Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (configuration IPv6) (Lu 32985 fois)

mike78530 · « **Réponse #72 le:** 09 août 2017 à 20:26:45 »

Citation de: hoyohoyo le 09 août 2017 à 20:07:57

Salut non, j'ai même le problème c'est que mes site web de l’extérieur en ipv6 ne sont pas accesible aussi ...

zut, j'ai même forcé les DNS ipv6 dans la config de la carte réseau mais sans succès

autre question, quand je vais sur le site http://ipv6-test.com/ j'ai la catégorie ICMP qui est en "Filtered" c'est normal ? (windows 10 et firefox/IE/chrome)

zoc · « **Réponse #73 le:** 09 août 2017 à 20:34:41 »

Mes sites sont accessibles en IPv6 et ICMP est affiché comme "Reachable" sur le test, en ce qui me concerne.

Vérifier vos règles de firewall (WAN6_IN notamment)...

Pour le filtered en ICMP, j'imagine que c'est sous Windows et que c'est pour la même raison (inconnue) que les ping qui échouent...

hoyohoyo · « **Réponse #74 le:** 09 août 2017 à 20:40:51 »

voila mon IN

Code: [Sélectionner]

ipv6-name WANv6_IN {
        default-action drop
        description "WANv6 inbound traffic forwarded to LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
    }

mike78530 · « **Réponse #75 le:** 09 août 2017 à 20:42:42 »

Citation de: zoc le 09 août 2017 à 20:34:41

Mes sites sont accessibles en IPv6 et ICMP est affiché comme "Reachable" sur le test, en ce qui me concerne.

Vérifier vos règles de firewall (WAN6_IN notamment)...

Pour le filtered en ICMP, j'imagine que c'est sous Windows et que c'est pour la même raison (inconnue) que les ping qui échouent...

exacte je teste sur un iphone et tout passe

les mystères de windows

zoc · « **Réponse #76 le:** 09 août 2017 à 20:43:56 »

Bah déjà rien que là tous les ports sont fermés, pas étonnant qu'aucun site ne soit accessible en IPv6... Il faut rajouter des règles pour les ports 80 et 443, voir d'autres pour d'autres types de services...

Par contre ICMP est autorisé, et je comprends toujours pas pourquoi ca ne passe pas. Personnellement (il faut que je dégaine Wireshark), je pense que le fautif c'est Windows et qu'il n'envoie même pas les paquets ICMP sur le réseau. Si le problème c'était l'ERL, ça ne marcherait pas non plus sur un mac ou un smartphone android.

zoc · « **Réponse #77 le:** 09 août 2017 à 21:14:31 »

Ok, donc en fait l'ERL ne répond pas aux requêtes NS (Neighbor Solicitation) de Windows alors qu'il devrait...

La question en suspend: Pourquoi il répond à celles de macOS et Linux

kgersen · « **Réponse #78 le:** 09 août 2017 à 21:16:20 »

Il me semble que par défaut Windows bloque les icmpv6 entrants distants (hors du prefix de la machine) et c'est lié au partage de fichiers.

voir ce post: https://lafibre.info/ipv6/livebox-ping-ipv6-internet-vers-moi-impossible/msg279870/#msg279870

hoyohoyo · « **Réponse #79 le:** 09 août 2017 à 21:39:08 »

Par contre même mac ou linux, dehors de chez moi uù il y a de l'ipv6 je peux ping mes ipv6 de chez moi, mais y accéder à partir du navigateur
C'est possible d'ouvrir des port en IPV6 ?

