La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: thierryb18038 le 27 octobre 2018 à 15:49:20
-
Bonjour,
Je pense m'acheter un routeur wifi (peut-être le Netgear R7000-100PES NIGHTHAWK) pour remplacer le wifi de ma livebox 4. Si je décide d'utiliser l'appareil en mode routeur derrière la livebox et pas juste en access point, comment je pourrai m'y prendre sur le principe pour avoir des IPV6 sur les machines qui serait derrière le routeur?
Un peu comme c'est le cas actuellement avec la livebox.
Merci.
-
Salut,
Pour faire cela, il faudrait que la Livebox soit capable de faire de la délégation de préfixe.
Pour le moment, elle ne sait pas le faire.
Sur la Freebox, c'est possible.
-
Salut,
Pour faire cela, il faudrait que la Livebox soit capable de faire de la délégation de préfixe.
Pour le moment, elle ne sait pas le faire.
Sur la Freebox, c'est possible.
Ha yes ok.
Et du coup, si j'utilise ce routeur là juste en mode access point, en utilisant plus le wifi de la livebox, ça sera aussi pareil pour les ordis connectés en wifi? C'est à dire qu'ils n'auront pas d'IPV6 vu que c'est le serveur DHCP du point d'accès qui va répondre?
Merci.
-
Avec ton routeur en mode AP, IPv6 va fonctionner.
La Livebox utilise DHCPv6 uniquement pour annoncer les DNS IPv6 sur le LAN.
Les clients du LAN utilisent les annonces RA envoyées par la Livebox pour connaître le préfixe /64 à utiliser pour construire leurs IPv6 publiques via la méthode SLAAC.
-
Avec ton routeur en mode AP, IPv6 va fonctionner.
La Livebox utilise DHCPv6 uniquement pour annoncer les DNS IPv6 sur le LAN.
Les clients du LAN utilisent les annonces RA envoyées par la Livebox pour connaître le préfixe /64 à utiliser pour construire leurs IPv6 publiques via la méthode SLAAC.
ha oui ok, donc en wifi même si on se connecte sur le SSID de la livebox, on n'aura jamais d'IPV6 de toute façon donc, je n'avais pas fait attention.
Merci.
-
Pas du tout...
-
Bonjour :)
Je remonte le sujet, étant justement dans cette situation.
Je viens de paramétrer un routeur tournant sous OpenWRT (TPlink Archer C7), installé derrière la Livebox V4.
Mes observations confirment les propos de Nh3xus :
- La Livebox ne gère par la délégation de préfixe. Quand bien même Orange fourni un préfixe IPv6 en /56, la Livebox n'annonce sur le LAN que le premier préfixe en /64.
-> Lorsque l'on connecte le routeur derrière la Livebox, celui-ci obtient une adresse IPv6 publique avec préfixe /64. Les équipements situés derrière le routeur n'obtiennent pas d'IPv6 publique.
- La Livebox annonce le préfixe public /64 aux équipements présents sur le LAN, en envoyant régulièrement des paquets RA (Router Advertisement)
L'astuce pour que les équipements situés derrière le routeur obtiennent une IPv6 publique, consiste à relayer les paquets RA (Routeur Advertisement) et NDP (Neighbor Discovery Protocol).
Pour cela, il m'a fallut adapter la configuration DHCP d'OpenWRT de la façon suivante :
root@OpenWrt:~# cat /etc/config/dhcp
[...]
config dhcp 'lan'
option interface 'lan'
option start '100'
option limit '150'
option leasetime '12h'
option ra 'relay'
option dhcpv6 'relay'
option ndp 'relay'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
option ra 'relay'
option dhcpv6 'relay'
option ndp 'relay'
option master '1'
Ainsi, les équipements situés derrière le routeur, obtiennent une adresse IPv6 exactement de la même façon que s'ils étaient connectés directement derrière la Livebox.
- Par défaut, le parefeu de la Livebox V4 filtre les paquets ICMPv6 à destination du LAN. Cela bloque certaines fonctionnalités d'IPv6 (Path MTU Discovery ...).
Pour que les paquets ICMPv6 parviennent aux machines, il faut régler le parefeu de la Livebox en position "Faible".
Attention dans ce cas à bien filtrer les connexions entrantes IPv6 non sollicités au niveau du routeur, sans quoi les équipements du réseau seront directement exposés à Internet.
-
hum..du coup "ip -6 rule" affiche quoi ?
un poste derriere le routeur peut-il joindre la Livebox en IPv6 ?
-
Bonjour :)
hum..du coup "ip -6 rule" affiche quoi ?
