé pour joindre le(s) serveur(s) DNS (ipv4 ou ipv6).
Mais si il ya des serveurs DNS IPv6 ils seront utilisé en priorité a ceux en IPv4 (sauf config particulière).
-
tant que ton serveur dns est dual stack tu n'as pas forcement besoin de config DNS pour IPv6 meme pour les domaines IPv6 only.
Il n'y a pas de lien entre les réponses DNS (A ou AAAA) et le lien IP utilisé pour joindre le(s) serveur(s) DNS (ipv4 ou ipv6).
Mais si il ya des serveurs DNS IPv6 ils seront utilisé en priorité a ceux en IPv4 (sauf config particulière).
Merci pour ton retour. Dans ma configuration général de PF j zi mis les adresses ipv4 et ipv6 de cloudflare.
Que penses tu du point particulier des Article sur "windows et l ipv6" que j ai mis en lien.
De plus j ai toujours le problème avec Windows versus Android.. en lien avec les temps time life du RA trop long 200 600 1800 Windows ne veux pas se connecte en ipv6 et trop court 5 20 90 Android refuse de se connecter...
-
DHCPv6 coté LAN n'est utile sauf config avancée (style serveur Active Directory par exemple).
c'est ipconfig qui affiche le DUID mais ce n'est pas forcement utilisé. pour verifier comment tes IPv6 sont obtenues, tu peux utiliser cette commande powershell:
Get-NetIPAddress -AddressFamily IPv6 | Select-Object InterfaceAlias, IPAddress, PrefixOrigin, SuffixOrigin, AddressState | Format-Table -AutoSize
A regarder rapidement ta config, WAN n'a pas a etre en DHCPv6. Tu peux mettre static et "fe80::1/64" comme IPv6.
La config LAN DHCPv6 n'est pas bonne non plus car le prefix range est bien trop grand: tu vas de ..6::0 a .. 6:ffff:ffff:ffff:ffff soit tout le /64 donc ca comprend l'ip lan (...6::1) du routeur
En pratique on prend une plage bien moins large (1000 adresses par exemple ou meme 10000) et qui n'est pas en conflig avec les adresses SLAAC.
Mais bon de toute facon DHCPv6 n'est pas utile ici donc autant ne pas s'en servir.
Pfsense n'accepte pas ce type d'adresse en mode satatic sur le wan
il sort l'erreur :
"IPv6 link local addresses cannot be configured as an interface IP address."
-
Pfsense n'accepte pas ce type d'adresse en mode satatic sur le wan
il sort l'erreur :
"IPv6 link local addresses cannot be configured as an interface IP address."
ah il me semblait que ca marchait a une époque ou alors c'est avec opnsense ?
test repide: avec fe80::10/64 ca marche sur opnsense.
-
ah il me semblait que ca marchait a une époque ou alors c'est avec opnsense ?
test repide: avec fe80::10/64 ca marche sur opnsense.
sous pfsense ca fonctionne pas...
voici ma config et les options possible ... est ce que slaac serait une alternative ?
-
"none" dans ce cas sauf si ca enleve la link-local.
Que penses tu du point particulier des Arthur windows que j ai mis en lien.
De plus j ai toujours le problème avec Windows versus Android.. en lien avec les temps time life du RA trop long 200 600 1800 Windows ne veux pas se connecte en ipv6 et trop court 5 20 90 Android refuse de se connecter...
je ne comprend pas "Arthur windows" ...
ni cette histoire de lifetime (a quelles valeurs correspondent ces nombres par rapport a cette page: https://docs.netgate.com/pfsense/en/latest/services/dhcp/ipv6-ra.html).
Voici les valeurs envoyés par une livebox par exemple, ca fonctionne ok avec Windows et Android:
AdvDefaultLifetime 600;
AdvValidLifetime 86400;
AdvPreferredLifetime 600;
mais les valeurs par défaut de pfsense/opnsense sont sensées fonctionner partout.
-
"none" dans ce cas sauf si ca enleve la link-local.
je ne comprend pas "Arthur windows" ...
ni cette histoire de lifetime (a quelles valeurs correspondent ces nombres par rapport a cette page: https://docs.netgate.com/pfsense/en/latest/services/dhcp/ipv6-ra.html).
Voici les valeurs envoyés par une livebox par exemple, ca fonctionne ok avec Windows et Android:
mais les valeurs par défaut de pfsense/opnsense sont sensées fonctionner partout.
OK pour le "None" sur le WAN je vais tester
Arthur => Erreur de typo je vouslais dire les articles sur windows et les DNS en Slaac et le RA que j'ai mis en lien précédement
Pour ce qui est des temps ci dessous les parametres dans PFsense ... néanmoins je ne suis pas sur de la correspondance entre
ceux que tu indique :
AdvDefaultLifetime 600;
AdvValidLifetime 86400;
AdvPreferredLifetime 600;
et ceux présent dans la capture ci dessous
pour ma pars c'est la modification de RA Minium et RA maximum qui impact le plus le comportement sous windows et android. si je mets de RA court sous windows l 'ipv6 est ok et si je mets des RA long c'est android qui fonctionne et plus Windows.
peux tu me confirmer la correspondance :
AdvDefaultLifetime 600; => router lifetime ??