Code: [Sélectionner]

PS C:\Windows\system32> Get-NetFirewallRule -Name *icmp6* | where {$_.Direction -eq "Inbound"} | select Name, DisplayNam
e, Profile, Enabled

Name                     DisplayName                                                                       Profile Enab
                                                                                                                    led
----                     -----------                                                                       ------- ----
CoreNet-ICMP6-LD-In      Réseau de base - Écouteur de multidiffusion terminé (ICMPv6 entrant)                  Any True
CoreNet-ICMP6-LR2-In     Réseau de base - Rapport d’écouteur de multidiffusion v2 (ICMPv6 entrant)             Any True
CoreNet-ICMP6-LR-In      Réseau de base - Rapport d’écouteur de multidiffusion (ICMPv6 entrant)                Any True
CoreNet-ICMP6-LQ-In      Réseau de base - Requête d’écouteur de multidiffusion (ICMPv6 entrant)                Any True
CoreNet-ICMP6-RS-In      Réseau de base - Sollicitation de routeur (ICMPv6-Entrant)                            Any True
CoreNet-ICMP6-RA-In      Réseau de base - Publication de routage (ICMPv6 entrant)                              Any True
CoreNet-ICMP6-NDA-In     Réseau de base - Publication de découverte de voisin (ICMPv6 entrant)                 Any True
CoreNet-ICMP6-NDS-In     Réseau de base - Sollicitation de découverte de voisin (ICMPv6 entrant)               Any True
CoreNet-ICMP6-PP-In      Gestion réseau de base - problème de paramètres (ICMPv6 entrant)                      Any True
CoreNet-ICMP6-TE-In      Gestion réseau de base - temps dépassé (ICMPv6 entrant)                               Any True
CoreNet-ICMP6-PTB-In     Réseau de base - Paquet trop important (ICMPv6 entrant)                               Any True
CoreNet-ICMP6-DU-In      Gestion réseau de base - Destination inaccessible (ICMPv6 entrant)                    Any True
FPS-ICMP6-ERQ-In         Partage de fichiers et d’imprimantes (Demande d’écho - ICMPv6 entrant)    Private, Public True
FPS-ICMP6-ERQ-In-NoScope Partage de fichiers et d’imprimantes (Demande d’écho - ICMPv6 entrant)             Domain ...e

Code: [Sélectionner]

ping google.com

Envoi d’une requête 'ping' sur google.com [2a00:1450:4007:812::200e] avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour 2a00:1450:4007:812::200e:
    Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

zoc · « **Réponse #80 le:** 09 août 2017 à 21:51:13 »

Comme je l'ai dit plus haut, il faut rajouter des règles dans WAN6_IN, genre

Code: [Sélectionner]

 rule 100 {
     action accept
     description webserver
     destination {
         address ::XXXX:XXXX:XXXX:XXXX/::ffff:ffff:ffff:ffff
         port 80,443
     }
     log disable
     protocol tcp
 }

XXXX doit être remplacé par les 64 derniers bits de l'adresse du serveur WEB. Cette syntaxe permet que la règle reste valide même si le préfixe IPv6 change... Il est aussi possible de ne pas mettre d'adresse de destination, mais du coup toutes les machines auront leur port 80 et 443 ouvert...

Nh3xus · « **Réponse #81 le:** 09 août 2017 à 21:53:46 »

Je ne connaissais pas cette possibilité dans le parefeu d'Edge OS.

C'est très intéressant.

Mais côté serveur, genre un Linux, comment tu "figes" les 64 derniers bits de l'adresse de ton serveur sans utiliser l'EUI-64 ?

zoc · « **Réponse #82 le:** 09 août 2017 à 21:55:29 »

En fait c'est iptables qui supporte cette syntaxe

Par contre, du coup, vu que tu fais du SLAAC tu es effectivement obligé d'utiliser EUI-64... Je ne pense pas qu'il y ait vraiment d'autre solution avec un préfixe qui peut potentiellement changer...

Nh3xus · « **Réponse #83 le:** 09 août 2017 à 21:58:17 »

Citation de: zoc le 09 août 2017 à 21:55:29

En fait c'est iptables qui supporte cette syntaxe

ça non plus, je ne le savais pas. Merci

Citer

Par contre, du coup, vu que tu fais du SLAAC tu es effectivement obligé d'utiliser EUI-64... Je ne pense pas qu'il y ait vraiment d'autre solution avec un préfixe qui peut potentiellement changer...

Je m'en doutais un peu. $:-\$