Sur le routeur :
root@OpenWrt:~# ip -6 rule
0: from all lookup local
32766: from all lookup main
4200000001: from all iif lo lookup unspec 12
4200000003: from all iif eth1 lookup unspec 12
4200000003: from all iif eth1 lookup unspec 12
4200000047: from all iif br-domo lookup unspec 12 > sous réseau sur lequel sont connectés les équipements de domotique, non pertinent.
4200000049: from all iif br-lan lookup unspec 12
Sur un équipement branché derrière le routeur :
user@OMV:~$ ip -6 rule
0: from all lookup local
32766: from all lookup main
un poste derriere le routeur peut-il joindre la Livebox en IPv6 ?
Depuis un équipement branché derrière le routeur, j'arrive à joindre l'adresse IPv6 WAN de la Livebox :
user@OMV:~$ ping6 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy
PING 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy(2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy) 56 data bytes
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=1 ttl=63 time=183 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=2 ttl=63 time=0.715 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=3 ttl=63 time=0.651 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=4 ttl=63 time=0.647 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=5 ttl=63 time=0.677 ms
^C
--- 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4052ms
rtt min/avg/max/mdev = 0.647/37.272/183.670/73.199 ms
mais pas son adresse IPv6 LAN :
user@OMV:~$ ping6 fe80::a63e:51ff:yyyy:yyyy
connect: Invalid argument
-
Pour info :
Depuis un équipement situé derrière le routeur :
user@OMV:~$ curl -4 ifconfig.co
90.59.a.b
Tanguy@OMV:~$ curl -6 ifconfig.co
2a01:cb08:xxxx:xxxx:20c:29ff:aaaa:aaaa
Depuis un autre équipement situé derrière le routeur :
pi@tvheadend:~ $ curl -4 ifconfig.co
90.59.a.b
pi@tvheadend:~ $ curl -6 ifconfig.co
2a01:cb08:xxxx:xxxx:8cb6:112d:bbbb:bbbb
-> Chaque équipement situé derrière le routeur possède bien sa propre adresse IPv6 publique, sur le préfixe /64 de la Livebox 8)
-
et "route -A inet6" sur l'openwrt ca donne quoi ?
pour l'IPv6 LAN de la livebox je parlais de l'ipv6 globale LAN. il est normal de ne pas pouvoir joindre les IPv6 link-local (commencant par "fe") a travers un routeur.
La Livebox n'a pas d'IPv6 globale WAN donc ce que tu appeles "IPv6 WAN de la Livebox" est en fait son IPv6 globale LAN.
J'essai juste de comprendre la bidouille NDP Proxy qu'openwrt effectue pour 'pseudo router' un seul /64 sur 2 interfaces. Ce genre de truc 'fonctionne' a priori (exemple: http://mkaczanowski.com/ndppd-ipv6-ndp-proxy/ ) mais je ne l'avais jamais vu en pratique.
Donc il n'y a pas de 'rules' c'est juste du NDP Proxy de chaque coté du routeur...
-
et "route -A inet6" sur l'openwrt ca donne quoi ?
root@OpenWrt:~# route -A inet6
Kernel IPv6 routing table
Destination Next Hop Flags Metric Ref Use Iface
::%2012488384/0 fe80::a63e:51ff:XXXX:XXXX%2012488384 UG 384 2 227235 eth1 > eth1 = port WAN du routeur
2a01:cb08:XXXX:XXXX:20c:29ff:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 1 0 br-lan
2a01:cb08:XXXX:XXXX:222:6cff:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 1 0 br-lan
2a01:cb08:XXXX:XXXX:159c:854d:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 1 0 br-lan
2a01:cb08:XXXX:XXXX:41c2:d4c3:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 2 146 br-lan
2a01:cb08:XXXX:XXXX:605a:6fae:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 2 16 br-lan
2a01:cb08:XXXX:XXXX:69c2:8914:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 2 116 br-lan
2a01:cb08:XXXX:XXXX:897f:3f96:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 2 14 br-lan
2a01:cb08:XXXX:XXXX:8cb6:112d:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 1 0 br-lan
2a01:cb08:XXXX:XXXX:a63e:51ff:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 2 8 eth1
2a01:cb08:XXXX:XXXX:dccf:cf04:XXXX:XXXX%2012488384/128 ::%2012488384 U 1024 2 166 br-lan
2a01:cb08:XXXX:XXXX::%2012488384/64 ::%2012488384 U 256 2 5518 eth1
fd93:cd:236d::3%2012488384/128 ::%2012488384 U 1024 1 0 br-lan
fd93:cd:236d::%2012488384/64 ::%2012488384 U 1024 2 4 br-lan
fd93:cd:236d::%2012488384/48 ::%2012488384 !n 2147483647 1 0 lo
fe80::%2012488384/64 ::%2012488384 U 256 2 10 eth0
