La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: basilix le 22 janvier 2024 à 09:17:35
-
Bonjour à tous !
Je souhaite faire la transition du réseau local vers IPv6 en remplaçant ma Livebox 5.
Y a t'il des gens dont le réseau local fonctionne principalement en IPv6 (sans IPv4) ? Pouvez-vous partager des retours d'expérience ?
Est-ce que tout fonctionne correctement ?
-
Bonjour,
Cela doit être possible sans remplacer la Livebox 5, il suffit de couper son DHCPv4 et d'activer son IPv6 dans la rubrique Réseau, je pense.
-
@Kana-chan
Je préférerais remplacer ma Livebox. Cela me permet de progresser en réseautique et surtout de renforcer la sécurité.
Je termine mon MOOC « Objectif IPv6 » cette semaine. Il faut ensuite que je me forme sur les dispositifs de sécurité à
mettre en place (mais ce sera plutôt facile à faire en considérant la solution que j'ai envisagé). De cette manière, j'espère
définir un pare-feu fiable sur mon routeur OpenWrt et mieux contrôler le trafic.
Mon but est de cloisonner le réseau local pour me permettre d'auto-héberger des services accessibles au public.
J'ai trouvé un fil de discussion intéressant sur le forum : Free / Passage réseau local IPv6-only et NAT64 (6rd?) (https://lafibre.info/ipv6/free-passage-reseau-local-ipv6-only-et-nat64-6rd/12/).
-
Y a t'il des gens dont le réseau local fonctionne principalement en IPv6 (sans IPv4) ? Pouvez-vous partager des retours d'expérience ?
Est-ce que tout fonctionne correctement ?
Je fais encore du dual-stack en ce qui me concerne, par contre depuis mon LAN j'accède les services que j'auto-héberge uniquement en IPv6 (mon serveur DNS interne ne contient plus d'enregistrements A). Accessoirement j'annonce un double préfixe sur mon LAN (enfin mes VLANs): un GUA soumis à potentiel changement du fait d'Orange, et un ULA qui ne change jamais et qui me sert pour mes communications internes).
Mon VPN "roadwarrior" (wireguard) est par contre lui en IPv6 only, et de plus avec des adresses de type ULA uniquement (pour éviter de devoir reconfigurer manuellement tous les clients si le préfixe fourni par Orange change), ce qui veut dire que:
- Je fais du NAT64/DNS64 pour joindre les machines V4 only. Pour cela j'ai une VM OpenWRT (que je déteste) dédiée, bientôt remplacée par une VM VyOS car le support de NAT64 vient d'y être ajouté (RouterOS ne supporte pas encore NAT64)
- Je fais du NAT66 sur mon routeur d'accès (CCR2004) pour passer des adresses ULA vers des adresses GUA lorsque le destinataire est hors de mon LAN. La règle NAT66 est mise à jour automatiquement à partir du préfixe Orange obtenu par DHCP6-PD
J'avoue ne pas me servir du VPN roadwarrior tant que ça mais ça fonctionne plutôt bien pour mon besoin.
-
Cela doit être possible sans remplacer la Livebox 5, il suffit de couper son DHCPv4 et d'activer son IPv6 dans la rubrique Réseau, je pense.
Un réseau IPv6 only sans solution additionnelle (type NAT64/464XLAT) pour joindre les destinations uniquement en IPv4 n'est pas suffisant pour l'instant. Donc juste "couper" le DHCP4 de la box va juste a voir pour effet de se couper d'une bonne partie d'Internet.
-
Je sais bien, mais un jour peut-être que l'ipv4 disparaitra ?
Non, en fait non, il restera toujours j'ai l'impression :)
-
Je sais bien, mais un jour peut-être que l'ipv4 disparaitra ?
Non, en fait non, il restera toujours j'ai l'impression :)
c'est un truc que je comprendrai jamais..;
fibre, 4G, satellite...
cette manie de s'imaginer qu'une nouvelle techno arrive pour en remplacer une: Non.
une nouvelle techno arrive pour accompagner ce qui est en place, pour compléter, pas pour en anihiler une autre.