AdvValidLifetime 86400; => Valid Lifetime
AdvPreferredLifetime 600; => Prefered Lifetime ?
-
Pourquoi changer les tempos d'annonce RA ? les valeurs par défaut ne fonctionnent pas?
Ces valeurs sont les "unsolicited" c'est a dire elle définissent quand le routeur s'annonce si personne ne le sollicite.
Les OS qui respectent les normes (Android par exemple) refuseront des valeurs qui ne respectent pas les normes:
MaxRtrAdvInterval: entre 4 et 1800 ("max RA interval" dans pfsense). default: 600
MinRtrAdvInterval : > 3s et < 0,75*MaxRtrAdvInterval ("min RA interval" dans pfsense) - defaut: 1/3 de MaxRtrAdvInterval si MaxRtrAdvInterval > 9s.
AdvDefaultLifetime: > MaxRtrAdvInterval et < 9000 ("router lifetime" dans pfsense)
a priori Android, depuis la version 15 a des contraintes supplémentaire:
AdvDefaultLifetime doit être supérieur a 180s et MaxRtrAdvInterval < 1/3 de AdvDefaultLifetime
ton router lifetime de 90 n'est peut-être pas acceptable pour Android (ca dépend des versions).
-
Pourquoi changer les tempos d'annonce RA ? les valeurs par défaut ne fonctionnent pas?
Ces valeurs sont les "unsolicited" c'est a dire elle définissent quand le routeur s'annonce si personne ne le sollicite.
Les OS qui respectent les normes (Android par exemple) refuseront des valeurs qui ne respectent pas les normes:
MaxRtrAdvInterval: entre 4 et 1800 ("max RA interval" dans pfsense). default: 600
MinRtrAdvInterval : > 3s et < 0,75*MaxRtrAdvInterval ("min RA interval" dans pfsense) - defaut: 1/3 de MaxRtrAdvInterval si MaxRtrAdvInterval > 9s.
AdvDefaultLifetime: > MaxRtrAdvInterval et < 9000 ("router lifetime" dans pfsense)
a priori Android, depuis la version 15 a des contraintes supplémentaire:
AdvDefaultLifetime doit être supérieur a 180s et MaxRtrAdvInterval < 1/3 de AdvDefaultLifetime
ton router lifetime de 90 n'est peut-être pas acceptable pour Android (ca dépend des versions).
Effectivement les valeurs par défauts de pf semblaient ne pas fonctionner lors de mes premiers essais et ne fonctionnent toujours pas .. j avais donc modifié ces valeurs..
Maintenant je vais reprendre les essais avec tes conseils concernant les temps..
Et ferais un retour détaillé
-
si j'ai bien compris tes conseil j'arrive a ces réglages...
avec ce réglages windows semble avoir une ipv6 routable et un dns v6 defini par le test sur ip.libra.info montre que l ipv6 ne fonctionne pas..
-
Avec juste ça, tu devrait avoir du V6
-
Merci
Je vais regarder tout cela et surtout tentez d adapté a PFSense. Le menu n étant pas tout a fait identique...
Question Kgersen me conseil le RA en un manager.. et toi en assisted.. quelle est la raison ?
-
Je saurais pas te dire, j’ai assisted depuis tellement longtemps...
Et tant que ça marche bah je touche pas 😉
-
@zyon
pourrais tu également me faire une capture de parametres dhcpv6 pour l'interface LAN...
mes résulats :
en unmanaged : android OK
windows :NOK
debian : OK
si je redémarre le service RA => windows Ok
en assisted => tout est NOK ;-)
-
Si le serveur DHCPv6 est désactivé, ce n'est pas censé faire de différence. Mais ton Windows qui refuse les RA c'est intrigant. As-tu capturé pendant l'activation de la carte Ethernet du PC avec Wireshark ?
-
Il n'est pas activé pour ma part
@zyon
pourrais tu également me faire une capture de parametres dhcpv6 pour l'interface LAN...
mes résulats :
en unmanaged : android OK
windows :NOK
debian : OK
si je redémarre le service RA => windows Ok
en assisted => tout est NOK ;-)
-
@paul non pour le moment par fait de capture wireshark :-(
pour etre plus precis est ce que la machine ne fait qu 'écoute le reseaux et donc attendre que le router envoi des informations ou bien est ce que les machine sollicite le router ?
dans wirewhark que dois cherche exactement ?
-
@Paul merci pour ton conseil avec wireshark ...
mea culpa : ma 1ere erreur oublier de dire que mon pfsense fonctionne sous proxmox :-d
apres lecture de wireshark il semblait que le router sollicitation icmpv6 n'avais pas de reponse
avec cet article j'ai testé et c'est ok
https://forum.proxmox.com/threads/ipv6-neighbor-solicitation-not-forwarded-to-vm.96758/
il faut desactiver le multicast snooping et maintenant c'est ok