fe80::%2012488384/64 ::%2012488384 U 256 1 0 br-lan
fe80::%2012488384/64 ::%2012488384 U 256 1 0 br-domo
fe80::%2012488384/64 ::%2012488384 U 256 2 178450 eth1
fe80::%2012488384/64 ::%2012488384 U 256 1 0 wlan0
fe80::%2012488384/64 ::%2012488384 U 256 1 0 wlan1
fe80::%2012488384/64 ::%2012488384 U 256 1 0 wlan1-1
::%2012488384/0 ::%2012488384 !n -1 1 856280 lo
::1%2012488384/128 ::%2012488384 Un 0 3 292 lo
2a01:cb08:XXXX:XXXX::%2012488384/128 ::%2012488384 Un 0 2 0 eth1
2a01:cb08:XXXX:XXXX:a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 3 3589 eth1
fd93:cd:236d::%2012488384/128 ::%2012488384 Un 0 2 0 br-lan
fd93:cd:236d::1%2012488384/128 ::%2012488384 Un 0 3 101331 br-lan
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 eth0
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 br-lan
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 br-domo
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 eth1
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 wlan1
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 wlan0
fe80::%2012488384/128 ::%2012488384 Un 0 2 0 wlan1-1
fe80::a42b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 2 0 wlan1-1
fe80::a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 2 0 wlan0
fe80::a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 2 0 wlan1
fe80::a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 3 107721 eth1
fe80::a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 3 30 eth0
fe80::a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 3 40852 br-lan
fe80::a62b:b0ff:XXXX:XXXX%2012488384/128 ::%2012488384 Un 0 2 0 br-domo
ff00::%2012488384/8 ::%2012488384 U 256 1 0 eth0
ff00::%2012488384/8 ::%2012488384 U 256 2 24941 br-lan
ff00::%2012488384/8 ::%2012488384 U 256 2 46 br-domo
ff00::%2012488384/8 ::%2012488384 U 256 2 88618 eth1
ff00::%2012488384/8 ::%2012488384 U 256 1 0 wlan0
ff00::%2012488384/8 ::%2012488384 U 256 1 0 wlan1
ff00::%2012488384/8 ::%2012488384 U 256 1 0 wlan1-1
::%2012488384/0 ::%2012488384 !n -1 1 856280 lo
pour l'IPv6 LAN de la livebox je parlais de l'ipv6 globale LAN. il est normal de ne pas pouvoir joindre les IPv6 link-local (commencant par "fe") a travers un routeur.
La Livebox n'a pas d'IPv6 globale WAN donc ce que tu appeles "IPv6 WAN de la Livebox" est en fait son IPv6 globale LAN.
J'essai juste de comprendre la bidouille NDP Proxy qu'openwrt effectue pour 'pseudo router' un seul /64 sur 2 interfaces. Ce genre de truc 'fonctionne' a priori (exemple: http://mkaczanowski.com/ndppd-ipv6-ndp-proxy/ ) mais je ne l'avais jamais vu en pratique.
Donc il n'y a pas de 'rules' c'est juste du NDP Proxy de chaque coté du routeur...
Merci pour ces précisions techniques :)
Effectivement, ça tient de la bidouille. Les solutions propres seraient :
- soit que la Livebox prenne en charge la délégation de préfixe
- soit de remplacer la Livebox par le routeur OpenWRT
-
ah c'est plus clair sur le fonctionnement, openwrt installe des routes unitaires par IP (/128). Je me demande les limitations que cela a sur le firewalling (et iptables en général) ainsi que sur les performances comparé au routage entre 2 vrais /64.
C'est dommage qu'un FAI comme Orange oblige a ce genre de chose quand meme. IPv6 a été inventé pour ne plus avoir ces problèmes d'adresses mais ils ne suivent pas le jeu. Ce ne sont pas les seuls, les petit serveurs OVH ou Scaleway (vps) n'ont qu'une IPv6 en /128 par exemple. A croire que les gens du métiers n'ont pas compris IPv6 ou cherchent délibérèment a restreindre ce qu'on peut faire avec.
-
Je pense juste qu'Orange ne veut pas s'emmerder à implèmenter un serveur DHCP6-PD coté LAN qui servira à 0.1% de ses clients. Que je sache, aucun FAI grand public hormis Free ne permet d'exploiter plus d'un /64. Et encore, chez Free ce n'est même pas du DHCP6-PD, il faut entrer les routes à la main dans la config de la box.
Franchement, quand on en arrive à vouloir vraiment exploiter son /56, la solution, c'est de virer la box. Je le fais depuis plus de 2 ans, et hormis la "frayeur" du changement de l'option 90 qui n'a même pas généré de downtime chez moi car on a pu l'anticiper, tout tourne parfaitement sans presque aucune maintenance.
-
oui c'est vrai.
