La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Freebox par un routeur => Discussion démarrée par: nanostra le 16 novembre 2016 à 11:19:03
-
Hello les loulous,
CONFIGURER IPV6 sur Ubiquiti EDGEROUTER avec Freebox V6
==> Ce message reprend tous les échanges et cela fonctionne <==
J'ai un edgerouter Pro 8 port + 2 SFP mais cela fonctionne sur n'importe quel Edgerouter d'ubiquiti. Il sufit de changer les ports et quelques adresses.
MERCI à KGersen sans qui je ne m'en serai jamais sorti !!!
eth1 : FREBOX MODE Routeur/Bridge/DMZ... on s'en tape :-)
eth7 : LOCAL LAN
eth7.10 : LAN GUEST (invité)
Côté Freebox :
Dans les 2 premiers NEXT HOPE DE LA FREEBOX, saisir fe80::1 qui sera défini à la ligne du script de configuration du routeur (voir plus bas, ligne : )
set interfaces ethernet eth1 address fe80::1/64
Noter Adresse IPV6 lien local de la Freebox (ici) : fe80::6aa3:78ff:fe5c:1143
Côté Routeur, se connecter en SSH et faire un Copier/Coller des blocs qui suivent
Il faut adapter les parties (1) (2) et (3) avec les valeurs présentent dans l'interface IPV6 de la Freebox
configure
#----------------------------------------------------------
# Affectation 2ème LINK MAISON sur eth1 / eth7 / eth7.10
#----------------------------------------------------------
#On affecte 2ème LINK LOCAL plutôt que d'utiliser celles définies par défaut
#cela rend ce script compatible avec n'importe quel hardware
set interfaces ethernet eth1 address fe80::1/64
set interfaces ethernet eth7 address fe80::7:1/64
set interfaces ethernet eth7 vif 10 address fe80::7:2/64
#----------------------------------------------------------
# (1) - Définition route IPV6 vers freebox
#----------------------------------------------------------
# e80::6aa3:78ff:fe5c:1143 ==> Adresse IPV6 lien local visible sur la Freebox
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1
#----------------------------------------------------------
# (2) - Attribution IPV6 dans plage attribuée par Freebox sur eth7 (LAN PRINCIPAL)
#----------------------------------------------------------
# LAN PRINCIPAL
# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
#----------------------------------------------------------
# (3) - Attribution IPV6 dans plage attribuée par Freebox sur eth7.10 (GUEST)
#----------------------------------------------------------
#LAN GUEST
# 2a01:e0a:d:a661::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7 vif 10 address 2a01:e0a:d:a661::1/64
# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7 vif 10 ipv6 router-advert prefix 2a01:e0a:d:a661::/64
#----------------------------------------------------------
#FIREWALL
#----------------------------------------------------------
set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"
set firewall ipv6-name wan_local-6 rule 6 description "DHCPv6"
set firewall ipv6-name wan_local-6 rule 6 action accept
set firewall ipv6-name wan_local-6 rule 6 destination port 546
set firewall ipv6-name wan_local-6 rule 6 protocol udp
set firewall ipv6-name wan_local-6 rule 6 source port 547
#----------------------------------------------------------
# APPLICATION DES REGLES OUT DU FIREWALL sur eth7 et eth7.10
#----------------------------------------------------------
set interfaces ethernet eth7 firewall out ipv6-name wan_local-6
set interfaces ethernet eth7 vif 10 firewall out ipv6-name wan_local-6
#----------------------------------------------------------
# DNS Google via RDNSS sur eth7 et eth7.10
#----------------------------------------------------------
set interfaces ethernet eth7 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
set interfaces ethernet eth7 vif 10 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
#----------------------------------------------------------
# DHCP V6 pour forward des DNS IPV6 vers postes Windows incompatibles RDNSS
#----------------------------------------------------------
# DNS Google pour eth7
set service dhcpv6-server shared-network-name lanv6google name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6google name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6google subnet fe80::7:1/128
set interfaces ethernet eth7 ipv6 router-advert other-config-flag true
# DNS Opendns pour eth7.10
set service dhcpv6-server shared-network-name lanv6opendns name-server 2620:0:ccc::2
set service dhcpv6-server shared-network-name lanv6opendns name-server 2620:0:ccd::2
set service dhcpv6-server shared-network-name lanv6opendns subnet fe80::7:2/128
set interfaces ethernet eth7 vif 10 ipv6 router-advert other-config-flag true
commit
save
exit
Faire un reboot Freebox + Routeur + Arrêter / redémarrer votre config réseau de la machine de test
test sur http://test-ipv6.com
test de sécurité sur http://www6.chappell-family.co.uk
A+
-
la freebox ne supportant pas de délégation ou autre, il faut tout faire a la main.
dans l'interface de la freebox on peut router un /64 (ou plusieurs) vers un appareil du LAN. En l'occurence ici ca sera ton ER.
Il suffit de mettre l'IPv6 link-local (commencant par fe80) de l'interface wan de ton erl comme next-hop.
exemple:
(https://www.goudal.net/wp-content/uploads/2015/09/Screen-Shot-2015-09-27-at-23.18.07.png)
-- freebox --- (eth1)ER(eth0) --- lan
Dans 'next-hop' on met l'IPv6 link-local d'eth1 de l'ER.
ensuite coté Lan (eth0) on peut régler un RA pour distribuer le /64 sur le LAN.
pour la gateway on met l'ipv6 link-local de la Freebox ().
c'est une facon de faire. On peut aussi laisser un réseau public /64 entre la freebox et l'ER (donc avoir une IP public coté WAN de l'ER) et utiliser un autre /64 coté LAN de l'ER mais bon peu d’intérêt et moins secure.
-
Hello KGersen,
Toujours les mêmes :-), merci...
eth1 = Freebox
eth7 = LOCAL LAN (vers switch)
L'IPV6 à mettre dans le NextHop de la Freebox est bien celui que l'on obtient en faisant un
ifconfig
en ssh sur l'edgerouter pour l'interface eth1 qui reçoit la connexion internet Freebox ?
Pour le Gateway vers l'IPV6 FREEBOX (appelé lien local sur la Freebox)... j'ai trouvé cela (j'ai pris l'IPV6 de ta copie d'écran)
set protocols static route6 ::/0 next-hop fe80::f6ca:e5ff:fe57:1ceb
Pour distribuer de l'IPV6 /64 sur le LAN LOCAL (eth7), est-ce que cela ferait l'affaire (exemple adapté a ma config):
Evidemment c'est pas du comcast...
# Enable your comcast facing interface to request an IPv6 prefix assignment via DHCPv6
# Tell comcast that you would like a /64 prefix to delegate to an internal interface (eth7) via a DHCPv6 Identity Association (IA_PD)
set interfaces ethernet eth1 dhcpv6-pd pd 0
set interfaces ethernet eth1 dhcpv6-pd pd 0 interface eth7
set interfaces ethernet eth1 dhcpv6-pd pd 0 prefix-length 64
# Setup your LAN facing interface to send router advertisements and distribute IPv6 addresses from the /64 prefix comcast assigned.
set interfaces ethernet eth7 ipv6 router-advert prefix ::/64
set interfaces ethernet eth7 ipv6 router-advert managed-flag true
Pour info... https://community.ubnt.com/t5/EdgeMAX/Comcast-Residential-IPv6-with-EdgeOS-1-6-0-on-EdgeRouter-Lite/td-p/1220516
Je suis pas à la maison, donc test ce soir.
Merci
-
L'IPV6 à mettre dans le NextHop de la Freebox est bien celui que l'on obtient en faisant un
ifconfig
en ssh sur l'edgerouter pour l'interface eth1 qui reçoit la connexion internet Freebox ?
oui
Pour distribuer de l'IPV6 /64 sur le LAN LOCAL (eth7), est-ce que cela ferait l'affaire (exemple adapté a ma config):
non ton exemple vient d'un cas ou y'a du 'prefix delegation' (pd), ce n'est pas le cas avec Free.
pour eth1 tu n'as rien a configurer, on n'a besoin que de son IPv6 link-local.
pour eth7 il faut manuellement lui mettre une IPv6 prise dans le /64 (par exemple la 1ere donc terminant par ...:1)
si on prend l'exemple de mon screenshot, ca donnerai:
set interfaces ethernet eth7 address 2001:db8:deaf:beef::1
ensuite il faut distribuer ce prefix aux machines du LAN. Mais on ne le recoit par PD il faut le mettre a la main aussi:
set interfaces ethernet eth7 ipv6 router-advert prefix 2001:db8:deaf:beef::/64
+ les options de RA qu'on souhaite avec eventuellement un serveur DHCPv6 pour les options autres si on veut.
-
Ce que j'ai testé en suivant tes conseils :
eth1 = Freebox
eth7 = LOCAL LAN (vers switch)
Freebox :
- Lien Local IPV6 : fe80::6aa3:78ff:fe5c:1143
- Préfixe : 2a01:e0a:d:a660::/64
- Next Hop : fe80::26a4:3cff:fe3c:3de1
ifconfig
root@ubnt:~# ifconfig
eth1 Link encap:Ethernet HWaddr 24:a4:3c:3c:3d:e1
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::26a4:3cff:fe3c:3de1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18360 errors:0 dropped:0 overruns:0 frame:0
TX packets:17644 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:11380071 (10.8 MiB) TX bytes:9658642 (9.2 MiB)
eth7 Link encap:Ethernet HWaddr 24:a4:3c:3c:3d:e7
inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
inet6 addr: 2a01:e0a:d:a660::1/64 Scope:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:27320 errors:0 dropped:0 overruns:0 frame:0
TX packets:29110 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:11125243 (10.6 MiB) TX bytes:21025714 (20.0 MiB)
eth7.10 Link encap:Ethernet HWaddr 24:a4:3c:3c:3d:e7
inet addr:192.168.50.1 Bcast:192.168.50.255 Mask:255.255.255.0
inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:744 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:336602 (328.7 KiB)
imq0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP RUNNING NOARP MTU:16000 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:28 errors:0 dropped:28 overruns:0 carrier:0
collisions:0 txqueuelen:11000
RX bytes:0 (0.0 B) TX bytes:896 (896.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:232 errors:0 dropped:0 overruns:0 frame:0
TX packets:232 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:32944 (32.1 KiB) TX bytes:32944 (32.1 KiB)
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143
set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
root@192.168.10.1's password:
Linux ubnt 3.10.20-UBNT #1 SMP Fri Jul 29 17:07:24 PDT 2016 mips64
Welcome to EdgeOS
root@ubnt:~# configure
[edit]
root@ubnt# set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143
[edit]
root@ubnt# set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
[edit]
root@ubnt# set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
[edit]
root@ubnt# commit
[ protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 ]
% Interface has to be specified for a link-local nexthop
[ interfaces ethernet eth7 ipv6 router-advert ]
Re-generating radvd config file for interface eth7...
Starting radvd...
Starting radvd: radvd.
[edit]
root@ubnt#
root@ubnt# show interfaces
ethernet eth0 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth1 {
address dhcp
description "FREEBOX"
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ip {
}
speed auto
}
ethernet eth2 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
ethernet eth5 {
disable
duplex auto
speed auto
}
ethernet eth6 {
disable
duplex auto
speed auto
}
ethernet eth7 {
address 192.168.10.1/24
address 2a01:e0a:d:a660::1/64
description "eth7 LOCAL LAN SWITCH"
duplex auto
firewall {
in {
name PARENTAL_CONTROL
}
}
ip {
}
ipv6 {
router-advert {
prefix 2a01:e0a:d:a660::/64 {
}
}
}
speed auto
vif 10 {
address 192.168.50.1/24
description "eth7.10 GUEST"
firewall {
in {
name PARENTAL_CONTROL
}
}
ip {
}
}
}
loopback lo {
}
root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - A/D
eth1 192.168.1.1/24 u/u FREEBOX
eth2 - A/D
eth3 - A/D
eth4 - A/D
eth5 - A/D
eth6 - A/D
eth7 192.168.10.1/24 u/u eth7 LOCAL LAN SWITCH
2a01:e0a:d:a660::1/64
eth7.10 192.168.50.1/24 u/u eth7.10 GUEST
lo 127.0.0.1/8 u/u
::1/128
Test PING IPV6
root@ubnt:~# ping6 www.google.fr
connect: Network is unreachable
KO...
J'ai essayé d'ajouter :
set interfaces ethernet eth1 ipv6 address autoconf
et j'ai viré le Next Hop sur la freebox
root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - A/D
eth1 192.168.1.1/24 u/u BRIDGE FREEBOX
2a01:e0a:d:a660:26a4:3cff:fe3c:3de1/64
eth2 - A/D
eth3 - A/D
eth4 - A/D
eth5 - A/D
eth6 - A/D
eth7 192.168.10.1/24 u/u eth7 LOCAL LAN SWITCH
2a01:e0a:d:a660::1/64
eth7.10 192.168.50.1/24 u/u eth7.10 GUEST
lo 127.0.0.1/8 u/u
::1/128
root@ubnt:~# ping6 google.com
PING google.com(par10s27-in-x0e.1e100.net) 56 data bytes
64 bytes from par10s27-in-x0e.1e100.net: icmp_seq=1 ttl=55 time=4.52 ms
64 bytes from par10s27-in-x0e.1e100.net: icmp_seq=2 ttl=55 time=4.40 ms
PING 6 OK depuis SSH... OUAH
Par contre depuis mon MBP... Nada... en faisant un test sur test-ipv6
Votre adresse IPv4 sur l'Internet semble être 91.160.5x.xxx
Votre Fournisseur d'Accès Internet (FAI) semble être PROXAD , FR
Pas d'adresse IPv6 détectée [plus d'info]
Bonne nouvelle! votre configuration courante continuera à fonctionner lorsque les sites web adopteront IPv6.
