Auteur Sujet: FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... la solution (Lu 44980 fois)

doktoil makresh · « **Réponse #120 le:** 29 novembre 2023 à 20:23:19 »

Elle est ici :

Zweit · « **Réponse #121 le:** 29 novembre 2023 à 20:52:02 »

En ce qui me concerne, ma configuration est légèrement différente car j'utilise radvd au lieu de dhcpv6-pd (c'est un ER6), mais ça ne devrait pas trop changer de chose je pense :

Code: [Sélectionner]

interfaces {
    ethernet eth0 {
        address dhcp
        address fe80::1/64
        address xxxxxxxxxxxxxxx3::ed6e/64
        description Internet
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth1 {
        address 10.0.0.1/16
        address fe80::1:1/64
        address xxxxxxxxxxxxxxx0::1/64
        description Local
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                prefix xxxxxxxxxxxxxxx0::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
        vif 10 {
            address 10.10.0.1/24
            address fe80::10:1/64
            address xxxxxxxxxxxxxxx1::1/64
            description Wifi
            firewall {
                local {
                    ipv6-name WIFI_LOCAL
                }
                out {
                }
            }
            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix xxxxxxxxxxxxxxx1::/64 {
                        autonomous-flag true
                        on-link-flag true
                        valid-lifetime 2592000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }
        vif 11 {
            address 10.11.0.1/16
            description IoT
            firewall {
                in {
                    name IoT_IN
                }
                local {
                    name IoT_LOCAL
                }
            }
            mtu 1500
        }
        vif 20 {
            address 10.20.0.1/24
            address fe80::20:1/64
            address xxxxxxxxxxxxxxx2::1/64
            description "Guest Wifi"
            firewall {
                in {
                    ipv6-name GUESTv6_IN
                    name GUEST_WIFI_IN
                }
                local {
                    ipv6-name GUESTv6_LOCAL
                    name GUEST_WIFI_LOCAL
                }
            }
            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix xxxxxxxxxxxxxxx2::/64 {
                        autonomous-flag true
                        on-link-flag true
                        valid-lifetime 2592000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }
        vif 132 {
            address 10.132.0.1/16
            description "External Managment"
            firewall {
                in {
                    name EXTERNAL_MGMT_IN
                }
                local {
                    name EXTERNAL_MGMT_LOCAL
                }
                out {
                    name EXTERNAL_MGMT_OUT
                }
            }
            mtu 1500
        }
    }
    ethernet eth2 {
        description External
        duplex auto
        firewall {
            in {
                ipv6-name GUESTv6_IN
                name EXTERNAL_IN
            }
            local {
                name EXTERNAL_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
        vif 131 {
            address xxxxxxxxxxxxxxx4::1/64
            [...]
            }
        }
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    ethernet eth4 {
        duplex auto
        speed auto
    }
    ethernet eth5 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
protocols {
    static {
        route6 ::/0 {
            next-hop fe80::[link-local de la freebox] {
                interface eth0
            }
        }
    }
}
system {
    host-name ER6P
    name-server 2001:4860:4860::8888
    name-server 2001:4860:4860::8844
    name-server 212.27.40.240
    ntp {
        server 0.europe.pool.ntp.org {
            prefer
        }
        server 1.europe.pool.ntp.org {
        }
        server 2.europe.pool.ntp.org {
        }
        server 3.europe.pool.ntp.org {
        }
        server 81.21.65.169 {
            prefer
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            pppoe enable
            table-size 262144
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}

Pour des besoins de tunnels, j'ai ajouté une adresse fixe sur eth0 provenant d'un autre /64 de la freebox, c'est peut-être ça la différence d'importance.
Voici les préfixes délégués de ma freebox :

Car je peux ping en v6 depuis le routeur sans soucis :

Code: [Sélectionner]

~$ ping6 lafibre.info
PING lafibre.info(lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0)) 56 data bytes
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=1 ttl=53 time=11.8 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=2 ttl=53 time=11.4 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=3 ttl=53 time=11.0 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=4 ttl=53 time=11.2 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=5 ttl=53 time=11.6 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=6 ttl=53 time=11.2 ms
^C
--- lafibre.info ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 11.013/11.394/11.843/0.282 ms

doktoil makresh · « **Réponse #122 le:** 29 novembre 2023 à 21:38:40 »

je viens de tester, ça marche nickel.
Un grand merci !