Le manque d'usage simple et grand public n'introduit pas de 'besoin'/demande donc Orange n'a pas besoin de s'emmerder à implèmenter cela comme tu dis.
Ce qui dommage c'est le "nivellement par le bas" que cela produit. L'effet poule/œuf ne peut même démarrer car tout les FAI ont un minimum commun restreint a un /64 exploitable et pas plus.
Il est donc risqué de lancer un produit qui aurait besoin de son propre /64 par exemple. En France pour le moment ca ne marcherait que chez Free et meme pas en plug&play.
Pourtant des trucs genre domotique ou sécurité auraient avantages a utiliser cela. ou un wifi 'guest' par exemple. Mas bon c'est trop tot, IPv4 est encore trop dominant de toute façon.
-
ah c'est plus clair sur le fonctionnement, openwrt installe des routes unitaires par IP (/128). Je me demande les limitations que cela a sur le firewalling (et iptables en général) ainsi que sur les performances comparé au routage entre 2 vrais /64.
Je ne suis pour l'instant pas en mesure de juger de la différence de performance avant / sans, étant en ADSL.
Réponse dans 1 mois ;D
Franchement, quand on en arrive à vouloir vraiment exploiter son /56, la solution, c'est de virer la box. Je le fais depuis plus de 2 ans, et hormis la "frayeur" du changement de l'option 90 qui n'a même pas généré de downtime chez moi car on a pu l'anticiper, tout tourne parfaitement sans presque aucune maintenance.
Les 2 points qui me rebutent pour l'instant à remplacer la Livebox sont :
- Le risque d'une rupture de compatibilité, en cas d'évolution chez Orange.
- La perte de la téléphonie Fixe. J'utilise pour l'instant un téléphone DECT, appairée à la base DECT de la Livebox.
Une solution pour conserver la téléphonie (peut-être déjà explorée par certains), pourrait être de simuler le comportement d'un ONT, de sorte que la Livebox se croit connectée à Internet (et active la fonction Téléphonie)
-
Chez moi la Livebox est derrière mon routeur et la téléphonie fonctionne parfaitement bien (il suffit que le routeur lui donne ce qu'elle veut, c'est à dire un accès internet sur le VLAN 832 de son port WAN, et quelques options DHCP tout à fait standard pour le coup).
-
Merci beaucoup pour cette information :)
Ça va changer la donne en terme d'infrastructure :
- Achat d'un convertisseur TP-Link MC220L, pour y loger le module SFP Orange
- Routeur TP-Link Archer C7 en direct
- Livebox connectée derrière le routeur
8)
-
Merci beaucoup pour cette information :)
Ça va changer la donne en terme d'infrastructure :
- Achat d'un convertisseur TP-Link MC220L, pour y loger le module SFP Orange
- Routeur TP-Link Archer C7 en direct
- Livebox connectée derrière le routeur
8)
Yep, c'est ce qu'on fait, nous remplaçants de la LB.
J'ai la même stack que zoc, et je plussois les propos de kgersen.
Aujourd'hui, il n'y a que les "éclairés du réseau" qui peuvent/doivent bidouiller pour monter quelque chose de propre chez eux.
C'est dommage, mais le temps passe, lentement et sûrement, et les choses bougeront dans le futur, probablement dans le bon sens, enfin espérons ...
-
Bonjour,
Je me permets de venir poster car vos informations m'intéressent ;) et le sujet traité me questionne.
En effet, actuellement mon routeur (ASUS GT-AX11000) est connecté derrière la livebox. Je sais que ce n'est pas la solution (Double NAT...etc) mais mes connaissances réseaux sont ce qu'elles sont :P c'est à dire pas aussi avancées que les vôtres :D
D’où ma question, existe t il un Tuto qui me permettrait de faire comme vous, connecté la livebox derrière le routeur pour maintenir la téléphonie DECT et la TV D'Orange et ainsi avoir une installation propre.
Merci d'avance, bonne journée.
-
Bonjour,
Je me permets de venir poster car vos informations m'intéressent ;) et le sujet traité me questionne.
En effet, actuellement mon routeur (ASUS GT-AX11000) est connecté derrière la livebox. Je sais que ce n'est pas la solution (Double NAT...etc) mais mes connaissances réseaux sont ce qu'elles sont :P c'est à dire pas aussi avancées que les vôtres :D
D’où ma question, existe t il un Tuto qui me permettrait de faire comme vous, connecté la livebox derrière le routeur pour maintenir la téléphonie DECT et la TV D'Orange et ainsi avoir une installation propre.
Merci d'avance, bonne journée.
Oui yen a pas mal sur ce forum. Cherche et tu trouveras.
A adapter à ton matos.
