Auteur Sujet: FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... la solution  (Lu 5865 fois)

0 Membres et 1 Invité sur ce sujet

nanostra

  • Client Free fibre
  • *
  • Messages: 78
  • Lambersart 59
    • Speedtest
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... la solution
« le: 16 novembre 2016 à 11:19:03 »
Hello les loulous,

CONFIGURER IPV6 sur Ubiquiti EDGEROUTER avec Freebox V6
==> Ce message reprend tous les échanges et cela fonctionne <==

J'ai un edgerouter Pro 8 port + 2 SFP mais cela fonctionne sur n'importe quel Edgerouter d'ubiquiti. Il sufit de changer les ports et quelques adresses.

MERCI à KGersen sans qui je ne m'en serai jamais sorti !!!

eth1 : FREBOX MODE Routeur/Bridge/DMZ... on s'en tape :-)
eth7 : LOCAL LAN
eth7.10 : LAN GUEST (invité)

Côté Freebox :

Dans les 2 premiers NEXT HOPE DE LA FREEBOX, saisir fe80::1 qui sera défini à la ligne du script de configuration du routeur (voir plus bas, ligne : )

set interfaces ethernet eth1 address fe80::1/64
Noter Adresse IPV6 lien local de la Freebox (ici) : fe80::6aa3:78ff:fe5c:1143

Côté Routeur, se connecter en SSH et faire un Copier/Coller des blocs qui suivent

Il faut adapter les parties (1) (2) et (3) avec les valeurs présentent dans l'interface IPV6 de la Freebox

configure
#----------------------------------------------------------
# Affectation 2ème LINK MAISON sur eth1 / eth7 / eth7.10
#----------------------------------------------------------

#On affecte 2ème LINK LOCAL plutôt que d'utiliser celles définies par défaut
#cela rend ce script compatible avec n'importe quel hardware

set interfaces ethernet eth1 address fe80::1/64
set interfaces ethernet eth7 address fe80::7:1/64
set interfaces ethernet eth7 vif 10 address fe80::7:2/64

#----------------------------------------------------------
# (1) - Définition route IPV6 vers freebox
#----------------------------------------------------------

# e80::6aa3:78ff:fe5c:1143 ==> Adresse IPV6 lien local visible sur la Freebox

set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1

#----------------------------------------------------------
# (2) - Attribution IPV6 dans plage attribuée par Freebox sur eth7 (LAN PRINCIPAL)
#----------------------------------------------------------

# LAN PRINCIPAL
# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64

# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64

#----------------------------------------------------------
# (3) - Attribution IPV6 dans plage attribuée par Freebox sur eth7.10 (GUEST)
#----------------------------------------------------------

#LAN GUEST
# 2a01:e0a:d:a661::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7 vif 10 address 2a01:e0a:d:a661::1/64

# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7 vif 10 ipv6 router-advert prefix 2a01:e0a:d:a661::/64

#----------------------------------------------------------
#FIREWALL
#----------------------------------------------------------

set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"

set firewall ipv6-name wan_local-6 rule 6 description "DHCPv6"
set firewall ipv6-name wan_local-6 rule 6 action accept
set firewall ipv6-name wan_local-6 rule 6 destination port 546
set firewall ipv6-name wan_local-6 rule 6 protocol udp
set firewall ipv6-name wan_local-6 rule 6 source port 547

#----------------------------------------------------------
# APPLICATION DES REGLES OUT DU FIREWALL sur eth7 et eth7.10
#----------------------------------------------------------

set interfaces ethernet eth7 firewall out ipv6-name wan_local-6
set interfaces ethernet eth7 vif 10 firewall out ipv6-name wan_local-6

#----------------------------------------------------------
# DNS Google via RDNSS sur eth7 et eth7.10
#----------------------------------------------------------

set interfaces ethernet eth7 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
set interfaces ethernet eth7 vif 10 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"


#----------------------------------------------------------
# DHCP V6 pour forward des DNS IPV6 vers postes Windows incompatibles RDNSS
#----------------------------------------------------------

