Auteur Sujet: DNS Orange persitants en IPV6 (Lu 1971 fois)

Probzx · « **le:** 16 avril 2025 à 20:40:36 »

Bonjour,

J'ai remplacé ma box Orange par un routeur Mikrotik RB5009 avec Ipv4 et Ipv6 en configuration internet seulement car je n'ai pas besoin du téléphone ni de la TV.

Ma configuration est fonctionnelle avec un bridge wan, un bridge lan et 3 vlan (lan, serveur, dmz).
J'ai deux serveurs adguard en tant que dns principal et secondaire fonctionnels en Ipv4 et je leur ai également attribué une Ipv6 pour filtrer toutes les requêtes.
J'ai renseigné ces deux serveurs en tant que DNS dans IPV6 > ND > Mon interface (all dans mon cas).

Ils remontent bien dans ma configuration MAIS les DNS d'Orange aussi, ils sont apparemment prioritaire et mes requêtes ne sont plus filtrés, mon Adguard est bypassé.
Si je fixe les DNS en dur dans la configuration de mon PC pas de soucis mais je veux que ce soit automatique.

Un ipconfig /all montre donc 4 dns en ipv6 :

Serveurs DNS. . . . . . . . . . . . . : 2a01:cfc4:2000:2::12
2a01:cfc4:2000:4::5
192.168.30.250
192.168.30.251
2a01:cb0c:8d8f:2601::250
2a01:cb0c:8d8f:2601::251

Dans mon DHCPv6 client j'ai désactivé "use peer dns".
Dans ND > Interface j'ai activé "Advertise DNS" et "Other configuration".

Pas de changement malheureusement.

Avez-vous des idées sur ce qui pourrait causer l'auto-configuration des dns Orange ?

didix · « **Réponse #1 le:** 16 avril 2025 à 21:50:30 »

bonjour,

j'avais également eu un peu de mal à configurer le dns de mon Pihole pour qu'il soit pris en compte dans Windows. Android pas eu de problème, il prend celui que tu as mis dans le ND.
Tu dois rajouter un serveur DHCPv6 et configurer l'option 23 avec ton adresse dnsv6.

De mon coté, je n'ai pas de DNS d'orange sur le client DHCPv6, bizarre que tu arrives à en avoir.

Deuxième chose que tu peux faire, sur ton firewall ipv6, tu peux forcer la redirection de tout le flux à destination du port 53 vers ton DNS ipv6. (même règle que tu peux faire en ipv4)
une simple règle dstnat du flux sortant vers le port 53 redirigé vers l'ipv6 de ton serveur.
Attention à bien exclure l'ip de ton serveur DNS si non tu vas faire un bouclage et ton serveur ne pourra plus sortir

Code: [Sélectionner]

/ipv6 dhcp-server option
add code=23 name=dns value="'2a01:XXXX:XXXX:XXXX::2'"

/ipv6 dhcp-server
add address-pool=pool_FT_6 dhcp-option=dns interface=sfp-sfpplus12-LAN name=\
    DHCPv6 prefix-pool=pool_FT_6 route-distance=5
    
/ipv6 firewall nat
add action=dst-nat chain=dstnat dst-port=53 in-interface=sfp-sfpplus12-LAN \
    log=yes log-prefix=DNS_TCP_to_local_IPV6 protocol=udp src-address-list=\
    !Pi-Hole-exclusion src-mac-address=!BC:XX:XX:XX:XX:XX to-address=\
    2a01:XXXX:XXXX:XXXX::2/128 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 in-interface=sfp-sfpplus12-LAN \
    log=yes log-prefix=DNS_UDP_to_local_IPV6 protocol=tcp src-address-list=\
    !Pi-Hole-exclusion src-mac-address=!BC:XX:XX:XX:XX:XX to-address=\
    2a01:XXXX:XXXX:XXXX::2/128 to-ports=53

renaud07 · « **Réponse #2 le:** 17 avril 2025 à 01:17:21 »

Plus besoin de DHCPv6. Windows récupère désormais les DNS dans les RA en plus du DHCP (sinon y'aurait pas de DNS v6 listé).

