La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Nardol le 12 août 2023 à 18:19:51
-
Bonjour,
J'ai une Livebox 5 et des TP-Link Deco M5 que j'utilise en mode routeur. J'ai donc branché le Deco principal à un port Ethernet de ma Livebox.
Dans l'application Deco, j'ai donc paramétré l'IPv6 en mode IP dynamique, assignation auto, coché délégation de préfixe et ai choisi SLAAC+RDNSS pour l'assignation d'IP.
Jusque là tout va bien, j'ai un préfixe délégué et mes machines récupèrent une IP dans ce préfixe.
Je souhaite ouvrir un port sur une des machines connectée à mon réseau Deco, en IPv6.
J'ai donc, toujours dans l'application Deco, créé une règle de pare-feu avec l'IP de la machine concernée et bien sûr le port souhaité.
Cependant, impossible d'y accéder depuis l'extérieur.
Et dans l'interface d'administration de ma Livebox, je ne trouve pas comment ouvrir un port pour une adresse d'un préfixe en délégation, seul le Deco connecté à la Livebox est proposé puisqu'on ne peut choisir qu'un appareil et pas saisir d'adresse.
Pourquoi est-ce que l'accès semble impossible de l'extérieur ?
Aurais-je loupé quelque chose ?
Dans le doute, j'ai mis le niveau de sécurité le plus bas dans les paramètres du pare-feu de la Livebox mais rien n'y change.
-
Bonjour,
Votre Deco est-il en DMZ de la Livebox 5 ?
Dans l'interface de la Livebox 5, vous avez la possibilité de forcer les protocoles à rediriger vers le Deco.
Après, c'est le Deco qui doit prendre en charge.
-
Bonjour,
Votre Deco est-il en DMZ de la Livebox 5 ?
Dans l'interface de la Livebox 5, vous avez la possibilité de forcer les protocoles à rediriger vers le Deco.
Après, c'est le Deco qui doit prendre en charge.
Oui, le Deco est en DMZ qui, sauf erreur de ma part, ne sert que pour l'IPv4.
Je n'ai d'ailleurs aucun problème pour ouvrir un port et y accéder en IPv4 en créant une rèble NAT dans l'application Deco, c'est seulement en IPv6 qu'il m'est impossible d'ouvrir quoi que ce soit sur l'extérieur.
Et autre point qui n'a rien à voir avec la DMZ, j'ai bien revérifié l'IPv6 de la règle et c'est bien celle de la machine à laquelle je veux accéder depuis l'extérieur en IPv6, je me suis dit qu'il fallait bien commencer par le plus évidant :)
-
Bonjour,
J'ai une Livebox 5 et des TP-Link Deco M5 que j'utilise en mode routeur. J'ai donc branché le Deco principal à un port Ethernet de ma Livebox.
Dans l'application Deco, j'ai donc paramétré l'IPv6 en mode IP dynamique, assignation auto, coché délégation de préfixe et ai choisi SLAAC+RDNSS pour l'assignation d'IP.
Jusque là tout va bien, j'ai un préfixe délégué et mes machines récupèrent une IP dans ce préfixe.
Je souhaite ouvrir un port sur une des machines connectée à mon réseau Deco, en IPv6.
J'ai donc, toujours dans l'application Deco, créé une règle de pare-feu avec l'IP de la machine concernée et bien sûr le port souhaité.
Cependant, impossible d'y accéder depuis l'extérieur.
Et dans l'interface d'administration de ma Livebox, je ne trouve pas comment ouvrir un port pour une adresse d'un préfixe en délégation, seul le Deco connecté à la Livebox est proposé puisqu'on ne peut choisir qu'un appareil et pas saisir d'adresse.
Pourquoi est-ce que l'accès semble impossible de l'extérieur ?
Aurais-je loupé quelque chose ?
Dans le doute, j'ai mis le niveau de sécurité le plus bas dans les paramètres du pare-feu de la Livebox mais rien n'y change.
Bonjour,
Sur base de ce que tu dis, il n'y a pas de NAT pour ton IPv6, donc pas de DMZ, ni "d'ouverture de port", c'est du routage pur.