J'ai un autre souci. Quand je me connecte sur le port 443 de l'IPv4 publique de mon routeur, j'arrive sur l'interface de la freebox :

Code: [Sélectionner]

curl -k https://noisy.makelofine.org/ -v
*   Trying 82.65.79.87:443...
* Connected to noisy.makelofine.org (82.65.79.87) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: C=FR; CN=2gzbxjg1.fbxos.fr
*  start date: Oct 11 09:21:36 2023 GMT
*  expire date: Jan  9 09:26:36 2024 GMT
*  issuer: C=FR; ST=France; O=Freebox SA; CN=Freebox ECC Intermediate CA
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
> GET / HTTP/1.1
> Host: noisy.makelofine.org
> User-Agent: curl/7.74.0
> Accept: */*
> 
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Server: nginx
< Date: Thu, 30 Nov 2023 08:40:12 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 0
< Connection: keep-alive
< Location: /login.php
< Expires: Thu, 30 Nov 2023 08:40:11 GMT
< Cache-Control: no-cache
< Cache-Control: must-revalidate,no-store
< 
* Connection #0 to host noisy.makelofine.org left intact

Quand je le fais sur le port 80 ca marche nickel

Code: [Sélectionner]

curl -k http://noisy.makelofine.org/ -v
*   Trying 82.65.79.87:80...
* Connected to noisy.makelofine.org (82.65.79.87) port 80 (#0)
> GET / HTTP/1.1
> Host: noisy.makelofine.org
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Thu, 30 Nov 2023 08:42:30 GMT
< Server: Apache/2.4.56
< Last-Modified: Mon, 11 May 2020 19:27:32 GMT
< ETag: "29cd-5a56456a4c20f"
< Accept-Ranges: bytes
< Content-Length: 10701
< Vary: Accept-Encoding
< Content-Type: text/html
< 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">

Le port 443 en IPv6 est également OK.
Ma freebox est joignable depuis le LAN sur les ports 80 (redirect vers port 443) et 443.
Pour l'accès depuis l'extérieur j'ai mis des ports randoms.

Zweit · « **Réponse #123 le:** 30 novembre 2023 à 19:57:08 »

Perso j'ai désactivé l'accès distant de la Freebox. Si j'ai besoin de m'y connecter à distance, je le vais via un serveur OpenVPN que j'ai chez moi sur un de mes serveurs. C'est peut-être ça qui intercepte le flux du port 443 avant qu'il passe dans le bridge de la box (c'est le cas pour les ports utilisés par IPsec qu'il faut désactiver dans la Freebox pour monter un tunnel derrière en bridge)

doktoil makresh · « **Réponse #124 le:** 30 novembre 2023 à 20:57:09 »

Je ne trouve pas l'option pour désactiver l'accès distant.
Si je supprime les ports (1337 et 1338, rien à voir avec 443 donc), ca se remet automatiquement.
J'ai désactivé l'accès invités, l'association des nouvelles applications, toujours la même chose.

Ce qui est étrange, c'est que si j'active l'accès sur des ports distants, ca ne fonctionne pas sur ces nouveaux ports (HTTP comme HTTPS). J'ai l'impression qu'elle ne prend pas mes réglages en compte.
Je vais lui mettre un reboot d'usine pour lui apprendre la politesse, ensuite on verra si ca retombe en marche

je fais un retour sur le résultat dès que j'ai la permission de couper le net

Zweit · « **Réponse #125 le:** 01 décembre 2023 à 00:16:19 »

Citation de: doktoil makresh le 30 novembre 2023 à 20:57:09

Je ne trouve pas l'option pour désactiver l'accès distant.

Si j'en crois la description de l'option, c'est cette case qu'il faut décocher :

doktoil makresh · « **Réponse #126 le:** 01 décembre 2023 à 10:18:36 »

Bonjour,

j'ai désactivé cette option, ca ne change rien. Malgré un reset factory.

doktoil makresh · « **Réponse #127 le:** 01 décembre 2023 à 14:07:17 »

Alors nouvel essai : remise à zéro de la freebox. j'ai ensuite configuré le port d'admin distant sur un port aléatoire.
rechargement de ma config sur la freebox -> maintenant ca marche, le port 443 en IPv4 arrive bien sur mon routeur EdgeRouter-X, puis sur la bonne machine du réseau...
Merci pour votre aide très précieuse !