# DNS Google pour eth7

set service dhcpv6-server shared-network-name lanv6google name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6google name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6google subnet fe80::7:1/128
set interfaces ethernet eth7 ipv6 router-advert other-config-flag true

# DNS Opendns pour eth7.10

set service dhcpv6-server shared-network-name lanv6opendns name-server 2620:0:ccc::2
set service dhcpv6-server shared-network-name lanv6opendns name-server 2620:0:ccd::2
set service dhcpv6-server shared-network-name lanv6opendns subnet fe80::7:2/128
set interfaces ethernet eth7 vif 10 ipv6 router-advert other-config-flag true

commit
save
exit

Faire un reboot Freebox + Routeur + Arrêter / redémarrer votre config réseau de la machine de test

test sur http://test-ipv6.com
test de sécurité sur http://www6.chappell-family.co.uk

A+
« Modifié: 17 novembre 2016 à 23:23:00 par nanostra »

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 708
  • FTTH 1Gb/s sur Paris (75)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #1 le: 16 novembre 2016 à 13:37:26 »
la freebox ne supportant pas de délégation ou autre, il faut tout faire a la main.

dans l'interface de la freebox on peut router un /64 (ou plusieurs) vers un appareil du LAN. En l'occurence ici ca sera ton ER.
Il suffit de mettre l'IPv6 link-local (commencant par fe80) de l'interface wan de ton erl comme next-hop.

exemple:



-- freebox --- (eth1)ER(eth0) --- lan



Dans 'next-hop' on met l'IPv6 link-local d'eth1 de l'ER.

ensuite coté Lan (eth0) on peut régler un RA pour distribuer le /64 sur le LAN.

pour la gateway on met l'ipv6 link-local de la Freebox ().


c'est une facon de faire. On peut aussi laisser un réseau public /64 entre la freebox et l'ER (donc avoir une IP public coté WAN de l'ER) et utiliser un autre /64 coté LAN de l'ER mais bon peu d’intérêt et moins secure.


nanostra

  • Client Free fibre
  • *
  • Messages: 78
  • Lambersart 59
    • Speedtest
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #2 le: 16 novembre 2016 à 14:51:23 »
Hello KGersen,

Toujours les mêmes :-), merci...

eth1 = Freebox
eth7 = LOCAL LAN (vers switch)



L'IPV6 à mettre dans le NextHop de la Freebox est bien celui que l'on obtient en faisant un

ifconfig
en ssh sur l'edgerouter pour l'interface eth1 qui reçoit la connexion internet Freebox ?

Pour le Gateway vers l'IPV6 FREEBOX (appelé lien local sur la Freebox)... j'ai trouvé cela (j'ai pris l'IPV6 de ta copie d'écran)

set protocols static route6 ::/0 next-hop fe80::f6ca:e5ff:fe57:1ceb
Pour distribuer de l'IPV6 /64 sur le LAN LOCAL (eth7), est-ce que cela ferait l'affaire (exemple adapté a ma config):

Evidemment c'est pas du comcast...
# Enable your comcast facing interface to request an IPv6 prefix assignment via DHCPv6
# Tell comcast that you would like a /64 prefix to delegate to an internal interface (eth7) via a DHCPv6 Identity Association (IA_PD)

set interfaces ethernet eth1 dhcpv6-pd pd 0
set interfaces ethernet eth1 dhcpv6-pd pd 0 interface eth7
set interfaces ethernet eth1 dhcpv6-pd pd 0 prefix-length 64

# Setup your LAN facing interface to send router advertisements and distribute IPv6 addresses from the /64 prefix comcast assigned.

set interfaces ethernet eth7 ipv6 router-advert prefix ::/64
set interfaces ethernet eth7 ipv6 router-advert managed-flag true

Pour info... https://community.ubnt.com/t5/EdgeMAX/Comcast-Residential-IPv6-with-EdgeOS-1-6-0-on-EdgeRouter-Lite/td-p/1220516

Je suis pas à la maison, donc test ce soir.

