Auteur Sujet: [Résolu] Ouvrir un port sur un préfixe délégué (Lu 2699 fois)

Nardol · « **le:** 12 août 2023 à 18:19:51 »

Bonjour,

J'ai une Livebox 5 et des TP-Link Deco M5 que j'utilise en mode routeur. J'ai donc branché le Deco principal à un port Ethernet de ma Livebox.
Dans l'application Deco, j'ai donc paramétré l'IPv6 en mode IP dynamique, assignation auto, coché délégation de préfixe et ai choisi SLAAC+RDNSS pour l'assignation d'IP.

Jusque là tout va bien, j'ai un préfixe délégué et mes machines récupèrent une IP dans ce préfixe.

Je souhaite ouvrir un port sur une des machines connectée à mon réseau Deco, en IPv6.
J'ai donc, toujours dans l'application Deco, créé une règle de pare-feu avec l'IP de la machine concernée et bien sûr le port souhaité.

Cependant, impossible d'y accéder depuis l'extérieur.
Et dans l'interface d'administration de ma Livebox, je ne trouve pas comment ouvrir un port pour une adresse d'un préfixe en délégation, seul le Deco connecté à la Livebox est proposé puisqu'on ne peut choisir qu'un appareil et pas saisir d'adresse.

Pourquoi est-ce que l'accès semble impossible de l'extérieur ?
Aurais-je loupé quelque chose ?

Dans le doute, j'ai mis le niveau de sécurité le plus bas dans les paramètres du pare-feu de la Livebox mais rien n'y change.

Kana-chan · « **Réponse #1 le:** 12 août 2023 à 22:14:26 »

Bonjour,

Votre Deco est-il en DMZ de la Livebox 5 ?
Dans l'interface de la Livebox 5, vous avez la possibilité de forcer les protocoles à rediriger vers le Deco.
Après, c'est le Deco qui doit prendre en charge.

Nardol · « **Réponse #2 le:** 13 août 2023 à 12:11:52 »

Citation de: Kana-chan le 12 août 2023 à 22:14:26

Bonjour,

Votre Deco est-il en DMZ de la Livebox 5 ?
Dans l'interface de la Livebox 5, vous avez la possibilité de forcer les protocoles à rediriger vers le Deco.
Après, c'est le Deco qui doit prendre en charge.

Oui, le Deco est en DMZ qui, sauf erreur de ma part, ne sert que pour l'IPv4.
Je n'ai d'ailleurs aucun problème pour ouvrir un port et y accéder en IPv4 en créant une rèble NAT dans l'application Deco, c'est seulement en IPv6 qu'il m'est impossible d'ouvrir quoi que ce soit sur l'extérieur.

Et autre point qui n'a rien à voir avec la DMZ, j'ai bien revérifié l'IPv6 de la règle et c'est bien celle de la machine à laquelle je veux accéder depuis l'extérieur en IPv6, je me suis dit qu'il fallait bien commencer par le plus évidant

pinomat · « **Réponse #3 le:** 13 août 2023 à 14:35:44 »

Citation de: Nardol le 12 août 2023 à 18:19:51

Bonjour,

J'ai une Livebox 5 et des TP-Link Deco M5 que j'utilise en mode routeur. J'ai donc branché le Deco principal à un port Ethernet de ma Livebox.
Dans l'application Deco, j'ai donc paramétré l'IPv6 en mode IP dynamique, assignation auto, coché délégation de préfixe et ai choisi SLAAC+RDNSS pour l'assignation d'IP.

Jusque là tout va bien, j'ai un préfixe délégué et mes machines récupèrent une IP dans ce préfixe.

Je souhaite ouvrir un port sur une des machines connectée à mon réseau Deco, en IPv6.
J'ai donc, toujours dans l'application Deco, créé une règle de pare-feu avec l'IP de la machine concernée et bien sûr le port souhaité.

Cependant, impossible d'y accéder depuis l'extérieur.
Et dans l'interface d'administration de ma Livebox, je ne trouve pas comment ouvrir un port pour une adresse d'un préfixe en délégation, seul le Deco connecté à la Livebox est proposé puisqu'on ne peut choisir qu'un appareil et pas saisir d'adresse.

