Auteur Sujet: DNS Orange persitants en IPV6 (Lu 2880 fois)

simon · « **Réponse #12 le:** 28 avril 2025 à 10:44:45 »

C'est ce que je qualifierai de besoins spécifiques.
À savoir qu'on peut aussi fixer l'identifiant d'interface sur les stations (du moins sous Linux).

Pour ma part je ne filtre que très peu le trafic venant du WAN vers mes VLAN, je pars du principe que les machines se protègent d'elles-même. Mais je n'ai pas d'IOT chinois ou autres imprimantes/frigos/alarmes/chauffe eau connectés, donc ca aide.

simon · « **Réponse #13 le:** 28 avril 2025 à 10:49:37 »

Citation de: basilix le 28 avril 2025 à 10:39:11

Je ne sais pas si on peut modifier dynamiquement les enregistrements AAAA du DNS en SLAAC.

Pas avec SLAAC, mais avec quelque chose de type dyndns qui tournerait sur la machine elle-même, et irait taper dans l'API d'un registrar/service pour mettre à jour le record DNS. Il y en a plein.

Si le but n'est que d'accéder aux services localement, mdns/bonjour/avahi fait miraculeusement le boulot.

basilix · « **Réponse #14 le:** 28 avril 2025 à 10:55:28 »

@simon :

Je suis globalement d'accord.

Néanmoins, ce n'est pas forcément évident de configurer le serveur DNS de son CPE pour un internaute lambda. Je ne sais pas
très bien ce qu'il en est. Il y a des recommandations sur le sujet pour les routeurs SOHO ou CPE. Le serveur DHCPv6 de OpenWrt
est activé par défaut, ce qui n'est pas le cas de la Livebox.

Optix · « **Réponse #15 le:** 28 avril 2025 à 10:56:54 »

Citation de: Probzx le 28 avril 2025 à 01:40:39

J'ai du mal à comprendre l'intérêt du DHCPv6 par rapport au SLAAC dans la mesure où les clients se configurent déjà tout seul ? Qu'est ce que ça peut apporter qui peut potentiellement être utile dans ce type d'infra ?

Il faut bien comprendre le concept pour en déduire les intérêts.

Le SLAAC c'est de l'autoconfiguration côté client. Seul le client a conscience qu'il se positionne sur telle ou telle IPv6.
Le DHCPv6, c'est le serveur qui a conscience de ce qu'il donne au client.

Du coup si vous voulez mettre des systèmes de reverse, de remplissage auto de AAAA pour un DNS dynamique pour tous vos appareils, le DHCPv6 est le plus indiqué.
Si c'est juste une machine, du SLAAC avec un logiciel installé sur la bécane fait aussi le job.

Mastah · « **Réponse #16 le:** 29 avril 2025 à 00:35:56 »

Citation de: Optix le 28 avril 2025 à 10:56:54

Il faut bien comprendre le concept pour en déduire les intérêts.

Le SLAAC c'est de l'autoconfiguration côté client. Seul le client a conscience qu'il se positionne sur telle ou telle IPv6.
Le DHCPv6, c'est le serveur qui a conscience de ce qu'il donne au client.

Du coup si vous voulez mettre des systèmes de reverse, de remplissage auto de AAAA pour un DNS dynamique pour tous vos appareils, le DHCPv6 est le plus indiqué.
Si c'est juste une machine, du SLAAC avec un logiciel installé sur la bécane fait aussi le job.

Ou juste protégé ton réseau local histoire que la terre entière ne test pas si les password de ton server ssh sont minecraft/minecraft...

A) En SLAAC c'est extrêmement compliqué de protéger et de pouvoir ouvrir du trafique sur un port en particulier d'une machine explicite. En SLAAC tu es obligé de protéger machines par machines N fois. Et en général les machines qui s'ajoute ne peuvent, ou ne sont pas protégeable.
Tu ajoutes un équipement domotique, il récup une ipv6 SLAAC, banzaï, il est fort probable que la terre entière puisse aller sur l'interface http. Super la sécu.
Je persiste et je maintiens SLAAC a été pensé par des nanars.
En SLAAC tu ne sais pas à l'avance qu'elle sera l'IPV6. Et par défaut tu bloques le range entier IPv6, mais il est ultra compliquer d'ouvrir les ports nécessaire car tu dois le faire après la première récupération d'IPv6 de la machine et cela pour chaque machine.

B) En DHCPv6 tu sais à l'avance qu'elle sera l'IPv6 des chaques machine (hors pool aléatoire). Et par défaut tu bloques le range entier IPv6, et tu n'ouvre QUE les ports nécessaire.