-
Pour ma part (routeur OpenWRT), pour connecter la Livebox derrière le routeur je tacherai de mettre en application les instructions fournies par rhon ici : https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg589599/#msg589599
-
Hello,
Pour information j'ai réussi à faire fonctionner un semblant d'IPv6 derrière un ERL ou un openWRT connecté derrière la livebox.
Derrière un openWRT, la config décrite ici (https://lafibre.info/remplacer-livebox/routeur-derriere-la-livebox-ipv6/msg620317/#msg620317) fonctionne très bien.
Pour l'ERL j'ai configuré (je pense pour rien) des IPv6 en statique côté LAN et WAN avec un /56 côté WAN et un /64 côté LAN.
Puis j'ai utilisé le binaire de NDP proxy disponible ici (https://community.ubnt.com/t5/EdgeRouter/Set-up-IPv6-without-Prefix-Delegation/m-p/1559916/highlight/true#M110196) ainsi qu'adapté un peu le ndppd.conf pour forwarder entre les interfaces comme il faut. J'ai aussi activé le serveur RA de l'ERL
Normalement ndppd sera disponible dans les repos debian stretch compatible avec le firmware 2.0 des ERL.
C'est cracra mais ça marche. Dommage qu'ubiquiti n'intègre pas d'office le proxy NDP.
Un jour peut-être je m'attaquerais à la suppression de la livebox en frontal.
-
J'ai commandé un Ubiquiti Edgemax X a 50€ (chez EuroDK via Amazon) pour faire des tests. Je l'ai passé sous OpenWrt 18.06.2.
avec l'acceleration matérielle (Software flow offloading + Hardware flow offloading):
IPv4 en NAT : > 930 Mbps
IPv6 en routage (2 réseaux /64) : > 930 Mbps
IPv6 en NDP proxy (1 seul réseau /64): > 930 Mbps
Sans l'acceleration on est a 300 Mbps environ.
-
Merci pour ce retour :)
La bidouille façon proxy NDP ne semble donc pas avoir d'impact sur le débit.
Je m'interroge par contre sur l'impact sur le temps d'établissement de la connexion.
Le test de ping réalisé dans la page précédente, fait apparaitre un premier délai de réponse élevé. Peut-être le temps lié au relayage des paquets NDP, lorsque la Livebox cherche à obtenir l'adresse MAC du client ?
user@OMV:~$ ping6 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy
PING 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy(2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy) 56 data bytes
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=1 ttl=63 time=183 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=2 ttl=63 time=0.715 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=3 ttl=63 time=0.651 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=4 ttl=63 time=0.647 ms
64 bytes from 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy: icmp_seq=5 ttl=63 time=0.677 ms
^C
--- 2a01:cb08:xxxx:xxxx:a63e:51ff:yyyy:yyyy ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4052ms
rtt min/avg/max/mdev = 0.647/37.272/183.670/73.199 ms
-
Le test de ping réalisé dans la page précédente, fait apparaitre un premier délai de réponse élevé. Peut-être le temps lié au relayage des paquets NDP, lorsque la Livebox cherche à obtenir l'adresse MAC du client ?
oui c'es possible. la routeur doit relayer le NDP puis établir une route /128 pour cette adresse. Cela peut prendre donc un peu de temps la 1ere fois. Mais bon c'est par adresse pas par connexion comme avec le NAT par exemple. Si tu relance le meme ping, la deuxieme fois ca doit être instantané (sinon c'est que le delai est du a autre chose).
-
Je m'interroge sur la faisabilité d'un tel montage, pour des raisons de fiabilité.
Après 7 jours de fonctionnement, j'ai été obligé de rebooter la livebox 4 (fibre).
J'ai demarré un agent Zabbix pour mesurer la fiabilité de la box.
De votre côté, vous avez des uptimes de combien de temps ?
-
Pour ma part, je n'ai pour l'instant rien redémarré depuis que j'ai mis en place la configuration "IPv6 relai NDP" présentée plus haut.
Ça fait 21 jours (Livebox 4 en ADSL).
-
Après 7 jours de fonctionnement, j'ai été obligé de rebooter la livebox 4 (fibre).
Y'a peut-être un souci spécifique a ton réseau ou tes usages.
Je n'en ferai pas une généralité vu le nombre de livebox 4 déployées, les bugs majeurs sont connus et résolus.
-
OK, merci.
-
J'ai commandé un Ubiquiti Edgemax X a 50€ (chez EuroDK via Amazon) pour faire des tests. Je l'ai passé sous OpenWrt 18.06.2.
avec l'acceleration matérielle (Software flow offloading + Hardware flow offloading):
IPv4 en NAT : > 930 Mbps
IPv6 en routage (2 réseaux /64) : > 930 Mbps
IPv6 en NDP proxy (1 seul réseau /64): > 930 Mbps
Sans l'acceleration on est a 300 Mbps environ.
