Hello Mikrotik,

Dans mon cas, si le client DHCP ne demande pas d'adresse, mais seulement un préfixe, ça ne fonctionne pas (au redémarrage de l'ONU, d'ailleurs, n'était-ce pas ton soucis?). Pas de flux internet, d'où ma suppression a posteriori parce que je trouve ça très moche. Sans avoir investigué, j'imagine que c'est l'architecture EPON qui le nécessite.

Effectivement, je NAT pour 2 raisons, un bonne et une mauvaise.
La mauvaise, parce que j'en suis encore à préférer esthétiquement une IP pour ma connexion (je ne donne pas mon âge, mais il faut y aller doux sur le passage à l'IP V6)
La bonne, j'utilise un service SaaS qui ne me permet d'autoriser que 3 IPs....pas de plage, enfin si, mais beaucoup plus cher.

Là j'ai une config qui me convient et assez dynamique, je pense que je vais même pousser mon script pour affecter les ip statiques des interfaces et tunnel en fonction du préfixe au cas ou il change un jour (aucune idée de si cela peut arriver.) Du coup, ce sera full dynamique sur la partie IPV6.

A ta connaissance, est-ce que quelqu'un à trouvé comment enter dans l'ONU? J'aimerais monitorer 2-3 métriques.

Il faudrait vérifier la route DHCPv6 par défaut qui monte en dynamique par le client DHCPv6. Il y a un bug dans RouterOS si on demande d'ajouter une route par défaut, selon les circonstances elle peut ne pas contenir l'adresse de passerelle en fe80. Auquel cas, il faut désactiver l'ajout de la route par défaut par le client DHCPv6, et l'ajouter manuellement en statique.

Pour l'ONU non pas à ma connaissance. Je suppose que l'accès est standard en telnet ou SSH comme pour les SFP intelligents, mais avec un login par mot de passe.

...

Du coup, la distrib des ipv6 publiques se fait automatiquement. Juste intéressant si vous publiez des ressources.

Des IPv6 publiques ne sont pas réellement distribuées. C'est la distribution des préfixes qui se fait automatiquement. Ensuite les adresses sont forgées sur les périphériques (par SLAAC : configuration automatique d'adresse sans état) à partir du préfixe distribué sur chaque sous-réseau par NDP (neighbour discovery protocol ou protocole de découverte d'hôtes voisins). RA (Router Advertisement) est un des mécanismes de NDP, utilisant ICMPv6.

Pour distribuer des IPv6 complètes, il faut un serveur DHCPv6. Solution rarement utilisée pour la distribution d'adresses. Mais utilisée par Free pour une des adresses IPv6 globale de la FreeBOX. Le serveur DHCPv6 Free délivre d’ailleurs aussi l'adresse IPv6 source du tunnel MAP-E (IPIPv6) pour l'adresse IPv4 partagée, ainsi que l'adresse du border router destination, à travers les options softwire46.

Pas facile de s'y retrouver en IPv6 entre NDP et DHCPv6. Surtout que les deux protocoles ont des fonctions qui peuvent se chevaucher : leur utilisation simultanée nécessite donc l'ajout de drapeaux sur le serveur ND :

- "Other Configuration" pour indiquer que les voisins peuvent utiliser un serveur DHCPv6 pour obtenir les adresses DNS et nom de domaine
- "Managed Address Configuration" pour indiquer que les voisins doivent récupérer leur adresse IPv6 sur un serveur DHCP, et non pas les forger eux même.

On a bien ces deux drapeaux à 1 sur les RA en provenance de Free, donc ils indiquent qu'il faut récupérer les adresses DNS et une adresse IPv6 globale en DHCPv6.

Le Router Advertisement de Free annonce un préfixe en /80, il est donc différent du /60 attribué à chaque client. Ce /80 englobe l'adresse délivrée par DHCPv6, adresse qui n'est donc pas dans le /60. Elle sert probablement au management de la Freebox. Elle est joignable publiquement.

Le préfixe /60 est lui attribué par DHCPv6. 

Des IPv6 publiques ne sont pas réellement distribuées. C'est la distribution des préfixes qui se fait automatiquement. Ensuite les adresses sont forgées sur les périphériques (par SLAAC : configuration automatique d'adresse sans état) à partir du préfixe distribué sur chaque sous-réseau par NDP (neighbour discovery protocol ou protocole de découverte d'hôtes voisins). RA (Router Advertisement) est un des mécanismes de NDP, utilisant ICMPv6.

