La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Probzx le 16 avril 2025 à 20:40:36
-
Bonjour,
J'ai remplacé ma box Orange par un routeur Mikrotik RB5009 avec Ipv4 et Ipv6 en configuration internet seulement car je n'ai pas besoin du téléphone ni de la TV.
Ma configuration est fonctionnelle avec un bridge wan, un bridge lan et 3 vlan (lan, serveur, dmz).
J'ai deux serveurs adguard en tant que dns principal et secondaire fonctionnels en Ipv4 et je leur ai également attribué une Ipv6 pour filtrer toutes les requêtes.
J'ai renseigné ces deux serveurs en tant que DNS dans IPV6 > ND > Mon interface (all dans mon cas).
Ils remontent bien dans ma configuration MAIS les DNS d'Orange aussi, ils sont apparemment prioritaire et mes requêtes ne sont plus filtrés, mon Adguard est bypassé.
Si je fixe les DNS en dur dans la configuration de mon PC pas de soucis mais je veux que ce soit automatique.
Un ipconfig /all montre donc 4 dns en ipv6 :
Serveurs DNS. . . . . . . . . . . . . : 2a01:cfc4:2000:2::12
2a01:cfc4:2000:4::5
192.168.30.250
192.168.30.251
2a01:cb0c:8d8f:2601::250
2a01:cb0c:8d8f:2601::251
Dans mon DHCPv6 client j'ai désactivé "use peer dns".
Dans ND > Interface j'ai activé "Advertise DNS" et "Other configuration".
Pas de changement malheureusement.
Avez-vous des idées sur ce qui pourrait causer l'auto-configuration des dns Orange ?
-
bonjour,
j'avais également eu un peu de mal à configurer le dns de mon Pihole pour qu'il soit pris en compte dans Windows. Android pas eu de problème, il prend celui que tu as mis dans le ND.
Tu dois rajouter un serveur DHCPv6 et configurer l'option 23 avec ton adresse dnsv6.
De mon coté, je n'ai pas de DNS d'orange sur le client DHCPv6, bizarre que tu arrives à en avoir.
Deuxième chose que tu peux faire, sur ton firewall ipv6, tu peux forcer la redirection de tout le flux à destination du port 53 vers ton DNS ipv6. (même règle que tu peux faire en ipv4)
une simple règle dstnat du flux sortant vers le port 53 redirigé vers l'ipv6 de ton serveur.
Attention à bien exclure l'ip de ton serveur DNS si non tu vas faire un bouclage et ton serveur ne pourra plus sortir ;)
/ipv6 dhcp-server option
add code=23 name=dns value="'2a01:XXXX:XXXX:XXXX::2'"
/ipv6 dhcp-server
add address-pool=pool_FT_6 dhcp-option=dns interface=sfp-sfpplus12-LAN name=\
DHCPv6 prefix-pool=pool_FT_6 route-distance=5
/ipv6 firewall nat
add action=dst-nat chain=dstnat dst-port=53 in-interface=sfp-sfpplus12-LAN \
log=yes log-prefix=DNS_TCP_to_local_IPV6 protocol=udp src-address-list=\
!Pi-Hole-exclusion src-mac-address=!BC:XX:XX:XX:XX:XX to-address=\
2a01:XXXX:XXXX:XXXX::2/128 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 in-interface=sfp-sfpplus12-LAN \
log=yes log-prefix=DNS_UDP_to_local_IPV6 protocol=tcp src-address-list=\
!Pi-Hole-exclusion src-mac-address=!BC:XX:XX:XX:XX:XX to-address=\
2a01:XXXX:XXXX:XXXX::2/128 to-ports=53
-
Plus besoin de DHCPv6. Windows récupère désormais les DNS dans les RA en plus du DHCP (sinon y'aurait pas de DNS v6 listé).
Le principal soucis c'est bien que le réglage peer DNS semble ignoré.
-
Tu as peut-être laissé le fait d'accepter les router advertisements d'orange ? Vu qu'Orange doit t'envoyer ses serveurs DNS dans son RA, si tu les aceptes je pense que le mikrotik les repropage en interne.
Je dirais qu'il faut désactiver si c'est pas déjà fait :
/ipv6 settings set accept-router-advertisements=no
-
Plus besoin de DHCPv6. Windows récupère désormais les DNS dans les RA en plus du DHCP (sinon y'aurait pas de DNS v6 listé).
Le principal soucis c'est bien que le réglage peer DNS semble ignoré.