Quand un site propose à la fois IPv4 et IPv6, votre navigateur décide d'utiliser IPv4 sans délai.
Les connexions vers des sites disponibles qu'en IPv6 échouent pour cause de délai dépassé. Tous les sites disponibles qu'en IPv6 vous apparaissent comme étant indisponibles.
Votre serveur DNS (qui est peut-être chez votre FAI) semble avoir un accès IPv6 à Internet.
Sur le MBP j'ai :
Routeur : fe80::26a4:3cff:fe3c:3de7
Adresses IPV6 : 2a01:e0a:d:a660:8e4:8044:7c6:de33
Pas de DNS...
-
oula attention a pas tout mélanger... dans le 2 eme cas la freebox devient serveur RA et attribue une IPv6 au ER sur eth1 (car tu as mis address autoconf) dans ce cas il te faut un 2eme /64 coté LAN de l'ER. Ca devient compliqué pour rien (meme si ca peut marcher).
Ton 1er cas ne marche pas a cause de la route par défaut qui n'est pas la. Il y a une erreur bien visible lors du commit:
[ protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 ]
% Interface has to be specified for a link-local nexthop
effectivement la ligne:
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143
n'est pas bonne car ambiguë. Une IP link-local n'a de sens que pour une interface donnée, "fe80::6aa3:78ff:fe5c:1143" peut tres bien exister sur d'autres interfaces. Il faut donc préciser que la sortie vers Internet (::/0) c'est "fe80::6aa3:78ff:fe5c:1143" sur eth1.
essai donc avec:
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1le commit devrait passer et ca devrait ping (faut bien remettre ce qui va bien dans la config de la fbx bien sur).
Le point clé est bien comprendre comment la freebox fonctionne en IPv6 et cette histoire de routes. En IPv6 c'est du routage pur. y'a pas de bridge ou de NAT ou quoique ce soit d'autre. Si on oublie IPv4 c'est en fait plus simple (je recommande vraiment ne de pas penser a IPv4 et comment on fait en IPv4 quand on aborde IPv6).
-
Ouai... la logique IPV6...
J'ai donc suivi tes conseils après un restore...
Linux ubnt 3.10.20-UBNT #1 SMP Fri Jul 29 17:07:24 PDT 2016 mips64
Welcome to EdgeOS
root@ubnt:~# configure
[edit]
root@ubnt# set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1
[edit]
root@ubnt# set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
[edit]
root@ubnt# set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
[edit]
root@ubnt# commit
[ interfaces ethernet eth7 ipv6 router-advert ]
Re-generating radvd config file for interface eth7...
Starting radvd...
Starting radvd: radvd.
[edit]
root@ubnt# save
Saving configuration to '/config/config.boot'...
Done
[edit]
root@ubnt# exit
exit
root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - A/D
eth1 192.168.1.1/24 u/u BRIDGE FREEBOX
eth2 - A/D
eth3 - A/D
eth4 - A/D
eth5 - A/D
eth6 - A/D
eth7 192.168.10.1/24 u/u eth7 LOCAL LAN SWITCH
2a01:e0a:d:a660::1/64
eth7.10 192.168.50.1/24 u/u eth7.10 GUEST
lo 127.0.0.1/8 u/u
::1/128
Test IPV6
Votre adresse IPv4 sur l'Internet semble être 91.160.54.....
Votre adresse IPv6 sur l'Internet semble être 2a01:e0a:d:a660:ac9d:1b71:dc26:....
Votre Fournisseur d'Accès Internet (FAI) semble être PROXAD , FR
Comme vous avez IPv6, nous avons ajouté un onglet indiquant la qualité de votre connexion IPv6. [plus d'info]
Il semblerait que vous utilisez un tunnel 6RD géré pour transporter IPv6 au-dessus d'IPv4. [plus d'info]
Bonne nouvelle! votre configuration courante continuera à fonctionner lorsque les sites web adopteront IPv6.
Votre serveur DNS (qui est peut-être chez votre FAI) semble avoir un accès IPv6 à Internet.
Votre score de préparation
10/10 pour la stabilité et la préparation de votre IPv6, quand les éditeurs offriront leur contenu uniquement en IPv6
CA MARCHE !!!!!
Faut ptet qq regles FIREWALL, non ?
UN GRAND GRAND MERCI A TOI...
-
Faut ptet qq regles FIREWALL, non ?
y'a 2 écoles: soit le routeur laisse tout passer et chaque machine sur le LAN gere sa sécurité , soit effectivement il faut au moins un statefull firewall sur le point d'entrée (le routeur).
la config "statefull firewall" de base pour l'ER en IPv6:
firewall {
ipv6-name IPv6_FW {
default-action drop
enable-default-log
description "IPv6 packets from the Internet to LAN"
rule 1 {
action accept
description "Allow established sessions"
state {
established enable
related enable
}
}
rule 2 {
action drop
state {
invalid enable
}
}
rule 5 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
comment ca marche:
default-action drop -> on 'drop' tout ce qui entre sauf si ca match une regle dans ce cas la regle dit quoi faire.
regle 1 : si le traffic entrant correspond a la reponse d'un trafic sortant précédent (established enable), on laisse entrer (action accept).
regle 2 : si le traffic entrant correspond a rien de connu, on bloque.
regle 5: on laisse entrer icmpv6 - c'est important pour la fragmentation entre autre. On peut raffiner si on veut bloquer le ping.
ne pas oublier ensuite d'appliquer IPv6_FW a la bonne interface et dans le bon sens (en "out" de eth7 dans ton cas):
set interfaces ethernet eth7 firewall out ipv6-name IPv6_FW
un bon site pour tester la sécurité de son PC enIPv6: http://www6.chappell-family.co.uk/cgi-bin6/ipscan-fast-js.cgi
-
regle 5: on laisse entrer icmpv6 - c'est important pour la fragmentation entre autre. On peut raffiner si on veut bloquer le ping.
Ne pas casser le mécanisme PMTUD c'est bien cela ?
-
Ne pas casser le mécanisme PMTUD c'est bien cela ?
oui en IPv6 il n'y a pas de fragmentation 'au milieu' dans les routeurs intermédiaires. Chaque extrémité doit donc utiliser la bonne taille (le bon MTU).
Si en chemin il faut réduire la taille car il y a un MTU plus petit, le routeur intermédiaire va renvoyer un ICMPv6 indiquant la taille max qu'il accepte. L'èmetteur doit recevoir cet ICMPv6 pour re-ajuster sa taille d'émission. Si le FW bloque ces ICMPv6 l'emetteur ne saura pas ce qui s'est passé et ressaiera apres timeout avec la meme taille au lieu de la diminuer: le trafic ne passera jamais.
Vu que pas mal de machines qui "parlent" IPv6 le font via des tunnels ou autres il est fréquent qu'en IPv6 le mtu soit plus petit que la normal (1500) donc c'est très important de ne pas bloquer ICMPv6 dans le FW.
-
Kgersen
La traduction en commande CLI pour le Firewall...
Le test sur http://www6.chappell-family.co.uk/cgi-bin6/ipscan-fast-js.cgi donne tout à STEALTH.
set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"
set interfaces ethernet eth7 firewall out ipv6-name wan_local-6
-
non pas de regles IN sinon il n'y a plus de trafic sortant.
in = ce qui sort du LAN et donc entre dans le port eth7 d'ou 'in' pour ce port
out = ce qui entre dans le LAN et donc sort du port eth7 d'ou 'out' pour ce port
donc 'out' = ce qui vient d'Internet. Ca peut porter a confusion.
-
Encore merci, tout fonctionne nickel.
J'ai mis à jour mon premier message sous forme de TUTO, cela reprend tous nos échanges, vraiment content que cela fonctionne.
-
si on veut etre complet il manque RDNSS ou éventuellement un "stateless DHCPv6 server" en complement.
par exemple pour mettre les DNS Ipv6 de Google:
set interfaces ethernet eth7 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
on peut aussi mettre l'IPv6 LAN (la link-local d'Eth7 ou la public) du routeur si celui fait serveur DNS.
Pour activer un "stateless DHCPv6 server" c'est une autre histoire je ne sais pas si ca fonctionne correctement avec un ER.
-
Re,
Effectivement, pourquoi pas ajouter DNS google...
1/ DNS
Sinon, sans préciser de DNS... uniquement avec la config décrite dans le premier message, tout semble fonctionner...
Du coup je me demande ce qui est utilisé comme DNS puisque je n'en ai précisé aucun dans la config... et par quel mystère cela fonctionne.
2/ DHCP
Idem je n'ai précisé aucun serveur DHCP IPV6, pourtant mes devices obtiennent bien une IP en automatique... test réalisé avec iPhone et MBP...
Exemple de mon MBP...
Routeur : fe80::26a4:3cff:fe3c:3de7
+2 IP
3/ Autre question...
Pour mon Vlan 7.10 (GUEST), puis-je affecter une adresse ::2 dans la plage attribuée par la Freebox et utilisé le même préfixe que pour l'eth7
Précision, le VLAN 7.10 est envoyé au SWITCH et ne sert que pour le WiFi sur un UAP-AC sur lequel j'ai affecté le VLAN10 pour le SSID GUEST.
# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7.10 address 2a01:e0a:d:a559::2/64
# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a559::/64
+appliquer FIREWALL out
set interfaces ethernet eth7.10 firewall out ipv6-name wan_local-6
-
Sinon, sans préciser de DNS... uniquement avec la config décrite dans le premier message, tout semble fonctionner...
Du coup je me demande ce qui est utilisé comme DNS puisque je n'en ai précisé aucun dans la config... et par quel mystère cela fonctionne.
c'est le DNS IPv4 qui est utilisé.
DNS est un service au dessus d'IP comme n'importe quel autre (http, ftp, etc). Quand on fait une requete dns, le systeme regarde les serveurs qui sont configurés et les interroge dans l'ordre. Dans le cas d'une machine avec IPv4 et IPv6 si IPv6 n'a pas configuré de DNS la requete DNS se fait en IPv4 (si c'est configuré bien sur). En fait c'est comme tout, si IPv6 est la il est prioritaire sinon c'est IPv4.
En pratique ca ne gene pas d'avoir le (ou les) serveur DNS en IPv4 si celui-ci est 'complet' au niveau de sa résolution c'est a dire s'il peut joindre d'autres serveurs qui ne sont qu'IPv6. http://ipv6-test.com/ permet de voir cela dans la partie "dns"
Autre question...
Pour mon Vlan 7.10 (GUEST), puis-je affecter une adresse ::2 dans la plage attribuée par la Freebox et utilisé le même préfixe que pour l'eth7
# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7.10 address 2a01:e0a:d:a559::2/64
# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a559::/64
+appliquer FIREWALL out
set interfaces ethernet eth7.10 firewall out ipv6-name wan_local-6
un vlan est un réseau a part . tu ne peut éclaté un /64 sur plusieurs réseau. Mais la Freebox permet de gerer plusieurs /64. Dans son interface tu renseigne le 'next-hop' du 2eme réseau vers la meme IP (celle d'eth1 de l'ER).
Comme ca les 2 réseaux /64 iront vers l'ER et c'est lui qui routera le 1er sur eth7 et le 2eme sur eth7.10.
Ensuite il suffit de configurer eth7.10 avec le 2eme /64 (1ere ip finissant par 1 par exemple) comme ca été fait avec eth7 et mettre le bon router-advert prefix.
en principe ton 2eme /64 dispo suit juste apres le 1er donc ca serait : 2a01:e0a:d:a55a::/64
ce qui donne:
set interfaces ethernet eth7.10 address 2a01:e0a:d:a55a::1/64
set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a55a::/64
pour le fw tu peut reprendre le meme ou un autre si tu peux plus de sécurité ou carrement aucun si tu veux que 'guest' soit 100% open sur Internet.
En l'état, le réseau local (eth7) est protégé de guest car un flux venant de guest est comme un flux venant d'internet (le firewall etant en out de eth7 ca concerne donc aussi le traffic qui vient de guest).
-
J'en profite pour rappeler que si jamais tu utilises Windows, il ne prends pas en charge les annonces RDNSS.
Il faut utiliser du DHCPv6 stateless à la place.
Ou bien faire ce que tu fais actuellement, confier tes requêtes de résolution d'enregistrements AAAA à tes DNS ipv4.
-
set interfaces ethernet eth7.10 address 2a01:e0a:d:a55a::1/64
set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a55a::/64
Petite boulette dans la syntaxe
#LAN GUEST
set interfaces ethernet eth7 vif 10 address 2a01:e0a:d:a55a::1/64
set interfaces ethernet eth7 vif 10 ipv6 router-advert prefix 2a01:e0a:d:a55a::/64
-
J'ai configuré côté Freebox et effectué les différente conf est c'est également OK pour mon VLAN 7.10 GUEST...
J'ai également des machines sous Windows... après test cela passe en IPV6 mais effectivement, je n'ai pas les serveurs DNS IPV6 de google dans la configuration réseau... c'est donc les DNS IPV4 qui doivent être utilisés..
D'ou ma question... comment configuer un DHCP stateless sir eth7 et eth7.1...
Ouh là... le sujet est très confus sur les différents sites... frustrant
-
D'ou ma question... comment configuer un DHCP stateless sir eth7 et eth7.1...
