Auteur Sujet: FREE IPV6 sur Ubiquiti Edgerouter-8 Pro... la solution (Lu 51571 fois)

nanostra · « **Réponse #12 le:** 17 novembre 2016 à 12:38:52 »

Encore merci, tout fonctionne nickel.

J'ai mis à jour mon premier message sous forme de TUTO, cela reprend tous nos échanges, vraiment content que cela fonctionne.

kgersen · « **Réponse #13 le:** 17 novembre 2016 à 13:36:03 »

si on veut etre complet il manque RDNSS ou éventuellement un "stateless DHCPv6 server" en complement.

par exemple pour mettre les DNS Ipv6 de Google:

Code: [Sélectionner]

set interfaces ethernet eth7 ipv6 router-advert radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
on peut aussi mettre l'IPv6 LAN (la link-local d'Eth7 ou la public) du routeur si celui fait serveur DNS.

Pour activer un "stateless DHCPv6 server" c'est une autre histoire je ne sais pas si ca fonctionne correctement avec un ER.

nanostra · « **Réponse #14 le:** 17 novembre 2016 à 13:46:07 »

Re,

Effectivement, pourquoi pas ajouter DNS google...
1/ DNS
Sinon, sans préciser de DNS... uniquement avec la config décrite dans le premier message, tout semble fonctionner...
Du coup je me demande ce qui est utilisé comme DNS puisque je n'en ai précisé aucun dans la config... et par quel mystère cela fonctionne.

2/ DHCP
Idem je n'ai précisé aucun serveur DHCP IPV6, pourtant mes devices obtiennent bien une IP en automatique... test réalisé avec iPhone et MBP...

Exemple de mon MBP...
Routeur : fe80::26a4:3cff:fe3c:3de7
+2 IP

3/ Autre question...

Pour mon Vlan 7.10 (GUEST), puis-je affecter une adresse ::2 dans la plage attribuée par la Freebox et utilisé le même préfixe que pour l'eth7

Précision, le VLAN 7.10 est envoyé au SWITCH et ne sert que pour le WiFi sur un UAP-AC sur lequel j'ai affecté le VLAN10 pour le SSID GUEST.

Code: [Sélectionner]

# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox
set interfaces ethernet eth7.10 address 2a01:e0a:d:a559::2/64

# 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox
set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a559::/64

+appliquer FIREWALL out

Code: [Sélectionner]

set interfaces ethernet eth7.10 firewall out ipv6-name wan_local-6

kgersen · « **Réponse #15 le:** 17 novembre 2016 à 14:26:37 »

Citation de: nanostra le 17 novembre 2016 à 13:46:07

Sinon, sans préciser de DNS... uniquement avec la config décrite dans le premier message, tout semble fonctionner...
Du coup je me demande ce qui est utilisé comme DNS puisque je n'en ai précisé aucun dans la config... et par quel mystère cela fonctionne.

c'est le DNS IPv4 qui est utilisé.

DNS est un service au dessus d'IP comme n'importe quel autre (http, ftp, etc). Quand on fait une requete dns, le systeme regarde les serveurs qui sont configurés et les interroge dans l'ordre. Dans le cas d'une machine avec IPv4 et IPv6 si IPv6 n'a pas configuré de DNS la requete DNS se fait en IPv4 (si c'est configuré bien sur). En fait c'est comme tout, si IPv6 est la il est prioritaire sinon c'est IPv4.

En pratique ca ne gene pas d'avoir le (ou les) serveur DNS en IPv4 si celui-ci est 'complet' au niveau de sa résolution c'est a dire s'il peut joindre d'autres serveurs qui ne sont qu'IPv6. http://ipv6-test.com/ permet de voir cela dans la partie "dns"

Citation de: nanostra le 17 novembre 2016 à 13:46:07

Autre question...

Pour mon Vlan 7.10 (GUEST), puis-je affecter une adresse ::2 dans la plage attribuée par la Freebox et utilisé le même préfixe que pour l'eth7

Code: [Sélectionner]
# 2a01:e0a:d:a660::1/64 ==> Attribution d'une IPV6 (ici la ::1) dans la plage attribuée par la Freebox set interfaces ethernet eth7.10 address 2a01:e0a:d:a559::2/64 # 2a01:e0a:d:a660::/64 ==> Préfixe attribué par Freebox set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a559::/64
+appliquer FIREWALL out

Code: [Sélectionner]
set interfaces ethernet eth7.10 firewall out ipv6-name wan_local-6

un vlan est un réseau a part . tu ne peut éclaté un /64 sur plusieurs réseau. Mais la Freebox permet de gerer plusieurs /64. Dans son interface tu renseigne le 'next-hop' du 2eme réseau vers la meme IP (celle d'eth1 de l'ER).