Le principal soucis c'est bien que le réglage peer DNS semble ignoré.

nicox11 · « **Réponse #3 le:** 18 avril 2025 à 12:12:11 »

Tu as peut-être laissé le fait d'accepter les router advertisements d'orange ? Vu qu'Orange doit t'envoyer ses serveurs DNS dans son RA, si tu les aceptes je pense que le mikrotik les repropage en interne.

Je dirais qu'il faut désactiver si c'est pas déjà fait :

Code: [Sélectionner]

/ipv6 settings set accept-router-advertisements=no

Fyr · « **Réponse #4 le:** 18 avril 2025 à 12:48:06 »

Citation de: renaud07 le 17 avril 2025 à 01:17:21

Plus besoin de DHCPv6. Windows récupère désormais les DNS dans les RA en plus du DHCP (sinon y'aurait pas de DNS v6 listé).

Le principal soucis c'est bien que le réglage peer DNS semble ignoré.

Les RA d'Orange c'est sur la patte WAN. Aucune chance que le Windows, sur le LAN, les voit

Et si vous rejetez les RA d'Orange bah votre routage IPv6 a de grande chance de s'arrêter.

Pour les virer il faut un renew DHCPv6 côté WAN. Et un renew/clear sur le windows parce que ça peut garder les infos TRÈS longtemps

Je suis aussi en RB5009 avec 'use peer dns' coupé côté WAN et zéro fuite sur le LAN des RA de Free, en plus c'est toujours en link local en fe80::/10 et donc non routable. Je n'utilise PAS de server DHCPv6 sur le LAN, juste du SLAAC et RA pour les DNS

Dans l'interface grqphique IPv6 , ND, Bridge et là le serveur DNS ipv6 et advertise DNS sur ON

renaud07 · « **Réponse #5 le:** 18 avril 2025 à 18:21:33 »

Citation de: Fyr le 18 avril 2025 à 12:48:06

Les RA d'Orange c'est sur la patte WAN. Aucune chance que le Windows, sur le LAN, les voit

Je parle bien des RA du routeur, pas ceux d'orange.

Citation de: Fyr le 18 avril 2025 à 12:48:06

Et si vous rejetez les RA d'Orange bah votre routage IPv6 a de grande chance de s'arrêter.

Ça c'est sûr.

Citation de: Fyr le 18 avril 2025 à 12:48:06

Je suis aussi en RB5009 avec 'use peer dns' coupé côté WAN et zéro fuite sur le LAN des RA de Free, en plus c'est toujours en link local en fe80::/10 et donc non routable. Je n'utilise PAS de server DHCPv6 sur le LAN, juste du SLAAC et RA pour les DNS

Dans l'interface grqphique IPv6 , ND, Bridge et là le serveur DNS ipv6 et advertise DNS sur ON

C'est exactement ce que j'ai voulu dire.

Probzx · « **Réponse #6 le:** 18 avril 2025 à 18:41:30 »

J'ai fais plusieurs essai et je pense que le /release /renew et le flush dns n'a pas eu l'effet escompté.
J'ai réactivé RA (que j'avais enlevé pour faire un test), bien désactivé le "use peer dns" sur le bridge wan dhcp-client et j'ai bien mes deux adguard en serveur DNS.
Aucun serveur DHCPv6, uniquement le SLAAC et RA.

Mon problème venait également au niveau de la configuration de mes adguard / unbound donc j'ai fini par leur attribué deux adresses ipv6 à chacun, une publique et une adresse ULA que je peux configurer en dur sans craindre un changement.

J'ai une configuration fonctionnelle avec uniquement les DNS correspondant à mon ip publique ipv4 et les adresses ipv6 de mon unbound principal et secondaire lorsque je fais des tests dns, et aucun autre donc ça semble marcher correctement.

J'en profite pour vous poser une question concernant l'ipv6 que je ne maitrise pas du tout. Pour avoir deux ipv6 fonctionnelle sur mes serveurs j'ai du désactiver le RA dans sysctl.conf pour éviter d'avoir une route poussé automatiquement sur mon ipv6 ULA qui m'empêchait notamment de pinger à l'extérieur.

