Auteur Sujet: [Résolu] Ouvrir un port sur un préfixe délégué (Lu 4322 fois)

basilix · « **Réponse #12 le:** 04 mars 2024 à 12:35:30 »

Citation de: shrd

Le firewall de la livebox en ipv6 ne route pas les paquets entrants comme le mode DMZ en ipv4 [...]

Pour info, IPv4 ≠ IPv6 !?

pgr95 · « **Réponse #13 le:** 07 mars 2024 à 21:45:46 »

Il suffit d'en parler pour que ça arrive: hier à 02h34, ma livebox a changé d'adresse IPV4 et IPV6.
Donc effectivement, il faut tout modifier dans les règles spécifiques FWv6 à ce moment là.

Mjules · « **Réponse #14 le:** 07 mars 2024 à 22:34:55 »

Citation de: pgr95 le 07 mars 2024 à 21:45:46

Il suffit d'en parler pour que ça arrive: hier à 02h34, ma livebox a changé d'adresse IPV4 et IPV6.
Donc effectivement, il faut tout modifier dans les règles spécifiques FWv6 à ce moment là.

Merci pour le retour. C'est ennuyeux $:-\$

Je suis un peu dans la même situation (routeur openwrt derrière une livebox 4 avec délégation de préfixe) et pour éviter d'avoir à passer par le mode personnalisé du parefeu (et son interface pas très amicale), j'ai utilisé LiveboxMonitor ( https://lafibre.info/orange-les-news/controler-son-reseau-livebox-5-ou-6/ ) qui permet de saisir des ipv6 directement pour créer les règles (j'ai laissé le niveau du parefeu à moyen).

shrd · « **Réponse #15 le:** 08 mars 2024 à 00:39:19 »

Citation de: pgr95 le 07 mars 2024 à 21:45:46

Il suffit d'en parler pour que ça arrive: hier à 02h34, ma livebox a changé d'adresse IPV4 et IPV6.
Donc effectivement, il faut tout modifier dans les règles spécifiques FWv6 à ce moment là.

en IPV4, le mode DMZ de la livebox permet de faire du double NAT sans problème, et le changement d'IP ne pose pas de problème pour la redirection des ports.
en IPV6 telle qu'elle est implémentée pour le moment, la délégation de préfixe des livebox 4 et 5 (je ne connais pas encore les suivantes) casse les règles en cas de changement d'IPv6 , car les règles gardent les anciennes IPs. ça oblige d'une part à utiliser du SLAAC coté client pour garder une ipv6 fixe sinon une adresse temporaire sera attribuée même sans changement de prefixe /56 et à espérer que le prefixe /56 ne bouge pas. ça reste gérable pour une utilisation personnelle car le prefixe /56 est quasi statique pendant longtemps, mais c'est pas très sérieux car loin de la philosophie IPv6. plusieurs délégations de préfixe et un mode redirection de ports complets à cocher à coté (DMZ) serait pas mal.

basilix · « **Réponse #16 le:** 08 mars 2024 à 06:55:14 »

Bonjour !

Citation de: pinomat

D'un point de vue réseau, la Livebox gère le routage du préfixe IPv6 /56 donc elle a une incidence sur tous les paquets de ce préfixe IPv6 /56.

Le préfixe est exploité par la Livebox pour lui permettre de router les paquets. Trouver la bonne route.
À mon avis, il serait préférable de ne pas confondre routage et filtrage.

Cela dit, je me trompe tout le temps avec le sens. Et la documentation Orange sur le sujet est inexistante.
On ne sait pas vraiment ce que signifie « Intervalle adresse IP source » et « [...] destination » (voir image en pièce-jointe).

Citation de: shrd

Ça oblige d'une part à utiliser du SLAAC coté client pour garder une ipv6 fixe sinon une adresse temporaire sera attribuée même sans changement de prefixe /56 et à espérer que le prefixe /56 ne bouge pas.

C'est le routeur, et non pas le client, qui impose le mode d'attribution des adresses. De plus, le type d'adresse IPv6 alloué (statique, stable, temporaire) n'est pas obligatoirement corrélé
au mécanisme d'allocation (DHCP, SLAAC). On peut également définir des baux statiques avec un serveur DHCPv6 ou spécifier une adresse temporaire avec SLAAC (sur chaque hôte).

basilix · « **Réponse #17 le:** 08 mars 2024 à 09:48:48 »

J'ai supprimé mon post précédent après plus ample réflexion. Ma supposition était sûrement trop induite.

Il faut deviner faute d'information.

Intervalle adresse IP source
::94ca:b01d:bf28:ca8e/::f5a1:f40c:c515:aa44

Je me demande si un truc du genre pourrait fonctionner.

Les deux bornes de l'intervalle étant délimité par la barre oblique. Et les caractères deux points (à gauche) servant à indiquer que l'on spécifie la partie IID de l'adresse IP.
Mais cela me paraît un peu tordu comme configuration.

Édition : on retrouve ce procédé dans OpenWrt.

basilix · « **Réponse #18 le:** 08 mars 2024 à 12:21:10 »

Je joint une jolie image pour mieux visualiser.

~~Le concept c'est de se représenter un intervalle d'identifiants d'interface (IID) à la façon d'un préfixe (plage d'adresses).~~

basilix · « **Réponse #19 le:** 08 mars 2024 à 19:51:57 »

J'ai fait quelques tests sous OpenWrt.

Code: [Sélectionner]

uci set firewall.@rule[-1].dest_ip="::1/-64"

Code: [Sélectionner]

uci set firewall.@rule[-1].dest_ip="::1/::f5a1:f40c:c515:aa44"

Le principe que j'ai formulé dans le post précédent ne fonctionne pas. Il semblerait qu'il faille spécifier l'IID de l'hôte. Ce n'est pas vraiment un intervalle d'adresses IP ?

basilix · « **Réponse #20 le:** 08 mars 2024 à 20:26:13 »

Ce qui suit la barre oblique est un masque binaire.

basilix · « **Réponse #21 le:** 08 mars 2024 à 20:51:23 »

Re : Je viens de tester le champ « Intervalle adresse IP source » dans l'interface de la Livebox.

Vérifiez que l'intervalle adresse IP est saisi avec le format adresseIPv6/longueur du masque entre 0 et 128.

On peut ouvrir un port dans le pare-feu pour un hôte spécifique ou pour tous les hôtes.

basilix · « **Réponse #22 le:** 09 mars 2024 à 07:44:27 »

Quelqu'un a t'il testé sur sa Livebox ? Actuellement, je ne peux pas.

+ voir mon post à propos du pare-feu sur un routeur.