Merci

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 708
  • FTTH 1Gb/s sur Paris (75)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #3 le: 16 novembre 2016 à 16:29:16 »

L'IPV6 à mettre dans le NextHop de la Freebox est bien celui que l'on obtient en faisant un

ifconfig
en ssh sur l'edgerouter pour l'interface eth1 qui reçoit la connexion internet Freebox ?


oui

Citer
Pour distribuer de l'IPV6 /64 sur le LAN LOCAL (eth7), est-ce que cela ferait l'affaire (exemple adapté a ma config):

non ton exemple vient d'un cas ou y'a du 'prefix delegation' (pd), ce n'est pas le cas avec Free.

pour eth1 tu n'as rien a configurer, on n'a besoin que de son IPv6 link-local.

pour eth7 il faut manuellement lui mettre une IPv6 prise dans le /64 (par exemple la 1ere donc terminant par ...:1)

si on prend l'exemple de mon screenshot, ca donnerai:

set interfaces ethernet eth7 address 2001:db8:deaf:beef::1
ensuite il faut distribuer ce prefix aux machines du LAN. Mais on ne le recoit par PD il faut le mettre a la main aussi:

set interfaces ethernet eth7 ipv6 router-advert prefix 2001:db8:deaf:beef::/64
+ les options de RA qu'on souhaite avec eventuellement un serveur DHCPv6 pour les options autres si on veut.

nanostra

  • Client Free fibre
  • *
  • Messages: 78
  • Lambersart 59
    • Speedtest
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #4 le: 16 novembre 2016 à 22:51:22 »
Ce que j'ai testé en suivant tes conseils :

eth1 = Freebox
eth7 = LOCAL LAN (vers switch)


Freebox :


  • Lien Local IPV6 : fe80::6aa3:78ff:fe5c:1143
  • Préfixe : 2a01:e0a:d:a660::/64
  • Next Hop : fe80::26a4:3cff:fe3c:3de1

ifconfig

root@ubnt:~# ifconfig
eth1      Link encap:Ethernet  HWaddr 24:a4:3c:3c:3d:e1 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::26a4:3cff:fe3c:3de1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18360 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17644 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:11380071 (10.8 MiB)  TX bytes:9658642 (9.2 MiB)

eth7      Link encap:Ethernet  HWaddr 24:a4:3c:3c:3d:e7 
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
          inet6 addr: 2a01:e0a:d:a660::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:27320 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29110 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:11125243 (10.6 MiB)  TX bytes:21025714 (20.0 MiB)

eth7.10   Link encap:Ethernet  HWaddr 24:a4:3c:3c:3d:e7 
          inet addr:192.168.50.1  Bcast:192.168.50.255  Mask:255.255.255.0
          inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:744 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:336602 (328.7 KiB)

imq0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          UP RUNNING NOARP  MTU:16000  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:28 overruns:0 carrier:0
          collisions:0 txqueuelen:11000
          RX bytes:0 (0.0 B)  TX bytes:896 (896.0 B)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:232 errors:0 dropped:0 overruns:0 frame:0
          TX packets:232 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:32944 (32.1 KiB)  TX bytes:32944 (32.1 KiB)



set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143
set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64


root@192.168.10.1's password:
Linux ubnt 3.10.20-UBNT #1 SMP Fri Jul 29 17:07:24 PDT 2016 mips64
Welcome to EdgeOS
root@ubnt:~# configure
[edit]
root@ubnt# set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143
[edit]
root@ubnt# set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
[edit]
root@ubnt# set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
[edit]
root@ubnt# commit
[ protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 ]
% Interface has to be specified for a link-local nexthop

[ interfaces ethernet eth7 ipv6 router-advert ]
Re-generating radvd config file for interface eth7...
Starting radvd...
Starting radvd: radvd.