Actuellement avec l'ERL c'est pas logique/simple à faire car pas trop prévu...mais y'a une méthode qui marche:
par exemple avec les DNS Google:
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6 subnet <ipv6 link-local d'eth7>/128
set service dhcpv6-server shared-network-name lanv6 subnet <ipv6 link-local d'eth7.10>/128
Le 'trick' c'est d'utiliser la link-local en /128 pour le subnet DHCP et ca devient stateless (curieux mais ca marche).
la j'ai mis les 2 lan dans le meme mais tu peux en faire 2 différents un pour chaque , suffit de mettre 2 noms différents:
par exemple:
pour le lan le serveur DNS sera l'ER lui-meme
pour le guest ce sera les serveurs DNS de Google
set service dhcpv6-server shared-network-name lanv6 name-server <ipv6 linklocal eth7>
set service dhcpv6-server shared-network-name lanv6 subnet <ipv6 linklocal eth7>/128
set service dhcpv6-server shared-network-name guestv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name guestv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name guestv6 subnet <ipv6 linklocal eth7.10>/128
il est recommandé de synchroniser les config RDNSS et name-server DHCPv6 car Windows n'utilise pas RDNSS et Android n'utilise pas DHCPv6...ca evite d'avoir des postes avec des configs DNS différentes (pas forcement un probleme mais bon autant l'éviter).
-
un dernier point:
il est souvent pénible et peu portable (changement de matériel) d'utiliser les adresses link-local car elles sont générées automatiquement et change en fonction du hardware.
Toutefois rien n'empeche d'ajouter un 2eme link-local a une interface:
par exemple:
set interfaces ethernet eth1 address fe80::1/64
et dans la freebox on met "fe80::1" dans next-hop plutot que la link-local réelle d'eth1. Comme ca si on change ou remplace l'ER on a pas besoin de reconfigurer la freebox.
Idem pour les configs des DNS (RDNSS ou/et name-server). Plutot que referencer l'ER lui-meme avec son ou ses link-local, on peut ajouter des link-local en plus et les utiliser a la place.
set interfaces ethernet eth7 address fe80::7:1/64
j'ai pris 7:1 c'est complètement arbitraire et pour être plus 'parlant'.
et utiliser fe80::7:1 comme valeur pour name-server.
-
J'ai essayé ta proposition, mais cela ne semble pas fonctionner... dans l'ifconfig les "Link" sont identiques en eth7 et eth7.1...
root@ubnt:~# ifconfig
eth1 Link encap:Ethernet HWaddr 24:a4:3c:3c:3d:e1
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::26a4:3cff:fe3c:3de1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:41610 errors:0 dropped:0 overruns:0 frame:0
TX packets:35240 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:29590214 (28.2 MiB) TX bytes:5623338 (5.3 MiB)
eth7 Link encap:Ethernet HWaddr 24:a4:3c:3c:3d:e7
inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
inet6 addr: 2a01:e0a:d:a660::1/64 Scope:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:51831 errors:0 dropped:0 overruns:0 frame:0
TX packets:58789 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8227478 (7.8 MiB) TX bytes:45756180 (43.6 MiB)
eth7.10 Link encap:Ethernet HWaddr 24:a4:3c:3c:3d:e7
inet addr:192.168.50.1 Bcast:192.168.50.255 Mask:255.255.255.0
inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
inet6 addr: 2a01:e0a:d:a661::1/64 Scope:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1494 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:674328 (658.5 KiB)
Du coup j'ai essayé cela... mais toujours pas de DNS IPV6 sur Windows 10
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6 subnet fe80::26a4:3cff:fe3c:3de7/128
-
oui il ne faut pas mettre d'ip global (2001..) dans le subnet dhcp.
c'est bien "fe80::26a4:3cff:fe3c:3de7/128" qu'il faut mettre.
attention il faut bien préciser aux machines du LAN de faire une requete DHCPv6 pour obtenir les DNS et autres, pour ca on met le 'other config flag' a true dans le RA:
set interfaces ethernet eth7 ipv6 router-advert other-config-flag true(et la meme pour vif 10)
si ca ne marche toujous et comme le vlan 10 a aussi la meme link-local c'est peut-etre ca qui pose probleme.
fait:
set interfaces ethernet eth7 address fe80::7/64
et
met fe80::7/128 dans le subnet dhcpv6:
set service dhcpv6-server shared-network-name lanv6 subnet fe80::7/128
apres c'est un 'trick', chez moi ca marche avec un PC sous Linux, il recoit bien les DNS via DHCPv6 comme ca. Je n'ai pas testé avec Windows.
-
Et bien, quelle aventure...
Je vais essayer tes autres propositions... pour le moment, j'ai ça sur le PC en faisant un ipconfig /all
Carte Ethernet Ethernet :
Suffixe DNS propre à la connexion. . . : FD-HOME
Description. . . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I218-V
Adresse physique . . . . . . . . . . . : F8-32-E4-72-60-A9
DHCP activé. . . . . . . . . . . . . . : Oui
Configuration automatique activée. . . : Oui
Adresse IPv6. . . . . . . . . . . . . .: 2a01:e0a:d:a660:c472:6a6:c91f:e7db(préféré)
Adresse IPv6 temporaire . . . . . . . .: 2a01:e0a:d:a660:8cfd:63c9:16c4:c0dd(préféré)
Adresse IPv6 de liaison locale. . . . .: fe80::c472:6a6:c91f:e7db%2(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.10.140(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Bail obtenu. . . . . . . . . . . . . . : jeudi 17 novembre 2016 18:10:24
Bail expirant. . . . . . . . . . . . . : vendredi 18 novembre 2016 18:10:24
Passerelle par défaut. . . . . . . . . : fe80::26a4:3cff:fe3c:3de7%2
192.168.10.1
Serveur DHCP . . . . . . . . . . . . . : 192.168.10.1
IAID DHCPv6 . . . . . . . . . . . : 49820388
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1E-A7-44-18-F8-32-E4-72-60-A9
Serveurs DNS. . . . . . . . . . . . . : 8.8.4.4
8.8.8.8
NetBIOS sur Tcpip. . . . . . . . . . . : Activé
-
manque quelque chose surement, repost ta config en entier.
-
ca me parait bon pourtant. peut-etre un ambiguité du au fait eth7 et eth7.10 ont la meme link-local.
un Windows sur le réseau guest n'a pas de dns en IPv6 non plus?
sinon essai en ajoutant une IPv6 link-local:
set interfaces ethernet eth7 address fe80::7/64
set service dhcpv6-server shared-network-name lanv6 subnet fe80::7/128
-
Toujours pas...
Sinon y a moyen de faire un RAZ IPV6 seulement et repasser toutes les commandes CLI ?
Je fais ça par le config tree mais il manque ptet qq chose.
Voila toutes les lignes de config que j'ai passé depuis le début :
configure
# e80::6aa3:78ff:fe5c:1143 ==> Adresse IPV6 lien local visible sur la Freebox
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:fe5c:1143 interface eth1
# LAN PRINCIPAL
# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7 address 2a01:e0a:d:a660::1/64
# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7 ipv6 router-advert prefix 2a01:e0a:d:a660::/64
#LAN GUEST
# 2a01:e0a:d:a661::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7 vif 10 address 2a01:e0a:d:a661::1/64
# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7 vif 10 ipv6 router-advert prefix 2a01:e0a:d:a661::/64
set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"
#SET FIREWALL LAN PRINCIPAL ET GUEST
set interfaces ethernet eth7 firewall out ipv6-name wan_local-6
set interfaces ethernet eth7 vif 10 firewall out ipv6-name wan_local-6
#DNS Google
set interfaces ethernet eth7 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
set interfaces ethernet eth7 vif 10 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
#DHCP V6 pour forward des DNS IPV6 vers postes Windows incompatibles RDNSS
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6 subnet fe80::26a4:3cff:fe3c:3de7/128
set interfaces ethernet eth7 address fe80::7/64
set service dhcpv6-server shared-network-name lanv6 subnet fe80::7/128
set interfaces ethernet eth7 ipv6 router-advert other-config-flag true
set interfaces ethernet eth7 vif 10 ipv6 router-advert other-config-flag true
commit
save
exit
-
hum c'est peut-etre le firewall qui bloque dhcpv6 (mais ca devrait pas)...essais en l'enlevant pour voir.
-
ENFIN... c'est le FIREWALL qui bloquait, j'ai ajouté une règle et tout est OK
set firewall ipv6-name wan_local-6 rule 6 description "DHCPv6"
set firewall ipv6-name wan_local-6 rule 6 action accept
set firewall ipv6-name wan_local-6 rule 6 destination port 546
set firewall ipv6-name wan_local-6 rule 6 protocol udp
set firewall ipv6-name wan_local-6 rule 6 source port 547
MERCI KGERSEN, t'es le meilleur, tu devrais donner des cours de réseau à base d'ubiquiti :-)
Super sympa, ton aide
Encore merci
-
1ER POST mis à jour, y compris avec tes suggestions de 2ème LOCAL LINK...
Merci Merci
-
de rien !
Effectivement pour le firewall , j'aurais du y penser car le trafic DHCPv6 n'est pas symétrique (le paquet DHCP de retour qui entre sur le LAN ne match un trafic précédent en sortie car l'IP de réponse est différente). Mais comme je n'utilise pas de firewall IPv6 chez moi je n'avais pas le cas.
C'est bien que tu reprennes tout sur le 1er post ca servira a d'autres. A noter que c'est valable pour n'importe quel routeur EdgeOS, il suffit d'adapter les noms d'interface.
-
Encore une question à 2€..
J'ai une IP FIxe chez free... mais lorsque je passe en mode Bridge, je saisis l'ip attribuée et en gateway la même en .254...
Tout fonctionne j'accède bien au net etc sans problème... par contre débits divisés par 2....
Je passe de 800 Mb en mode routeur à 400 en mode bridge, l'upload chute également !!!
Maintenant quels sont les inconvénients de laisser la Freebox en mode routeur avec DMZ vers l'Edgerouter ? Tout semble correctement fonctionner même les redirections à priori...
Des conseils ?
-
curieux, en principe ils ont optimisé le mode bridge..
Je passe de 800 Mb en mode routeur à 400 en mode bridge, l'upload chute également !!!
l'offload est bien activé sur l'ER ?
-
à priori, oui au moins sur IPV4
root@ubnt:~# show ubnt offload
IP offload module : loaded
IPv4
forwarding: enabled
vlan : enabled
pppoe : disabled
gre : disabled
IPv6
forwarding: disabled
vlan : disabled
pppoe : disabled
IPSec offload module: loaded
Traffic Analysis :
export : disabled
dpi : disabled
-
J'ai activé l'offload IPV6 mais rien n'y change....
Download divisé de 2 à 3... Upload idem... et ping qui s'envole... de qq ms à 30 ms...
Je suis repassé en mode routeur + DMZ...
-
Si mes souvenirs sont bons le mode bridge de la Freebox est potentiellement un peu moins optimisé que le mode routeur maintenant. Par contre je suis sûr que ça ne peut pas expliquer la chute de débit que tu observes qui doit venir de l'ER ou de sa configuration.
-
J'ai activé l'offload IPV6 mais rien n'y change....
Download divisé de 2 à 3... Upload idem... et ping qui s'envole... de qq ms à 30 ms...
Je suis repassé en mode routeur + DMZ...
tu mesures comment le debit ?
pour bien comprendre: c'est la meme config de l'ER , tu changes juste le mode de la freebox sans rien toucher d'autre et le débit et le ping sont moins bons ?
il faudra aussi mesurer en se mettant derrière la freebox directement celle-ci en mode bridge,sans ER, juste un PC derriere la freebox.
Le but c'est juste de savoir si l'ER (ou/et sa config) sont en cause ou pas.
-
Salut,
Tu mesures combien avec ces commandes:
wget -O /dev/null http://[fd0f:ee:b0::1]/gen/1G
wget -4 -O /dev/null http://mafreebox.freebox.fr/gen/1G
Il s'agit du test de débit local derrière la freebox.
Normalement en IPv4 on sature presque le lien Gb (120MB/s) et en IPv6 c'est plus proche de 75MB/s quand l'offload fonctionne.
De mémoire si l'ERL a un problème d'offload il me semble que l'on dépasse rarement 300Mbps. Je ne sais pas combien tient l'ERPro sans offload.
Et je confirme ce qu'underground a dit: la box est moins optimisée en bridge qu'en mode routeur pour l'IPv6. Voir ici (https://lafibre.info/free-la-fibre/vrai-1gbps-sur-freebox-v6/msg281830/#msg281830)
Edit: ce n'est pas un ERL...
-
Bonjour,
J'ai constaté cela à coup de Speedtest... j'en ai effectué une dizaine à chaque fois et c'est flagrant la perte de débit et de Ping...
Il y a peut-être aussi un problème quelconque entre routeur et Switch... un EdgeSwitch 24 Lite extrêmement configurable et complexe...
Je vais effectivement effectuer les divers tests ce soir...
- Mesure au cul de la Freebox
- Mesure branché directement sur le routeur
- Mesure derrière le Switch
+ tests de Fuli10
La config de mon ERL est la même qu'en mode DMZ... sauf que j'ai saisi mon IP Fixe et comme Gateway, IP se terminant en .254...
Exemple : IP fixe 82.64.yyy.xxx / Gateway 82.64.yyy.254
J'ai essayé en mettant cela dans l'onglet System OU en définissant une route en static comme suit :
Type Gateway
Destination Network : 0.0.0.0/0
Next hop adress : 82.64.yyy.254
Mais cela ne change rien...
A ce soir pour de nouvelles aventures.
-
De mémoire si l'ERL a un problème d'offload il me semble que l'on dépasse rarement 300Mbps.
Pas que je sache, en tout cas pas chez moi (ERL, firmware 1.8.5):
zoc@mistral:~$ curl -6 -o /dev/null http://3.testdebit.info/fichiers/5000Mo/5000Mo.iso
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4768M 100 4768M 0 0 88.1M 0 0:00:54 0:00:54 --:--:-- 91.3M
-
Bon alors les tests sont flagrants... j'ai un problème avec le mode Bridge...
Ma ligne est toute récente et mon IP Fixe a été demandée hier...
Je me suis connecté au cul de la Freebox... seul mon mac est branché dessus et j'ai installé wget via homebrew... sur mon MBP. J'ai à chaque fois fait un reboot de la Freebox et du boitier fibre.
En mode bridge, quand le Player est branché... cela gueule au niveau de mon MBP qui me dit que l'adresse est déjà utilisée par un autre appareil !!!
MBP connecté TOUT SEUL AU CUL de la FREEBOX en RJ45
Test IPV4
110 MB/s en mode Routeur
33,6 MB/s en mode Bridge !!!
Autre constat, en mode Bridge... le DNS affecté 212.27.38.253, fonctionne pas, pas d'internet... j'ai du remplacer par 8.8.8.8
Mode Routeur
lns-bzn-20-82-64-3-xxx:~ Fred$ wget -4 -O /dev/null http://mafreebox.freebox.fr/gen/1G
--2016-11-18 20:18:09-- http://mafreebox.freebox.fr/gen/1G
Resolving mafreebox.freebox.fr... 212.27.38.253
Connecting to mafreebox.freebox.fr|212.27.38.253|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://mafreebox.freebox.fr:8095/fixed/1G [following]
--2016-11-18 20:18:09-- http://mafreebox.freebox.fr:8095/fixed/1G
Connecting to mafreebox.freebox.fr|212.27.38.253|:8095... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1073741824 (1.0G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100 [=============>] 1.00G 112MB/s in 9.3s
2016-11-18 20:18:18 (110 MB/s) - ‘/dev/null’ saved [1073741824/1073741824]
Mode Bridge
lns-bzn-20-82-64-3-xxx:~ Fred$ wget -4 -O /dev/null http://mafreebox.freebox.fr/gen/1G
--2016-11-18 20:13:06-- http://mafreebox.freebox.fr/gen/1G
Resolving mafreebox.freebox.fr... 212.27.38.253
Connecting to mafreebox.freebox.fr|212.27.38.253|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://mafreebox.freebox.fr:8095/fixed/1G [following]
--2016-11-18 20:13:06-- http://mafreebox.freebox.fr:8095/fixed/1G
Connecting to mafreebox.freebox.fr|212.27.38.253|:8095... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1073741824 (1.0G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100 [=============>] 1.00G 32.5MB/s in 30s
2016-11-18 20:13:37 (33.6 MB/s) - ‘/dev/null’ saved [1073741824/1073741824]
Speedtest réalisés :
Mode Branchement Serveur IPV6 Dow Upl Ping
Mode routeur
Branché derrière FBX Reims - Orange ON 780 367 1
Branché derrière FBX Reims - Orange ON 782 367 1
Branché derrière FBX Reims - Orange ON 778 367 1
Branché derrière FBX Reims - Orange ON 777 341 1
Mode Bridge
Branché derrière FBX Reims - Orange ON 255 282 1
Branché derrière FBX Reims - Orange ON 267 271 1
Branché derrière FBX Reims - Orange ON 264 271 1
Branché derrière FBX Reims - Orange ON 263 269 1
Branché derrière FBX Reims - Orange OFF + REBOOT 273 274 1
En mode routeur connecté depuis mon router Ubiquiti en SSH, j'ai même du 113 MB/s avec la commande wget -4 -O /dev/null http://mafreebox.freebox.fr/gen/1G
J'ai également fait le test de Zoc en mode Routeur depuis l'Edgerouter Pro 8
MBP-FD:~ Fred$ curl -6 -o /dev/null http://3.testdebit.info/fichiers/5000Mo/5000Mo.iso
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4768M 100 4768M 0 0 97.3M 0 0:00:48 0:00:48 --:--:-- 97.5M
-
C'est pas la première fois qu'on entend parler de perfs qui s'effondrent en mode bridge en ZMD...
-
C'est donc chez free qu'il y aurait éventuellement quelque chose à faire...
Il y aurait pas quelqu'un avec des entrées chez Free... la hotline, j'y crois pas... trop technique je pense.
-
C'est donc chez free qu'il y aurait éventuellement quelque chose à faire...
Il y aurait pas quelqu'un avec des entrées chez Free... la hotline, j'y crois pas... trop technique je pense.
Maxime est parmi nous (https://lafibre.info/free-la-fibre/vrai-1gbps-sur-freebox-v6/msg281830/#msg281830)
-
Je lui ai envoyé un message privé, on verra bien...
Merci pour le tuyau.
-
Pourquoi vouloir passer en mode bridge alors que le job est fait en mode routeur?
-
J'ai mis mon routeur en DMZ et effectivement cela fait le Job... y compris au niveau des redirections dont j'ai besoin. La DMZ free semble bien fonctionner.
Je n'ai pas l'impression qu'au niveau sécurité cela change quelque chose Bridge ou DMZ, mais je ne suis pas certain à 100% et par le passé j'ai eu quelques problèmes avec les DMZ... genre Orange qui fonctionnaient mal.
Mais au delà de cette problématique ces tests me font dire que ma ligne est d'une certaine façon bancale...
-
donc en pratique ca n'est que IPv4 qui est impacté par la baisse de débit du mode bridge ?
il faut voir suivant ton usage, ca peut ne pas être génant si le gros de ton trafic est de l'IPv6.
Apres du double NAT ce n'est pas forcement génant non plus meme si ce n'est pas 'très propre'.
Le test à faire serait des flux IPv4+IPv6 en meme temps pour voir si ca tient le 1Gbps en mode bridge.
ton test IPv4 plafonne a 33,6 MB/s mais si en meme temps on peut arriver a un total de 110 MB/s en avec du traffic IPv6 (donc ~70 MB/s pour IPv6) ca va encore. Si ca plafonne a 33,6 MB/s tout trafics confondus la effectivement le mode bridge n'est pas bon.
apres y'a la Freebox V7 bientot peut-etre... :P
-
En IPV6
Mode Routeur
MBP-FD:~ Fred$ wget -O /dev/null http://[fd0f:ee:b0::1]/gen/1G
--2016-11-19 01:56:33-- http://[fd0f:ee:b0::1]/gen/1G
Connecting to [fd0f:ee:b0::1]:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://[fd0f:ee:b0::1]:8095/fixed/1G [following]
--2016-11-19 01:56:33-- http://[fd0f:ee:b0::1]:8095/fixed/1G
Connecting to [fd0f:ee:b0::1]:8095... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1073741824 (1.0G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[===================>] 1.00G 89.0MB/s in 12s
2016-11-19 01:56:44 (88.4 MB/s) - ‘/dev/null’ saved [1073741824/1073741824]
En mode Bridge
Cela ne fonctionne pas...
--2016-11-19 02:05:19-- http://[fd0f:ee:b0::1]/gen/1G
Connecting to [fd0f:ee:b0::1]:80... failed: Operation timed out.
Retrying.
-
essai peut-être avec la link-local de la freebox.
wget -O /dev/null http://[fe80::6aa3:78ff:fe5c:1143]/gen/1G
(si l'addresse est rejetée, il faut rajouter %en0 .c'est le nom court de l'interface de ton mac, ie son port ethernet. ifconfig permet d'obtenir ce nom si ce n'est pas en0 chez toi)
Mais ce test mesure du trafic local et ne sert qu'a valider les performances du LAN (de l'ER lui meme dans ton cas).
Ce n'est pas du trafic qui "traverse" la livebox.
-
D'ailleurs Maxime Bizon a dit que le débit via ce test est potentiellement plus mauvais que ce qu'il est réellement possible de router avec la box.
-
Pourquoi vouloir passer en mode bridge alors que le job est fait en mode routeur?
Parce que le double NAT, c'est sale !
-
Parce que le double NAT, c'est sale !
Cà, je sais, mais il vaut mieux un truc sale qui fonctionne que l'inverse.
Et là, le choix est vite fait, puisque Maxime a optimisé le mode routeur au détriment du mode bridge.
-
C'est vrai que dans l'état, je n'ai pas trop le choix... avec des débits divisés par 3 en bridge... J'aime bien faire dans le clean mais parfois...
Maintenant, je pense qu'il y a autre chose que ces histoires d'optimisation de box... on passe de 780 Mb dow / 367Mb up en mode routeur à 270 Mb dow / 270 Mb up en mode bridge... c'est pas quelques dizaines de Mb mais des centaines...
Ces résultats sont confirmés par les tests en wget ou encore les speedtest.
L'autre truc étrange c'est aussi le DNS attribué par défaut en mode bridge qui ne permettait pas l'accès à Internet et que j'ai du remplacer par celui de Google...
-
Question peut être stupide: pourquoi ne pas passer par un média converter pour convertir le lien fibre en ethernet et laisser toute la partie réseau gérée par le routeur? (Et mettre la box derrière avec bridge sur le vlan 835 pour garder la tv et le téléphone). Normalement ca marche quand on regarde les autres postes sur ce forum.
-
Je faisais cela avec la Livebox (bien plus compliqué qu'avec Free).... voir mon Tuto sur le sujet... https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/msg333743/#msg333743 (https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/msg333743/#msg333743)
Mais bon, autant faire simple quand c'est possible, la Livebox ne proposait pas de Bridge et le fonctionnement DMZ n'était pas top non plus.
Pour le fun je pense tester, le convertisseur coûte pas grand chose.
-
Cà, je sais, mais il vaut mieux un truc sale qui fonctionne que l'inverse.
Et là, le choix est vite fait, puisque Maxime a optimisé le mode routeur au détriment du mode bridge.
Ah oui, tout à fait, je répondais juste à ta question qui me semblait générale:)
-
Question peut être stupide: pourquoi ne pas passer par un média converter pour convertir le lien fibre en ethernet et laisser toute la partie réseau gérée par le routeur? (Et mettre la box derrière avec bridge sur le vlan 835 pour garder la tv et le téléphone). Normalement ca marche quand on regarde les autres postes sur ce forum.
La Freebox Serveur V6 sait se synchroniser FTTH si on la connecte en RJ45 sans module fibre ?
Sinon, mon routeur a 2 ports SFP... j'ai essayé de brancher le module SFP directement dessus, mais j'ai l'impression qu'il en se passait rien...
Encore une question... le technicien a laissé la jarretière optique d'ORange... il n' a pas mis celle de Free... il y a une différence entre les 2 ?
-
A priori oui, chez Orange elle est verte des 2 côtés, chez Free verte/bleue.
-
La Freebox Serveur V6 sait se synchroniser FTTH si on la connecte en RJ45 sans module fibre ?
Nope
Sinon, mon routeur a 2 ports SFP... j'ai essayé de brancher le module SFP directement dessus, mais j'ai l'impression qu'il en se passait rien...
C'est un SFP+
Encore une question... le technicien a laissé la jarretière optique d'ORange... il n' a pas mis celle de Free... il y a une différence entre les 2 ?
Oui, quelques Db d'atténuation en + :(
-
Bon alors, si je veux tout gérer avec mon routeur... après avoir balayer les différents sujets...
--> Je conserve Jarretière et module SFP+ de Free que je connecte à un MCL-220, puis RJ45 vers routeur
-- Le module SFP+ free est bien compatible avec le MCL-220 ou à remplacer par SM321 ?
--> En sortie du routeur... comme j'ai 2 port SFP, il y aurait pas moyen de trouver un cable SFP vers connecteur Freebox optique ?
-
un SFP+ n'est pas compatible avec un port SFP :/
-
C'est un SFP+
Oui, quelques Db d'atténuation en + :(
J'ai commandé sur le site free une jarretière... on verra si je grate quelques MB... tout de même dingue que les gars savent pas ce genre de chose.
-
Tu ne gagneras rien du tout, tu peux annuler ton achat ;D
-
Bon je crois,
Je vais rester en DMZ, pas plus gênant que cela... les débits sont bons (même si < à orange), mais l'upload est meilleur...
Maintenant si quelqu'un de chez Free c'est trouver pourquoi le mode Bridge est tout merdique..
Je vais patienter et voir ce que donnera la V7.
Merci à tous.
-
Question en passant. Tu es en ZMD ?
Donc ton IPv4 est partagée entre 4 clients Free et tu n'as accès qu'à un quart des ports TCP/UDP. Comment c'est sensé fonctionner en mode bridge puisque le ER8, lui, n'est pas au courant qu'il doit utiliser une plage réduite de numéros de port ?
-
Oui, quelques Db d'atténuation en + :(
Normalement ça joue sur la réflectance, pas l'atténuation.
-
Question en passant. Tu es en ZMD ?
Donc ton IPv4 est partagée entre 4 clients Free et tu n'as accès qu'à un quart des ports TCP/UDP. Comment c'est sensé fonctionner en mode bridge puisque le ER8, lui, n'est pas au courant qu'il doit utiliser une plage réduite de numéros de port ?
Hello,
J'ai tout mes ports, j'ai fait une demande d'IP Fixe, donc aucun problème. IP FIXE FULL STACK comme ils disent sur le portail Free abonné.
-
Sinon,
Pour pas mourir avec une incertitude... les tests débits wget -4 -O /dev/null http://mafreebox.freebox.fr/gen/1G mesurent bien le débit entre box et ordinateur...
Le problème de lenteur en mode Bridge est donc lié uniquement à la Freebox qui limite le mode bridge...
-
Oui mais attention, j'en suis pas sûr mais il me semble possible que http://mafreebox.freebox.fr/gen/1G ne soit pas représentatif du débit réellement atteignable en mode bridge. Tu as testé avec un fichier de testdebit.info ?
-
Testé à la maison, je suis à 30Mo/s sur le test de débit de la freebox en Bridge, donc il a en effet un souci.
-
Testé à la maison, je suis à 30Mo/s sur le test de débit de la freebox en Bridge, donc il a en effet un souci.
Cela me rassure, suis pas tout seul... cela te fait aussi du débit divisé par 3 sur le download ?
Juste pour rappel... Speedtests...
Mais les test en local avec wget ou curl... sur debit info sont du même ordre.
C'est donc la Freebox qui merde en bridge.
Mode Branchement Serveur IPV6 Dow Upl Ping
Mode routeur
Branché derrière FBX Reims - Orange ON 780 367 1
Branché derrière FBX Reims - Orange ON 782 367 1
Branché derrière FBX Reims - Orange ON 778 367 1
Branché derrière FBX Reims - Orange ON 777 341 1
Mode Bridge
Branché derrière FBX Reims - Orange ON 255 282 1
Branché derrière FBX Reims - Orange ON 267 271 1
Branché derrière FBX Reims - Orange ON 264 271 1
Branché derrière FBX Reims - Orange ON 263 269 1
Branché derrière FBX Reims - Orange OFF + REBOOT 273 274 1
-
c'est tres curieux en effet. D'autant si t'es ZMD tu es en 4rd donc le trafic IPv4 passe dans un tunnel sur de l'IPv6...donc mode routeur ou mode bridge la freebox a le "meme boulot" à faire... Un probleme de MTU peut-etre ? (le 4rd est censé utilisé des jumbo pour pas fragmenter IPv4, peut-etre qu'en mode bridge ca bug et ca fragmente ?) ca tu peux le mesurer.
il faudrait aussi comparer les débits IPv6 entre mode routeur et mode bridge.
-
Dernière batterie de tests...
Pour la fragmentation... je sais pas comment faire...
... en routeur, IPV4 OK - IPV6 OK
... en bridge, IPV4 s'écroule et IPV6 OK
MODE ROUTEUR - DERRIERE FREEBOX
IPV4
MBP-FD:~ Fred$ wget -4 -O /dev/null ping.online.net/5000Mo.dat
--2016-11-19 22:25:11-- http://ping.online.net/5000Mo.dat
Resolving ping.online.net... 62.210.18.40
Connecting to ping.online.net|62.210.18.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[=================================================================>] 4.66G 96.1MB/s in 50s
2016-11-19 22:26:01 (95.4 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
IPV6
MBP-FD:~ Fred$ wget -6 -O /dev/null ping6.online.net/5000Mo.dat
--2016-11-19 22:26:32-- http://ping6.online.net/5000Mo.dat
Resolving ping6.online.net... 2001:bc8:1::40
Connecting to ping6.online.net|2001:bc8:1::40|:80... ^C
MBP-FD:~ Fred$ wget -6 -O /dev/null ping6.online.net/5000Mo.dat
--2016-11-19 22:42:13-- http://ping6.online.net/5000Mo.dat
Resolving ping6.online.net... 2001:bc8:1::40
Connecting to ping6.online.net|2001:bc8:1::40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[=================================================================>] 4.66G 98.2MB/s in 49s
2016-11-19 22:43:02 (97.6 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
IPV4 + IPV6 en simultané (2 downloads en //)
Fred$ wget -4 -O /dev/null ping.online.net/5000Mo.dat
--2016-11-19 23:05:30-- http://ping.online.net/5000Mo.dat
Resolving ping.online.net... 62.210.18.40
Connecting to ping.online.net|62.210.18.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[===================>] 4.66G 95.9MB/s in 1m 43s
2016-11-19 23:07:13 (46.4 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
MBP-FD:~ Fred$ wget -6 -O /dev/null ping6.online.net/5000Mo.dat
--2016-11-19 23:05:29-- http://ping6.online.net/5000Mo.dat
Resolving ping6.online.net... 2001:bc8:1::40
Connecting to ping6.online.net|2001:bc8:1::40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[=================================================================>] 4.66G 70.9MB/s in 73s
2016-11-19 23:06:42 (65.5 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
TRACEROUTE IPV4
MBP-FD:~ Fred$ traceroute ping.online.net
traceroute to ping.online.net (62.210.18.40), 64 hops max, 52 byte packets
1 192.168.1.254 (192.168.1.254) 0.557 ms * 0.421 ms
2 194.149.164.48 (194.149.164.48) 12.436 ms 12.029 ms 7.995 ms
3 bzn-9k-5-be1000.intf.routers.proxad.net (194.149.161.114) 4.813 ms 5.447 ms 4.746 ms
4 dedibox-2-t.intf.routers.proxad.net (212.27.58.50) 8.645 ms 4.895 ms 5.053 ms
5 195.154.1.4 (195.154.1.4) 5.750 ms 6.958 ms 5.123 ms
6 45x-s44-2-a9k1.dc3.poneytelecom.eu (195.154.1.105) 5.570 ms 5.625 ms 5.439 ms
7 ping.online.net (62.210.18.40) 4.930 ms 5.045 ms 4.947 ms
TRACEROUTE IPV6
MBP-FD:~ Fred$ traceroute6 ping6.online.net
traceroute6 to ping6.online.net (2001:bc8:1::40) from 2a01:e0a:d:a660:4a9:452e:289f:cbaf, 64 hops max, 12 byte packets
1 2a01:e0a:d:a660::1 0.379 ms 0.308 ms 0.510 ms
2 * * *
3 2a01:e06:1:1712::ffff 1.822 ms 1.895 ms 1.657 ms
4 * * *
5 2a01:e00:1e::1 5.433 ms * *
6 dedibox-2-p.intf.routers.proxad.net 5.670 ms 4.719 ms 4.779 ms
7 2001:bc8:0:1::b9 5.605 ms 5.726 ms 5.702 ms
8 2001:bc8:0:1::b2 5.625 ms 5.288 ms 6.304 ms
9 2001:bc8:1::40 5.132 ms 4.892 ms 4.784 ms
BRIDGE - DERRIERE FREEBOX
IPV4
MBP-FD:~ Fred$ wget -4 -O /dev/null ping.online.net/5000Mo.dat
--2016-11-19 22:45:25-- http://ping.online.net/5000Mo.dat
Resolving ping.online.net... 62.210.18.40
Connecting to ping.online.net|62.210.18.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[=================================================================>] 4.66G 39.7MB/s in 2m 4s
2016-11-19 22:47:29 (38.5 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
IPV6
MBP-FD:~ Fred$ wget -6 -O /dev/null ping6.online.net/5000Mo.dat
--2016-11-19 22:48:04-- http://ping6.online.net/5000Mo.dat
Resolving ping6.online.net... 2001:bc8:1::40
Connecting to ping6.online.net|2001:bc8:1::40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[=================================================================>] 4.66G 95.6MB/s in 49s
2016-11-19 22:48:54 (96.4 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
IPV4 + IPV6 en simultané (2 downloads en //)
Fred$ wget -4 -O /dev/null ping.online.net/5000Mo.dat
--2016-11-19 22:50:03-- http://ping.online.net/5000Mo.dat
Resolving ping.online.net... 62.210.18.40
Connecting to ping.online.net|62.210.18.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[===================>] 4.66G 24.7MB/s in 2m 50s
2016-11-19 22:52:52 (28.1 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
MBP-FD:~ Fred$ wget -6 -O /dev/null ping6.online.net/5000Mo.dat
--2016-11-19 22:50:03-- http://ping6.online.net/5000Mo.dat
Resolving ping6.online.net... 2001:bc8:1::40
Connecting to ping6.online.net|2001:bc8:1::40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5000000000 (4.7G) [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null 100%[=================================================================>] 4.66G 60.4MB/s in 2m 57s
2016-11-19 22:53:00 (26.9 MB/s) - ‘/dev/null’ saved [5000000000/5000000000]
TRACEROUTE IPV4
traceroute ping.online.net
traceroute to ping.online.net (62.210.18.40), 64 hops max, 52 byte packets
1 194.149.164.48 (194.149.164.48) 5.490 ms 6.341 ms 7.985 ms
2 bzn-9k-5-be1000.intf.routers.proxad.net (194.149.161.114) 4.655 ms 7.054 ms 4.735 ms
3 dedibox-2-t.intf.routers.proxad.net (212.27.58.50) 4.769 ms 5.910 ms 4.773 ms
4 195.154.1.4 (195.154.1.4) 5.054 ms 5.165 ms 6.537 ms
5 45x-s44-2-a9k1.dc3.poneytelecom.eu (195.154.1.105) 5.696 ms 5.321 ms 5.213 ms
6 ping.online.net (62.210.18.40) 4.948 ms 4.766 ms 4.891 ms
TRACROUTE IPV6
MBP-FD:~ Fred$ traceroute6 ping6.online.net
traceroute6 to ping6.online.net (2001:bc8:1::40) from 2a01:e0a:d:a660:f914:1994:4c65:72ea, 64 hops max, 12 byte packets
1 2a01:e0a:d:a660::1 0.394 ms 0.309 ms 0.249 ms
2 * * *
3 2a01:e06:1:1712::ffff 1.809 ms 1.692 ms 1.651 ms
4 * * *
5 2a01:e00:1e::1 4.919 ms 4.733 ms 4.852 ms
6 dedibox-2-p.intf.routers.proxad.net 4.658 ms 4.828 ms 5.093 ms
7 2001:bc8:0:1::b9 5.387 ms 5.367 ms 5.537 ms
8 2001:bc8:0:1::b2 5.363 ms 5.558 ms 5.137 ms
9 2001:bc8:1::40 4.815 ms 5.062 ms 4.804 ms
-
Visiblement il y a un soucis en IPv4 en bridge. En ZMD l'IPv4 est encapsulé dans l'IPv6, je pense que ça doit avoir un rapport avec ça.
-
Visiblement il y a un soucis en IPv4 en bridge. En ZMD l'IPv4 est encapsulé dans l'IPv6, je pense que ça doit avoir un rapport avec ça.
un peu quand meme vu qu'en zone dense c’était l'inverse jusqu’à ce qu'ils optimisent la fbx pour que le mode routeur soit aussi rapide que le mode bridge. cf maj 3.2 de 30/11/2015: http://dev.freebox.fr/blog/?p=2067#more-2067
-
Il manque encore un test alors...
Mode Bridge avec IPV6 désactivé pour voir ce qu'il se passe... mais bon la petite famille va me massacrer...
Et puis on a la conclusion... BRIDGE en ZMD sur IPV4 a un problème, OK en IPV6...
J'ai déposé une anomalie sur http://dev.freebox.fr/bugs/
-
Cela me rassure, suis pas tout seul... cela te fait aussi du débit divisé par 3 sur le download ?
J'ai pas la fibre, donc non.
-
Bonjour,
Tout d'abord bravo pour le sujet, c'est vraiment très complet !
Pour ma part j'ai suivi exactement ce qui a été indiqué, mais je n'ai pas l'accès au net en ipv6. Je parviens seulement à pinger l'extérieur, c'est plutôt curieux.
Je n'ai pas mis de firewall pour l'instant, tout est ouvert.
Ma freebox est en mode bridge et mon router est un erl3.
Si quelqu'un a une idée du pourquoi, qu'il n'hésite pas !
Merci d'avance et bonne journée à tous !
PS. J'ai constaté les même soucis que vous en mode bridge, je ne dépasse pas les 30 MO/S, c'est vraiment dommage !
-
Pour ma part j'ai suivi exactement ce qui a été indiqué, mais je n'ai pas l'accès au net en ipv6. Je parviens seulement à pinger l'extérieur, c'est plutôt curieux.
Problème de MTU, ordonne à ton routeur de diminuer la MSS.
-
Problème de MTU, ordonne à ton routeur de diminuer la MSS.
Merci pour la réponse rapide !
Je ne comprends pas trop où est le problème, peut-être que cela est dû à mon manque de connaissances dans le domaine de l'ipv6.
Le mss se modifie au niveau du firewall si j'ai bien vu. Y-At-t-il une valeur optimale à utiliser ? et à quel interface réseau dois-je l'appliquer ?
Merci d'avance !
-
1500 - l'encapsulation du 6rd - les headers IPv6
-
Bon, j'ai mis le mss-clamp6 en place à 1412 et ça semble tourner correctement.
Voici les commandes utilisées dans l'erl :
set firewall options mss-clamp6 interface-type all
set firewall options mss-clamp6 mss 1412
En espérant que ça n'aura pas d’impacts sur les performances !
Merci d'avoir pris le temps de me répondre.
-
Cette méthode (mss clamping) ne fonctionne que pour TCP.
Une méthode plus "propre" je trouve c'est de faire comme la freebox: envoyer une MTU réduite au niveau du service router-advert:
set interfaces ethernet <itfLAN> ipv6 router-advert link-mtu 1480
-
Cette méthode (mss clamping) ne fonctionne que pour TCP.
Une méthode plus "propre" je trouve c'est de faire comme la freebox: envoyer une MTU réduite au niveau du service router-advert:
set interfaces ethernet <itfLAN> ipv6 router-advert link-mtu 1480
Je lisais un article sur le sujet justement. J'ai supprimé le mss et appliqué le mtu et ça fonctionne très bien, en tout cas sur le lan. Merci pour la commande !
Par contre si je veux accéder au net directement depuis le router lui-même ça ne fonctionne pas, je pense que le problème est le même du coup. A première vue on peut se dire que ce n'est pas nécessaire, mais dans le cas où je demande à apt de charger des paquets par exemple, ça peut toujours être sympa qu'il utilise l'ipv6 lui aussi, enfin je pense.
-
Sur le routeur tu le laisses en autoconfiguration de toute façon. La freebox envoie la bonne MTU (1480) dans son RA.
Quoi qu'il en soit t'es en 6rd si tu dois changer la MTU.
-
Sur le routeur tu le laisses en autoconfiguration de toute façon. La freebox envoie la bonne MTU (1480) dans son RA.
Quoi qu'il en soit t'es en 6rd si tu dois changer la MTU.
Oui, je pense avoir mieux compris le problème maintenant. La FreeBox envoie le bon mtu au router, par contre le ra du router sur le lan difusait du 1500 ce qui bien sûr ne peut pas fonctionner.
Un grand merci pour l'aide apportée !!!
-
Hello,
Je déterre un peu, mais j'ai actuellement un USG3 derrière la freebox en bridge.
J'ai suivi la démarche complète mais pas de connectivité IPv6 malgré tout...