Le principe d'une alternative n'est pas de devenir calife à la place du calife..
-
@trekker92 : IPv4 va devenir l'Internet du passé à cause de la pénurie d'adresses !
-
cette manie de s'imaginer qu'une nouvelle techno arrive pour en remplacer une: Non.
Ah mais clairement IPv6 est spécifiquement fait pour remplacer totalement IPv4 à terme. Tout comme la voiture a remplacé la calèche...
Evidemment ça prendra du temps, et ça fait déjà bien longtemps que ça a commencé (je faisais déjà de l'IPv6 chez Nerim en 2002 quand ils ont été les premiers à l'introduire sur une connexion ADSL).
-
Bonjour !
Je suis parvenu à finaliser le MOOC « Objectif IPv6 ». Malheureusement, je n'ai pas encore toutes les bases en réseautique. Je n'ai pas encore étudié les niveaux supérieurs
à celui de la couche réseau (TCP / UDP + application). Je ne connais pas la connectivité IPv4. Mon objectif est de remplacer la Livebox par un routeur OpenWrt (BPI R3).
Je ne sais pas quelle configuration réseau serait préférable. J'aurais préféré établir une connectivité réseau local en IPv6 pour éviter d'administrer un réseau en IPv4.
Qu'est-ce qui est le plus difficile ?
- Configuration + administration IPv4 et IPv6 sur le LAN ?
- NAT64 + DNS64 sur le routeur
Le souci c'est que DNS semble de toute façon indispensable, surtout lorsque les stations n'ont qu'une connectivité IPv6. En effet, je veux des IPv6 avec des IID stables et opaques
(générés aléatoirement) pour réduire l'efficacité des attaques par balayage d'adresses IPv6 (RFC 7707 (https://www.rfc-editor.org/rfc/rfc7707.html)).
Je souhaite héberger des services ouverts sur l'Internet dans mon réseau local.
-
> NAT64 + DNS64 sur le routeur
Je fais ca depuis des années et sur pas mal de réseaux, c'est un plaisir à administrer. Tous les VLAN sont single-stack IPv6. Je n'utilise que SLAAC pour la configuration des stations, pas besoin de DHCPv6.
Le routeur (OpenWRT également) fait DNS64 (unbound en resolver avec le module dns64), NAT64 (tayga), récupère son /56 IPv6 par DHCPv6-PD et son IPv4 par DHCP du côté Orange.
Si tu n'es pas encore super à l'aise avec le réseau, ca risque d'être un peu chaud à monter, mais d'une certaine facon c'est une super opportunité pour apprendre. Et une fois que ca tourne, ca tourne tout seul.
-
Salut à Tous.
Je souhaite faire la transition du réseau local vers IPv6 en remplaçant ma Livebox 5.
Comme la plupart des membres qui viennent chercher de l'aide dans ce forum.
Y a t'il des gens dont le réseau local fonctionne principalement en IPv6 (sans IPv4) ?
Beaucoup de sites ne fonctionne qu'en IPv4. Il y a très peu de sites qui ne fonctionne qu'en IPv6, mais ça existe.
Si tu veux accéder à tous les sites internet, tu ne peux pas faire l'impasse sur l'IPv4.
Pouvez-vous partager des retours d'expérience ? Est-ce que tout fonctionne correctement ?
Mon réseau local fonctionne en IPv4 & en IPv6. Les principaux problèmes que je rencontre sont dus essentiellement aux bugs de ma BOX SFR.
Comme toi, mon but est de bypasser la BOX SFR et de mettre un routeur professionnel de qualité et compatible SFR, bien sûr.
Mon but est de cloisonner le réseau local pour me permettre d'auto-héberger des services accessibles au public.