Les RA d'Orange c'est sur la patte WAN. Aucune chance que le Windows, sur le LAN, les voit
Et si vous rejetez les RA d'Orange bah votre routage IPv6 a de grande chance de s'arrêter.
Pour les virer il faut un renew DHCPv6 côté WAN. Et un renew/clear sur le windows parce que ça peut garder les infos TRÈS longtemps
Je suis aussi en RB5009 avec 'use peer dns' coupé côté WAN et zéro fuite sur le LAN des RA de Free, en plus c'est toujours en link local en fe80::/10 et donc non routable. Je n'utilise PAS de server DHCPv6 sur le LAN, juste du SLAAC et RA pour les DNS
Dans l'interface grqphique IPv6 , ND, Bridge et là le serveur DNS ipv6 et advertise DNS sur ON
-
Les RA d'Orange c'est sur la patte WAN. Aucune chance que le Windows, sur le LAN, les voit
Je parle bien des RA du routeur, pas ceux d'orange.
Et si vous rejetez les RA d'Orange bah votre routage IPv6 a de grande chance de s'arrêter.
Ça c'est sûr.
Je suis aussi en RB5009 avec 'use peer dns' coupé côté WAN et zéro fuite sur le LAN des RA de Free, en plus c'est toujours en link local en fe80::/10 et donc non routable. Je n'utilise PAS de server DHCPv6 sur le LAN, juste du SLAAC et RA pour les DNS
Dans l'interface grqphique IPv6 , ND, Bridge et là le serveur DNS ipv6 et advertise DNS sur ON
C'est exactement ce que j'ai voulu dire.
-
J'ai fais plusieurs essai et je pense que le /release /renew et le flush dns n'a pas eu l'effet escompté.
J'ai réactivé RA (que j'avais enlevé pour faire un test), bien désactivé le "use peer dns" sur le bridge wan dhcp-client et j'ai bien mes deux adguard en serveur DNS.
Aucun serveur DHCPv6, uniquement le SLAAC et RA.
Mon problème venait également au niveau de la configuration de mes adguard / unbound donc j'ai fini par leur attribué deux adresses ipv6 à chacun, une publique et une adresse ULA que je peux configurer en dur sans craindre un changement.
J'ai une configuration fonctionnelle avec uniquement les DNS correspondant à mon ip publique ipv4 et les adresses ipv6 de mon unbound principal et secondaire lorsque je fais des tests dns, et aucun autre donc ça semble marcher correctement.
J'en profite pour vous poser une question concernant l'ipv6 que je ne maitrise pas du tout. Pour avoir deux ipv6 fonctionnelle sur mes serveurs j'ai du désactiver le RA dans sysctl.conf pour éviter d'avoir une route poussé automatiquement sur mon ipv6 ULA qui m'empêchait notamment de pinger à l'extérieur.
Actuellement en interne j'utilise des ipv6 ULA sur les DNS (ip adguard) et en écoute sur unbound, je parviens à joindre ces IP depuis mes PC sans avoir d'ipv6 ULA configurée.
D'après quelques recherche l'idéal serait d'attribuer une ipv6 ULA également à mes clients mais je sèche un peu sur la manière de faire. Si vous avez des conseils je suis preneur.
-
Pour avoir des ULA sur tes clients, il faut faire annoncer un préfixe ULA (celui que tu veux) par ton mikrotik, pas plus compliqué que ça.
Et dans ce cas, pas besoin de fixer les adresses, juste mettre un token (le suffixe) et les hôtes se chargent de configurer le préfixe tous seuls via le SLAAC. Ça permet d'avoir toutes les adresses configurées de la même manière et c'est beaucoup plus pratique en cas de changement de GUA, tout se reconfigure automatiquement.
-
Je poste des config Debian qui pourront peut-être t'aider un peu : info ici (https://akhamar.github.io/orange-bypass-debian/40_dhcp_server.html) et là (https://akhamar.github.io/orange-bypass-debian/50_radvd.html)
Config DHCP et RADVD
Pour info j'ai chez moi un dual stack DHCP + SLAAC (un subnet en DHCP et un subnet en SLAAC)
-
Pour avoir des ULA sur tes clients, il faut faire annoncer un préfixe ULA (celui que tu veux) par ton mikrotik, pas plus compliqué que ça.
Et dans ce cas, pas besoin de fixer les adresses, juste mettre un token (le suffixe) et les hôtes se chargent de configurer le préfixe tous seuls via le SLAAC. Ça permet d'avoir toutes les adresses configurées de la même manière et c'est beaucoup plus pratique en cas de changement de GUA, tout se reconfigure automatiquement.
