Auteur Sujet: Retour d'expérience sur un réseau local en IPv6 ? (Lu 2451 fois)

jeremyp3 · « **Réponse #12 le:** 18 février 2024 à 15:48:41 »

Citation de: artemus24 le 18 février 2024 à 15:16:14

Si tu veux accéder à tous les sites internet, tu ne peux pas faire l'impasse sur l'IPv4.

les commentaires au-dessus du tiens explique justement comment faire sans ipv4 direct sur les machines pour quand même accéder au sites IPV4 en ayant que de l'IPV6 sur les machines

Citation de: artemus24 le 18 février 2024 à 15:16:14

Je ne suis pas certain de cela car cela pourrait rendre l'internet inaccessible à des gens qui sont et resteront en IPv4.
Sauf que ceux qui sont restés en IPv4 n'auront pas l'accès aux sites qui sont exclusivement en IPv6.

j'ai envie de dire, tant pis pour eux.

basilix · « **Réponse #13 le:** 18 février 2024 à 15:53:49 »

@simon : Ça fait plaisir à entendre !

Mais je crains de faire un trop plein d'information (saturer avec la charge mentale). J'avais oublié qu'on pouvait faire du SLAAC grâce aux
annonces de routeurs (RA) en configurant les interfaces du routeur. Je manque de pratique (pas trouvé le temps de faire les TP n°3 & 4 du MOOC IPv6).

Merci beaucoup pour l'indication des logiciels choisis.

basilix · « **Réponse #14 le:** 18 février 2024 à 15:59:54 »

@artemus24 :

Pourquoi se priver d'IPv4 ?

On a besoin que de IPv6. Comme l'a très justement exprimé @zoc : entre une calèche et une voiture, les gens préfèrent la voiture.

artemus24 · « **Réponse #15 le:** 18 février 2024 à 17:00:27 »

Citation de: jeremyp3

j'ai envie de dire, tant pis pour eux.

De quel point de vue tu te places pour dire cela ?

Je ne parlais pas pour ceux qui sont dans nos pays évolués mais pour ceux où cette infrastructure (IPv6) serait hors de prix.
Il y a le projet ambitieux de M. Elon Musk, StarLink, pour remédier à cela.

@ Basilix : tu n'as pas répondu à la question.
En ce qui me concerne, je récupère l'adresse IPv4 WAN ainsi que la délégation du préfixe IPv6 fournie par mon FAI.
Pourquoi veux tu que je me complique l'existence ?

Si mon FAI venait à me fournir que de l'IPv6, alors oui, je chercherais une solution pour avoir encore accès à l'IPv4.
Mais quand cela arrivera, est-ce qu'il sera encore utilise d'avoir un accès à l'IPv4 ?

buddy · « **Réponse #16 le:** 18 février 2024 à 17:28:27 »

Citation de: artemus24 le 18 février 2024 à 17:00:27

De quel point de vue tu te places pour dire cela ?
Je ne parlais pas pour ceux qui sont dans nos pays évolués mais pour ceux où cette infrastructure (IPv6) serait hors de prix.
Il y a le projet ambitieux de M. Elon Musk, StarLink, pour remédier à cela.

De quoi parles tu ?
Où et pourquoi l'infra IPv6 serait elle hors de prix dans quelques années dans ces pays? De plus en plus de matériel gère IPv6, le prix des matériels baissent et le matos d'occasion existera toujours ...
Quel rapport avec Musk ? Son but c'est de proposer internet par satellite partout sur le globe, aucun rapport avec IPv4 ou IPv6. après c'est sur que si tu n'as pas internet tu n'as pas IPv6, mais tu n'as pas non plus IPv4.

renaud07 · « **Réponse #17 le:** 18 février 2024 à 20:08:21 »

Citation de: zoc le 22 janvier 2024 à 11:07:56

Je fais encore du dual-stack en ce qui me concerne, par contre depuis mon LAN j'accède les services que j'auto-héberge uniquement en IPv6 (mon serveur DNS interne ne contient plus d'enregistrements A). Accessoirement j'annonce un double préfixe sur mon LAN (enfin mes VLANs): un GUA soumis à potentiel changement du fait d'Orange, et un ULA qui ne change jamais et qui me sert pour mes communications internes).

Mon VPN "roadwarrior" (wireguard) est par contre lui en IPv6 only, et de plus avec des adresses de type ULA uniquement (pour éviter de devoir reconfigurer manuellement tous les clients si le préfixe fourni par Orange change), ce qui veut dire que:
Je fais du NAT64/DNS64 pour joindre les machines V4 only. Pour cela j'ai une VM OpenWRT (que je déteste) dédiée, bientôt remplacée par une VM VyOS car le support de NAT64 vient d'y être ajouté (RouterOS ne supporte pas encore NAT64)

VyOS est devenu payant depuis un petit moment, hormis les build nightly à ce que je vois. Tu vas utiliser celles-ci du coup ? Car payer 6k à l'année... Ça me rappelle un certain pfsense après le rachat par netgate, mais au moins y'a toujours la version conmunity et pas juste du nightly potentiellement buggé.

Pour le NAT64, tu peux regarder du côté de Jool aussi, je sais pas si tu connais, ça marche plutôt bien : https://nicmx.github.io/Jool/en/index.html

Citation de: zoc le 22 janvier 2024 à 11:07:56

Je fais du NAT66 sur mon routeur d'accès (CCR2004) pour passer des adresses ULA vers des adresses GUA lorsque le destinataire est hors de mon LAN. La règle NAT66 est mise à jour automatiquement à partir du préfixe Orange obtenu par DHCP6-PD

Tu as des VLAN ULA only donc ? C'est vraiment du NAT66 (paaaas bien) ou de la translation de préfixe ?

zoc · « **Réponse #18 le:** 18 février 2024 à 20:22:38 »

J'ai viré OpenWRT et remplacé par VyOS il y a 15 jours.

Citation de: renaud07 le 18 février 2024 à 20:08:21

VyOS est devenu payant depuis un petit moment, hormis les build nightly à ce que je vois. Tu vas utiliser celles-ci du coup ?

Oui, j'utilise la nightly. Je l'avais déjà utilisée d'ailleurs pendant de très long mois pour faire un serveur wireguard avant de le remplacer par le support natif de Wireguard dans RouterOS (lors de mon passage du matériel Ubiquiti vers Mikrotik), et en pratique il y a eu extrêmement peu de build problématiques sachant que je mettais à jour environ chaque mois. Et au pire il était toujours possible de revenir sur la build précédente.

Citer

Pour le NAT64, tu peux regarder du côté de Jool aussi

VyOS utilise Jool pour implémenter NAT64.

Citer

Tu as des VLAN ULA only donc ? C'est vraiment du NAT66 (paaaas bien) ou de la translation de préfixe ?

J'ai UN VLAN IPv6 ULA only : Celui des clients VPN Wireguard roadwarrior. Et je fais bien de la translation de préfixe (cible netmap dans RouterOS). J'ai d'autres tunnels wireguard site-to-site en IPv6 only, avec des adresses LinkLocal uniquement du coup (suffisant pour faire de l'OSPFv3). Evidemment pas de traffic IPv4 sur ces tunnels, ni besoin de NAT64 vu que les réseaux interconnectés sont tous en IPv6.

Du coup le seul point restant qui me chagrine c'est le double NAT pour les cibles IPv4 only : NAT64 (VyOS) -> NAT44 (RouterOS) -> IPv4 publique Orange. Malheusement impossible à résoudre tant que RouterOS ne fera pas de NAT64...

renaud07 · « **Réponse #19 le:** 18 février 2024 à 21:04:14 »

Citation de: zoc le 18 février 2024 à 20:22:38

J'ai viré OpenWRT et remplacé par VyOS il y a 15 jours.
Oui, j'utilise la nightly. Je l'avais déjà utilisée d'ailleurs pendant de très long mois pour faire un serveur wireguard avant de le remplacer par le support natif de Wireguard dans RouterOS (lors de mon passage du matériel Ubiquiti vers Mikrotik), et en pratique il y a eu extrêmement peu de build problématiques sachant que je mettais à jour environ chaque mois. Et au pire il était toujours possible de revenir sur la build précédente.

Ça va alors, je pensais que la stabilité en prendrait un coup. Tant mieux.

Citation de: zoc le 18 février 2024 à 20:22:38

VyOS utilise Jool pour implémenter NAT64.

Ah super, comme quoi ça doit vraiment bien marcher. Et est-ce que tu sais si MAP-T est implémenté (il me semble pas) ? Car vu que c'est sur la version 4.2 de Jool (toujours en RC par contre), autant s'en servir. Il y avait eu en 2014 une implémentation non officielle (que je n'ai pas réussi à faire fonctionner pour le moment, elle est un peu bizarre), mais pas trop de news depuis.