Comme ca les 2 réseaux /64 iront vers l'ER et c'est lui qui routera le 1er sur eth7 et le 2eme sur eth7.10.

Ensuite il suffit de configurer eth7.10 avec le 2eme /64 (1ere ip finissant par 1 par exemple) comme ca été fait avec eth7 et mettre le bon router-advert prefix.

en principe ton 2eme /64 dispo suit juste apres le 1er donc ca serait : 2a01:e0a:d:a55a::/64
ce qui donne:
set interfaces ethernet eth7.10 address 2a01:e0a:d:a55a::1/64 set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a55a::/64

pour le fw tu peut reprendre le meme ou un autre si tu peux plus de sécurité ou carrement aucun si tu veux que 'guest' soit 100% open sur Internet.

En l'état, le réseau local (eth7) est protégé de guest car un flux venant de guest est comme un flux venant d'internet (le firewall etant en out de eth7 ca concerne donc aussi le traffic qui vient de guest).

Nh3xus · « **Réponse #16 le:** 17 novembre 2016 à 14:39:26 »

J'en profite pour rappeler que si jamais tu utilises Windows, il ne prends pas en charge les annonces RDNSS.

Il faut utiliser du DHCPv6 stateless à la place.

Ou bien faire ce que tu fais actuellement, confier tes requêtes de résolution d'enregistrements AAAA à tes DNS ipv4.

nanostra · « **Réponse #17 le:** 17 novembre 2016 à 14:46:13 »

Citer

set interfaces ethernet eth7.10 address 2a01:e0a:d:a55a::1/64
set interfaces ethernet eth7.10 ipv6 router-advert prefix 2a01:e0a:d:a55a::/64

Petite boulette dans la syntaxe

Code: [Sélectionner]

#LAN GUEST
set interfaces ethernet eth7 vif 10 address 2a01:e0a:d:a55a::1/64
set interfaces ethernet eth7 vif 10 ipv6 router-advert prefix 2a01:e0a:d:a55a::/64

nanostra · « **Réponse #18 le:** 17 novembre 2016 à 15:26:07 »

J'ai configuré côté Freebox et effectué les différente conf est c'est également OK pour mon VLAN 7.10 GUEST...

J'ai également des machines sous Windows... après test cela passe en IPV6 mais effectivement, je n'ai pas les serveurs DNS IPV6 de google dans la configuration réseau... c'est donc les DNS IPV4 qui doivent être utilisés..

D'ou ma question... comment configuer un DHCP stateless sir eth7 et eth7.1...

Ouh là... le sujet est très confus sur les différents sites... frustrant

kgersen · « **Réponse #19 le:** 17 novembre 2016 à 16:41:02 »

Citation de: nanostra le 17 novembre 2016 à 15:26:07

D'ou ma question... comment configuer un DHCP stateless sir eth7 et eth7.1...

Actuellement avec l'ERL c'est pas logique/simple à faire car pas trop prévu...mais y'a une méthode qui marche:

par exemple avec les DNS Google:

Code: [Sélectionner]

set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6 subnet <ipv6 link-local d'eth7>/128
set service dhcpv6-server shared-network-name lanv6 subnet <ipv6 link-local d'eth7.10>/128

Le 'trick' c'est d'utiliser la link-local en /128 pour le subnet DHCP et ca devient stateless (curieux mais ca marche).

la j'ai mis les 2 lan dans le meme mais tu peux en faire 2 différents un pour chaque , suffit de mettre 2 noms différents:

par exemple:
pour le lan le serveur DNS sera l'ER lui-meme
pour le guest ce sera les serveurs DNS de Google

Code: [Sélectionner]

set service dhcpv6-server shared-network-name lanv6 name-server <ipv6 linklocal eth7>
set service dhcpv6-server shared-network-name lanv6 subnet <ipv6 linklocal eth7>/128

set service dhcpv6-server shared-network-name guestv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name guestv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name guestv6 subnet <ipv6 linklocal eth7.10>/128

il est recommandé de synchroniser les config RDNSS et name-server DHCPv6 car Windows n'utilise pas RDNSS et Android n'utilise pas DHCPv6...ca evite d'avoir des postes avec des configs DNS différentes (pas forcement un probleme mais bon autant l'éviter).

kgersen · « **Réponse #20 le:** 17 novembre 2016 à 17:17:49 »

un dernier point:

il est souvent pénible et peu portable (changement de matériel) d'utiliser les adresses link-local car elles sont générées automatiquement et change en fonction du hardware.
Toutefois rien n'empeche d'ajouter un 2eme link-local a une interface:

par exemple:

Code: [Sélectionner]

set interfaces ethernet eth1 address fe80::1/64
et dans la freebox on met "fe80::1" dans next-hop plutot que la link-local réelle d'eth1. Comme ca si on change ou remplace l'ER on a pas besoin de reconfigurer la freebox.