Si tu veux cloisonner, je pense que le mieux est de gérer des VLAN pour :
--> les téléphones VOIP/SIP
--> le décodeur TV & la télévision
--> les services que tu veux implanter dans ton réseau local, uniquement accessible au tout public.
--> l'accès à l'internet dans ton réseau local
--> la domotique
Je sais bien, mais un jour peut-être que l'ipv4 disparaitra ?
Je ne suis pas certain de cela car cela pourrait rendre l'internet inaccessible à des gens qui sont et resteront en IPv4.
@trekker92 : IPv4 va devenir l'Internet du passé à cause de la pénurie d'adresses !
D'accord pour la pénurie, mais quand certains auront basculé définitivement en IPv6, il y aura des tas d'adresses IPv4 de disponible.
Sauf que ceux qui sont restés en IPv4 n'auront pas l'accès aux sites qui sont exclusivement en IPv6.
D'où un internet à trois vitesses : uniquement l'IPv4, uniquement l'IPv6, l'IPv4 + l'IPv6.
Mon objectif est de remplacer la Livebox par un routeur OpenWrt (BPI R3).
Pourquoi le Banana Pi R3 ? Pourquoi ne pas prendre le Banana Pi R4 ?
Je ne sais pas quelle configuration réseau serait préférable. J'aurais préféré établir une connectivité réseau local en IPv6 pour éviter d'administrer un réseau en IPv4.
Je ne comprends pas la nature métaphysique de ta question : du genre être IPv4 ou ne pas être IPv4.
Actuellement, il te faut les deux types d'adressages pour accéder à l'internet. Pourquoi se priver de l'IPv4 ?
Tu reprends ce que ton FAI te fournie, à savoir l'IPv4 et l'IPv6 et tu ne te pauses aucune question sur le bien fondé de ces adresses IP.
Ou alors, ton inquiétude cache autre chose que tu ne nous dis pas.
Je souhaite héberger des services ouverts sur l'Internet dans mon réseau local.
Est-ce cela qui te tracasse ?
J'ai installé WampServer ainsi qu'un serveur FTP sur mon Windows.
J'ai appris à configurer le pare-feu de windows, Apache 2.4.58 afin d'avoir une meilleure sécurité.
Et tout ce qui concerne le WEB se trouve dans des répertoires uniquement en lecture.
De temps en temps, j'exclue un branche d'adresse IP quand des pirates sont un peu trop insistant.
Mais dans mon Windows, je me trouve un peu à l'étroit. Une pare-feu matériel pourrait mieux répondre à mes besoins sous OpnSense, par exemple.
> NAT64 + DNS64 sur le routeur
Je suppose que c'est ce qui est le plus difficile à mettre en oeuvre.
@+
-
Si tu veux accéder à tous les sites internet, tu ne peux pas faire l'impasse sur l'IPv4.
les commentaires au-dessus du tiens explique justement comment faire sans ipv4 direct sur les machines pour quand même accéder au sites IPV4 en ayant que de l'IPV6 sur les machines
Je ne suis pas certain de cela car cela pourrait rendre l'internet inaccessible à des gens qui sont et resteront en IPv4.
Sauf que ceux qui sont restés en IPv4 n'auront pas l'accès aux sites qui sont exclusivement en IPv6.
j'ai envie de dire, tant pis pour eux.
-
@simon : Ça fait plaisir à entendre !
Mais je crains de faire un trop plein d'information (saturer avec la charge mentale). J'avais oublié qu'on pouvait faire du SLAAC grâce aux
annonces de routeurs (RA) en configurant les interfaces du routeur. Je manque de pratique (pas trouvé le temps de faire les TP n°3 & 4 du MOOC IPv6).
Merci beaucoup pour l'indication des logiciels choisis.
-
@artemus24 :
Pourquoi se priver d'IPv4 ?
On a besoin que de IPv6. Comme l'a très justement exprimé @zoc : entre une calèche et une voiture, les gens préfèrent la voiture.
-
j'ai envie de dire, tant pis pour eux.