Un packet à destination de ton adresse IPv6 arrive sur la livebox qui gère le préfixe IPv6 qui va l'autoriser ou pas dans les règles firewall (forward). Si le firewall de la livebox autorise le flux, il y a selon moi deux possibilités :
- ton routeur déco gère une plage d'adresses PIv6 et il faut simplement autoriser le flux le packet
- ton routeur sert de passerelle pour la machine, dans ce cas il faut faire du NAT.
Enfin, il faut aussi autoriser le flux dans le firewall de la machine cible.
Il faut pour moi préciser si :
- la machine a une adresse IPv6 valide et si cette dernière fonctionne correctement (faire test un avec un site IPv6)
- Est-ce une connexion 4G/5G
L'idéal serait de tracer le paquet, pas possible sur la livebox mais au moins sur le déco et enfin sur la machine.
-
Bonjour,
vu que j'assiste Nardol dans ce projet je me permet de répondre:
Bonjour,
Sur base de ce que tu dis, il n'y a pas de NAT pour ton IPv6, donc pas de DMZ, ni "d'ouverture de port", c'est du routage pur.
Il y a pas de NAT, mais le deco semble avoir un firewall
- ton routeur déco gère une plage d'adresses PIv6 et il faut simplement autoriser le flux le packet
c'est justement notre problème.
Il faut pour moi préciser si :
- la machine a une adresse IPv6 valide et si cette dernière fonctionne correctement (faire test un avec un site IPv6)
Oui, la machine a bien une IPV6 valide dans le réseau délégué au déco, et on peut sortir avec cette ipv6.
- Est-ce une connexion 4G/5G
je suis pas sûre de comprendre la question, mais, si la question est:
est-ce que les tests sont fait avec une connexion 4g /5g pour tenter de tester les services sur l'ip, la réponse est non. On test depuis un autre accès.
En fait, la question que je me pose et à laquelle je n'ai pas de réponse, c'est:
est-ce que quand la livebox attribue un préfixe à un équipement, elle fait encore du firewall sur ce préfixe délégué, ou elle fait le firewall que sur son propre /64 à elle ?
Merci pour la réponse :)
-
En fait, la question que je me pose et à laquelle je n'ai pas de réponse, c'est:
est-ce que quand la livebox attribue un préfixe à un équipement, elle fait encore du firewall sur ce préfixe délégué, ou elle fait le firewall que sur son propre /64 à elle ?
Merci pour la réponse :)
Re,
Les réponses ont le mérite d'être claires. Pour cette question finale, je n'ai pas testé moi même, mais d'après ce post : https://lafibre.info/ipv6/serveur-ipv6-et-pare-feu-livebox/ (https://lafibre.info/ipv6/serveur-ipv6-et-pare-feu-livebox/) : la réponse est oui. Il faudrait autoriser le port dans la même interface que celle de la configuration du parefeu.
D'un point de vue réseau, la Livebox gère le routage du préfixe IPv6 /56 donc elle a une incidence sur tous les paquets de ce préfixe IPv6 /56.
Bonne soirée
-
Les réponses ont le mérite d'être claires. Pour cette question finale, je n'ai pas testé moi même, mais d'après ce post : https://lafibre.info/ipv6/serveur-ipv6-et-pare-feu-livebox/ (https://lafibre.info/ipv6/serveur-ipv6-et-pare-feu-livebox/) : la réponse est oui. Il faudrait autoriser le port dans la même interface que celle de la configuration du parefeu.
Merci pour ta réponse :)
Du coup, il faudrait mettre le niveau du pare-feu à personnalisé et rajouter une règle ? Sachant que pour le moment il est au niveau bas donc aucun filtrage entrant/sortant, sauf pour les règles spécifiques IPv6 sur la même page d'après ce que je lis. Du coup je pense que j'ai mal compris mais je préfère demander.
Ou alors est-ce que c'est sur la même interface que là où on définie le niveau de pare-feu ?
Si c'est ça il y a comme un problème, parce qu'on ne peut pas saisir une adresse IPv6, seulement sélectionner un "appareil".