Merci pour ce retour.
J'ai du coup ajouter une IPv6 ULA sur chaque interface vlan de mon routeur, "advertise" en no pour pouvoir moi même créer mes préfixes dans ND et ça marche correctement, j'ai bien une IPv6 GUA + ULA sur mes interfaces.
Je fixe l'adresse ULA sur les serveurs dont j'en ai le besoin (uniquement les serveurs dns pour le moment).
Je poste des config Debian qui pourront peut-être t'aider un peu : info ici (https://akhamar.github.io/orange-bypass-debian/40_dhcp_server.html) et là (https://akhamar.github.io/orange-bypass-debian/50_radvd.html)
Config DHCP et RADVD
Pour info j'ai chez moi un dual stack DHCP + SLAAC (un subnet en DHCP et un subnet en SLAAC)
Merci pour ton aide.
J'ai du mal à comprendre l'intérêt du DHCPv6 par rapport au SLAAC dans la mesure où les clients se configurent déjà tout seul ? Qu'est ce que ça peut apporter qui peut potentiellement être utile dans ce type d'infra ?
-
Aucun intérêt à faire du DHCPv6 en plus de SLAAC sur un LAN tant qu'on a pas de besoins spécifiques, en effet. On complexifie juste plus les choses, vu qu'on a deux sources de configuration réseau au lieu d'une... si on conserve IPv4, ca fait 3 sources.
-
@simon :
Cela dépend des cas de figure. Je ne peux citer qu'un seul exemple.
Le logiciel odhcpd du projet OpenWrt est multifonctionnel et la configuration des différents serveurs peut devenir transparente.
Le serveur DHCPv6 permet potentiellement d'assigner une IPv6 stable. On peut fixer l'identifiant d'interface afin de joindre son
serveur et ne pas devoir changer les règles du pare-feu fw4 en cas de renouvellement du préfixe délégué par Orange.
[10:43]
On peut faire pareil il me semble avec ip token. Je ne sais pas si on peut modifier dynamiquement les enregistrements AAAA du
DNS en SLAAC.
-
C'est ce que je qualifierai de besoins spécifiques.
À savoir qu'on peut aussi fixer l'identifiant d'interface sur les stations (du moins sous Linux).
Pour ma part je ne filtre que très peu le trafic venant du WAN vers mes VLAN, je pars du principe que les machines se protègent d'elles-même. Mais je n'ai pas d'IOT chinois ou autres imprimantes/frigos/alarmes/chauffe eau connectés, donc ca aide.
-
Je ne sais pas si on peut modifier dynamiquement les enregistrements AAAA du DNS en SLAAC.
Pas avec SLAAC, mais avec quelque chose de type dyndns qui tournerait sur la machine elle-même, et irait taper dans l'API d'un registrar/service pour mettre à jour le record DNS. Il y en a plein.
Si le but n'est que d'accéder aux services localement, mdns/bonjour/avahi fait miraculeusement le boulot.
-
@simon :
Je suis globalement d'accord.
Néanmoins, ce n'est pas forcément évident de configurer le serveur DNS de son CPE pour un internaute lambda. Je ne sais pas
très bien ce qu'il en est. Il y a des recommandations sur le sujet pour les routeurs SOHO ou CPE. Le serveur DHCPv6 de OpenWrt
est activé par défaut, ce qui n'est pas le cas de la Livebox.
-
J'ai du mal à comprendre l'intérêt du DHCPv6 par rapport au SLAAC dans la mesure où les clients se configurent déjà tout seul ? Qu'est ce que ça peut apporter qui peut potentiellement être utile dans ce type d'infra ?
Il faut bien comprendre le concept pour en déduire les intérêts.
Le SLAAC c'est de l'autoconfiguration côté client. Seul le client a conscience qu'il se positionne sur telle ou telle IPv6.
Le DHCPv6, c'est le serveur qui a conscience de ce qu'il donne au client.
Du coup si vous voulez mettre des systèmes de reverse, de remplissage auto de AAAA pour un DNS dynamique pour tous vos appareils, le DHCPv6 est le plus indiqué.
Si c'est juste une machine, du SLAAC avec un logiciel installé sur la bécane fait aussi le job.
-
Il faut bien comprendre le concept pour en déduire les intérêts.
Le SLAAC c'est de l'autoconfiguration côté client. Seul le client a conscience qu'il se positionne sur telle ou telle IPv6.