Idem pour les configs des DNS (RDNSS ou/et name-server). Plutot que referencer l'ER lui-meme avec son ou ses link-local, on peut ajouter des link-local en plus et les utiliser a la place.

Code: [Sélectionner]

set interfaces ethernet eth7 address fe80::7:1/64
j'ai pris 7:1 c'est complètement arbitraire et pour être plus 'parlant'.

et utiliser fe80::7:1 comme valeur pour name-server.

nanostra · « **Réponse #21 le:** 17 novembre 2016 à 17:18:05 »

J'ai essayé ta proposition, mais cela ne semble pas fonctionner... dans l'ifconfig les "Link" sont identiques en eth7 et eth7.1...

Code: [Sélectionner]

root@ubnt:~# ifconfig
eth1      Link encap:Ethernet  HWaddr 24:a4:3c:3c:3d:e1  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::26a4:3cff:fe3c:3de1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41610 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35240 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:29590214 (28.2 MiB)  TX bytes:5623338 (5.3 MiB)

eth7      Link encap:Ethernet  HWaddr 24:a4:3c:3c:3d:e7  
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
          inet6 addr: 2a01:e0a:d:a660::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:51831 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58789 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:8227478 (7.8 MiB)  TX bytes:45756180 (43.6 MiB)

eth7.10   Link encap:Ethernet  HWaddr 24:a4:3c:3c:3d:e7  
          inet addr:192.168.50.1  Bcast:192.168.50.255  Mask:255.255.255.0
          inet6 addr: fe80::26a4:3cff:fe3c:3de7/64 Scope:Link
          inet6 addr: 2a01:e0a:d:a661::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1494 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:674328 (658.5 KiB)

Du coup j'ai essayé cela... mais toujours pas de DNS IPV6 sur Windows 10

Code: [Sélectionner]

set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8888
set service dhcpv6-server shared-network-name lanv6 name-server 2001:4860:4860::8844
set service dhcpv6-server shared-network-name lanv6 subnet fe80::26a4:3cff:fe3c:3de7/128

kgersen · « **Réponse #22 le:** 17 novembre 2016 à 17:53:28 »

oui il ne faut pas mettre d'ip global (2001..) dans le subnet dhcp.

c'est bien "fe80::26a4:3cff:fe3c:3de7/128" qu'il faut mettre.

attention il faut bien préciser aux machines du LAN de faire une requete DHCPv6 pour obtenir les DNS et autres, pour ca on met le 'other config flag' a true dans le RA:

Code: [Sélectionner]

set interfaces ethernet eth7 ipv6 router-advert other-config-flag true(et la meme pour vif 10)

si ca ne marche toujous et comme le vlan 10 a aussi la meme link-local c'est peut-etre ca qui pose probleme.

fait:

Code: [Sélectionner]

set interfaces ethernet eth7 address fe80::7/64
et

met fe80::7/128 dans le subnet dhcpv6:

Code: [Sélectionner]

set service dhcpv6-server shared-network-name lanv6 subnet fe80::7/128

apres c'est un 'trick', chez moi ca marche avec un PC sous Linux, il recoit bien les DNS via DHCPv6 comme ca. Je n'ai pas testé avec Windows.

nanostra · « **Réponse #23 le:** 17 novembre 2016 à 18:16:29 »

Et bien, quelle aventure...

Je vais essayer tes autres propositions... pour le moment, j'ai ça sur le PC en faisant un ipconfig /all

Carte Ethernet Ethernet :

Code: [Sélectionner]

   Suffixe DNS propre à la connexion. . . : FD-HOME
   Description. . . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I218-V
   Adresse physique . . . . . . . . . . . : F8-32-E4-72-60-A9
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv6. . . . . . . . . . . . . .: 2a01:e0a:d:a660:c472:6a6:c91f:e7db(préféré)
   Adresse IPv6 temporaire . . . . . . . .: 2a01:e0a:d:a660:8cfd:63c9:16c4:c0dd(préféré)
   Adresse IPv6 de liaison locale. . . . .: fe80::c472:6a6:c91f:e7db%2(préféré)
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.10.140(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : jeudi 17 novembre 2016 18:10:24
   Bail expirant. . . . . . . . . . . . . : vendredi 18 novembre 2016 18:10:24
   Passerelle par défaut. . . . . . . . . : fe80::26a4:3cff:fe3c:3de7%2
                                       192.168.10.1
   Serveur DHCP . . . . . . . . . . . . . : 192.168.10.1
   IAID DHCPv6 . . . . . . . . . . . : 49820388
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1E-A7-44-18-F8-32-E4-72-60-A9
   Serveurs DNS. . .  . . . . . . . . . . : 8.8.4.4
                                       8.8.8.8
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé