Voici la suite de la configuration pour disposer d'IPv6 sur le routeur CCR2004.
Cette confifuration s'établit en 2 étapes:
- La communication aux serveurs d'Orange des options dhcp qu'il attend pour qu'il octroie une connectivité IPv6.
- Les réglages de la partie IPv6 du Firewall nécessaire pour ne pas prêter votre réseau local à l'insécurité qui règne sur internet.
La première étape n'est pas très difficile, à la différence d'IPv4, où l'on obtient une seule adresse IP dans le plus courant des accès grand publics. La seconde est moins triviale, car elle exige de la prudence et quelques explications.
- IPv6 passe l'adressage du réseau de 2³² à 2¹²⁸ adresses possibles. Lors de la connexion, on hérite alors non pas d'une seule et unique adresse IP publique et valide, qui est, elle, directement sur internet, mais l'on obtient une tranche d'adresses, et pas n'importe quelle épaisseur de tranche. Orange nous octroie ce que l'on appelle un "/56", et dans ce /56 on dispose de 256 sous-réseaux en /64, avec donc (2¹⁶)⁴=2⁶⁴ , adresses IP publiques (= aussi 2^(128-64), mais plus le /augmente moins on a d'adresse, je vous renvoie aux bonnes sources de documentation sur IPv6). Oui, faites le calcul, ça nous fait 256 sous réseaux de 1,84 x10¹⁹ adresses. Sachant qu'un corps humain contient environ 10¹⁴ cellules, si l'on octroyait une adresse IP à chacune d'entre elle, il nous en resterait assez pour, en considérant que l'on a deux enfants, et que chacun de nos enfant engendre 2 enfants, ainsi de suite, et qu'à chaque enfant on octroie une adresse IP à chacune de ses 10¹⁴ cellules, il faudrait attendre la 16eme génération pour en arriver à bout ( ça fait 131070 descendants si mes calculs sont exacts, mais ça n'a aucune importante, cette supputation stérile de 2 enfants par enfants sur 15 générations est juste un prétexte pour essayer de considérer la quantité absolument colossale d'adresses IP routables fournie). Oui, je sais, partant de l'habitude de faire du NAT derrière une unique adresse IP publique, ça donne le vertige. Et en plus, on a 256 sous réseaux de cette taille...
- IPv6 règle assez magistralement la question du manque d'adresse, et depuis un moment, du reste, car la RFC 2460 qui en a finalisé les spécifications date de décembre 1998, érigé au rang de standard par le RFC8200 en juillet 2017. Ok on a de la place, tellement de place que l'on n'a plus besoin du mécanisme de NAT. On pourrait, le faire. Mais c'est mal. Autre avantage, les entêtes sont plus simples, gèrent la prise en compte de la Qualité de Service (QOS, priorisation des flux) dès sa conception, et permet la non fragmentation. Dit autrement, la charge CPU des routeurs est plus faible, peut plus facilement monter. Je m'égare. Oui, c'est mieux, mais la notion vraiment géniale, c'est l'auto configurabilité du réseau. C'est tout à la fois génial, et l'enfer. Exemple:
- Vous connectez votre routeur à internet par IPv6, avec le Network Discovery activé (l'autoconfiguration), et, dès que nous connectez votre smartphone, la TV ou le Frigo, ils se connectent automatiquement sans rien faire, trouvent internet tout seuls, pas même besoin de paramétrer vous même votre routeur. Là, c'est fun, car votre réseau local étant équipé d'adresses IP publiques routables, on pourra considérer que tout internet en IPv6 est dans votre réseau local.
- Hélas, si vous ne faites rien de plus, votre réseau local, intégralement doté d'adresses IP publiques, sera dans le réseau local des autres aussi. Et là, c'est le drame. (facile)
Donc, l'ascèse nécessaire exige de rédiger un firewall IPv6 au moins aussi raisonnablement sûr que celui en IPv4, à ceci près que la relative protection du NAT, qui cache toutes les IP du LAN maison au reste du monde, disparait en un instant, exigeant, je le souligne, un peu de rationnalité. J'invite du reste à la critique, et si vous avez des modifications constructives et argumentées à proposer, vous êtes les bienvenus.
On peut donc partir à la suite du post précédent concernant les réglages IPv4.
Je vais répéter un peu, mais si on lance tel quel, on a la connectivité IPv6 sans IPv4. C'est possible aussi, tout comme le Dual Stack, c'est à dire à la fois IPv4 et IPv6. C'est l'option que j'ai choisie.
Attention, préalable indispensable, il faut télécharger le fichier zip des extra packages sur
https://mikrotik.com/download. Veillez bien à disposer d'un firmware avec sa bonne version d'extra package. C'est fonctionnel en v6.48 au 28 janvier 2021. Souvenez vous, glissez déposer le fichier "routeros-arm64-6.48.npk" (pour un CCR2004 en arm64), et "ipv6-6.48.npk" dans la fenêtre Files, puis rebootez, puis activez le module IPv6 installé mais pas activé en faisant System/Package double clic sur ipv6, Enable, puis System/reboot pour finir.
