Auteur Sujet: Retour d'expérience sur un réseau local en IPv6 ? (Lu 2454 fois)

nscheffer · « **Réponse #24 le:** 20 février 2024 à 14:30:58 »

Bonjour à tous,

Je profite de ce nouveau thread sur le sujet IPv6 pour partager mes retours et mes interrogations.
J'ai depuis quelques années plus d'un lien WAN, 2 Fibre (Orange et Orange Pro) et un routeur 4G/5G qui suivant le matériel peut être soit Ipv4 only ou sinon IPv6 only et c'est l'opérateur qui fera "la NAT64".
J'utilise du SD-WAN principalement sur les deux Fibres Orange pour la sortie internet avec deux réseaux internes Prod (10.255.10.0/24 vlan 10) et Invité (10.255.11.0/24 vlan 11) pour simplifier.
J'ai donc sur chaque interface wan de mon routeur/firewall une IPv6 coté WAN, un préfixe /64 attribué en attente utilisé ou pas.
Pour la partie IPv4 c'est facile rien à dire du classique (DHCP, DNS, etc...).

Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas

Bref dans les deux cas je trouve que c'est pas top, des idées, des suggestions pour faire autrement ?
Je précise que si l'on dispose d'un seul lien WAN les interrogations ne se posent pas, seulement à partir de deux liens que ca devient...

artemus24 · « **Réponse #25 le:** 20 février 2024 à 14:41:56 »

Question de néophyte à expert réseau. Mon FAI SFR me fournit un dual stack IPv4 et IPv6, tous les deux en DHCP. A quoi peut bien me servir de faire ce genre de translation ipv6 / ipv4 ?

Je récupère l'adresse IPv4 WAN ainsi que la délégation de préfixe IPv6 WAN de mon FAI SFR. Si j'ai besoin de créer deux ou plusieurs ponts, je vais me servir des adresses WAN de SFR. A quoi bon faire compliqué (enfin, c'est ce que pense sur ce sujet) quand la solution est d'utiliser les adresses IP WAN de ton FAI ?

En quoi utiliser l'IPv4 dans ton réseau local serait une hérésie ?

Au niveau de mon réseau local, je ne vois pas pourquoi je devrais procéder différemment. Pour ma culture personnelle, j'aimerai avoir des explications sur l'utilité DNS64 & NAT64 à mon niveau, pas à celui du FAI ou à l'internationnal.

@+

Nh3xus · « **Réponse #26 le:** 20 février 2024 à 16:46:24 »

Ya pas de NAT64 / DNS64 en FTTH si tu as du dual stack ipv4 + ipv6.

Je ne comprends pas tes explications.

artemus24 · « **Réponse #27 le:** 21 février 2024 à 02:49:45 »

@Nh3xus : Je m'interroge sur le bien fondé d'adopter cette configuration sachant que je suis chez un FAI en FTTH. En gros, ce sujet n'a aucun intérêt.

shrd · « **Réponse #28 le:** 21 février 2024 à 03:02:05 »

Citation de: nscheffer le 20 février 2024 à 14:30:58

Bonjour à tous,

Je profite de ce nouveau thread sur le sujet IPv6 pour partager mes retours et mes interrogations.
J'ai depuis quelques années plus d'un lien WAN, 2 Fibre (Orange et Orange Pro) et un routeur 4G/5G qui suivant le matériel peut être soit Ipv4 only ou sinon IPv6 only et c'est l'opérateur qui fera "la NAT64".
J'utilise du SD-WAN principalement sur les deux Fibres Orange pour la sortie internet avec deux réseaux internes Prod (10.255.10.0/24 vlan 10) et Invité (10.255.11.0/24 vlan 11) pour simplifier.
J'ai donc sur chaque interface wan de mon routeur/firewall une IPv6 coté WAN, un préfixe /64 attribué en attente utilisé ou pas.
Pour la partie IPv4 c'est facile rien à dire du classique (DHCP, DNS, etc...).

Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas

Bref dans les deux cas je trouve que c'est pas top, des idées, des suggestions pour faire autrement ?
Je précise que si l'on dispose d'un seul lien WAN les interrogations ne se posent pas, seulement à partir de deux liens que ca devient...

salut, avec 2 wans, tu voudrais diffuser les 2 prefixes GUAs sur tous tes PCs, ce qui ferait de la redondance et du balancing car il y aurait 2 routes à chaque fois ?
ce serait amusant de pouvoir faire ça, mais avec les liveboxs et les delegations de prefixe qui fonctionnent bizarrement, on pourrait pas ouvrir de port sur tel ou tel pc, ce serait alors plus simple avec 2 ports réseau par PC derriere les 2 livebox.

Au moins le NAT66 fonctionne en attendant mieux même si on se partage que une ou quelques IPs qu'on peut loadbalancer d'ailleurs puisque je le pratique derriere la livebox5

basilix · « **Réponse #29 le:** 21 février 2024 à 06:40:48 »

Citation de: Nh3xus le 20 février 2024 à 16:46:24

Ya pas de NAT64 / DNS64 en FTTH si tu as du dual stack ipv4 + ipv6.

Je ne comprends pas tes explications.

Ce sont des logiciels qu'on peut potentiellement intégrer au micrologiciel de son routeur. Mon routeur fonctionne avec un micrologiciel Open Source (OpenWrt).
Ce micrologiciel est basé sur le noyau Linux. NAT64 + DNS64 est une technologie de transition vers IPv6. DNS64 permet de forger des adresses IPv6 issues
d'adresses IPv4 provenant de l'Internet IPv4. Après traduction du NAT64, l'idée est de n'obtenir que des adresses IPv6. Les FAI peuvent ne pas l'implémenter
dans leur routeur CPE pour plusieurs raisons : coût d'une infrastructure en double pile (certains ont une infra. quasiment que IPv6 mais moins performante en
IPv4), dégradation potentielle de la connectivité IPv4 / IPv6, des clients rencontrant des difficultés avec IPv6... Pour que le NAT64 + DNS64 fonctionne, il faut
des nœuds en double pile sur les équipements réseaux aux extrémités du réseau (dont l'emplacement peut varier). Donc, ce qu'il faut retenir c'est que tous
les opérateurs réseaux n'ont pas choisi la même stratégie de migration vers IPv6 (laquelle est elle-même variable sur site).

artemus24 · « **Réponse #30 le:** 21 février 2024 à 07:12:21 »

@ Basilix : ce message m'était adressé et non à Nh3xus.

Je ne sais pas trop si tu peux répondre à ma question, mais est-ce que j'ai un vrai serveur DHCP IPv4 en FTTH chez SFR ?
Si je consulte la page 192.168.1.1 / state / wan, la BOX SFR m'indique que le protocole utilisé est DHCP pour l'IPv4 & l'IPv6.
Suis-je bien en double stack ?

Si c'est le cas alors le NAT64 et le DNS64 ne me servent à rien puisque Nh3xus dit :

Citation de: Nh3xus

Ya pas de NAT64 / DNS64 en FTTH si tu as du dual stack ipv4 + ipv6

Ce que je ne comprends pas, tu es bien chez Orange, donc derrière ta LiveBox.
Es tu aussi en double stack ? Si c'est non alors qu'est-ce que tu as comme protocole ?

Paul · « **Réponse #31 le:** 21 février 2024 à 08:57:35 »

Citation de: nscheffer le 20 février 2024 à 14:30:58

Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas

J'imagine que ton problème est la conservation du failover. Là, je ne vois pas comment tu pourrais faire autrement qu'avec des adresses privées en effet, car chez Orange, chacun de tes préfixes ne sera routé que vers sa passerelle respective (son IPv6 sur son interface WAN). Si tes machines ont une adresse dans un des préfixes et que le lien qui en dépend tombe en panne, la route par défaut sur les périphériques leur empêchera d'avoir une connexion autrement que vers cette passerelle.

Une solution, mais qui ne sera pas possible chez Orange, est qu'il faudrait qu'un 3e préfixe (routable bien entendu) soit routé vers toi par les 2 passerelles et avec du routage dynamique, ça bascule selon. Mais ça, ce n'est pas possible avec tes offres.

Il est possible que j'oublie des solutions, je n'ai pas encore eu l'occasion d'en faire.

basilix · « **Réponse #32 le:** 23 février 2024 à 07:52:24 »

Hello !

J'ai plusieurs choses encore à mettre en œuvre avant de tester. J'espère que Jool (stateful NAT64) + Unbound (DNS64) fera l'affaire.
Je pense notamment à la configuration du pare-feu. ~~Jool utilise l'interface pare-feu « iptables ». Cela fait un entre-deux iptables / nftables.~~

Dans mon cas, le micrologiciel de mon routeur, OpenWrt, a migré vers nftables. ~~En conséquence, la configuration de Jool est basée sur Netfilter.~~

Un autre problème c'est le CLAT. Je ne crois pas que je pourrais l'intégrer dans mon réseau IPv6. Il semblerait que MS Windows n'a pas
de logiciel intégré pour le CLAT sur PC. Par exemple, il me semble Skype ne fonctionne pas en IPv6. Sur GNU/Linux, j'espère que
les applications supportent bien l'IPv6.

basilix · « **Réponse #33 le:** 25 février 2024 à 08:22:13 »

Bonjour !

J'ai trouvé un hyperlien vers un diaporama sur le sujet « IPv6-mostly on OpenWRT » par Ondřej Caletka (RIPE 87).

+ La vidéo de la présentation (hyperlien)