Ce qui pourrait signifier qu'Orange propose la délégation de préfixe sans qu'on puisse ouvrir le moindre port sur l'extérieur... Ce qui semble bien être le cas si je comprends bien ta réponse.
-
Après test, il faut effectivement mettre le pare-feu de la Livebox au niveau Personnalisé, cliquer sur créer des règles personnalisées et créer les règles que l'on souhaite appliquer dans la partie Règles IPv6 puisque dans cette partie, on peut saisir des IPv6 précises et même créer des règles globales au préfixes en spécifiant sa taille.
Merci pour toutes les réponses qui m'ont été données :)
-
C'est bien sur cette dernière partie que je butte.
Je ne comprends pas la logique des règles personalisées IPV6 de la livebox et j'ai l'impression que c'est documenté nul part.
Nardol, depuis ton dernier post, as-tu réussi à exposer ton port en ipv6 ?
-
C'est bien sur cette dernière partie que je butte.
Je ne comprends pas la logique des règles personalisées IPV6 de la livebox et j'ai l'impression que c'est documenté nul part.
Nardol, depuis ton dernier post, as-tu réussi à exposer ton port en ipv6 ?
Oui, mais j'admets que c'est pas simple à comprendre et surtout, c'est un peu comme si c'était la première fois à chaque fois :)
Si je me souviens bien (vu que je n'avais fait que des tests et je n'ai plus rien à ouvrir) il faut saisir le port à ouvrir dans port source et l'IPv6/le préfixe dans IP source.
ça implique une règle entrante.
Mais c'est vraiment sous toute réserve, je décline toute responsabilité etc :)
Plus sérieusement oui c'est vraiment tordu et c'est vraiment la découverte à chaque fois, j'ai l'impression que sous prétexte que c'est pour utilisateurs avancés c'est fait de la façon la plus opaque possible.
-
Merci, j'ai enfin réussi après plusieurs heures de tentatives et de recherche.
Ma config: LiveBox 5 fibre, routeur Unifi UCG Ultra en dmz avec délégation de préfixe, et NAS Synology sur le LAN accessible en v4 et v6 sur les ports que je souhaitais.
Pas évident de comprendre la logique des regles spécifiques du FW de la livebox en v6. :-\
-
Le firewall de la livebox en ipv6 ne route pas les paquets entrants comme le mode DMZ en ipv4 sauf à créer telle ou telle règle. ce serait bien d'avoir un mode DMZ en ipv6, ou même plusieurs si on a plusieurs préfixes délégués, qui sauf erreur n'est toujours pas permis à ce jour (sauf nouveauté que j'ai loupé). les règles créees pour le prefixe délégué, sont par ailleurs temporaires si l'ip change , et comme le mode temporary address est le truc par défaut il faut passer manuellement en slaac et espérer que le prefix 56 reste statique longtemps ce qui est le cas pout ma part
-
Le firewall de la livebox en ipv6 ne route pas les paquets entrants comme le mode DMZ en ipv4 [...]
Pour info, IPv4 ≠ IPv6 !?
-
Il suffit d'en parler pour que ça arrive: hier à 02h34, ma livebox a changé d'adresse IPV4 et IPV6.
Donc effectivement, il faut tout modifier dans les règles spécifiques FWv6 à ce moment là.
-
Il suffit d'en parler pour que ça arrive: hier à 02h34, ma livebox a changé d'adresse IPV4 et IPV6.
Donc effectivement, il faut tout modifier dans les règles spécifiques FWv6 à ce moment là.
Merci pour le retour. C'est ennuyeux :-\
Je suis un peu dans la même situation (routeur openwrt derrière une livebox 4 avec délégation de préfixe) et pour éviter d'avoir à passer par le mode personnalisé du parefeu (et son interface pas très amicale), j'ai utilisé LiveboxMonitor ( https://lafibre.info/orange-les-news/controler-son-reseau-livebox-5-ou-6/ ) qui permet de saisir des ipv6 directement pour créer les règles (j'ai laissé le niveau du parefeu à moyen).
-
Il suffit d'en parler pour que ça arrive: hier à 02h34, ma livebox a changé d'adresse IPV4 et IPV6.