Salut kgersen
Je viens de tomber sur ton post (avec un peu de retard).
Et je comprends pas ton résultat, chez moi avec un ERX sur Openwrt 18.06.02 c'est :
Sans offloading (ni hard ni soft) :
IPv4 en NAT : > 925 Mbps
IPv6 en routage > 915 Mbps
Donc 915-930 sans offloading (avec cpu à 50% (donc surement 2 dédiés sur les 4).
Et si je l'active j'obtiens bien 945 en nat, mais les perf en ipv6 sont cata.
-
Salut kgersen
Je viens de tomber sur ton post (avec un peu de retard).
Et je comprends pas ton résultat, chez moi avec un ERX sur Openwrt 18.06.02 c'est :
Sans offloading (ni hard ni soft) :
IPv4 en NAT : > 925 Mbps
IPv6 en routage > 915 Mbps
Donc 915-930 sans offloading (avec cpu à 50% (donc surement 2 dédiés sur les 4).
Et si je l'active j'obtiens bien 945 en nat, mais les perf en ipv6 sont cata.
Tu fais tes tests comment ? j'utilise iperf3 en multi session (4 ou 8 flux en meme temps)
-
Tu fais tes tests comment ? j'utilise iperf3 en multi session (4 ou 8 flux en meme temps)
Je viens de remettre mon ERX derrière mon Linksys, j'ai routé un /60 vers l'ERX.
Donc avec mon PC derrière l'ERX ayant une IPv6 sur le premier /64 du /60 précédemment routé
iperf3 -c bouygues.testdebit.info -p 5202 -R -t 20 -P 8
-
Bonjour :)
Je remonte le sujet, étant justement dans cette situation.
Je viens de paramétrer un routeur tournant sous OpenWRT (TPlink Archer C7), installé derrière la Livebox V4.
Mes observations confirment les propos de Nh3xus :
- La Livebox ne gère par la délégation de préfixe. Quand bien même Orange fourni un préfixe IPv6 en /56, la Livebox n'annonce sur le LAN que le premier préfixe en /64.
-> Lorsque l'on connecte le routeur derrière la Livebox, celui-ci obtient une adresse IPv6 publique avec préfixe /64. Les équipements situés derrière le routeur n'obtiennent pas d'IPv6 publique.
- La Livebox annonce le préfixe public /64 aux équipements présents sur le LAN, en envoyant régulièrement des paquets RA (Router Advertisement)
L'astuce pour que les équipements situés derrière le routeur obtiennent une IPv6 publique, consiste à relayer les paquets RA (Routeur Advertisement) et NDP (Neighbor Discovery Protocol).
Pour cela, il m'a fallut adapter la configuration DHCP d'OpenWRT de la façon suivante :
root@OpenWrt:~# cat /etc/config/dhcp
[...]
config dhcp 'lan'
option interface 'lan'
option start '100'
option limit '150'
option leasetime '12h'
option ra 'relay'
option dhcpv6 'relay'
option ndp 'relay'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
option ra 'relay'
option dhcpv6 'relay'
option ndp 'relay'
option master '1'
Ainsi, les équipements situés derrière le routeur, obtiennent une adresse IPv6 exactement de la même façon que s'ils étaient connectés directement derrière la Livebox.
- Par défaut, le parefeu de la Livebox V4 filtre les paquets ICMPv6 à destination du LAN. Cela bloque certaines fonctionnalités d'IPv6 (Path MTU Discovery ...).
Pour que les paquets ICMPv6 parviennent aux machines, il faut régler le parefeu de la Livebox en position "Faible".
Attention dans ce cas à bien filtrer les connexions entrantes IPv6 non sollicités au niveau du routeur, sans quoi les équipements du réseau seront directement exposés à Internet.
Bonjour, j'ai voulu mettre en place cette config chez mes parents, autant chez moi, virer la box c'est pas un soucis, autant chez mes parents c'est plus chiant, imaginez le changement de l'option 90 et que je suis pas chez eux à ce moment là, c'est la crise.
Donc je bidouille tout en mode double nat.