De quel point de vue tu te places pour dire cela ?
Je ne parlais pas pour ceux qui sont dans nos pays évolués mais pour ceux où cette infrastructure (IPv6) serait hors de prix.
Il y a le projet ambitieux de M. Elon Musk, StarLink, pour remédier à cela.
@ Basilix : tu n'as pas répondu à la question.
En ce qui me concerne, je récupère l'adresse IPv4 WAN ainsi que la délégation du préfixe IPv6 fournie par mon FAI.
Pourquoi veux tu que je me complique l'existence ?
Si mon FAI venait à me fournir que de l'IPv6, alors oui, je chercherais une solution pour avoir encore accès à l'IPv4.
Mais quand cela arrivera, est-ce qu'il sera encore utilise d'avoir un accès à l'IPv4 ?
-
De quel point de vue tu te places pour dire cela ?
Je ne parlais pas pour ceux qui sont dans nos pays évolués mais pour ceux où cette infrastructure (IPv6) serait hors de prix.
Il y a le projet ambitieux de M. Elon Musk, StarLink, pour remédier à cela.
De quoi parles tu ?
Où et pourquoi l'infra IPv6 serait elle hors de prix dans quelques années dans ces pays? De plus en plus de matériel gère IPv6, le prix des matériels baissent et le matos d'occasion existera toujours ...
Quel rapport avec Musk ? Son but c'est de proposer internet par satellite partout sur le globe, aucun rapport avec IPv4 ou IPv6. après c'est sur que si tu n'as pas internet tu n'as pas IPv6, mais tu n'as pas non plus IPv4.
-
Je fais encore du dual-stack en ce qui me concerne, par contre depuis mon LAN j'accède les services que j'auto-héberge uniquement en IPv6 (mon serveur DNS interne ne contient plus d'enregistrements A). Accessoirement j'annonce un double préfixe sur mon LAN (enfin mes VLANs): un GUA soumis à potentiel changement du fait d'Orange, et un ULA qui ne change jamais et qui me sert pour mes communications internes).
Mon VPN "roadwarrior" (wireguard) est par contre lui en IPv6 only, et de plus avec des adresses de type ULA uniquement (pour éviter de devoir reconfigurer manuellement tous les clients si le préfixe fourni par Orange change), ce qui veut dire que:
- Je fais du NAT64/DNS64 pour joindre les machines V4 only. Pour cela j'ai une VM OpenWRT (que je déteste) dédiée, bientôt remplacée par une VM VyOS car le support de NAT64 vient d'y être ajouté (RouterOS ne supporte pas encore NAT64)
VyOS est devenu payant depuis un petit moment, hormis les build nightly à ce que je vois. Tu vas utiliser celles-ci du coup ? Car payer 6k à l'année... Ça me rappelle un certain pfsense après le rachat par netgate, mais au moins y'a toujours la version conmunity et pas juste du nightly potentiellement buggé.
Pour le NAT64, tu peux regarder du côté de Jool aussi, je sais pas si tu connais, ça marche plutôt bien : https://nicmx.github.io/Jool/en/index.html
- Je fais du NAT66 sur mon routeur d'accès (CCR2004) pour passer des adresses ULA vers des adresses GUA lorsque le destinataire est hors de mon LAN. La règle NAT66 est mise à jour automatiquement à partir du préfixe Orange obtenu par DHCP6-PD
Tu as des VLAN ULA only donc ? C'est vraiment du NAT66 (paaaas bien) ou de la translation de préfixe ?
-
J'ai viré OpenWRT et remplacé par VyOS il y a 15 jours.
VyOS est devenu payant depuis un petit moment, hormis les build nightly à ce que je vois. Tu vas utiliser celles-ci du coup ?
Oui, j'utilise la nightly. Je l'avais déjà utilisée d'ailleurs pendant de très long mois pour faire un serveur wireguard avant de le remplacer par le support natif de Wireguard dans RouterOS (lors de mon passage du matériel Ubiquiti vers Mikrotik), et en pratique il y a eu extrêmement peu de build problématiques sachant que je mettais à jour environ chaque mois. Et au pire il était toujours possible de revenir sur la build précédente.
Pour le NAT64, tu peux regarder du côté de Jool aussi
VyOS utilise Jool pour implémenter NAT64.
Tu as des VLAN ULA only donc ? C'est vraiment du NAT66 (paaaas bien) ou de la translation de préfixe ?
J'ai UN VLAN IPv6 ULA only : Celui des clients VPN Wireguard roadwarrior. Et je fais bien de la translation de préfixe (cible netmap dans RouterOS). J'ai d'autres tunnels wireguard site-to-site en IPv6 only, avec des adresses LinkLocal uniquement du coup (suffisant pour faire de l'OSPFv3). Evidemment pas de traffic IPv4 sur ces tunnels, ni besoin de NAT64 vu que les réseaux interconnectés sont tous en IPv6.
Du coup le seul point restant qui me chagrine c'est le double NAT pour les cibles IPv4 only : NAT64 (VyOS) -> NAT44 (RouterOS) -> IPv4 publique Orange. Malheusement impossible à résoudre tant que RouterOS ne fera pas de NAT64...
-
J'ai viré OpenWRT et remplacé par VyOS il y a 15 jours.
Oui, j'utilise la nightly. Je l'avais déjà utilisée d'ailleurs pendant de très long mois pour faire un serveur wireguard avant de le remplacer par le support natif de Wireguard dans RouterOS (lors de mon passage du matériel Ubiquiti vers Mikrotik), et en pratique il y a eu extrêmement peu de build problématiques sachant que je mettais à jour environ chaque mois. Et au pire il était toujours possible de revenir sur la build précédente.
Ça va alors, je pensais que la stabilité en prendrait un coup. Tant mieux.
VyOS utilise Jool pour implémenter NAT64.
Ah super, comme quoi ça doit vraiment bien marcher. Et est-ce que tu sais si MAP-T est implémenté (il me semble pas) ? Car vu que c'est sur la version 4.2 de Jool (toujours en RC par contre), autant s'en servir. Il y avait eu en 2014 une implémentation non officielle (que je n'ai pas réussi à faire fonctionner pour le moment, elle est un peu bizarre), mais pas trop de news depuis.
J'ai UN VLAN IPv6 ULA only : Celui des clients VPN Wireguard roadwarrior. Et je fais bien de la translation de préfixe (cible netmap dans RouterOS). J'ai d'autres tunnels wireguard site-to-site en IPv6 only, avec des adresses LinkLocal uniquement du coup (suffisant pour faire de l'OSPFv3). Evidemment pas de traffic IPv4 sur ces tunnels, ni besoin de NAT64 vu que les réseaux interconnectés sont tous en IPv6.
Je me disais aussi, faire du NAT66 avec toute cette install où tu n'as presque aucune limitation, c'était bizarre.
Du coup le seul point restant qui me chagrine c'est le double NAT pour les cibles IPv4 only : NAT64 (VyOS) -> NAT44 (RouterOS) -> IPv4 publique Orange. Malheusement impossible à résoudre tant que RouterOS ne fera pas de NAT64...
Vu qu'il n'y a pas de l'entrant en v4, ça peut bien traverser 2 NAT c'est bien très grave, à moins que ça te pose des problèmes pour certains services, même en sortant ?
J'ai ré-expérimenté ces jours-ci l'ipv6 only, mais j'ai toujours des apps qui n'aiment pas, même android me fait des fois des caprices (la connexion n'est pas détectée correctement) :-\ Et s'il faut faire du CLAT en plus et ravoir une dual-stack, ça n'a aucun intérêt...
-
Et est-ce que tu sais si MAP-T est implémenté (il me semble pas) ?
Pas de MAP-T, non.
Vu qu'il n'y a pas de l'entrant en v4, ça peut bien traverser 2 NAT c'est bien très grave...
Non, effectivement, mais bon ;)
-
Tayga fonctionne en mode sans-état. Apparemment, on peut utiliser des adresses IPv4 privées pour la traduction d'adresse.
On peut donc avoir IPv6 --> IPv4 privée --> IPv4 publique. C'est du NAT64 + NAT44.
Néanmoins, sur le site Web de Tayga, il est indiqué que le logiciel est performant.
Il y a aussi Jool comme indiqué par @renaud07. La documentation de OpenWrt le recommande.
Je me demande si le téléphone pourrait également fonctionner dans un réseau IPv6. Et si j'arrive jusque là, il faudrait aussi que je vérifie la compatibilité de mes applications (passerelle applicative).
-
Je me demande si le téléphone pourrait également fonctionner dans un réseau IPv6. Et si j'arrive jusque là, il faudrait aussi que je vérifie la compatibilité de mes applications (passerelle applicative).
J'ai configuré Asterisk pour avoir le téléphone SFR en VOIP/SIP et malheureusement, c'est en IPV4 qu'il fonctionne, pas en IPv6.
J'utilise des ESP32 pour la domotique, et ceux-ci ne fonctionnent qu'en IPv4.
Mes Raspberry PI fonctionnent en IPv4 & IPv6.
Le décodeur TV Plus SFR fonctionne qu'en IPv4.
Pas aussi simple que d'avoir uniquement l'IPv6 dans son réseau local.
-
Tayga fonctionne en mode sans-état. Apparemment, on peut utiliser des adresses IPv4 privées pour la traduction d'adresse.
On peut donc avoir IPv6 --> IPv4 privée --> IPv4 publique. C'est du NAT64 + NAT44.
Néanmoins, sur le site Web de Tayga, il est indiqué que le logiciel est performant.
Il y a aussi Jool comme indiqué par @renaud07. La documentation de OpenWrt le recommande.
Utiliser des IP publiques sur une connexion GP serait un peu compliqué. On peut imaginer pour une entreprise qui dispose d'un préfixe d'allouer celui-ci pour le NAT, même si ça serait du gâchis à l'heure actuelle. Il vaut mieux utiliser des IP privées comme recommandé puis coupler à un NAT44, car il faut bien calculer son coup sur le nombre d'adresses nécessaires, même si elles sont libérées après 2h d'inutilisation.
-
Bonjour à tous,
Je profite de ce nouveau thread sur le sujet IPv6 pour partager mes retours et mes interrogations.
J'ai depuis quelques années plus d'un lien WAN, 2 Fibre (Orange et Orange Pro) et un routeur 4G/5G qui suivant le matériel peut être soit Ipv4 only ou sinon IPv6 only et c'est l'opérateur qui fera "la NAT64".
J'utilise du SD-WAN principalement sur les deux Fibres Orange pour la sortie internet avec deux réseaux internes Prod (10.255.10.0/24 vlan 10) et Invité (10.255.11.0/24 vlan 11) pour simplifier.
J'ai donc sur chaque interface wan de mon routeur/firewall une IPv6 coté WAN, un préfixe /64 attribué en attente utilisé ou pas.
Pour la partie IPv4 c'est facile rien à dire du classique (DHCP, DNS, etc...).
Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas
Bref dans les deux cas je trouve que c'est pas top, des idées, des suggestions pour faire autrement ?
Je précise que si l'on dispose d'un seul lien WAN les interrogations ne se posent pas, seulement à partir de deux liens que ca devient...
-
Question de néophyte à expert réseau. Mon FAI SFR me fournit un dual stack IPv4 et IPv6, tous les deux en DHCP. A quoi peut bien me servir de faire ce genre de translation ipv6 / ipv4 ?
