Je pense que si on veut tenir compte du potentiel changement de préfixe assigné par Orange il faut scripter un peu (mais bon, c’est aussi le cas pour le firewall v6 donc rien d’insurmontable), mais à part ça il est possible de faire un genre de « bail statique » afin de toujours distribuer le même /64 à un client en fonction de son DUID.

A un moment j’envisageais de faire ça pour faire mon routage inter VLAN sur mon CRS326 avec l’accélération matérielle L3, mais j’ai trop de règles firewall entre les VLAN et du coup il faudrait que je les transforme en switch rules et c’est assez compliqué.

J’ai rien trouvé de mieux que d’utiliser des subnet en fc00::/16 sur les machines du LAN.
C’est pas très élégant car je dois natter ipv6. Mais au moins je sais quel device à quelle IP, le DNS est cohérent et complet. Et je suis indépendant de l’ISP.
Malgré tout, Je bénéficie d’un prefix static (abonnement pro), les machines qui doivent être jointes de l’extérieur sont en adressage static avec un de mes prefix.
Mais je voulais faire plus élégant…

Le problème du fc00:/16 c’est qu’il est moins prioritaire que l’IPv4 avec la config par défaut de la majorité des OS (et c’est souvent pas configurable), donc quand il y a un enregistrement DNS A et AAAA pour un meme record la communication se fera en IPv4…

Moi j’utilise un préfixe ULA pour mes communications en interne (ça me permet d’avoir des entrées DNS qui n’ont pas besoin d’être changées quand le préfixe Orange change), mais je distribue aussi des GUA par SLAAC afin de donner la prio à l’IPv6. Sur mon réseau + WAN,  en terme de paquets par seconde je suis à 75% d’IPv6 et 25% d’IPv4, ce qui est déjà pas mal).

La prochaine étape c’est IPv6 only mais pas certains que tous les équipements soient compatibles avec de l’IPv6 only et du NAT64, notamment les consoles de jeu…

Bonjour à tous voici un tuto rapide permettant d'automatisé la mise à jour d'une gateway dynamique sur une route spécifique définie manuellement (dans mon cas un modem 4G Zyxel en mode IP Passthrough) connecté à mon mikrotik en failover.

https://lafibre.info/mikrotik/tuto-maj-auto-la-passerelle-dune-route-lors-du-renouvellement/new/#new

Le problème du fc00:/16 c’est qu’il est moins prioritaire que l’IPv4 avec la config par défaut de la majorité des OS (et c’est souvent pas configurable), donc quand il y a un enregistrement DNS A et AAAA pour un meme record la communication se fera en IPv4…

Moi j’utilise un préfixe ULA pour mes communications en interne (ça me permet d’avoir des entrées DNS qui n’ont pas besoin d’être changées quand le préfixe Orange change), mais je distribue aussi des GUA par SLAAC afin de donner la prio à l’IPv6. Sur mon réseau + WAN,  en terme de paquets par seconde je suis à 75% d’IPv6 et 25% d’IPv4, ce qui est déjà pas mal).

La prochaine étape c’est IPv6 only mais pas certains que tous les équipements soient compatibles avec de l’IPv6 only et du NAT64, notamment les consoles de jeu…

Juste une question, affectes-tu des ipv6 static a chaque device ? Ou bien cela ne te dérange pas de ne pas savoir quel device à quelle ip ?
Perso, je préfère pouvoir identifier mes devices avec des IPs précises pour savoir qui fait quoi.
Je crois savoir que ce n’est pas vraiment la philosophie ipv6 avec le slaac. Je n’arrive pas à me faire à cette idée…

Merci

Bienvenue au club Je n'aime pas ça non plus car on ne peut pas configurer le firewall avec des IP dynamiques même si on pourrait utiliser les MAC à la place... J'ai mis en place l'IPv6 sur certaines machines, mais je me demande depuis longtemps si je ne vais pas faire du DHCPv6 au lieu du SLAAC.

Je vais du dhcpv6 en static aussi avec dnsmasq. J’alloue une ip static en fc00::/16.
Mais il y a plusieurs devices, principalement Android qui prennent uniquement le slaac en compte.
Donc c’est pas la solution non plus. Ou alors pour ces devices, pas d’ipv6.

Les adresses avec slaac sont statiques. Elles sont construires à partir de la MAC pour le suffixe. (l'EUI-64)

Oui et non. Cela dépend si les privacy extensions sont utilisées ou pas.
C'est le cas sur Windows et Android notamment. Qui plus est, sur ces derniers l'adresse MAC est aléatoire.

Donc le périphérique aura une adresse EUI64 que l'on peut déterminer et qui peut-être utile pour l'adresser s'il y a des services dessus. Cependant, ça ne résout pas la question du pare-feu s'il faut des règles spécifiques au périphérique vu qu'il aura également une adresse IPv6 aléatoire et que c'est celle là qu'il utilise pour sortir sur internet.