Alors j'ai suivi cette conf, j'ai bien des ipv6 public mais quand je veux sortir en ipv6 ça ne sort pas, je tcpdump au niveau de l'interface wan
# tcpdump -i br-wan -vv ip6 host 2a00:1450:4007:805::2003
tcpdump: listening on br-wan, link-type EN10MB (Ethernet), capture size 262144 bytes
10:16:05.420403 IP6 (flowlabel 0xffcdf, hlim 63, next-header ICMPv6 (58) payload length: 16) 2a01::8098:3100:f423:32d5:8db0:2c18 > par10s38-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 51
10:16:06.413138 IP6 (flowlabel 0xffcdf, hlim 63, next-header ICMPv6 (58) payload length: 16) 2a01::8098:3100:f423:32d5:8db0:2c18 > par10s38-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 52
10:16:07.416613 IP6 (flowlabel 0xffcdf, hlim 63, next-header ICMPv6 (58) payload length: 16) 2a01::8098:3100:f423:32d5:8db0:2c18 > par10s38-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 53
10:16:08.420172 IP6 (flowlabel 0xffcdf, hlim 63, next-header ICMPv6 (58) payload length: 16) 2a01::8098:3100:f423:32d5:8db0:2c18 > par10s38-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 54
On voit clairement que le retour ne vient jamais :(
Une idée svp ? :)
Je n'ai aps réussi à configurer ndppd pour l'autre moyen
-
Désolé, je ne vois à priori pas ce qui bloque !
Même chose chez moi (interface WAN de mon routeur) :
root@OpenWrt:~# tcpdump -i eth1 -vv host 2a00:1450:4007:80f::2003
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:29:37.481459 IP6 (flowlabel 0xf0c5c, hlim 63, next-header ICMPv6 (58) payload length: 64) openwrt.home > par10s29-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 1
14:29:37.488074 IP6 (flowlabel 0xf0c5c, hlim 54, next-header ICMPv6 (58) payload length: 64) par10s29-in-x03.1e100.net > openwrt.home: [icmp6 sum ok] ICMP6, echo reply, seq 1
14:29:38.483539 IP6 (flowlabel 0xf0c5c, hlim 63, next-header ICMPv6 (58) payload length: 64) openwrt.home > par10s29-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 2
14:29:38.490047 IP6 (flowlabel 0xf0c5c, hlim 54, next-header ICMPv6 (58) payload length: 64) par10s29-in-x03.1e100.net > openwrt.home: [icmp6 sum ok] ICMP6, echo reply, seq 2
14:29:39.484685 IP6 (flowlabel 0xf0c5c, hlim 63, next-header ICMPv6 (58) payload length: 64) openwrt.home > par10s29-in-x03.1e100.net: [icmp6 sum ok] ICMP6, echo request, seq 3
14:29:39.491060 IP6 (flowlabel 0xf0c5c, hlim 54, next-header ICMPv6 (58) payload length: 64) par10s29-in-x03.1e100.net > openwrt.home: [icmp6 sum ok] ICMP6, echo reply, seq 3
-
Désolé, je ne vois à priori pas ce qui bloque !
Même chose chez moi (interface WAN de mon routeur) :
tu as activé l'interface wan6 ou pas ?
-
Oui, en client DHCPv6.
L'interface est dans la zone pare-feu "WAN".
-
Super, ta conf fonctionne
Sur la snapshot de openwrt, wan6 et wan sont dissocié, et wan6 est branché sur br-wan, j'ai mis @wan dans /etc/config/network
config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
option type 'bridge'
config interface 'wan6'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix 'auto'
option ifname '@wan'
et ça a marché d'entrée :)
Ah par contre, la livebox me flanque son serveur DNS et du coup le serveur DNS custom que j'annonce avec le dhcpv4 saute au profit de l'ipv6
Merci à toi
-
Merci pour ton retour 8)
-
Il faut que j'arrive à trouver une autre solution, celle là fonctionne, mais vu que c'est la box qui fourni l'ipv6 elle met un serveur DNS à elle et le serveur DNS annoncé par l'ipv4 est ignoré du coup
-
Je viens de vérifier à l'instant : je constate effectivement la même chose.
Ceci explique pourquoi je rencontre depuis quelques temps des ratés de résolution DNS, pour résoudre les noms de machines de mon LAN : la livebox (Serveur DNS IPv6) ne connaît pas les noms DNS de mes machines, contrairement à mon routeur (Serveur DNS IPv4).
Il y a quelques mois, la Livebox ne semblait pas annoncer de DNS IPv6. Je n'avais donc pas vu le problème ...
-
Il ne faudrait faire que "ndp relay" et pas de "dhcpv6 relay" et activer un serveur stateless DHCPv6 coté lan. En principe les machines sous Windows préférons la config DNS fourni par ce serveur DHCPv6 a celle fourni par RDNSS.