Je récupère l'adresse IPv4 WAN ainsi que la délégation de préfixe IPv6 WAN de mon FAI SFR. Si j'ai besoin de créer deux ou plusieurs ponts, je vais me servir des adresses WAN de SFR. A quoi bon faire compliqué (enfin, c'est ce que pense sur ce sujet) quand la solution est d'utiliser les adresses IP WAN de ton FAI ?
En quoi utiliser l'IPv4 dans ton réseau local serait une hérésie ?
Au niveau de mon réseau local, je ne vois pas pourquoi je devrais procéder différemment. Pour ma culture personnelle, j'aimerai avoir des explications sur l'utilité DNS64 & NAT64 à mon niveau, pas à celui du FAI ou à l'internationnal.
@+
-
Ya pas de NAT64 / DNS64 en FTTH si tu as du dual stack ipv4 + ipv6.
Je ne comprends pas tes explications.
-
@Nh3xus : Je m'interroge sur le bien fondé d'adopter cette configuration sachant que je suis chez un FAI en FTTH. En gros, ce sujet n'a aucun intérêt.
-
Bonjour à tous,
Je profite de ce nouveau thread sur le sujet IPv6 pour partager mes retours et mes interrogations.
J'ai depuis quelques années plus d'un lien WAN, 2 Fibre (Orange et Orange Pro) et un routeur 4G/5G qui suivant le matériel peut être soit Ipv4 only ou sinon IPv6 only et c'est l'opérateur qui fera "la NAT64".
J'utilise du SD-WAN principalement sur les deux Fibres Orange pour la sortie internet avec deux réseaux internes Prod (10.255.10.0/24 vlan 10) et Invité (10.255.11.0/24 vlan 11) pour simplifier.
J'ai donc sur chaque interface wan de mon routeur/firewall une IPv6 coté WAN, un préfixe /64 attribué en attente utilisé ou pas.
Pour la partie IPv4 c'est facile rien à dire du classique (DHCP, DNS, etc...).
Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas
Bref dans les deux cas je trouve que c'est pas top, des idées, des suggestions pour faire autrement ?
Je précise que si l'on dispose d'un seul lien WAN les interrogations ne se posent pas, seulement à partir de deux liens que ca devient...
salut, avec 2 wans, tu voudrais diffuser les 2 prefixes GUAs sur tous tes PCs, ce qui ferait de la redondance et du balancing car il y aurait 2 routes à chaque fois ?
ce serait amusant de pouvoir faire ça, mais avec les liveboxs et les delegations de prefixe qui fonctionnent bizarrement, on pourrait pas ouvrir de port sur tel ou tel pc, ce serait alors plus simple avec 2 ports réseau par PC derriere les 2 livebox.
Au moins le NAT66 fonctionne en attendant mieux même si on se partage que une ou quelques IPs qu'on peut loadbalancer d'ailleurs puisque je le pratique derriere la livebox5
-
Ya pas de NAT64 / DNS64 en FTTH si tu as du dual stack ipv4 + ipv6.
Je ne comprends pas tes explications.
Ce sont des logiciels qu'on peut potentiellement intégrer au micrologiciel de son routeur. Mon routeur fonctionne avec un micrologiciel Open Source (OpenWrt).
Ce micrologiciel est basé sur le noyau Linux. NAT64 + DNS64 est une technologie de transition vers IPv6. DNS64 permet de forger des adresses IPv6 issues
d'adresses IPv4 provenant de l'Internet IPv4. Après traduction du NAT64, l'idée est de n'obtenir que des adresses IPv6. Les FAI peuvent ne pas l'implémenter
dans leur routeur CPE pour plusieurs raisons : coût d'une infrastructure en double pile (certains ont une infra. quasiment que IPv6 mais moins performante en
IPv4), dégradation potentielle de la connectivité IPv4 / IPv6, des clients rencontrant des difficultés avec IPv6... Pour que le NAT64 + DNS64 fonctionne, il faut
des nœuds en double pile sur les équipements réseaux aux extrémités du réseau (dont l'emplacement peut varier). Donc, ce qu'il faut retenir c'est que tous
les opérateurs réseaux n'ont pas choisi la même stratégie de migration vers IPv6 (laquelle est elle-même variable sur site).