###################################################################################################################
#
# ___ ____ __ _ _ _ _
# |_ _| | _ \ __ __ / /_ ___ | |__ ___ __ __ | |_ (_) _ __ ___ __ _ | |
# | | | |_ | \ \ / / | '_ \ / __ | | '_ \ / _ \ \ \ /\ / / | __| | | | '_ ` _ \ / _ \ | |
# | | | __/ \ V / | (_) | \_ _ \ | | | | | (_) | \ V V / | |_ | | | | | | | | | __/ |_|
# |___| |_| \_/ \___/ |___/ |_| |_| \___/ \_/\_/ \__| |_| |_| |_| |_| \___| (_)
#
#
###################################################################################################################
#######################################################################################################################
# Rappel des ports SFP+ utilisés sur le routeur, pour bien suivre et adapter à vos besoins. Ils sont identiques
# aux réglages de la config IPV4.
#
# Eth7 : Décodeur TV
# Eth8 : LB
# Eth10 : ONT
# Eth12 : LAN
#
#######################################################################################################################
#
# Configuration Orange IPV6
#
#######################################################################################################################
#########################################
# Configuration des interfaces du routeur
#########################################
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp-sfpplus2 ] disabled=yes
set [ find default-name=sfp-sfpplus3 ] disabled=yes
set [ find default-name=sfp-sfpplus4 ] disabled=yes
set [ find default-name=sfp-sfpplus5 ] disabled=yes
set [ find default-name=sfp-sfpplus6 ] disabled=yes
set [ find default-name=sfp-sfpplus7 ] comment="Routeur TV local" name=ether7-TV
set [ find default-name=sfp-sfpplus8 ] comment="Livebox" name=ether8-LB
set [ find default-name=sfp-sfpplus9 ] disabled=yes
set [ find default-name=sfp-sfpplus10 ] comment="WAN" name=ether10-WAN
set [ find default-name=sfp-sfpplus11 ] disabled=yes
set [ find default-name=sfp-sfpplus12 ] comment="LAN" name=ether12-LAN
set [ find default-name=sfp28-1 ] disabled=yes
set [ find default-name=sfp28-2 ] disabled=yes
############################################################################################
# Surcharge des IP de configuration - Arbitraire
############################################################################################
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=192.168.88.0
add address=192.168.1.1/24 interface=ether12-LAN network=192.168.1.0
#add address=192.168.42.254/24 comment="Routeur TV local" interface=ether7-TV network=192.168.42.0
############################################################################################
On poursuit avec les réglages nécessaires pour IPv4 aussi, qui sont des redites mais rendent cette configuration éventuellement autonome en IPv6.
############################################################################################
# Ajout du VLAN 832 sur ether10-WAN pour accès Internet (valable pour IPV4 et IPV6)
# VLAN 832 pour Internet,
# le 838 pour la VOD/Replay et le 840 pour le multicast TV, qui pourront servir plus tard
############################################################################################
/interface vlan
add comment="Internet ONT" interface=ether10-WAN loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
add comment="VOD ONT" interface=ether10-WAN loop-protect-disable-time=0s name=vlan838-vod vlan-id=838
add comment="TV ONT" interface=ether10-WAN loop-protect-disable-time=0s name=vlan840-tv vlan-id=840
##################################################
# Créons le bridge principal qui va servir sans arrêt
##################################################
/interface bridge
add name=br-wan protocol-mode=none
On associe ce bridge à une interface esclave.
/interface bridge port
add bridge=br-wan interface=vlan832-internet
On répète le filtre de bridge nécessaire pour passer la COS=6 sur les requêtes dhcp IPv4, en remarque, mais logiquement il est inutile en IPv6.
/interface bridge filter
############################################################################################
# On crée le filtre pour la CPS=6
#
# En IPv4, port 67 UDP
############################################################################################
# Attention ce filtre est en commentaire
#add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
On répète le filtre de bridge nécessaire pour passer la COS=6 sur les requêtes dhcp IPv6, pour si on en a besoin (j'en ai besoin).
############################################################################################
# Puis en IPv6, port 547 UDP
############################################################################################
add chain=output action=set-priority new-priority=6 mac-protocol=ipv6 ip-protocol=udp dst-port=547 out-interface=vlan832-internet
Il faut, avant de lancer le client dhcp, rappeler au routeur qu'il doit accepter de recevoir une délégation de préfixe du serveur upstream Orange
############################################################################################
# Indiquer à RouterOS de prendre en compte les Router Advertisements venant du réseau Orange
############################################################################################
/ipv6 settings set accept-router-advertisements=yes
Attention, astuce, la requête DHCPv6 part en multicast,et revient en unicast, et si le firewall n'est pas prévenu, il zappe la réponse.