Le DHCPv6, c'est le serveur qui a conscience de ce qu'il donne au client.
Du coup si vous voulez mettre des systèmes de reverse, de remplissage auto de AAAA pour un DNS dynamique pour tous vos appareils, le DHCPv6 est le plus indiqué.
Si c'est juste une machine, du SLAAC avec un logiciel installé sur la bécane fait aussi le job.
Ou juste protégé ton réseau local histoire que la terre entière ne test pas si les password de ton server ssh sont minecraft/minecraft...
A) En SLAAC c'est extrêmement compliqué de protéger et de pouvoir ouvrir du trafique sur un port en particulier d'une machine explicite. En SLAAC tu es obligé de protéger machines par machines N fois. Et en général les machines qui s'ajoute ne peuvent, ou ne sont pas protégeable.
Tu ajoutes un équipement domotique, il récup une ipv6 SLAAC, banzaï, il est fort probable que la terre entière puisse aller sur l'interface http. Super la sécu.
Je persiste et je maintiens SLAAC a été pensé par des nanars.
En SLAAC tu ne sais pas à l'avance qu'elle sera l'IPV6. Et par défaut tu bloques le range entier IPv6, mais il est ultra compliquer d'ouvrir les ports nécessaire car tu dois le faire après la première récupération d'IPv6 de la machine et cela pour chaque machine.
B) En DHCPv6 tu sais à l'avance qu'elle sera l'IPv6 des chaques machine (hors pool aléatoire). Et par défaut tu bloques le range entier IPv6, et tu n'ouvre QUE les ports nécessaire.
-
Ou juste protégé ton réseau local histoire que la terre entière ne test pas si les password de ton server ssh sont minecraft/minecraft...
A) En SLAAC c'est extrêmement compliqué de protéger et de pouvoir ouvrir du trafique sur un port en particulier d'une machine explicite. En SLAAC tu es obligé de protéger machines par machines N fois. Et en général les machines qui s'ajoute ne peuvent, ou ne sont pas protégeable.
Tu ajoutes un équipement domotique, il récup une ipv6 SLAAC, banzaï, il est fort probable que la terre entière puisse aller sur l'interface http. Super la sécu.
Je persiste et je maintiens SLAAC a été pensé par des nanars.
En SLAAC tu ne sais pas à l'avance qu'elle sera l'IPV6. Et par défaut tu bloques le range entier IPv6, mais il est ultra compliquer d'ouvrir les ports nécessaire car tu dois le faire après la première récupération d'IPv6 de la machine et cela pour chaque machine.
B) En DHCPv6 tu sais à l'avance qu'elle sera l'IPv6 des chaques machine (hors pool aléatoire). Et par défaut tu bloques le range entier IPv6, et tu n'ouvre QUE les ports nécessaire.
Bah tu colles des IPv6 fixes sur les machines qui ont besoin d'être jointes depuis l'extérieur. Avec ou sans DHCP. Et tu configures ton firewall en conséquence. Je connais personne qui fait du slaac pour les IPv6 de service.
-
Bah tu colles des IPv6 fixes sur les machines qui ont besoin d'être jointes depuis l'extérieur. Avec ou sans DHCP. Et tu configures ton firewall en conséquence. Je connais personne qui fait du slaac pour les IPv6 de service.
Et lorsque ton range IPv6 change tu dois changer une par une tes machines. Super idée wow :D
Pour info en DHCPv6 tu peux faire du full auto ... Et ne plus jamais à avoir a changer les règles.
Je connais personne qui fait du slaac pour les IPv6 de service.
Oui c'est parce que c'est un peu de la merde en faite :p
-
Ou sinon un coup d'ip token set et c'est réglé, le préfixe se met à jour tout seul, pas besoin de DHCP. Et des règles de FW avec la notation kivabien et pareil, plus besoin de toucher quoi que ce soit.
C'est ce que j'utilise chez moi.
Exemple :
iface ens18 inet6 auto
pre-up /sbin/ip token set ::192:168:8:7 dev ens18
-
Oui je confirme, j’ai fait pendant très longtemps du SLAAC plus token fixe sur mes serveurs, ainsi que des règles firewall sur le routeur qui « matchent » sur les 64+8 bits de poids faible, donc qui ne changent pas même si le préfixe change. C’était sur mes routeurs EdgeRouter. Malheureusement impossible de rentrer le masque qui va bien chez Mikrotik, donc j’avais du faire un peu autrement (address-lists + script sur le bind DHCPv6).