-
@ Basilix : ce message m'était adressé et non à Nh3xus.
Je ne sais pas trop si tu peux répondre à ma question, mais est-ce que j'ai un vrai serveur DHCP IPv4 en FTTH chez SFR ?
Si je consulte la page 192.168.1.1 / state / wan, la BOX SFR m'indique que le protocole utilisé est DHCP pour l'IPv4 & l'IPv6.
Suis-je bien en double stack ?
Si c'est le cas alors le NAT64 et le DNS64 ne me servent à rien puisque Nh3xus dit :
Ya pas de NAT64 / DNS64 en FTTH si tu as du dual stack ipv4 + ipv6
Ce que je ne comprends pas, tu es bien chez Orange, donc derrière ta LiveBox.
Es tu aussi en double stack ? Si c'est non alors qu'est-ce que tu as comme protocole ?
-
Pour la partie IPv6 c'est la que je butte car je n'arrive pas à trouver un bon compromis, je m'explique :
- soit j'affecte sur mes lans (prod et invité) des adresses fe00::1/64 sur chaque vlan (bien sur un /64 different par vlan) et quand je sors je fais une "NAT66" (et oui désolé) sur l'IPv6 wan de l'interface de sortie, éventuellement je peux faire du NPD de mon /64 vers le /64 attribué par délégation
- soit j'affecte sur la prod le /64 public reçu par la fibre Orange Pro, et l'autre /64 public sur Invité et quand je sors si c'est la même Fibre que le /64 je sors direct au travers du Firewall sinon "NAT66" (et oui encore) sur l'IPv6 de l'autre fibre sinon le /64 ne sortira pas
J'imagine que ton problème est la conservation du failover. Là, je ne vois pas comment tu pourrais faire autrement qu'avec des adresses privées en effet, car chez Orange, chacun de tes préfixes ne sera routé que vers sa passerelle respective (son IPv6 sur son interface WAN). Si tes machines ont une adresse dans un des préfixes et que le lien qui en dépend tombe en panne, la route par défaut sur les périphériques leur empêchera d'avoir une connexion autrement que vers cette passerelle.
Une solution, mais qui ne sera pas possible chez Orange, est qu'il faudrait qu'un 3e préfixe (routable bien entendu) soit routé vers toi par les 2 passerelles et avec du routage dynamique, ça bascule selon. Mais ça, ce n'est pas possible avec tes offres.
Il est possible que j'oublie des solutions, je n'ai pas encore eu l'occasion d'en faire.
-
Hello !
J'ai plusieurs choses encore à mettre en œuvre avant de tester. J'espère que Jool (stateful NAT64) + Unbound (DNS64) fera l'affaire.
Je pense notamment à la configuration du pare-feu. Jool utilise l'interface pare-feu « iptables ». Cela fait un entre-deux iptables / nftables.
Dans mon cas, le micrologiciel de mon routeur, OpenWrt, a migré vers nftables. En conséquence, la configuration de Jool est basée sur Netfilter.
Un autre problème c'est le CLAT. Je ne crois pas que je pourrais l'intégrer dans mon réseau IPv6. Il semblerait que MS Windows n'a pas
de logiciel intégré pour le CLAT sur PC. Par exemple, il me semble Skype ne fonctionne pas en IPv6. Sur GNU/Linux, j'espère que
les applications supportent bien l'IPv6.
-
Bonjour !
J'ai trouvé un hyperlien vers un diaporama sur le sujet « IPv6-mostly on OpenWRT (https://ripe87.ripe.net/wp-content/uploads/presentations/8-IPv6-mostly_on_OpenWRT.pdf) » par Ondřej Caletka (RIPE 87).
+ La vidéo de la présentation (hyperlien) (https://ripe87.ripe.net/archives/video/1136/)