############################################################################################
# Attention, la requête DHCPv6 part en multicast, et revient en unicast, donc le firewall
# perd la réponse. Il faut pourtant l'accepter. DHCPv6 écoute sur le port 546
############################################################################################
/ipv6 firewall filter
add chain=input action=accept in-interface=br-wan src-address=fe80::ba0:bab/128 protocol=udp dst-port=546
Préparons les options, différentes, de la requête DHCP IPv6. Le champ 11 correspond à l'option 90 en IPv4, et on pourra reprendre la mâme chaîne.
Sinon, convertissez votre identifiant fti complet pour remplacer les 22 caractères XXXXXXXXXXXXXXXXXXXXX en les convertissant sur
sur le site habituel ############################################################################################
# Forgeons les options à envoyer avec la requête DHCPv6
# code 16 - class-didentifier = sagem
# code 15 - userclass = SVDSL_livebox.Internet.softathome.Livebox4
# code 11 - authsend - fti/identifiant en version longue
############################################################################################
/ipv6 dhcp-client option
# option sagem :
add code=16 name=class-identifier value=0x0000040e0005736167656d
# option SVDSL_livebox.Internet.softathome.Livebox3 :
add code=15 name=userclass value="0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a"
# option 'version courte' fti/<votre_identifiant_Orange> : >>> la version courte n'est plus supportée par Orange !!!
# remplacer XXX...... par fti/<votre_identifiant_Orange> en héxa
add code=11 name=authsend value=0x00000000000000000000001a0900000558010341010DXXXXXXXXXXXXXXXXXXXXX
Attention, si vous visualisez sur l'outil winbox les fenêtres IPv6/Adresses et IPv6/DHCP-Client, vous verrez le DHCP passer "bound" et la frange d'IP déléguée s'afficher.
############################################################################################
# On lance dchp client IPv6, qui fournit une classe /56 que l'on attribue à un pool
# du nom de pool_FT_6 - On le fournira au serveur DHCPv6 avec PD, qui se chargera de
# redistribuer des IPv6 aux clients du réseau.
############################################################################################
/ipv6 dhcp-client
add interface=br-wan dhcp-options=authsend,userclass,class-identifier request=prefix pool-name=pool_FT_6 pool-prefix-length=64 add-default-route=yes
############################################################################################
# Il est temps de l'annoncer
############################################################################################
/ipv6 address
add address=::1/64 from-pool=pool_FT_6 interface=ether12-LAN advertise=yes
Là, ça y est, on est sur internet en IPv6, alors un instant d'émotion, et on se l'affiche pour le fun. C'est dans la fenêtre IPv6 Address List, sinon.
############################################################################################
# On jette un oeil à ce /56
############################################################################################
/ipv6 pool print detail
############################################################################################
# On y voit le /56 associé au pool_FT_6
# du style
#############
# 0 D name="pool_FT_6" prefix=2a01:cb1d:xxxx:xx00::/56 prefix-length=64 expires-after=2d3h17m54s
#############
#
# Raaah, c'est beau.
#
############################################################################################
############################################################################################
# Voyons plus en détail
############################################################################################
/ipv6 address print detail where interface=ether12-LAN
############################################################################################
# Ça donne un truc du genre:
# Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# 0 DL address=fe80::xxxx:xxxx:xxxx:xxxx/64 from-pool="" interface=ether12-LAN actual-interface=ether12-LAN eui-64=no advertise=no no-dad=no
# => une adresse en fe80, équivalent localhost
#
# 1 G address=2a01:cb1c:xxxx:xx00::1/64 from-pool=pool_FT_6 interface=ether12-LAN actual-interface=ether12-LAN eui-64=no advertise=yes no-dad=no
# => nous voilà notre pool, assigné juste à la bonne interface, qui prend l'IP 2a01:cb1c:xxxx:xx00::1/64
#
# Raaah, c'est encore plus beau
#
############################################################################################
Alors, cette portion là n'est pas absolument nécessaire, car le réseau sait s'auto configurer, mais si on veut en venir un jour à une association fixe adresse MAC-IPv6, il faudra en avoir un et lâcher l'autoconfiguration, mais c'est plus pénible. Cependant je l'ai laissé, mais il ne se meuble d'aucun bail DHCPv6
############################################################################################
# Lançons ce serveur DHCPv6 en mode PD (disables=no)
############################################################################################
/ipv6 dhcp-server
add address-pool=pool_FT_6 name=DHCPv6 interface=ether12-LAN route-distance=5 disabled=no
/ipv6 pool used print detail
Au moins, on y voit la délagation IPv6, 2⁶⁴ IP routables. 2³² fois plus que toutes les IPv4 d'internet actuel, pour soi tout seul.
Oui, la vache.
Le temps de régler le firewall, on désactive l'autoconfiguration, sinon, c'est le LAN à poil sur internet.
############################################################################################
# Disable IPv6 Neighbour Discovery
############################################################################################
/ipv6 nd set [find] disabled=yes
Remplacer la LiveBox par un routeur
Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 936415 fois)