Je me demande si ce serait possible d’utiliser dnsmasq (dhcp+dns) sur un autre device que le CCR mais annoncer le CCR comme étant le router. En ipv4, on peut via les options fixer les dns , le ntp, le router, … J’ai l’impression qu’en ipv6 il n’y a pas d’option pour fixer le router (la default gateway), SLAAC ou pas.

Tu peux. Y'a aucune obligation à héberger le DHCPv6 sur le routeur. Il suffit de passer les flags en stateful et les périphériques feront un solicit sur le réseau et récupéreront leur IP, peu importe la machine qui répond. Héberger le DHCPv6 sur routeur est souvent plus pratique si le préfixe change, mais c'est tout.

Le routeur qui balance les RA est la gateway, donc inutile de vouloir fixer ça dans le DHCP.

Concernant le DNS en ipv6, perso j'ai adopté comme zoc il me semble, un préfixe ULA. Mes périphs sont en privacy extensions comme ça ils ont une IP qui change pas même en SLAAC et que je peux facilement intégrer au DNS. Et pour les serveurs, j'utilise la méthode du "token" pour personnaliser le suffixe avec leur ipv4, comme ça c'est assez facile de s'en rappeler en cas de panne, ex. fd07:ad3c:7:0:192:168:1:10

Je me répond à moi même pour la switch rule (CRS) :

/interface ethernet switch rule
add comment="Orange COS dhcpv4" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp1.router protocol=udp switch=switch1 vlan-id=832
add comment="Orange COS dhcpv6" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp1.router protocol=udp switch=switch1 vlan-id=832
add comment="Orange COS arp" mac-protocol=arp new-vlan-priority=6 ports=sfp1.router switch=switch1 vlan-id=832
add comment="Orange COS icmpv4" mac-protocol=ip new-vlan-priority=6 ports=sfp1.router protocol=icmp switch=switch1 vlan-id=832
add comment="Orange COS icmpv6" mac-protocol=ipv6 new-vlan-priority=6 ports=sfp1.router protocol=icmp switch=switch1 vlan-id=832

J'ai utilise la conf suivante, pour les paquets ICMPv6 (NS/NA).

Sur le router (CCR2004), les paquets icmpv6 NS et NA ont leur DSCP et leur COS mise à 6 :

/ipv6 firewall mangle
add action=change-dscp chain=postrouting comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=postrouting comment="Orange - icmpv6 (type 133 - RS) - COS to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=postrouting comment="Orange - icmpv6 (type 136 - NA) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=postrouting comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=postrouting comment="Orange - icmpv6 (type 135 - NS) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=postrouting comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=postrouting comment="Orange - DHCPv6 - COS to 6" dst-port=547 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=udp src-port=546
add action=change-dscp chain=postrouting comment="Orange - DHCPv6 - DSCP to 6" dst-port=547 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=udp src-port=546

Sur un CRS305 :

- La COS des paquets arp, dhcpv4, dhcp6 est mise à 6 ;

/interface ethernet switch rule
add comment="Orange DHCPv4 - CoS to 6" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=Router protocol=udp src-port=68 switch=switch1 vlan-id=832
add comment="Orange DHCPv6 - CoS to 6" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=Router protocol=udp src-port=546 switch=switch1 vlan-id=832
add comment="Orange arp - CoS to 6" mac-protocol=arp new-vlan-priority=6 ports=Router switch=switch1 vlan-id=832

Edit : Revue des règles après test. La COS à 6 en IPv6 peut être faite directement sur le routeur.

Les flags, c'est le routeur qui doit les envoyer.  Si tu veux du stateful uniquement, il faut : M=1 O=0 A=0, Si tu veux stateful+SLAAC  : M=1, O=1, A=1 (si je dis pas connerie). Pour la conf de dnsmasq, il faut au moins le DNSv6.

Ce qui donne en théorie :

Stateful :
managed-address-configuration=yes
other-configuration=no

Stateful + SLAAC :
managed-address-configuration=yes
other-configuration=yes

Je ne suis pas certain de comprendre.

Coté routeur : stateless sans les DNS, RA uniquement
Cote dnsmasq : statefull uniquement, avec option DNS, sans RA
C’est bien cela ?

Si oui, dois-je activer ND côté routeur ou bien l’option advertise sur l’adresse ipv6 suffit ?

En laissant le ND active côté routeur, quelque soit les params dnsmasq (dhcp-range=…) ca ne marche pas. Mon iPhone par exemple ne récupère jamais son ip fixe définit dans dnsmasq ni ses dns.

Hop, un sondage.

Hello,

Dans le sondage, on peut rajouter si on utilise tout de même la Livebox 6 avec un routeur 10G derrière ?
Car il doit y avoir encore des gens qui utilisent cette solution, non ?

[Edit]
Bon OK ... oubliez ... trompé de section puisque c'est pour remplacer la livebox justement ...
[/Edit]

Je ne suis pas certain de comprendre.

Coté routeur : stateless sans les DNS, RA uniquement
Cote dnsmasq : statefull uniquement, avec option DNS, sans RA
C’est bien cela ?

Si oui, dois-je activer ND côté routeur ou bien l’option advertise sur l’adresse ipv6 suffit ?

En laissant le ND active côté routeur, quelque soit les params dnsmasq (dhcp-range=…) ca ne marche pas. Mon iPhone par exemple ne récupère jamais son ip fixe définit dans dnsmasq ni ses dns.

Tout se joue dans les flags des RA. Normalement oui ta conf est bonne.  Pour ND, après lecture de la doc, il faut l'activer avec les paramètres que je t'ai donné.

Si ça ne marche pas faudra sortir wireshark. Faudrait que j'essaie en VM voir si j'y arrive.