Pourquoi est-ce que l'accès semble impossible de l'extérieur ?
Aurais-je loupé quelque chose ?

Dans le doute, j'ai mis le niveau de sécurité le plus bas dans les paramètres du pare-feu de la Livebox mais rien n'y change.

Bonjour,
Sur base de ce que tu dis, il n'y a pas de NAT pour ton IPv6, donc pas de DMZ, ni "d'ouverture de port", c'est du routage pur.
Un packet à destination de ton adresse IPv6 arrive sur la livebox qui gère le préfixe IPv6 qui va l'autoriser ou pas dans les règles firewall (forward). Si le firewall de la livebox autorise le flux, il y a selon moi deux possibilités :
- ton routeur déco gère une plage d'adresses PIv6 et il faut simplement autoriser le flux le packet
- ton routeur sert de passerelle pour la machine, dans ce cas il faut faire du NAT.

Enfin, il faut aussi autoriser le flux dans le firewall de la machine cible.
Il faut pour moi préciser si :
- la machine a une adresse IPv6 valide et si cette dernière fonctionne correctement (faire test un avec un site IPv6)
- Est-ce une connexion 4G/5G

L'idéal serait de tracer le paquet, pas possible sur la livebox mais au moins sur le déco et enfin sur la machine.

jeremyp3 · « **Réponse #4 le:** 13 août 2023 à 15:21:48 »

Bonjour,

vu que j'assiste Nardol dans ce projet je me permet de répondre:

Citation de: pinomat le 13 août 2023 à 14:35:44

Bonjour,
Sur base de ce que tu dis, il n'y a pas de NAT pour ton IPv6, donc pas de DMZ, ni "d'ouverture de port", c'est du routage pur.

Il y a pas de NAT, mais le deco semble avoir un firewall

Citation de: pinomat le 13 août 2023 à 14:35:44

- ton routeur déco gère une plage d'adresses PIv6 et il faut simplement autoriser le flux le packet

c'est justement notre problème.

Citation de: pinomat le 13 août 2023 à 14:35:44

Il faut pour moi préciser si :
- la machine a une adresse IPv6 valide et si cette dernière fonctionne correctement (faire test un avec un site IPv6)

Oui, la machine a bien une IPV6 valide dans le réseau délégué au déco, et on peut sortir avec cette ipv6.

Citation de: pinomat le 13 août 2023 à 14:35:44

- Est-ce une connexion 4G/5G

je suis pas sûre de comprendre la question, mais, si la question est:
est-ce que les tests sont fait avec une connexion 4g /5g pour tenter de tester les services sur l'ip, la réponse est non. On test depuis un autre accès.

En fait, la question que je me pose et à laquelle je n'ai pas de réponse, c'est:

est-ce que quand la livebox attribue un préfixe à un équipement, elle fait encore du firewall sur ce préfixe délégué, ou elle fait le firewall que sur son propre /64 à elle ?

Merci pour la réponse

pinomat · « **Réponse #5 le:** 13 août 2023 à 21:38:22 »

Citation de: jeremyp3 le 13 août 2023 à 15:21:48

En fait, la question que je me pose et à laquelle je n'ai pas de réponse, c'est:

est-ce que quand la livebox attribue un préfixe à un équipement, elle fait encore du firewall sur ce préfixe délégué, ou elle fait le firewall que sur son propre /64 à elle ?

Merci pour la réponse

Re,

Les réponses ont le mérite d'être claires. Pour cette question finale, je n'ai pas testé moi même, mais d'après ce post : https://lafibre.info/ipv6/serveur-ipv6-et-pare-feu-livebox/ : la réponse est oui. Il faudrait autoriser le port dans la même interface que celle de la configuration du parefeu.
D'un point de vue réseau, la Livebox gère le routage du préfixe IPv6 /56 donc elle a une incidence sur tous les paquets de ce préfixe IPv6 /56.

Bonne soirée

Nardol · « **Réponse #6 le:** 14 août 2023 à 10:04:58 »

Citation de: pinomat le 13 août 2023 à 21:38:22

Les réponses ont le mérite d'être claires. Pour cette question finale, je n'ai pas testé moi même, mais d'après ce post : https://lafibre.info/ipv6/serveur-ipv6-et-pare-feu-livebox/ : la réponse est oui. Il faudrait autoriser le port dans la même interface que celle de la configuration du parefeu.

Merci pour ta réponse

Du coup, il faudrait mettre le niveau du pare-feu à personnalisé et rajouter une règle ? Sachant que pour le moment il est au niveau bas donc aucun filtrage entrant/sortant, sauf pour les règles spécifiques IPv6 sur la même page d'après ce que je lis. Du coup je pense que j'ai mal compris mais je préfère demander.
Ou alors est-ce que c'est sur la même interface que là où on définie le niveau de pare-feu ?
Si c'est ça il y a comme un problème, parce qu'on ne peut pas saisir une adresse IPv6, seulement sélectionner un "appareil".
Ce qui pourrait signifier qu'Orange propose la délégation de préfixe sans qu'on puisse ouvrir le moindre port sur l'extérieur... Ce qui semble bien être le cas si je comprends bien ta réponse.

Nardol · « **Réponse #7 le:** 14 août 2023 à 15:30:45 »

Après test, il faut effectivement mettre le pare-feu de la Livebox au niveau Personnalisé, cliquer sur créer des règles personnalisées et créer les règles que l'on souhaite appliquer dans la partie Règles IPv6 puisque dans cette partie, on peut saisir des IPv6 précises et même créer des règles globales au préfixes en spécifiant sa taille.

Merci pour toutes les réponses qui m'ont été données

pgr95 · « **Réponse #8 le:** 01 mars 2024 à 23:14:31 »

C'est bien sur cette dernière partie que je butte.
Je ne comprends pas la logique des règles personalisées IPV6 de la livebox et j'ai l'impression que c'est documenté nul part.
Nardol, depuis ton dernier post, as-tu réussi à exposer ton port en ipv6 ?

Nardol · « **Réponse #9 le:** 02 mars 2024 à 01:51:48 »

Citation de: pgr95 le 01 mars 2024 à 23:14:31

C'est bien sur cette dernière partie que je butte.
Je ne comprends pas la logique des règles personalisées IPV6 de la livebox et j'ai l'impression que c'est documenté nul part.
Nardol, depuis ton dernier post, as-tu réussi à exposer ton port en ipv6 ?

Oui, mais j'admets que c'est pas simple à comprendre et surtout, c'est un peu comme si c'était la première fois à chaque fois

Si je me souviens bien (vu que je n'avais fait que des tests et je n'ai plus rien à ouvrir) il faut saisir le port à ouvrir dans port source et l'IPv6/le préfixe dans IP source.
ça implique une règle entrante.

Mais c'est vraiment sous toute réserve, je décline toute responsabilité etc

Plus sérieusement oui c'est vraiment tordu et c'est vraiment la découverte à chaque fois, j'ai l'impression que sous prétexte que c'est pour utilisateurs avancés c'est fait de la façon la plus opaque possible.

pgr95 · « **Réponse #10 le:** 03 mars 2024 à 20:51:21 »

Merci, j'ai enfin réussi après plusieurs heures de tentatives et de recherche.
Ma config: LiveBox 5 fibre, routeur Unifi UCG Ultra en dmz avec délégation de préfixe, et NAS Synology sur le LAN accessible en v4 et v6 sur les ports que je souhaitais.
Pas évident de comprendre la logique des regles spécifiques du FW de la livebox en v6. $:-\$

shrd · « **Réponse #11 le:** 04 mars 2024 à 12:15:07 »

Le firewall de la livebox en ipv6 ne route pas les paquets entrants comme le mode DMZ en ipv4 sauf à créer telle ou telle règle. ce serait bien d'avoir un mode DMZ en ipv6, ou même plusieurs si on a plusieurs préfixes délégués, qui sauf erreur n'est toujours pas permis à ce jour (sauf nouveauté que j'ai loupé). les règles créees pour le prefixe délégué, sont par ailleurs temporaires si l'ip change , et comme le mode temporary address est le truc par défaut il faut passer manuellement en slaac et espérer que le prefix 56 reste statique longtemps ce qui est le cas pout ma part