[edit]
root@ubnt#


root@ubnt# show interfaces

 ethernet eth0 {
     disable
     duplex auto
     ip {
     }
     speed auto
 }
 ethernet eth1 {
     address dhcp
     description "FREEBOX"
     duplex auto
     firewall {
         in {
             name WAN_IN
         }
         local {
             name WAN_LOCAL
         }
     }
     ip {
     }
     speed auto
 }
 ethernet eth2 {
     disable
     duplex auto
     ip {
     }
     speed auto
 }
 ethernet eth3 {
     disable
     duplex auto
     speed auto
 }
 ethernet eth4 {
     disable
     duplex auto
     speed auto
 }
 ethernet eth5 {
     disable
     duplex auto
     speed auto
 }
 ethernet eth6 {
     disable
     duplex auto
     speed auto
 }
 ethernet eth7 {
     address 192.168.10.1/24
     address 2a01:e0a:d:a660::1/64
     description "eth7 LOCAL LAN SWITCH"
     duplex auto
     firewall {
         in {
             name PARENTAL_CONTROL
         }
     }
     ip {
     }
     ipv6 {
         router-advert {
             prefix 2a01:e0a:d:a660::/64 {
             }
         }
     }
     speed auto
     vif 10 {
         address 192.168.50.1/24
         description "eth7.10 GUEST"
         firewall {
             in {
                 name PARENTAL_CONTROL
             }
         }
         ip {
         }
     }
 }
 loopback lo {
 }

root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         -                                 A/D                             
eth1         192.168.1.1/24                    u/u  FREEBOX             
eth2         -                                 A/D                             
eth3         -                                 A/D                             
eth4         -                                 A/D                             
eth5         -                                 A/D                             
eth6         -                                 A/D                             
eth7         192.168.10.1/24                   u/u  eth7 LOCAL LAN SWITCH       
             2a01:e0a:d:a660::1/64           
eth7.10      192.168.50.1/24                   u/u  eth7.10 GUEST               
lo           127.0.0.1/8                       u/u                             
             ::1/128                 

Test PING IPV6

root@ubnt:~#  ping6 www.google.fr
connect: Network is unreachable

KO...

J'ai essayé d'ajouter :

set interfaces ethernet eth1 ipv6 address autoconf
et j'ai viré le Next Hop sur la freebox

root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         -                                 A/D                             
eth1         192.168.1.1/24                    u/u  BRIDGE FREEBOX             
             2a01:e0a:d:a660:26a4:3cff:fe3c:3de1/64
eth2         -                                 A/D                             
eth3         -                                 A/D                             
eth4         -                                 A/D                             
eth5         -                                 A/D                             
eth6         -                                 A/D                             
eth7         192.168.10.1/24                   u/u  eth7 LOCAL LAN SWITCH       
             2a01:e0a:d:a660::1/64           
eth7.10      192.168.50.1/24                   u/u  eth7.10 GUEST               
lo           127.0.0.1/8                       u/u                             
             ::1/128               

root@ubnt:~# ping6 google.com
PING google.com(par10s27-in-x0e.1e100.net) 56 data bytes
64 bytes from par10s27-in-x0e.1e100.net: icmp_seq=1 ttl=55 time=4.52 ms
64 bytes from par10s27-in-x0e.1e100.net: icmp_seq=2 ttl=55 time=4.40 ms

PING 6 OK depuis SSH... OUAH

Par contre depuis mon MBP... Nada... en faisant un test sur test-ipv6

Citer
Votre adresse IPv4 sur l'Internet semble être 91.160.5x.xxx

Votre Fournisseur d'Accès Internet (FAI) semble être PROXAD , FR

Pas d'adresse IPv6 détectée [plus d'info]

Bonne nouvelle! votre configuration courante continuera à fonctionner lorsque les sites web adopteront IPv6.

Quand un site propose à la fois IPv4 et IPv6, votre navigateur décide d'utiliser IPv4 sans délai.

Les connexions vers des sites disponibles qu'en IPv6 échouent pour cause de délai dépassé. Tous les sites disponibles qu'en IPv6 vous apparaissent comme étant indisponibles.

Votre serveur DNS (qui est peut-être chez votre FAI) semble avoir un accès IPv6 à Internet.


Sur le MBP j'ai :

Routeur : fe80::26a4:3cff:fe3c:3de7
Adresses IPV6 : 2a01:e0a:d:a660:8e4:8044:7c6:de33

Pas de DNS...

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 708
  • FTTH 1Gb/s sur Paris (75)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #5 le: 16 novembre 2016 à 23:23:19 »
oula attention a pas tout mélanger... dans le 2 eme cas la freebox devient serveur RA et attribue une IPv6 au ER sur eth1 (car tu as mis address autoconf) dans ce cas il te faut un 2eme /64 coté LAN de l'ER. Ca devient compliqué pour rien (meme si ca peut marcher).

