Dommage pour ICMP, mais c'est bon à savoir que ça fonctionne pour MAP-E juste avec les règles de NAT !  Le module de Jool ne sert donc que pour la translation qui est plus complexe à faire.

Donc, même un ping initié depuis le routeur ne marche pas ? Car de l'extérieur c'est sûr que c'est impossible, vu qu'il n'y a pas de port à spécifier. Et avec la freebox ça marchait pas non plus ?

Sur mon lab de test, ICMP fonctionne correctement, c'est quand même bizarre que free n'ai rien implémenté, car il me semble que c'est une obligation de la norme.

pour préciser, avec la box et une ip partagé, un ping vers l'extérieur passe bien sûr

Ok cela semble normal. Donc la box fait quelque chose de probablement spécifique pour l'ICMP. Il faudrait regarder quoi exactement en sortie d'une box avec IP partagée.

Le problème c'est que dans le cas de Free c'est un NAT opérateur spécial avec mappage de ports et partage d'IP publique entre clients, je ne pense pas que cela corresponde à une norme et donc je pense qu'ils font quelque chose de spécial pour l'ICMP.

Je me suis demandé d'ailleurs comment reproduire ça sur une maquette en interne. Cela semble compliqué.

Je trouvais bizarre que Free n'ai pas implémenté tout un pan de la norme.

En réalité je ne pense pas que Free ait implémenté du code pour traiter le MAP-E. Ils utilisent probablement des routeurs haut de gamme de chez Cisco (ASR 9000 ?) ou Juniper qui sont capables de délivrer du MAP-E simplement à partir de quelques lignes de configuration.

Habituellement le NAT opérateur se fait avec des adresses IP privées non partagées, sur une classe d'adresse spécifique pour les clients, normalement dans la classe 100.64.0.0/10. Ensuite ces adresses sont nattées de façon classique avec si possible un ratio nombre d'IP publiques / nombre d'IP privées < 10. Pour ce CGNAT 444 classique, les règles de firewall sont standards, et l'ICMP passe sans problème.

Pour moi le but était d'avoir une configuration full stack sur Mikrotik, donc à ce niveau ça fonctionne complètement. L'adresse IP partagée est plus une curiosité, il manque donc juste le support du ping.

Sinon pour ceux que cela intéresse, le résultat du test CGN en IPv4 sur IP partagée, pour 2048 connections. Les points oranges ou rouges montrent les ports sources utilisés plus d'une fois. Le taux de réutilisation est de 5% dans ce cas. Au dessus le mappage en 2D, en dessous l'histogramme de répartition :

Hello,

Ayé! Installation faite. J'ai pris l'offre révolution light. Elle est livrée avec l'ONU V1. Je suis à Paris.
Donc j'ai suivi les étapes, et tout fonctionne, y compris au redémarrage de l'ensemble.
Encore un petit truc, pour l'instant mon IP vu de l'extérieure est celle obtenue en DHCP donc hors du préfix affecté.

Je constate effectivement une baisse de performance. D'ailleurs avez-vous un test de débit en full ipv6 car j'utilise speedtest en cli qui ne fait que de l'IPv4.

En tous cas, merci de ce partage.

Oui il n'y a pas besoin d'IPv6 globale sur le routeur, le routage se fait depuis son adresse IPv6 link local. Les IPv6 globales servent uniquement pour l'établissement des tunnels IPIPv6. Donc en IPv6 cela fonctionne sans IPv6 globale sur le WAN.

Il y a une petite perte de performance par rapport à la Freebox, mais assez faible, avec un RB5009.

Pour les tests de perf en IPv6, il y a ça par exemple, mais les résultats sont en dessous de la réalité pour moi :

https://ipv6-test.com/speedtest/

Ces tests dépendent beaucoup de la qualité des peering inter opérateurs, de l'heure de la journée, du nombre de sauts, ce n'est pas très fiable.

En IPV6 pur la vitesse évidemment est un peu meilleure, parce que le tunnel IPIPv6 n'est pas utilisé. Avec ce test j'obtiens moins qu'en IPv4, ce qui est impossible.

Actullement en IPv4 j'ai 870 mb/s down et 680 mb/s up sur degrouptest.

Il n'y a pas besoin d'adresses IPv6 globale sur le routeur, hormis celles nécessaires pour établir le ou les tunnels IPIPv6 pour obtenir de l'IPv4. Le routage vers le WAN se fait avec les adresses link-local en FE80.

Sauf éventuellement pour joindre le routeur depuis l'extérieur en IPv6. Auquel cas un pointeur DNS AAAA sur l'adresse du tunnel IPIPv6 ou sur cette adresse obtenue en DHCPv6 est encore plus simple que la première adresse du /60 qui peut alors être utilisée coté LAN.

Dans l'absolu, si IPv4 n'est pas utilisé, il n'y a besoin d'aucune IPv6 globale sur le routeur, sauf une par interface LAN pour le ND dynamique. Et encore, il est possible de supprimer les adresses IPv6 globales sur les interfaces LAN du routeur, auquel cas il faut juste ajouter dans le ND un préfixe statique par interface LAN en décochant l'option "On Link" (vérifié).

L'IPv6 source "de navigation" est celle du PC utilisé, sauf si vous configurez un NAT IPv6.

Pour éviter d'obtenir cette adresse hors du prefix /60 lors de la requête DHCP IPv6, il est tout simplement possible de demander le prefix, au lieu de demander une adresse au niveau du client DHCPv6. C'est suffisant pour activer la connectivité. Auquel cas cette adresse hors /60 n'existera tout simplement pas.