Je sais qu'avec l'USG la conf est provisionnée à chaque changement démarrage / modif du coup je test en live (je ferais un fichier de surcharge une fois que cela fonctionnera).
Pour le coup j'utilise cette config :
#eth0 = WAN
#eth1 = LAN
set interfaces ethernet eth0 address fe80::1/64
set interfaces ethernet eth1 address fe80::7:1/64
set protocols static route6 ::/0 next-hop fe80::6aa3:78ff:xxxx:6471 interface eth0
set interfaces ethernet eth1 address 2a01:35:xxxx:e0e0::1/64
set interfaces ethernet eth1 ipv6 router-advert prefix 2a01:35:xxxx:e0e0::/64
set interfaces ethernet eth1 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
set service dhcpv6-server shared-network-name lanv6google name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6google name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6google subnet fe80::7:1/128
set interfaces ethernet eth1 ipv6 router-advert other-config-flag true
set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"
set firewall ipv6-name wan_local-6 rule 6 description "DHCPv6"
set firewall ipv6-name wan_local-6 rule 6 action accept
set firewall ipv6-name wan_local-6 rule 6 destination port 546
set firewall ipv6-name wan_local-6 rule 6 protocol udp
set firewall ipv6-name wan_local-6 rule 6 source port 547
set interfaces ethernet eth1 firewall out ipv6-name wan_local-6
et j'ai bien configurer les préfixes sur la freebox en FE80::1
Sur le client je récupère bien une IPv6, j'arrive à ping l'interface lan de l'USG mais cela s'arrete la.
J'ai foiré à quelques part ?
Merci à vous !
-
C'est pas très utile de set des adresses en fe80 à la main, les adresses autoconfigurées suffisent. À ta place j'essaierai avec.
-
et du coup le link-local wan ou lan ? (wan je suppose)
-
Bah en soi les deux :)
Configurer des ip link local à la main est de manière générale une mauvaise idée
-
oh !
Enfaite j’écrivais les next-hop mal dans l'USG du coup maintenant ca passe avec les links local en fe80::
Je pense que je me suis merdé avec les link local de base mais je pense que ca doit fonctionner aussi :)
Plus qu'a le modifier en xml maintenant :D
-
Bonjour,
J4ai configuré l'IPV6 sur un USG, ca fonctionne sauf que j'ai ajouté un serveur DSN adguard pour eviter les pubs et je me rends compte que j'ai toujours un DNS avec un ipv6 qui apparait sur les clients. Ce DNS est donné par la freebox je pense... pour tous les clients sont raccordés à l'USG
J'ai suivi ce tuto sauf qu'en plus j'ai activé le firewall IPV6 sur la freebox.
https://julien.io/ipv6-sur-un-routeur-unifi-avec-une-freebox/
-
Je relance le sujet, J'ai un FB pop en mode routeur, je cherche a configurer l ip6 sur mon edge router En parcourant ce post, j'ai adapter ma configuration comme suivant :
eth0 => Lan.
eth1 => Freebox.
Voici ma configuration edge router :
configure
set interfaces ethernet eth1 address fe80::1/64
set interfaces ethernet eth0 address fe80::7:1/64
## fe80::3a07:16ff:fe0e:d1b2 => Lien local FB
set protocols static route6 ::/0 next-hop fe80::3a07:16ff:fe0e:d1b2 interface eth1
### 2a01:e0a:db1:6650::/64 => Plage FB
set interfaces ethernet eth0 address 2a01:e0a:db1:6650::1/64
set interfaces ethernet eth0 ipv6 router-advert prefix 2a01:e0a:db1:6650::/64
set firewall ipv6-name wan_local-6 default-action drop
set firewall ipv6-name wan_local-6 description wan_local-6
set firewall ipv6-name wan_local-6 enable-default-log
set firewall ipv6-name wan_local-6 rule 1 action accept
set firewall ipv6-name wan_local-6 rule 1 state established enable
set firewall ipv6-name wan_local-6 rule 1 state related enable
set firewall ipv6-name wan_local-6 rule 1 description "Allow Enabled/Related state"
set firewall ipv6-name wan_local-6 rule 2 action drop
set firewall ipv6-name wan_local-6 rule 2 log enable
set firewall ipv6-name wan_local-6 rule 2 state invalid enable
set firewall ipv6-name wan_local-6 rule 2 description "Drop Invalid state"
set firewall ipv6-name wan_local-6 rule 5 action accept
set firewall ipv6-name wan_local-6 rule 5 log enable
set firewall ipv6-name wan_local-6 rule 5 protocol icmpv6
set firewall ipv6-name wan_local-6 rule 5 description "Allow ICMPv6"
set firewall ipv6-name wan_local-6 rule 6 description "DHCPv6"
set firewall ipv6-name wan_local-6 rule 6 action accept
set firewall ipv6-name wan_local-6 rule 6 destination port 546
set firewall ipv6-name wan_local-6 rule 6 protocol udp
set firewall ipv6-name wan_local-6 rule 6 source port 547
set interfaces ethernet eth0 firewall out ipv6-name wan_local-6
Et voici la configuration FB (en piece jointe)
Je me retrouve bien avec une ip 6 mais le ping6 ne passe pas et qd je curl ifconfig.io j'ai une alternance d ip4 et d'ip6....
Merci d'avance pour vos lumières
-
Et sans firewall ?
Là les règles sont en out, et donc ne matchent que les paquets qui sont créés par l'edge routeur et à destination du LAN. D'après le nom de la chaine (wan_local-6), j'imagine qu'elle devrait être plutot en in sur eth1...
Pour le reste ça me semble bon.
-
J'ai repris le premier sujet de ce post
Je ne comprends pas ce que j'ai fait, j'ai juste remplacé le eth7 par eth0
Il faut activer le firewall ip6 de la FB ?
Comment ma FB est en router avec une dmz vers le hedge router, je gère tout le firevall sur le routeur edge ?
Ou cela n'a rien a voir en ip6 ?
Merci
-
Quelle est la raison d'un tel comportement aléatoire ?
-
Quelle est la raison d'un tel comportement aléatoire ?
hum curieux. T'as pas activé sans le vouloir le "happy eyeball" de curl (t'as peut-etre un $HOME/.curlrc ?).
que donne "curl -V" ?
Si tu ping plutot que curl ca fait pareil ou reste toujours en ipv6 ?
par exemple :
ping dns.google
(ctrl+c pour arreter)
si ca s'arrete ou echoue, tu peux tester la stabilité de ta route par défaut toute les 0.5 secondes par exemple pour voir si y'a un souci:
while true; do ip -6 route get 2606:4700:e6::ac40:c310 ; sleep 0.5 ; done(ctrl+c pour arreter)
Apres fait ces tests depuis ton routeur ubiquiti aussi.
Car le probleme est peut-etre entre le PC et le routeur. Tu peux ping l'ipv6 de ton routeur (2a01:e0a:db1:6650::1 d'apres ton 1er message) en continue pour voir si y'a des coupures.
Usuellement on valide en 1er que le routeur a une bonne connectivité avant de passer sur les postes.
-
Voici les tests de ping exxectué en effet pour commencer sur le routeur :
Linux ubnt 4.9.79-UBNT #1 SMP Thu Jun 15 11:34:36 UTC 2023 mips64
Boot image can be upgraded to version [ e300_003_6be37 ].
Run "add system boot-image" to upgrade boot image.
ubnt@ubnt:~$ ping dns.google
PING dns.google(dns.google (2001:4860:4860::8844)) 56 data bytes
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=1 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=2 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=3 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=4 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=5 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=9 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=10 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=11 Destination unreachable: Address unreachable
^C
--- dns.google ping statistics ---
13 packets transmitted, 0 received, +8 errors, 100% packet loss, time 12456ms
ubnt@ubnt:~$ ping 2a01:e0a:db1:6650::1
PING 2a01:e0a:db1:6650::1(2a01:e0a:db1:6650::1) 56 data bytes
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=1 ttl=64 time=0.160 ms
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=2 ttl=64 time=0.130 ms
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=3 ttl=64 time=0.131 ms
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=4 ttl=64 time=0.119 ms
^C
--- 2a01:e0a:db1:6650::1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3103ms
rtt min/avg/max/mdev = 0.119/0.135/0.160/0.015 ms
ubnt@ubnt:~$ while true; do ip -6 route get 2606:4700:e6::ac40:c310 ; sleep 0.5 ; done
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
^C
ubnt@ubnt:~$
Donc le ping ne passe pas en ip6
-
Voici les tests de ping exxectué en effet pour commencer sur le routeur :
Linux ubnt 4.9.79-UBNT #1 SMP Thu Jun 15 11:34:36 UTC 2023 mips64
Boot image can be upgraded to version [ e300_003_6be37 ].
Run "add system boot-image" to upgrade boot image.
ubnt@ubnt:~$ ping dns.google
PING dns.google(dns.google (2001:4860:4860::8844)) 56 data bytes
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=1 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=2 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=3 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=4 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=5 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=9 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=10 Destination unreachable: Address unreachable
From 2a01:e0a:db1:6650::1 (2a01:e0a:db1:6650::1) icmp_seq=11 Destination unreachable: Address unreachable
^C
--- dns.google ping statistics ---
13 packets transmitted, 0 received, +8 errors, 100% packet loss, time 12456ms
ubnt@ubnt:~$ ping 2a01:e0a:db1:6650::1
PING 2a01:e0a:db1:6650::1(2a01:e0a:db1:6650::1) 56 data bytes
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=1 ttl=64 time=0.160 ms
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=2 ttl=64 time=0.130 ms
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=3 ttl=64 time=0.131 ms
64 bytes from 2a01:e0a:db1:6650::1: icmp_seq=4 ttl=64 time=0.119 ms
^C
--- 2a01:e0a:db1:6650::1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3103ms
rtt min/avg/max/mdev = 0.119/0.135/0.160/0.015 ms
ubnt@ubnt:~$ while true; do ip -6 route get 2606:4700:e6::ac40:c310 ; sleep 0.5 ; done
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra src 2a01:e0a:db1:6650::1 metric 1024 pref medium
^C
ubnt@ubnt:~$
Donc le ping ne passe pas en ip6
ta route par défaut ne va pas sur une freebox:
".. :: via fe80::6aa3:78ff:fe5c:1143 ..." ceci n'est pas l'ip link-local d'un freebox mais d'un appareil de marque "sagemcom" (une livebox ou une bbox par exemple).
D'apres ton message de configuration:
...
## fe80::3a07:16ff:fe0e:d1b2 => Lien local FB
set protocols static route6 ::/0 next-hop fe80::3a07:16ff:fe0e:d1b2 interface eth1
...
et ton screen confirme que l'ip link de ta freebox est bien fe80::3a07:16ff:fe0e:d1b2 c'est cette valeur qu'on devrait voir et pas fe80::6aa3:78ff:fe5c:1143.
tu n'as pas un autre équipement qui annoncerait une route IPv6 sur ton réseau connecté a eth1?
ip -6 route show table all defaultaffiche quoi?
-
Bonjour,
Je n'ai aucun autre périphérique réseau connecté sur eth1.... La freebox en mode routeur. qui part sur ma fibre.
J'avais un abonnement orange fibre avant, mais j'ai update mou routeur et refait tout la config, a moins que j'ai merdé quelque part !
Et en effet q:
ubnt@ubnt:~$ ip -6 route show table all default
default via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra metric 1024 pref medium
default via fe80::3a07:16ff:fe0e:d1b2 dev eth1 proto zebra metric 1024 pref medium
-
qd je fais la meme commande depuis un poste de travail :
ubuntu@ubuntu-nc:~$ while true; do ip -6 route get 2606:4700:e6::ac40:c310 ; sleep 0.5 ; done
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
2606:4700:e6::ac40:c310 from :: via fe80::7:1 dev ens18 proto ra src 2a01:e0a:db1:6650:8b0c:176:15e1:adff metric 100 pref medium
ubuntu@ubuntu-nc:~$ ip -6 route show table all default
default via fe80::7:1 dev ens18 proto ra metric 100 pref medium
-
ubnt@ubnt:~$ ip -6 route show table all default
default via fe80::6aa3:78ff:fe5c:1143 dev eth1 proto zebra metric 1024 pref medium
default via fe80::3a07:16ff:fe0e:d1b2 dev eth1 proto zebra metric 1024 pref medium
ah ben voila, un paquet sur deux part dans le vide.
il faut virer la mauvaise route (ou trouver ou elle est configuré si elle revient a chaque reboot du routeur).
-
Bonjour,
En effet, ça fonctionne beaucoup mieux... Et c'était une mauvaise config de ma part, un reste de mon paramétrage Orange :-/
Merci pour l'aide... Et au final, la config du premier post de cette discussion est la bonne.
J'ai supprimé les dns de google ipV6, mais sinon tout le reste est bon
.
-
Bonjour,
J'ai suivi les instructions de la page en l'adaptant à ma config pour avoir la délégation IPv6 via mon routeur Ubiquiti ER-X.
Mes changements : eth0 -> lien physique avec la Freebox Delta, switch0 -> bridge des autres ports de mon Edgerouter X).
Tous les postes de mon réseau se voient attribuer une IPv6 comme prévu, peuvent aller sur l'internet du futur, c'est génial.