Citation de: zoc le 18 février 2024 à 20:22:38

J'ai UN VLAN IPv6 ULA only : Celui des clients VPN Wireguard roadwarrior. Et je fais bien de la translation de préfixe (cible netmap dans RouterOS). J'ai d'autres tunnels wireguard site-to-site en IPv6 only, avec des adresses LinkLocal uniquement du coup (suffisant pour faire de l'OSPFv3). Evidemment pas de traffic IPv4 sur ces tunnels, ni besoin de NAT64 vu que les réseaux interconnectés sont tous en IPv6.

Je me disais aussi, faire du NAT66 avec toute cette install où tu n'as presque aucune limitation, c'était bizarre.

Citation de: zoc le 18 février 2024 à 20:22:38

Du coup le seul point restant qui me chagrine c'est le double NAT pour les cibles IPv4 only : NAT64 (VyOS) -> NAT44 (RouterOS) -> IPv4 publique Orange. Malheusement impossible à résoudre tant que RouterOS ne fera pas de NAT64...

Vu qu'il n'y a pas de l'entrant en v4, ça peut bien traverser 2 NAT c'est bien très grave, à moins que ça te pose des problèmes pour certains services, même en sortant ?

J'ai ré-expérimenté ces jours-ci l'ipv6 only, mais j'ai toujours des apps qui n'aiment pas, même android me fait des fois des caprices (la connexion n'est pas détectée correctement) $:-\$ Et s'il faut faire du CLAT en plus et ravoir une dual-stack, ça n'a aucun intérêt...

zoc · « **Réponse #20 le:** 19 février 2024 à 08:11:49 »

Citation de: renaud07 le 18 février 2024 à 21:04:14

Et est-ce que tu sais si MAP-T est implémenté (il me semble pas) ?

Pas de MAP-T, non.

Citer

Vu qu'il n'y a pas de l'entrant en v4, ça peut bien traverser 2 NAT c'est bien très grave...

Non, effectivement, mais bon

basilix · « **Réponse #21 le:** 19 février 2024 à 08:18:55 »

Tayga fonctionne en mode sans-état. Apparemment, on peut utiliser des adresses IPv4 privées pour la traduction d'adresse.
On peut donc avoir IPv6 --> IPv4 privée --> IPv4 publique. C'est du NAT64 + NAT44.

Néanmoins, sur le site Web de Tayga, il est indiqué que le logiciel est performant.

Il y a aussi Jool comme indiqué par @renaud07. La documentation de OpenWrt le recommande.

Je me demande si le téléphone pourrait également fonctionner dans un réseau IPv6. Et si j'arrive jusque là, il faudrait aussi que je vérifie la compatibilité de mes applications ~~(passerelle applicative)~~.

artemus24 · « **Réponse #22 le:** 19 février 2024 à 10:02:42 »

Citation de: Basilix

Je me demande si le téléphone pourrait également fonctionner dans un réseau IPv6. Et si j'arrive jusque là, il faudrait aussi que je vérifie la compatibilité de mes applications (passerelle applicative).

J'ai configuré Asterisk pour avoir le téléphone SFR en VOIP/SIP et malheureusement, c'est en IPV4 qu'il fonctionne, pas en IPv6.
J'utilise des ESP32 pour la domotique, et ceux-ci ne fonctionnent qu'en IPv4.
Mes Raspberry PI fonctionnent en IPv4 & IPv6.
Le décodeur TV Plus SFR fonctionne qu'en IPv4.

Pas aussi simple que d'avoir uniquement l'IPv6 dans son réseau local.

renaud07 · « **Réponse #23 le:** 19 février 2024 à 21:04:33 »

Citation de: basilix le 19 février 2024 à 08:18:55

Tayga fonctionne en mode sans-état. Apparemment, on peut utiliser des adresses IPv4 privées pour la traduction d'adresse.
On peut donc avoir IPv6 --> IPv4 privée --> IPv4 publique. C'est du NAT64 + NAT44.

Néanmoins, sur le site Web de Tayga, il est indiqué que le logiciel est performant.

Il y a aussi Jool comme indiqué par @renaud07. La documentation de OpenWrt le recommande.

Utiliser des IP publiques sur une connexion GP serait un peu compliqué. On peut imaginer pour une entreprise qui dispose d'un préfixe d'allouer celui-ci pour le NAT, même si ça serait du gâchis à l'heure actuelle. Il vaut mieux utiliser des IP privées comme recommandé puis coupler à un NAT44, car il faut bien calculer son coup sur le nombre d'adresses nécessaires, même si elles sont libérées après 2h d'inutilisation.