Fyr · « **Réponse #17 le:** 29 avril 2025 à 01:19:53 »

Citation de: Mastah le 29 avril 2025 à 00:35:56

Ou juste protégé ton réseau local histoire que la terre entière ne test pas si les password de ton server ssh sont minecraft/minecraft...

A) En SLAAC c'est extrêmement compliqué de protéger et de pouvoir ouvrir du trafique sur un port en particulier d'une machine explicite. En SLAAC tu es obligé de protéger machines par machines N fois. Et en général les machines qui s'ajoute ne peuvent, ou ne sont pas protégeable.
Tu ajoutes un équipement domotique, il récup une ipv6 SLAAC, banzaï, il est fort probable que la terre entière puisse aller sur l'interface http. Super la sécu.
Je persiste et je maintiens SLAAC a été pensé par des nanars.
En SLAAC tu ne sais pas à l'avance qu'elle sera l'IPV6. Et par défaut tu bloques le range entier IPv6, mais il est ultra compliquer d'ouvrir les ports nécessaire car tu dois le faire après la première récupération d'IPv6 de la machine et cela pour chaque machine.

B) En DHCPv6 tu sais à l'avance qu'elle sera l'IPv6 des chaques machine (hors pool aléatoire). Et par défaut tu bloques le range entier IPv6, et tu n'ouvre QUE les ports nécessaire.

Bah tu colles des IPv6 fixes sur les machines qui ont besoin d'être jointes depuis l'extérieur. Avec ou sans DHCP. Et tu configures ton firewall en conséquence. Je connais personne qui fait du slaac pour les IPv6 de service.

Mastah · « **Réponse #18 le:** 29 avril 2025 à 01:45:29 »

Citation de: Fyr le 29 avril 2025 à 01:19:53

Bah tu colles des IPv6 fixes sur les machines qui ont besoin d'être jointes depuis l'extérieur. Avec ou sans DHCP. Et tu configures ton firewall en conséquence. Je connais personne qui fait du slaac pour les IPv6 de service.

Et lorsque ton range IPv6 change tu dois changer une par une tes machines. Super idée wow

Pour info en DHCPv6 tu peux faire du full auto ... Et ne plus jamais à avoir a changer les règles.

Citer

Je connais personne qui fait du slaac pour les IPv6 de service.

Oui c'est parce que c'est un peu de la merde en faite :p

renaud07 · « **Réponse #19 le:** 29 avril 2025 à 01:49:58 »

Ou sinon un coup d'ip token set et c'est réglé, le préfixe se met à jour tout seul, pas besoin de DHCP. Et des règles de FW avec la notation kivabien et pareil, plus besoin de toucher quoi que ce soit.

C'est ce que j'utilise chez moi.

Exemple :

Code: [Sélectionner]

iface ens18 inet6 auto
pre-up /sbin/ip token set ::192:168:8:7 dev ens18

zoc · « **Réponse #20 le:** 29 avril 2025 à 07:27:28 »

Oui je confirme, j’ai fait pendant très longtemps du SLAAC plus token fixe sur mes serveurs, ainsi que des règles firewall sur le routeur qui « matchent » sur les 64+8 bits de poids faible, donc qui ne changent pas même si le préfixe change. C’était sur mes routeurs EdgeRouter. Malheureusement impossible de rentrer le masque qui va bien chez Mikrotik, donc j’avais du faire un peu autrement (address-lists + script sur le bind DHCPv6).

Bon maintenant j’ai un /48 et une IPv4 fixes de chez fixes donc moins de problèmes (mais je fais toujours du SLAAC + token).

basilix · « **Réponse #21 le:** 29 avril 2025 à 07:36:27 »

@Mastah :

On peut également assigner des IP statiques aux serveurs. SLAAC, c'est conçu pour l’auto-configuration (au sens large).

zoc · « **Réponse #22 le:** 29 avril 2025 à 08:29:04 »

Difficile quand le préfixe change….

Fyr · « **Réponse #23 le:** 29 avril 2025 à 12:51:54 »

Citation de: zoc le 29 avril 2025 à 08:29:04

Difficile quand le préfixe change….

Bah restez chez Orange les gars ˆˆ Vous voulez des IP fixes de service chez un fournisseur qui ne souscrit pas à ce modèle d'usage d'Internet pour les gueux du grand public. Prenez un tunnel et un préfixe chez Milkywan si vous tenez absolument à Orange comme FAI.

Perso le mien n'a pas changé pendant plus d'un an... par contre mon ipv4 "préférentielle" s'éjectait à chaque reboot "planifié" mais pas en cas de coupure électrique (genre release dhcp ou pas)