Mais voila, mon routeur lui même n'y parvient pas :-/
Mon routeur est relié à la Freebox Delta en mode bridge via son port eth0
J'ai un bridge des autres ports (eth1 à eth4) nommé switch0
Niveau adressage :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 2018 state UNKNOWN qlen 1000
inet6 fe80::7683:c2ff:fe09:c101/64 scope link
valid_lft forever preferred_lft forever
4: eth0@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fe80::1/64 scope link
valid_lft forever preferred_lft forever
inet6 fe80::7683:c2ff:fe09:c0fc/64 scope link
valid_lft forever preferred_lft forever
5: eth1@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fe80::7683:c2ff:fe09:c0fd/64 scope link
valid_lft forever preferred_lft forever
6: eth2@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fe80::7683:c2ff:fe09:c0fe/64 scope link
valid_lft forever preferred_lft forever
7: eth3@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fe80::7683:c2ff:fe09:c0ff/64 scope link
valid_lft forever preferred_lft forever
8: eth4@itf0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 state LOWERLAYERDOWN qlen 1000
inet6 fe80::7683:c2ff:fe09:c100/64 scope link
valid_lft forever preferred_lft forever
9: switch0@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a01:e0a:348:bda0::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::7:1/64 scope link
valid_lft forever preferred_lft forever
inet6 fe80::7683:c2ff:fe09:c101/64 scope link
valid_lft forever preferred_lft forever
Niveau routage :2a01:e0a:348:bda0::/64 dev switch0 proto kernel metric 256 pref medium
fe80::/64 dev itf0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth1 proto kernel metric 256 pref medium
fe80::/64 dev eth2 proto kernel metric 256 pref medium
fe80::/64 dev eth3 proto kernel metric 256 pref medium
fe80::/64 dev eth4 proto kernel metric 256 linkdown pref medium
fe80::/64 dev switch0 proto kernel metric 256 pref medium
default via fe80::72fc:8fff:fe68:2c36 dev eth0 proto zebra metric 1024 pref medium
Si je fais un "ping6 www.google.fr" j'ai bien la résolution qui est faite (mon serveur DNS est dans le LAN), mais après pas de réponse aux pings.
Depuis mon LAN tout le monde arrive à pinger www.google.fr sur son IPv6.
Mon routeur arrive bien à pinger les IPv6 de mon réseau local
Si j'attribue une IPv6 dans le pool 2a01:e0a:348:bda0::1/64 à eth0, le routeur peut bien parler en IPv6 avec Internet. Par contre tout le reste de mon réseau n'y arrive plus...
Je pense que j'ai loupé un truc, mais je ne vois pas trop quoi.
2 options IPv6 qui peuvent être intéressantes, peut-être :D
ipv6-receive-redirects disable
ipv6-src-route disable
Ma conf firewall IPv6 est un peu longue, donc je la transmets seulement si demandée.
Par avance merci pour votre aide !
-
tu n'a pas besoin d'IPv6 public sur l'interface wan (eth0) (et il ne faut pas lui attribuer une IPv6 du lan).
tu as bien une IPv6 public pour le routeur sur l'interface lan (switch0).
tu as bien la route par défaut IPv6
donc a priori c'est correct niveau configuration IP et routage.
si ca ne passe pas c'est probable un blocage firewall.
les règles pour 'traverser' un routeur ("forward" en jargon iptables) et les règles pour le trafic propre au routeur ("input" en entrée et "output" en sortie) ne sont pas les memes.
donc si ca marche pour les machines du lan et pas le routeur lui-meme regarde plutot au niveau de la config firewall dans le routeur.
-
Bonjour,
merci pour ta réponse rapide.
Voici ma configuration firewall :
--------------------------------------------------------------------------------
IPv6 Firewall "WANv6_IN":
Active on (eth0,IN)
rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 7310441 4100144499
condition - state RELATED,ESTABLISHED
20 drop all 93 5924
condition - state INVALID
25 accept ipv6-icmp 779 53290
30 accept tcp 19411 1552960
condition - daddr 2a01:e0a:348:bda0:1337::2 match-SRC--GROUP SSH-clients-IPv6
tcp dpt:ssh
40 accept tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 match-SRC--GROUP Xymon-clients-IPv
6 tcp dpt:1984
42 accept tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 match-SRC--GROUP Lognes-IPv6 tcp d
pt:1984
50 accept tcp 2608 214048
condition - daddr 2a01:e0a:348:bda0:1337::2 state NEW,ESTABLISHED dports http
,https
60 accept tcp_udp 128267 11475887
condition - daddr 2a01:e0a:348:bda0:1337::2 state NEW,ESTABLISHED tcp dpt:doma
in
70 reject tcp 15 960
condition - daddr 2a01:e0a:348:bda0:1337::2 dports pop3,imap2,imaps,pop3s rej
ect-with icmp6-port-unreachable
80 accept tcp 21 1428
condition - daddr 2a01:e0a:348:bda0:1337::2 dports smtp,urd,submission
90 accept tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 tcp dpt:32400
10000 drop all 10044 697411
condition - LOG enabled
--------------------------------------------------------------------------------
IPv6 Firewall "wan_local-6":
Active on (eth0,LOCAL) (switch0,OUT)
rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 7288748 4092909178
condition - state RELATED,ESTABLISHED
15 accept udp 0 0
condition - udp spt:dhcpv6-server dpt:dhcpv6-client
20 drop all 0 0
condition - state INVALID
25 accept ipv6-icmp 46294 3200498
30 accept tcp 19078 1526320
condition - daddr 2a01:e0a:348:bda0:1337::2 match-SRC--GROUP SSH-clients-IPv6
tcp dpt:ssh
40 accept tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 match-SRC--GROUP Xymon-clients-IPv
6 tcp dpt:1984
42 accept tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 match-SRC--GROUP Lognes-IPv6 tcp d
pt:1984
50 accept tcp 2609 214120
condition - daddr 2a01:e0a:348:bda0:1337::2 state NEW,ESTABLISHED dports http
,https
60 accept tcp_udp 127579 11415805
condition - daddr 2a01:e0a:348:bda0:1337::2 tcp dpt:domain
70 reject tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 dports pop3,imap2,imaps,pop3s rej
ect-with icmp6-port-unreachable
80 accept tcp 21 1428
condition - daddr 2a01:e0a:348:bda0:1337::2 dports smtp,urd,submission
90 accept tcp 0 0
condition - daddr 2a01:e0a:348:bda0:1337::2 tcp dpt:32400
10000 drop all 568 37738
condition - LOG enabled
-
ca a l'air bon, je vois log enabled donc tu devrais avoir des infos dans le journal (fait un ping puis "tail /var/log/messages")
sinon
ip route get 2001:4860:4860::8844indique quoi ?
-
Alors le retour de la commande :
2001:4860:4860::8844 from :: via fe80::72fc:8fff:fe68:2c36 dev eth0 proto zebra src 2a01:e0a:348:bda0::1 metric 1024 pref medium
Sur les logs, je ne vois rien de rien pendant un ping (je lance le tail avant dans un terminal distinct)
-
Alors le retour de la commande :
2001:4860:4860::8844 from :: via fe80::72fc:8fff:fe68:2c36 dev eth0 proto zebra src 2a01:e0a:348:bda0::1 metric 1024 pref medium
ce qui semble correct. (c'est bien l'ip source (src) du bridge qui est choisie).
la je ne vois pas.
plusieurs pistes:
1. donnes nous les règles complètes avec:
sudo -i # pour passer en mode Linux / root
ip6tables -S
ip6tables -nvL
2. tu peut tenter un reset complet du firewall:
a . sauvegarder la conf
b . saisir en root:
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X
puis tenter un ping.
si pas ok le problème est ailleurs.
3. capture des ICMPv6 de ping sur l'interface eth0:
sudo tcpdump -i eth0 "icmp6 && (ip6[40] == 128 || ip6[40] == 129)"
(ctrl-c pour arreter)
et faire des ping depuis une autre fenetre.
-
Voici les infos demandées :
ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N VYATTA_FW_IN_HOOK
-N VYATTA_FW_LOCAL_HOOK
-N VYATTA_FW_OUT_HOOK
-N VYATTA_POST_FW_FWD_HOOK
-N VYATTA_POST_FW_IN_HOOK
-N VYATTA_POST_FW_OUT_HOOK
-N WANv6_IN
-N wan_local-6
-A INPUT -j VYATTA_FW_LOCAL_HOOK
-A INPUT -j VYATTA_POST_FW_IN_HOOK
-A FORWARD -j VYATTA_FW_IN_HOOK
-A FORWARD -j VYATTA_FW_OUT_HOOK
-A FORWARD -j VYATTA_POST_FW_FWD_HOOK
-A OUTPUT -j VYATTA_POST_FW_OUT_HOOK
-A VYATTA_FW_IN_HOOK -i eth0 -j WANv6_IN
-A VYATTA_FW_LOCAL_HOOK -i eth0 -j wan_local-6
-A VYATTA_FW_OUT_HOOK -o switch0 -j wan_local-6
-A VYATTA_POST_FW_FWD_HOOK -j ACCEPT
-A VYATTA_POST_FW_IN_HOOK -j ACCEPT
-A VYATTA_POST_FW_OUT_HOOK -j ACCEPT
-A WANv6_IN -m comment --comment WANv6_IN-10 -m state --state RELATED,ESTABLISHED -j RETURN
-A WANv6_IN -m comment --comment WANv6_IN-20 -m state --state INVALID -j DROP
-A WANv6_IN -p ipv6-icmp -m comment --comment WANv6_IN-25 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-30 -m set --match-set SSH-clients-IPv6 src -m tcp --dport 22 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-40 -m set --match-set Xymon-clients-IPv6 src -m tcp --dport 1984 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-42 -m set --match-set Lognes-IPv6 src -m tcp --dport 1984 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-50 -m state --state NEW,ESTABLISHED -m multiport --dports 80,443 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-60 -m state --state NEW,ESTABLISHED -m tcp --dport 53 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p udp -m comment --comment WANv6_IN-60 -m state --state NEW,ESTABLISHED -m udp --dport 53 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-70 -m multiport --dports 110,143,993,995 -j REJECT --reject-with icmp6-port-unreachable
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-80 -m multiport --dports 25,465,587 -j RETURN
-A WANv6_IN -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment WANv6_IN-90 -m tcp --dport 32400 -j RETURN
-A WANv6_IN -m comment --comment "WANv6_IN-10000 default-action drop" -j LOG --log-prefix "[WANv6_IN-default-D]"
-A WANv6_IN -m comment --comment "WANv6_IN-10000 default-action drop" -j DROP
-A wan_local-6 -m comment --comment wan_local-6-10 -m state --state RELATED,ESTABLISHED -j RETURN
-A wan_local-6 -p udp -m comment --comment wan_local-6-15 -m udp --sport 547 --dport 546 -j RETURN
-A wan_local-6 -m comment --comment wan_local-6-20 -m state --state INVALID -j DROP
-A wan_local-6 -p ipv6-icmp -m comment --comment wan_local-6-25 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-30 -m set --match-set SSH-clients-IPv6 src -m tcp --dport 22 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-40 -m set --match-set Xymon-clients-IPv6 src -m tcp --dport 1984 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-42 -m set --match-set Lognes-IPv6 src -m tcp --dport 1984 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-50 -m state --state NEW,ESTABLISHED -m multiport --dports 80,443 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-60 -m tcp --dport 53 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p udp -m comment --comment wan_local-6-60 -m udp --dport 53 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-70 -m multiport --dports 110,143,993,995 -j REJECT --reject-with icmp6-port-unreachable
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-80 -m multiport --dports 25,465,587 -j RETURN
-A wan_local-6 -d 2a01:e0a:348:bda0:1337::2/128 -p tcp -m comment --comment wan_local-6-90 -m tcp --dport 32400 -j RETURN
-A wan_local-6 -m comment --comment "wan_local-6-10000 default-action drop" -j LOG --log-prefix "[wan_local-6-default-D]"
-A wan_local-6 -m comment --comment "wan_local-6-10000 default-action drop" -j DROP
ip6tables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
256K 18M VYATTA_FW_LOCAL_HOOK all * * ::/0 ::/0
255K 18M VYATTA_POST_FW_IN_HOOK all * * ::/0 ::/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
15M 6016M VYATTA_FW_IN_HOOK all * * ::/0 ::/0
15M 6008M VYATTA_FW_OUT_HOOK all * * ::/0 ::/0
15M 6008M VYATTA_POST_FW_FWD_HOOK all * * ::/0 ::/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
433K 44M VYATTA_POST_FW_OUT_HOOK all * * ::/0 ::/0
Chain VYATTA_FW_IN_HOOK (1 references)
pkts bytes target prot opt in out source destination
7723K 4199M WANv6_IN all eth0 * ::/0 ::/0
Chain VYATTA_FW_LOCAL_HOOK (1 references)
pkts bytes target prot opt in out source destination
47182 3261K wan_local-6 all eth0 * ::/0 ::/0
Chain VYATTA_FW_OUT_HOOK (1 references)
pkts bytes target prot opt in out source destination
7589K 4184M wan_local-6 all * switch0 ::/0 ::/0
Chain VYATTA_POST_FW_FWD_HOOK (1 references)
pkts bytes target prot opt in out source destination
15M 6008M ACCEPT all * * ::/0 ::/0
Chain VYATTA_POST_FW_IN_HOOK (1 references)
pkts bytes target prot opt in out source destination
255K 18M ACCEPT all * * ::/0 ::/0
Chain VYATTA_POST_FW_OUT_HOOK (1 references)
pkts bytes target prot opt in out source destination
433K 44M ACCEPT all * * ::/0 ::/0
Chain WANv6_IN (1 references)
pkts bytes target prot opt in out source destination
7452K 4177M RETURN all * * ::/0 ::/0 /* WANv6_IN-10 */ state RELATED,ESTABLISHED
317 22449 DROP all * * ::/0 ::/0 /* WANv6_IN-20 */ state INVALID
779 53290 RETURN icmpv6 * * ::/0 ::/0 /* WANv6_IN-25 */
19800 1584K RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-30 */ match-set SSH-clients-IPv6 src tcp dpt:22
0 0 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-40 */ match-set Xymon-clients-IPv6 src tcp dpt:1984
0 0 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-42 */ match-set Lognes-IPv6 src tcp dpt:1984
3188 263K RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-50 */ state NEW,ESTABLISHED multiport dports 80,443
68 5164 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-60 */ state NEW,ESTABLISHED tcp dpt:53
136K 12M RETURN udp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-60 */ state NEW,ESTABLISHED udp dpt:53
15 960 REJECT tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-70 */ multiport dports 110,143,993,995 reject-with icmp6-port-unreachable
21 1428 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-80 */ multiport dports 25,465,587
0 0 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* WANv6_IN-90 */ tcp dpt:32400
13068 914K LOG all * * ::/0 ::/0 /* WANv6_IN-10000 default-action drop */ LOG flags 0 level 4 prefix "[WANv6_IN-default-D]"
13068 914K DROP all * * ::/0 ::/0 /* WANv6_IN-10000 default-action drop */
Chain wan_local-6 (2 references)
pkts bytes target prot opt in out source destination
7430K 4170M RETURN all * * ::/0 ::/0 /* wan_local-6-10 */ state RELATED,ESTABLISHED
0 0 RETURN udp * * ::/0 ::/0 /* wan_local-6-15 */ udp spt:547 dpt:546
0 0 DROP all * * ::/0 ::/0 /* wan_local-6-20 */ state INVALID
47367 3275K RETURN icmpv6 * * ::/0 ::/0 /* wan_local-6-25 */
19467 1557K RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-30 */ match-set SSH-clients-IPv6 src tcp dpt:22
0 0 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-40 */ match-set Xymon-clients-IPv6 src tcp dpt:1984
0 0 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-42 */ match-set Lognes-IPv6 src tcp dpt:1984
3189 263K RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-50 */ state NEW,ESTABLISHED multiport dports 80,443
63 4804 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-60 */ tcp dpt:53
135K 12M RETURN udp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-60 */ udp dpt:53
0 0 REJECT tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-70 */ multiport dports 110,143,993,995 reject-with icmp6-port-unreachable
21 1428 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-80 */ multiport dports 25,465,587
0 0 RETURN tcp * * ::/0 2a01:e0a:348:bda0:1337::2 /* wan_local-6-90 */ tcp dpt:32400
586 39086 LOG all * * ::/0 ::/0 /* wan_local-6-10000 default-action drop */ LOG flags 0 level 4 prefix "[wan_local-6-default-D]"
586 39086 DROP all * * ::/0 ::/0 /* wan_local-6-10000 default-action drop */
Malgré le reset du firewall, pas de changement.