Bon maintenant j’ai un /48 et une IPv4 fixes de chez fixes donc moins de problèmes (mais je fais toujours du SLAAC + token).
-
@Mastah :
On peut également assigner des IP statiques aux serveurs. SLAAC, c'est conçu pour l’auto-configuration (au sens large).
-
Difficile quand le préfixe change….
-
Difficile quand le préfixe change….
Bah restez chez Orange les gars ˆˆ Vous voulez des IP fixes de service chez un fournisseur qui ne souscrit pas à ce modèle d'usage d'Internet pour les gueux du grand public. Prenez un tunnel et un préfixe chez Milkywan si vous tenez absolument à Orange comme FAI.
Perso le mien n'a pas changé pendant plus d'un an... par contre mon ipv4 "préférentielle" s'éjectait à chaque reboot "planifié" mais pas en cas de coupure électrique (genre release dhcp ou pas)
-
Prenez un tunnel et un préfixe chez Milkywan si vous tenez absolument à Orange comme FAI.
Bah oui c’est ce que je fais maintenant…
-
Bah oui c’est ce que je fais maintenant…
-
Actuellement je passe par Cloudflare pour exposer mes services.
J'utilise leur proxy et je renseigne un enregistrement CNAME en utilisant l'adresse Cloud fournit par Mikrotik.
Je me tâte à passer par un tunnel Milkywan pour ne plus passer par le proxy Cloudflare et ne pas exposer mon IP Publique directement
Mes connaissances en réseau sont assez limités mais de ce que je vois un tunnel GRE serait indiqué ? Certains d'entre vous ont déjà cette config avec le FAI orange + routeur mikrotik ?
Compte tenu des ip dynamique d'Orange je suppose qu'il faudra passer par un script ou service hébergé sur un conteneur pour faire du dyndns et configurer le tunnel avec des fqdn ?
-
Mes connaissances en réseau sont assez limités mais de ce que je vois un tunnel GRE serait indiqué ? Certains d'entre vous ont déjà cette config avec le FAI orange + routeur mikrotik ?
Je suppose que le fait que l'IP publique Orange soit dynamique complexifie un peu la mise en place ?
Non pas du tout gênant. En GRE j'avais eu 2 IPs pour chaque stack. Une pour ton bout de tunnel et une à joindre. Y a pas de validation. J'avais eu un tunnel 6in4 aussi (un ipv4 pub, un end-point ipv6, et 2 ipv4 rfc1918 d'interco du tunnel sur un /30)
Y a des tutos un peu partout sur Mikrotik et Milkywan. Et une équipe et une communauté aidante.
-
En GRE l’IP dynamique côté Orange est un problème clairement puisque qu’à chaque changement d’IP cote Orange il faut modifier l’endpoint sur le routeur chez MilkyWAN (pas certain que leur routeur puisse être configuré avec un FQDN)…
Perso j’ai un tunnel L2TP et ça juste marche (avec un CCR2004 de mon côté)
-
En GRE l’IP dynamique côté Orange est un problème clairement puisque qu’à chaque changement d’IP cote Orange il faut modifier l’endpoint sur le routeur chez MilkyWAN (pas certain que leur routeur puisse être configuré avec un FQDN)…
Perso j’ai un tunnel L2TP et ça juste marche (avec un CCR2004 de mon côté)
j'ai vécu environ un an, en 2020-2021, avec un tunnel GRE Milkywan en étant chez Orange. Ils étaient sur Mikrotik à ce moment là. Puis un 6in4. Et aucun pb d'IP orange dynamique. De mémoire on source-nat avec l'ipv4 qu'ils te filent.
https://lafibre.info/milkywan/configuration-routage-tunnel-gre-milkywan/
-
Sur un tunnel GRE il n’y a pas de négociation d’endpoints, donc pour qu’un tunnel GRE fonctionne il faut:
- Côté client configurer l’endpoint vers le « serveur VPN » => une adresse IPv4 publique chez MilkyWAN
- Cote MilkyWAN, l’endpoint vers le « client VPN » => une adresse IPv4 publique (et dynamique) chez Orange
A aucun moment je n’ai parlé des adresses d’interco ni de l’adresse IPv4 publique fournie par MilkyWAN (elles sont « dans le tunnel » une fois celui-ci configuré).
-
Une config de tunnel chez nous, c'est une source et une destination, la source est chez nous et ne change pas, la destination est chez vous et ne doit pas changer.
Si vous voulez faire du dynamique, il y'a L2TP, Wireguard ou OpenVPN