Pas de débat de puriste ou de sémantique, le fait est que de la sorte, chaque équipement se voit pourvu d'une ip v6 routable sur le n'internet qui est, me semble-t-il, un des piliers de l'IP V6, plus de NAT ou de PAT nécessaire, juste du routage et du firewalling, donc un internet vachement plus performant

J'ai un peu de mal avec le concept du DHCP v6 sur mikrotik ou IPv6 tout court. Je me suis ajouté la distrib d'IP en fc00::/7 pour le routage entre mes 2 sites. Ca fonctionne, mais pas aussi souple que ce que j'aurais souhaité. Je voulais ditribuer un /122...genre fdd1::/122. Jamais réussi. Du coup à part mes routeurs, je n'ai pas d'IPv6 mémorisable. Je sais, je reste old school.

Sinon pour les adresses IPv6 unique local, le bloc ULA, (adresses non routables sur Internet), l'équivalent des IP privées en IPv4, le préfixe est FD00::/8 car le bit 8 est toujours à 1 : 11111101. Le préfixe fc00::/8 n'est pas alloué actuellement.

Je ne vois pas trop l'intérêt d'utiliser cela en interne, sauf peut être à vouloir reproduire le schéma IPv4 avec du NAT66, et se retrouver avec tous les problèmes induits par le NAT. Pour certains, ULA = Useless Local Addresses 

Bon, on sort du sujet, je voulais dire fc00::/7 dont le fd00::/8 que j'utilise.
L'intérêt existe bien pour des réseaux privés, car routable (mais pas sur internet). Dans mon cas je connecte mes deux sites en VPN.

Ensuite il y a la norme...et la norme. En IPV4, la notion de classe a été totalement bypassé sur les réseaux privés et ne pose aucune difficulé à proposer des "petit" network genre des 10.x.x.x/25.
J'aurai imaginé faire la même chose en ipV6 pour mon petit confort personnel.
Mais j'ai bien compris qu'en IPV6 nous étions si riches que pas besoin de compter les centimes, on donne et on donne large.
Un DHCP qui me distribue un /122 voire un /123 me botterait bien.

Chez Orange par exemple, le préfixe alloué peut changer. Je fais de l'autohébergement. Si je n'annonce que des GUA et que le préfixe change, mes enregistrements DNS internes sont aux fraises puisqu'ils pointent sur les anciennes GUA. Donc j'annonce en pratique 2 préfixes: Le GUA obtenu chez Orange et un ULA qui ne changera jamais. Mes enregistrements DNS internes pointent sur les ULA. Un problème en moins.

Je viens de laisser mon abo orange pour Free et jamais en 5 ans mon préfixe n'a changé. Même l'IPV4 est devenu "fixe" il y a environ 1 an tandis qu'elle changeait à chaque renouvellement du bail avant.
Néanmois, et je continue avec Free, bien que tout laisse penser que nous sommes en "IPs Fixes", je ne considère jamais rien pour acquis d'autant que ce n'est pas contractuel versus les offres pro/entreprise.
Donc, je mets à jour mes entrées DNS en cas de changement via un script depuis le routeur en utilisant l'API de CLoudflare.
J'utilise également Wireguard pour mes 2 sites et 1 roadwarrior que je suis. Je n'ai pas compris ton point d'adresse hardcodé. J'utilise et j'affecte des adresses dans la plage fd00::/8.
Et parce que je suis toujours frileux, je ne permets que mes IPs de se connecter en wireguard avec les listes dans les FW IPv4 et 6 tout ça en dynamique avec des scripts et cloudflare. Pour mon iPhone et mon Mac j'utilise Shortcuts pour mettre à jours les entrées dans la zone DNS qu'utilise le script Mikrotik pour mettre à jour ses listes.

 

Quelqu'un à t'il essayé le DNS sur HTTPs (DoH) avec Cloudfare ? Problèmes très fréquents de connectivité chez moi, comme si leur serveur était surchargé.

Nope.
Je ne sais pas si c'est la même infra que pour leur API du CDN, mais celle-ci fonctionne à merveille. De toute façon, jamais rien ne sera aussi rapide qu'une requête DNS.

Je viens d'implémenter la solution de ZTNA de CloudFlare via container de Mikrotik, ça fonctionne très bien pour accéder à mes ressources avec le l'authent SAML de Google, et je vais regarder pour passer les requetes DNS dans ce tunnel plutôt que sur internet mais en restant sur du DNS classique.

Me concernant sur le sujet des adresses privées, je ne fais pas de NAT mais bien que du routage (mon seul usage du NAT est pour la navigation internet). Je ne vois pas bien comment tu imagines faire autrement. pour faire simple 3 types d'IP,

- les FE80 non routable
- toutes celles dites publiques routables sur internet (j'aimerais bien trouver un référentiel à qui sont affactés les préfixes)
- et les FC00::/7 dont le FD00::/8 pour justement router des flux entre réseaux privés

Je ne suis probablement pas un expert mais j'ai quand même tenté de lire les RFC afférentes à l'IPV6 et c'est ce que j'en retiens.