Ton 1er cas ne marche pas a cause de la route par défaut qui n'est pas la. Il y a une erreur bien visible lors du commit:

[ protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 ]
% Interface has to be specified for a link-local nexthop


effectivement la ligne:
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143
n'est pas bonne car ambiguë. Une IP link-local n'a de sens que pour une interface donnée, "fe80::6aa3:78ff:fe5c:1143" peut tres bien exister sur d'autres interfaces. Il faut donc préciser que la sortie vers Internet (::/0) c'est "fe80::6aa3:78ff:fe5c:1143" sur eth1.

essai donc avec:
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1le commit devrait passer et ca devrait ping (faut bien remettre ce qui va bien dans la config de la fbx bien sur).

Le point clé est bien comprendre comment la freebox fonctionne en IPv6 et cette histoire de routes. En IPv6 c'est du routage pur. y'a pas de bridge ou de NAT ou quoique ce soit d'autre. Si on oublie IPv4 c'est en fait plus simple (je recommande vraiment ne de pas penser a IPv4 et comment on fait en IPv4 quand on aborde IPv6).


nanostra

  • Client Free fibre
  • *
  • Messages: 78
  • Lambersart 59
    • Speedtest
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #6 le: 16 novembre 2016 à 23:41:09 »
Ouai... la logique IPV6...

J'ai donc suivi tes conseils après un restore...

Linux ubnt 3.10.20-UBNT #1 SMP Fri Jul 29 17:07:24 PDT 2016 mips64
Welcome to EdgeOS
root@ubnt:~# configure
[edit]
root@ubnt# set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1
[edit]
root@ubnt# set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
[edit]
root@ubnt# set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
[edit]
root@ubnt# commit
[ interfaces ethernet eth7 ipv6 router-advert ]
Re-generating radvd config file for interface eth7...
Starting radvd...
Starting radvd: radvd.

[edit]
root@ubnt# save
Saving configuration to '/config/config.boot'...
Done
[edit]
root@ubnt# exit
exit

root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         -                                 A/D                             
eth1         192.168.1.1/24                    u/u  BRIDGE FREEBOX             
eth2         -                                 A/D                             
eth3         -                                 A/D                             
eth4         -                                 A/D                             
eth5         -                                 A/D                             
eth6         -                                 A/D                             
eth7         192.168.10.1/24                   u/u  eth7 LOCAL LAN SWITCH       
             2a01:e0a:d:a660::1/64           
eth7.10      192.168.50.1/24                   u/u  eth7.10 GUEST               
lo           127.0.0.1/8                       u/u                             
             ::1/128           
             

Test IPV6

Citer
Votre adresse IPv4 sur l'Internet semble être 91.160.54.....

Votre adresse IPv6 sur l'Internet semble être 2a01:e0a:d:a660:ac9d:1b71:dc26:....

Votre Fournisseur d'Accès Internet (FAI) semble être PROXAD , FR

Comme vous avez IPv6, nous avons ajouté un onglet indiquant la qualité de votre connexion IPv6. [plus d'info]

Il semblerait que vous utilisez un tunnel 6RD géré pour transporter IPv6 au-dessus d'IPv4. [plus d'info]

Bonne nouvelle! votre configuration courante continuera à fonctionner lorsque les sites web adopteront IPv6.

Votre serveur DNS (qui est peut-être chez votre FAI) semble avoir un accès IPv6 à Internet.

Votre score de préparation
10/10   pour la stabilité et la préparation de votre IPv6, quand les éditeurs offriront leur contenu uniquement en IPv6

CA MARCHE !!!!!

Faut ptet qq regles FIREWALL, non ?

UN GRAND GRAND MERCI A TOI...