La capture réseau donne ça :
sudo tcpdump -i eth0 "icmp6 && (ip6[40] == 128 || ip6[40] == 129)"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:09:15.358054 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 1, length 64
17:09:16.366504 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 2, length 64
17:09:17.390532 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 3, length 64
17:09:18.414420 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 4, length 64
17:09:19.438550 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 5, length 64
17:09:20.462391 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 6, length 64
17:09:21.486417 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 7, length 64
17:09:22.510384 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 8, length 64
17:09:23.534501 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 9, length 64
17:09:24.558418 IP6 2a01:e0a:348:bda0::1 > par10s21-in-x03.1e100.net: ICMP6, echo request, seq 10, length 64
^C
10 packets captured
20 packets received by filter
0 packets dropped by kernel
On voit bien les paquets partir, mais pas arriver...
-
y'a "20 packets received by filter", relache la condition :
sudo tcpdump -i eth0 "icmp6"ca risque de faire du trafic mais y'a peut-être des infos utiles.
-
j'avais déjà tenté de mettre moins de critère dans le filtre, sans voir plus :
tcpdump -i eth0 "icmp6"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:19:18.822560 IP6 fe80::72fc:8fff:fe68:2c36 > fe80::1: ICMP6, neighbor solicitation, who has fe80::1, length 32
17:19:18.822765 IP6 fe80::1 > fe80::72fc:8fff:fe68:2c36: ICMP6, neighbor advertisement, tgt is fe80::1, length 24
17:19:25.904650 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 1, length 64
17:19:26.924269 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 2, length 64
17:19:27.948269 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 3, length 64
17:19:28.972271 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 4, length 64
17:19:29.996276 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 5, length 64
17:19:31.020249 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 6, length 64
17:19:32.044251 IP6 2a01:e0a:348:bda0::1 > par21s11-in-x03.1e100.net: ICMP6, echo request, seq 7, length 64
^C
9 packets captured
10 packets received by filter
0 packets dropped by kernel
-
ah c'est peut-etre fe80::1 qui gène la freebox (si c'est le cas il faudra que je creuse plus la question du pourquoi). c'est a tester !
dans le fond, tu n'en a pas vraiment besoin, c'était juste plus pratique pour configurer les choses coté Freebox mais effectivement si ca gene l'accès Internet de ton routeur lui-meme tu as 2 solutions:
A- ne pas mettre fe80::1 dans l'interface de la freebox pour ton /64 mais mettre la vraie adresse link-local fe80:... de l'interface eth0 de ton routeur
B- prendre un autre /64 dans l'interface de la freebox , le configurer comme la 1ere (vers fe80:1) et assigner statiquement une IPv6 de ce nouveau /64 a l'interface eth0. (tu as déjà valider que ca fonctionnait en utilisant le 1er /64 mais comme il est pour le lan, il faut en utiliser un 2eme pour le wan).
A est plus simple sauf si tu peux explicitement une IPv6 dans un /64 diffèrent pour le trafic de ton routeur.
-
alors j'ai essayé la solution A sans succès :-(
delete interfaces ethernet eth0 address fe80::1/64
commit
ping6 google.fr
PING google.fr(par10s21-in-x03.1e100.net (2a00:1450:4007:80d::2003)) 56 data bytes
^C
--- google.fr ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4094ms
J'ai bien mis l'adresse IPv6 d'origine de l'interface eth0 comme next hop sur la freebox delta.
En parallèle, l'IPv6 marche toujours bien sur le réseau.
-
y'avait peu de chance mais fallait tenter.
c'est meme mieux que ca ne marche pas ;p
apres pourquoi ca ne marche pas, la je sèche complètement. il y a peut être une subtilité qui m'échappe dans EdgeOS par rapport a un Linux classique ou un bug.
B devrait marcher toutefois vu que ca marchait pour le premier /64 ? faut espérer.
-
je vais faire sans, pas de souci ;)
merci en tout cas pour ton aide et de facon générale pour le volume d'aide apporté dans ce fil !
bonne continuation
-
Salut,
Tu pourrais poster ta config d'EdgeOS ici ?
-
tu me poses la question à moi ?
-
Oui, j'ai quelques EdgeRouteurs en prod avec une configuration complète qui marche, je peux essayer de regarder s'il y a une différence notable qui expliquerait ton problème ;)
-
Elle est ici :
https://pastebin.com/NmSQmxgi
-
En ce qui me concerne, ma configuration est légèrement différente car j'utilise radvd au lieu de dhcpv6-pd (c'est un ER6), mais ça ne devrait pas trop changer de chose je pense :
interfaces {
ethernet eth0 {
address dhcp
address fe80::1/64
address xxxxxxxxxxxxxxx3::ed6e/64
description Internet
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
speed auto
}
ethernet eth1 {
address 10.0.0.1/16
address fe80::1:1/64
address xxxxxxxxxxxxxxx0::1/64
description Local
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix xxxxxxxxxxxxxxx0::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
vif 10 {
address 10.10.0.1/24
address fe80::10:1/64
address xxxxxxxxxxxxxxx1::1/64
description Wifi
firewall {
local {
ipv6-name WIFI_LOCAL
}
out {
}
}
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix xxxxxxxxxxxxxxx1::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
}
vif 11 {
address 10.11.0.1/16
description IoT
firewall {
in {
name IoT_IN
}
local {
name IoT_LOCAL
}
}
mtu 1500
}
vif 20 {
address 10.20.0.1/24
address fe80::20:1/64
address xxxxxxxxxxxxxxx2::1/64
description "Guest Wifi"
firewall {
in {
ipv6-name GUESTv6_IN
name GUEST_WIFI_IN
}
local {
ipv6-name GUESTv6_LOCAL
name GUEST_WIFI_LOCAL
}
}
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix xxxxxxxxxxxxxxx2::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
}
vif 132 {
address 10.132.0.1/16
description "External Managment"
firewall {
in {
name EXTERNAL_MGMT_IN
}
local {
name EXTERNAL_MGMT_LOCAL
}
out {
name EXTERNAL_MGMT_OUT
}
}
mtu 1500
}
}
ethernet eth2 {
description External
duplex auto
firewall {
in {
ipv6-name GUESTv6_IN
name EXTERNAL_IN
}
local {
name EXTERNAL_LOCAL
}
}
poe {
output off
}
speed auto
vif 131 {
address xxxxxxxxxxxxxxx4::1/64
[...]
}
}
}
ethernet eth3 {
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
static {
route6 ::/0 {
next-hop fe80::[link-local de la freebox] {
interface eth0
}
}
}
}
system {
host-name ER6P
name-server 2001:4860:4860::8888
name-server 2001:4860:4860::8844
name-server 212.27.40.240
ntp {
server 0.europe.pool.ntp.org {
prefer
}
server 1.europe.pool.ntp.org {
}
server 2.europe.pool.ntp.org {
}
server 3.europe.pool.ntp.org {
}
server 81.21.65.169 {
prefer
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
pppoe enable
table-size 262144
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
Pour des besoins de tunnels, j'ai ajouté une adresse fixe sur eth0 provenant d'un autre /64 de la freebox, c'est peut-être ça la différence d'importance.
Voici les préfixes délégués de ma freebox :
(https://lafibre.info/remplacer-freebox/ipv6-sur-ubiquiti-edgerouter-8-pro-comment-faire/?action=dlattach;attach=141687)
Car je peux ping en v6 depuis le routeur sans soucis :
~$ ping6 lafibre.info
PING lafibre.info(lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0)) 56 data bytes
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=1 ttl=53 time=11.8 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=2 ttl=53 time=11.4 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=3 ttl=53 time=11.0 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=4 ttl=53 time=11.2 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=5 ttl=53 time=11.6 ms
64 bytes from lafibre.info (2a0b:cbc0:10:1af1:b2e::1f0): icmp_seq=6 ttl=53 time=11.2 ms
^C
--- lafibre.info ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 11.013/11.394/11.843/0.282 ms
-
je viens de tester, ça marche nickel.
Un grand merci !
J'ai un autre souci. Quand je me connecte sur le port 443 de l'IPv4 publique de mon routeur, j'arrive sur l'interface de la freebox :
curl -k https://noisy.makelofine.org/ -v
* Trying 82.65.79.87:443...
* Connected to noisy.makelofine.org (82.65.79.87) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=FR; CN=2gzbxjg1.fbxos.fr
* start date: Oct 11 09:21:36 2023 GMT
* expire date: Jan 9 09:26:36 2024 GMT
* issuer: C=FR; ST=France; O=Freebox SA; CN=Freebox ECC Intermediate CA
* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
> GET / HTTP/1.1
> Host: noisy.makelofine.org
> User-Agent: curl/7.74.0
> Accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Server: nginx
< Date: Thu, 30 Nov 2023 08:40:12 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 0
< Connection: keep-alive
< Location: /login.php
< Expires: Thu, 30 Nov 2023 08:40:11 GMT
< Cache-Control: no-cache
< Cache-Control: must-revalidate,no-store
<
* Connection #0 to host noisy.makelofine.org left intact
Quand je le fais sur le port 80 ca marche nickel
curl -k http://noisy.makelofine.org/ -v
* Trying 82.65.79.87:80...
* Connected to noisy.makelofine.org (82.65.79.87) port 80 (#0)
> GET / HTTP/1.1
> Host: noisy.makelofine.org
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Thu, 30 Nov 2023 08:42:30 GMT
< Server: Apache/2.4.56
< Last-Modified: Mon, 11 May 2020 19:27:32 GMT
< ETag: "29cd-5a56456a4c20f"
< Accept-Ranges: bytes
< Content-Length: 10701
< Vary: Accept-Encoding
< Content-Type: text/html
<
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
Le port 443 en IPv6 est également OK.
Ma freebox est joignable depuis le LAN sur les ports 80 (redirect vers port 443) et 443.
Pour l'accès depuis l'extérieur j'ai mis des ports randoms.
-
Perso j'ai désactivé l'accès distant de la Freebox. Si j'ai besoin de m'y connecter à distance, je le vais via un serveur OpenVPN que j'ai chez moi sur un de mes serveurs. C'est peut-être ça qui intercepte le flux du port 443 avant qu'il passe dans le bridge de la box (c'est le cas pour les ports utilisés par IPsec qu'il faut désactiver dans la Freebox pour monter un tunnel derrière en bridge)
-
Je ne trouve pas l'option pour désactiver l'accès distant.
Si je supprime les ports (1337 et 1338, rien à voir avec 443 donc), ca se remet automatiquement.
J'ai désactivé l'accès invités, l'association des nouvelles applications, toujours la même chose.
Ce qui est étrange, c'est que si j'active l'accès sur des ports distants, ca ne fonctionne pas sur ces nouveaux ports (HTTP comme HTTPS). J'ai l'impression qu'elle ne prend pas mes réglages en compte.
Je vais lui mettre un reboot d'usine pour lui apprendre la politesse, ensuite on verra si ca retombe en marche ;)
je fais un retour sur le résultat dès que j'ai la permission de couper le net
-
Je ne trouve pas l'option pour désactiver l'accès distant.
Si j'en crois la description de l'option, c'est cette case qu'il faut décocher :
-
Bonjour,
j'ai désactivé cette option, ca ne change rien. Malgré un reset factory.
-
Alors nouvel essai : remise à zéro de la freebox. j'ai ensuite configuré le port d'admin distant sur un port aléatoire.
rechargement de ma config sur la freebox -> maintenant ca marche, le port 443 en IPv4 arrive bien sur mon routeur EdgeRouter-X, puis sur la bonne machine du réseau...
Merci pour votre aide très précieuse !