Auteur Sujet: Freebox POP router + ER-X + Ipv6  (Lu 8590 fois)

0 Membres et 1 Invité sur ce sujet

TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #12 le: 17 septembre 2020 à 14:42:05 »
J'ai refait le test sans le /64

IPv6 Ping Output:
PING 2a01:aaa:uuu:iiii::1(2a01:aaa:uuu:iiii::1) 32 data bytes
40 bytes from 2a01:aaa:uuu:iiii::1: icmp_seq=1 ttl=55 time=30.6 ms
40 bytes from 2a01:aaa:uuu:iiii::1: icmp_seq=2 ttl=55 time=30.3 ms
40 bytes from 2a01:aaa:uuu:iiii::1: icmp_seq=3 ttl=55 time=30.5 ms
40 bytes from 2a01:aaa:uuu:iiii::1: icmp_seq=4 ttl=55 time=30.4 ms

Zweit

  • Abonné Free fibre
  • *
  • Messages: 238
  • Bieville-Beuville (14)
Freebox POP router + ER-X + Ipv6
« Réponse #13 le: 17 septembre 2020 à 14:44:09 »
Ce que tu es en train de configurer, c'est justement du slaac ;)

Comme l'a dit kgersen, c'est peut-être un soucis du côté du PC. As-tu testé, temporairement, avec le pare-feu du PC désactivé pour voir si cela ne viendrait pas de ça ?

Le subnet que tu essaies d'utiliser est bien routé dans l'interface de la freebox vers l'adresse de l'ERX ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #14 le: 17 septembre 2020 à 15:03:48 »
En lisant le thread que j'ai mis dans mon premier post j'ai cru comprendre que Free ne supporte pas le Slaac mais si je regarde ce thread, par exemple, https://lafibre.info/remplacer-freebox/freebox-en-bridge-et-ipv6-avec-opnsense-pfsense/, l'option SLAAC fait bien partie des possibilités.
J'ai du mal à comprendre...

la freebox supporte le slaac je ne sais pas ou t'a vu cela.
mais la tu cherche à mettre un routeur derrière la freebox donc le slaac de celle-ci a aucun intérêt...

donc ca ping bien la patte lan de ton routeur. la conf et le routage sont correctes ce qu'on savait déja avec test-ipv6.com.

T'as juste un probleme d'icmpv6 soit global (sur ton routeur) soit propre au pc que tu utilise. Faut juste se concentrer la dessus.
essai test-ipv6.com avec un autre PC sur le LAN si possible.
ou retire temporairement la regle 'wan_local-6' du switch0_out.

TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #15 le: 17 septembre 2020 à 15:45:47 »
D'accord, j'ai rien compris alors :)
Sur la community UI je voyais des confs hyper simples avec "dhcpv6-pd service slaac" et je ne comprenais pas.
En fait, j'ai regardé à nouveau le thread et kgersan avait écrit "la freebox ne supportant pas de délégation ou autre, il faut tout faire a la main."

Donc si j'ai bien compris c'est plutôt le pd qui n'est pas supporté.

Pour revenir au sujet, j'ai désactivé le firewall de mon ordinateur mais toujours les mêmes résultats.

J'ai mis en pièce-jointe la conf de la Fbx


TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #16 le: 17 septembre 2020 à 16:29:18 »
la freebox supporte le slaac je ne sais pas ou t'a vu cela.
mais la tu cherche à mettre un routeur derrière la freebox donc le slaac de celle-ci a aucun intérêt...

donc ca ping bien la patte lan de ton routeur. la conf et le routage sont correctes ce qu'on savait déja avec test-ipv6.com.

T'as juste un problème d'icmpv6 soit global (sur ton routeur) soit propre au pc que tu utilise. Faut juste se concentrer la dessus.
essai test-ipv6.com avec un autre PC sur le LAN si possible.
ou retire temporairement la regle 'wan_local-6' du switch0_out.

Nos posts se sont croisés.
J'ai essayé de retirer la règle mais ne marche pas.
J'ai essayé avec un 2eme ordinateur mais c'est pire, je n'arrive même pas à avoir un ipv6. Dans ce cas je crois que soit lié au fait que s'agit d'un ordinateur de travail avec une configuration réseau géré par ma boite (je vois des DNS qui ne sont pas les DNS de mon réseau).
J'ai essayé aussi avec une Nvidia Shield TV connecté directement au routeur et j'ai les mêmes résultats que avec l'ordinateur perso.

J'ai oublié d'ajouter une information que je trouve intéressante.
Le site pour le test propose de sites mirroir, quand j'utilise ces sites j'ai un "perfect score"  ::)
par exemple, http://test-ipv6-vm3.comcast.net/

Test with IPv4 DNS record       
ok (0.917s) using ipv4
Test with IPv6 DNS record       
ok (1.201s) using ipv6
Test with Dual Stack DNS record       
ok (1.143s) using ipv6
Test for Dual Stack DNS and large packet       
ok (0.740s) using ipv6
Test IPv4 without DNS       
ok (1.790s) using ipv4
Test IPv6 without DNS       
ok (0.464s) using ipv6
Test IPv6 large packet       
ok (0.653s) using ipv6
Test if your ISP's DNS server uses IPv6       
ok (2.622s) using ipv6
Find IPv4 Service Provider       
ok (0.181s) using ipv4 ASN 12322
Find IPv6 Service Provider       
ok (0.023s) using ipv6 ASN 12322

TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #17 le: 17 septembre 2020 à 17:15:41 »
j'ai réactivé et désactivé le firewall (je suis sur mac et j'utilise le mode stealth) et maintenant j'arrive à faire le ping à partir du site subnetonline.
Avec les deux adresses, secure et temporary.

test-ipv6.com/ toujours non concluant, par contre.

le icmpv6 semble bien transiter, les compteurs "Allow icmpv6" augmentent à chaque ping subnetonline

show firewall ipv6-name statistics
--------------------------------------------------------------------------------

IPv6 Firewall "HOMEv6_OUT"  [Home IPv6 Out]

 Active on (switch0,OUT)

rule  packets     bytes       action  description
----  -------     -----       ------  -----------
1     4423        2519487     ACCEPT  Allow Wired Box Replies
2     11          880         ACCEPT  Allow icmpv6
10000 0           0           ACCEPT  DEFAULT ACTION

--------------------------------------------------------------------------------

IPv6 Firewall "WANv6_IN"  [IPv6 firewall IN]

 Active on (eth0,IN)

rule  packets     bytes       action  description
----  -------     -----       ------  -----------
10    3373        2046412     ACCEPT  Allow established/related
20    11          880         ACCEPT  Allow icmpv6
30    0           0           DROP    Drop invalid state
10000 4           3236        DROP    DEFAULT ACTION

--------------------------------------------------------------------------------

IPv6 Firewall "WANv6_LOCAL"  [WAN inbound traffic to the router]

 Active on (eth0,LOCAL)

rule  packets     bytes       action  description
----  -------     -----       ------  -----------
10    0           0           ACCEPT  Allow established/related
20    60          4136        ACCEPT  Allow icmpv6
30    0           0           ACCEPT  Allow UDP
40    0           0           DROP    Drop invalid state
10000 0           0           DROP    DEFAULT ACTION


kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #18 le: 17 septembre 2020 à 18:13:22 »
un site mirroir passe ? c'est peut-etre pas chez toi le probleme alors.
sur la freebox elle-meme t'as bien coupé le firewall ?

on voit HOMEv6_OUT WANv6_IN et  WANv6_LOCAL sur ton dernier message mais y'a rien de tout ca dans la config du 1er post... c'est un peu confus la.

TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #19 le: 17 septembre 2020 à 18:33:18 »
un site mirroir passe ? c'est peut-etre pas chez toi le probleme alors.
sur la freebox elle-meme t'as bien coupé le firewall ?

on voit HOMEv6_OUT WANv6_IN et  WANv6_LOCAL sur ton dernier message mais y'a rien de tout ca dans la config du 1er post... c'est un peu confus la.

Oui, le firewall de la box n'est pas active.
Tu as raison, entretemps j'ai un peu bidouillé avec la conf du firewall et j'ai essayé une conf similaire à celle de Zweit

     ipv6-name HOMEv6_OUT {
        default-action accept
        description "Home IPv6 Out"
        rule 1 {
            action accept
            description "Allow Wired Box Replies"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow icmpv6"
            log enable
            protocol icmpv6
        }
    }
    ipv6-name WANv6_IN {
        default-action drop
        description "IPv6 firewall IN"
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "Allow icmpv6"
            protocol icmpv6
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "Allow icmpv6"
            log enable
        }
        rule 30 {
            action accept
            description "Allow UDP"
            destination {
                port 546
            }
            log enable
            protocol udp
            source {
                port 547
            }
        }
        rule 40 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
    }

Oui, un site mirroir passe, voici le résultat avec un des sites

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #20 le: 17 septembre 2020 à 18:45:53 »
Tu surcharge le firewall du routeur pour rien avec des règles en in et en out identiques. En plus ca complique a modifier et a comprendre.

La "switch_out" du 1er post suffisait.

que donne l'onglet 'Other IPv6 sites" et les détails techniques ?

TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #21 le: 17 septembre 2020 à 19:05:54 »
Tu surcharge le firewall du routeur pour rien avec des règles en in et en out identiques. En plus ca complique a modifier et a comprendre.
Je m'en doute... comme je le disait, je ne suis pas un expert donc je bidouille pour voir les impacts. Il faudra que une fois résolu ce souci je recommence avec une conf propre.


que donne l'onglet 'Other IPv6 sites" et les détails techniques ?

les "Other IPv6 sites" sont les sites mirroir
voici les détails techniques OK et KO


kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Freebox POP router + ER-X + Ipv6
« Réponse #22 le: 17 septembre 2020 à 21:14:11 »
oui commence par virer tout les regles firewall IPv6 pour voir si y'a viens de la. Ca ne sert a rien de bidouiller ici ou la sans savoir ou le probleme est.

si sans regles (en étant certain que y'a plus de regles actives) ca ne marche pas non plus c'est que le problème est ailleurs.

voici les détails techniques OK et KO

t'avais déja données les détails du site principal. je parlais des détails techniques du site qui marche.


TheMadcapLaughs

  • Abonné Free fibre
  • *
  • Messages: 18
Freebox POP router + ER-X + Ipv6
« Réponse #23 le: 17 septembre 2020 à 21:52:42 »
Le premier screenshot que j’ai mis dans mon dernier message concerne les détails techniques du site qui marche.

J’essaie demain de supprimer les firewall rules et faire le test à nouveau.

Merci pour le temps passé pour m’aider