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 708
  • FTTH 1Gb/s sur Paris (75)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #7 le: 17 novembre 2016 à 00:02:54 »
Faut ptet qq regles FIREWALL, non ?

y'a 2 écoles: soit le routeur laisse tout passer et chaque machine sur le LAN gere sa sécurité , soit effectivement il faut au moins un statefull firewall sur le point d'entrée (le routeur).

la config "statefull firewall" de base pour l'ER en IPv6:

firewall {
    ipv6-name IPv6_FW {
        default-action drop
        enable-default-log                                 
        description "IPv6 packets from the Internet to LAN"
        rule 1 {         
            action accept                           
            description "Allow established sessions"
            state {               
                established enable
                related enable
            }                 
        }                     
        rule 2 {       
            action drop
            state {               
                invalid enable     
            }                     
        }                         
        rule 5 {                   
            action accept     
            description "Allow ICMPv6"
            log disable               
            protocol icmpv6           
        }                             
    }                                 

comment ca marche:
default-action drop -> on 'drop' tout ce qui entre sauf si ca match une regle dans ce cas la regle dit quoi faire.
regle 1 : si le traffic entrant correspond a la reponse d'un trafic sortant précédent (established enable), on laisse entrer (action accept).
regle 2 : si le traffic entrant correspond a rien de connu, on bloque.
regle 5: on laisse entrer icmpv6 - c'est important pour la fragmentation entre autre. On peut raffiner si on veut bloquer le ping.

ne pas oublier ensuite d'appliquer IPv6_FW a la bonne interface et dans le bon sens (en "out" de eth7 dans ton cas):

set interfaces ethernet eth7 firewall out ipv6-name IPv6_FW
un bon site pour tester la sécurité de son PC enIPv6: http://www6.chappell-family.co.uk/cgi-bin6/ipscan-fast-js.cgi

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 1 325
  • Sarrebourg (57)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #8 le: 17 novembre 2016 à 00:05:55 »
regle 5: on laisse entrer icmpv6 - c'est important pour la fragmentation entre autre. On peut raffiner si on veut bloquer le ping.

Ne pas casser le mécanisme PMTUD c'est bien cela ?

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 708
  • FTTH 1Gb/s sur Paris (75)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #9 le: 17 novembre 2016 à 00:16:34 »
Ne pas casser le mécanisme PMTUD c'est bien cela ?

oui en IPv6 il n'y a pas de fragmentation 'au milieu' dans les routeurs intermédiaires. Chaque extrémité doit donc utiliser la bonne taille (le bon MTU).

Si en chemin il faut réduire la taille car il y a un MTU plus petit, le routeur intermédiaire va renvoyer un ICMPv6 indiquant la taille max qu'il accepte. L'èmetteur doit recevoir cet ICMPv6 pour re-ajuster sa taille d'émission. Si le FW bloque ces ICMPv6 l'emetteur ne saura pas ce qui s'est passé et ressaiera apres timeout avec la meme taille au lieu de la diminuer: le trafic ne passera jamais.

Vu que pas mal de machines qui "parlent" IPv6 le font via des tunnels ou autres il est fréquent qu'en IPv6 le mtu soit plus petit que la normal (1500) donc c'est très important de ne pas bloquer ICMPv6 dans le FW.

nanostra

  • Client Free fibre
  • *
  • Messages: 78
  • Lambersart 59
    • Speedtest
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... comment faire ?
« Réponse #10 le: 17 novembre 2016 à 00:25:37 »
Kgersen

La traduction en commande CLI pour le Firewall...

Le test sur http://www6.chappell-family.co.uk/cgi-bin6/ipscan-fast-js.cgi donne tout à STEALTH.

set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"

set interfaces ethernet eth7 firewall out ipv6-name wan_local-6
« Modifié: 17 novembre 2016 à 12:37:03 par nanostra »

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 708
  • FTTH 1Gb/s sur Paris (75)
FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... la solution
« Réponse #11 le: 17 novembre 2016 à 12:31:54 »
non pas de regles IN sinon il n'y a plus de trafic sortant.

in = ce qui sort du LAN et donc entre dans le port eth7 d'ou 'in' pour ce port
out = ce qui entre dans le LAN et donc sort du port eth7 d'ou 'out' pour ce port

donc 'out' = ce qui vient d'Internet. Ca peut porter a confusion.

 

Mobile View