Donc effectivement, il faut tout modifier dans les règles spécifiques FWv6 à ce moment là.
en IPV4, le mode DMZ de la livebox permet de faire du double NAT sans problème, et le changement d'IP ne pose pas de problème pour la redirection des ports.
en IPV6 telle qu'elle est implémentée pour le moment, la délégation de préfixe des livebox 4 et 5 (je ne connais pas encore les suivantes) casse les règles en cas de changement d'IPv6 , car les règles gardent les anciennes IPs. ça oblige d'une part à utiliser du SLAAC coté client pour garder une ipv6 fixe sinon une adresse temporaire sera attribuée même sans changement de prefixe /56 et à espérer que le prefixe /56 ne bouge pas. ça reste gérable pour une utilisation personnelle car le prefixe /56 est quasi statique pendant longtemps, mais c'est pas très sérieux car loin de la philosophie IPv6. plusieurs délégations de préfixe et un mode redirection de ports complets à cocher à coté (DMZ) serait pas mal.
-
Bonjour !
D'un point de vue réseau, la Livebox gère le routage du préfixe IPv6 /56 donc elle a une incidence sur tous les paquets de ce préfixe IPv6 /56.
Le préfixe est exploité par la Livebox pour lui permettre de router les paquets. Trouver la bonne route.
À mon avis, il serait préférable de ne pas confondre routage et filtrage.
Cela dit, je me trompe tout le temps avec le sens. Et la documentation Orange sur le sujet est inexistante.
On ne sait pas vraiment ce que signifie « Intervalle adresse IP source » et « [...] destination » (voir image en pièce-jointe).
Ça oblige d'une part à utiliser du SLAAC coté client pour garder une ipv6 fixe sinon une adresse temporaire sera attribuée même sans changement de prefixe /56 et à espérer que le prefixe /56 ne bouge pas.
C'est le routeur, et non pas le client, qui impose le mode d'attribution des adresses. De plus, le type d'adresse IPv6 alloué (statique, stable, temporaire) n'est pas obligatoirement corrélé
au mécanisme d'allocation (DHCP, SLAAC). On peut également définir des baux statiques avec un serveur DHCPv6 ou spécifier une adresse temporaire avec SLAAC (sur chaque hôte).
-
J'ai supprimé mon post précédent après plus ample réflexion. Ma supposition était sûrement trop induite.
Il faut deviner faute d'information.
Intervalle adresse IP source
::94ca:b01d:bf28:ca8e/::f5a1:f40c:c515:aa44
Je me demande si un truc du genre pourrait fonctionner.
Les deux bornes de l'intervalle étant délimité par la barre oblique. Et les caractères deux points (à gauche) servant à indiquer que l'on spécifie la partie IID de l'adresse IP.
Mais cela me paraît un peu tordu comme configuration.
Édition : on retrouve ce procédé (https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples#dynamic_prefix_forwarding) dans OpenWrt.
-
Je joint une jolie image pour mieux visualiser.
Le concept c'est de se représenter un intervalle d'identifiants d'interface (IID) à la façon d'un préfixe (plage d'adresses).
-
J'ai fait quelques tests sous OpenWrt.
uci set firewall.@rule[-1].dest_ip="::1/-64"
uci set firewall.@rule[-1].dest_ip="::1/::f5a1:f40c:c515:aa44"
Le principe que j'ai formulé dans le post précédent ne fonctionne pas. Il semblerait qu'il faille spécifier l'IID de l'hôte. Ce n'est pas vraiment un intervalle d'adresses IP ?
-
Ce qui suit la barre oblique est un masque binaire. :-[
-
Re : Je viens de tester le champ « Intervalle adresse IP source » dans l'interface de la Livebox.
Vérifiez que l'intervalle adresse IP est saisi avec le format adresseIPv6/longueur du masque entre 0 et 128.
On peut ouvrir un port dans le pare-feu pour un hôte spécifique ou pour tous les hôtes.
-
Quelqu'un a t'il testé sur sa Livebox ? Actuellement, je ne peux pas.
+ voir mon post à propos du pare-feu sur un routeur (https://lafibre.info/orange-les-news/livebox-5-vs-livebox-6-dhcpv6-pd/msg1063295/#msg1063295).