Actuellement en interne j'utilise des ipv6 ULA sur les DNS (ip adguard) et en écoute sur unbound, je parviens à joindre ces IP depuis mes PC sans avoir d'ipv6 ULA configurée.
D'après quelques recherche l'idéal serait d'attribuer une ipv6 ULA également à mes clients mais je sèche un peu sur la manière de faire. Si vous avez des conseils je suis preneur.

renaud07 · « **Réponse #7 le:** 18 avril 2025 à 19:20:20 »

Pour avoir des ULA sur tes clients, il faut faire annoncer un préfixe ULA (celui que tu veux) par ton mikrotik, pas plus compliqué que ça.

Et dans ce cas, pas besoin de fixer les adresses, juste mettre un token (le suffixe) et les hôtes se chargent de configurer le préfixe tous seuls via le SLAAC. Ça permet d'avoir toutes les adresses configurées de la même manière et c'est beaucoup plus pratique en cas de changement de GUA, tout se reconfigure automatiquement.

Mastah · « **Réponse #8 le:** 19 avril 2025 à 11:50:39 »

Je poste des config Debian qui pourront peut-être t'aider un peu : info ici et là

Config DHCP et RADVD

Pour info j'ai chez moi un dual stack DHCP + SLAAC (un subnet en DHCP et un subnet en SLAAC)

Probzx · « **Réponse #9 le:** 28 avril 2025 à 01:40:39 »

Citation de: renaud07 le 18 avril 2025 à 19:20:20

Pour avoir des ULA sur tes clients, il faut faire annoncer un préfixe ULA (celui que tu veux) par ton mikrotik, pas plus compliqué que ça.

Et dans ce cas, pas besoin de fixer les adresses, juste mettre un token (le suffixe) et les hôtes se chargent de configurer le préfixe tous seuls via le SLAAC. Ça permet d'avoir toutes les adresses configurées de la même manière et c'est beaucoup plus pratique en cas de changement de GUA, tout se reconfigure automatiquement.

Merci pour ce retour.
J'ai du coup ajouter une IPv6 ULA sur chaque interface vlan de mon routeur, "advertise" en no pour pouvoir moi même créer mes préfixes dans ND et ça marche correctement, j'ai bien une IPv6 GUA + ULA sur mes interfaces.
Je fixe l'adresse ULA sur les serveurs dont j'en ai le besoin (uniquement les serveurs dns pour le moment).

Citation de: Mastah le 19 avril 2025 à 11:50:39

Je poste des config Debian qui pourront peut-être t'aider un peu : info ici et là

Config DHCP et RADVD

Pour info j'ai chez moi un dual stack DHCP + SLAAC (un subnet en DHCP et un subnet en SLAAC)

Merci pour ton aide.
J'ai du mal à comprendre l'intérêt du DHCPv6 par rapport au SLAAC dans la mesure où les clients se configurent déjà tout seul ? Qu'est ce que ça peut apporter qui peut potentiellement être utile dans ce type d'infra ?

simon · « **Réponse #10 le:** 28 avril 2025 à 09:49:22 »

Aucun intérêt à faire du DHCPv6 en plus de SLAAC sur un LAN tant qu'on a pas de besoins spécifiques, en effet. On complexifie juste plus les choses, vu qu'on a deux sources de configuration réseau au lieu d'une... si on conserve IPv4, ca fait 3 sources.

basilix · « **Réponse #11 le:** 28 avril 2025 à 10:39:11 »

@simon :

Cela dépend des cas de figure. Je ne peux citer qu'un seul exemple.

Le logiciel odhcpd du projet OpenWrt est multifonctionnel et la configuration des différents serveurs peut devenir transparente.
Le serveur DHCPv6 permet potentiellement d'assigner une IPv6 stable. On peut fixer l'identifiant d'interface afin de joindre son
serveur et ne pas devoir changer les règles du pare-feu fw4 en cas de renouvellement du préfixe délégué par Orange.

[10:43]
On peut faire pareil il me semble avec ip token. Je ne sais pas si on peut modifier dynamiquement les enregistrements AAAA du
DNS en SLAAC.