-
Je vais tenter de déployer cette config, et je vous tiens au courant
-
sinon au pire restera la possibilité d'intercepter le traffic dns et le rediriger vers le serveur dns local (ca se fait avec 2 regles iptables6).
ip6tables -t nat -A PREROUTING ! -d ipv6-openwrt/128 -i br0 -p udp -m udp --dport 53 -j DNAT --to-destination [ipv6-openwrt]
ip6tables -t nat -A PREROUTING ! -d ipv6-openwrt/128 -i br0 -p tcp -m tcp --dport 53 -j DNAT --to-destination [ipv6-openwrt]
ipv6-openwrt = une adresse IPv6 link-local coté lan du routeur openwrt (je recommanderai d'ajouter au routeur une ipv6 link-local simple, style fe80::53 ou fe80::1 plutot que d'utiliser l'adresse existante)
br0 = nom de l'interface lan
Il convient bien sur que le serveur dns du routeur "écoute" en IPv6 sur cette adresse...
Pour que les regles fonctionnent il faut que l'OS supporte CONFIG_IP6_NF_NAT pour ip6tables (ce n'est pas forcement par défaut vu qu'on fait rarement du NAT en ipv6).
On peut faire la meme en IPv4 si on veut être sur de tout intercepter.
-
Bonjour,
J'ai essayé de faire un dhcpv6 stateless,
Je ne prend pas d'ip :(
Edit1: j'ai réussi à prendre une ip après un reboot du router, mais le dns est resté celui d'orange
config dhcp 'lan'
option interface 'lan'
option start '100'
option limit '150'
option leasetime '12h'
option ra 'relay'
option dhcpv6 'server'
option ndp 'relay'
option ra_management '0'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
option ra 'relay'
option ndp 'relay'
option master '1'
go pour iptables du coup, mais je en sais pas si le stable build d'openwrt a l'ipv6 nat
-
Je me demande bien d'où provient ce DNS IPv6 :o
Lorsque je capture le trafic Livebox ~ Module SFP, je ne vois que les réponses ci-dessous à la requête DHCPv6 émise par la Livebox :
- Option 1 (Client Identifier)
- Option 2 (Serveur Identifier)
- Option 11 (Authentication)
- Option 25 (Identity Association for Prefix Delegation)
Pas de trace de DNS (Options 23)
-
Dans wireshark coté lan sur la trame dhcpv6 il y aune option DNS 23 avec fe80::a63e:51ff:fe46:8019 comme valeur qui est le linklocal de la box.
J'ai tout détruit la conf et je suis reparti de 0 et ça fonctionne enfin
Pour la partie network, modifier /etc/config/network pour que wan6 soit un alias de wan
config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
option type 'bridge'
config interface 'wan6'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix 'auto'
option ifname '@wan'
Pour la partie DHCP
config dhcp 'lan'
option interface 'lan'
option start '100'
option limit '150'
option leasetime '12h'
option ra 'relay'
option dhcpv6 'server'
option ndp 'relay'
option ra_management '0'
list dns 'fe80::32b5:c2ff:fe7f:6f9a'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
option ra 'relay'
option ndp 'relay'
option master '1'
fe80::32b5:c2ff:fe7f:6f9a étant le link local de mon routeur, ça ne répond pas mais ce n'est pas grave. et ma résolution fonctionne de nouveau bien
Pour la box c'est encore en moyen, impossible d'ouvrir un flux ipv6 si je laisse en moyen, ce n'est pas grave, je ne compte pas le faire
Et voilà que lafibre.info me dit que je suis ipv6 :)
PS: Pourquoi la box donne deux ipv6 ? Au début je pensais que ça venait de ma conf, alors j'ai pris une autre machine et je me suis mis derrière la box et j'ai deux ipv6 aussi
-
Dans wireshark coté lan sur la trame dhcpv6 il y aune option DNS 23 avec fe80::a63e:51ff:fe46:8019 comme valeur qui est le linklocal de la box.
Je comprends mieux :) Le routeur ne diffusait l'adresse des DNSv6 Orange, mais l'adresse locale de la Box en tant que DNSv6.
Merci pour cet éclaircissement, et ton retour d'expérience 8)
PS: Pourquoi la box donne deux ipv6 ? Au début je pensais que ça venait de ma conf, alors j'ai pris une autre machine et je me suis mis derrière la box et j'ai deux ipv6 aussi
Une pour le LAN (non routable sur Internet), et une publique ?
Tu peux nous donner les préfixes correspondant ?
-
Deux publiques
2a01:cb1c::::5ab1:7003:e640
et 2a01:cb1c::::f370:4831:9add
J'ai censuré le millieu
-
Peut-être un début de réponse ici ! https://lafibre.info/ipv6/cest-quoi-toutes-ces-adresses-ipv6/msg153241/#msg153241
-
Hello tout le monde
Je rencontre une difficulté
Si en unicast otut fonctionne, en multicast, un packet semble se faire droper par le parefeu avec les règles par défaut ce qui rend les alexa marteau lorsque je demande un Spotify Connect par exemple.
Est ce que quelqu'un a des connaissances en IPTables pour ouvrir ce genre de flux ?
Voilà les règles par défaut, l'enceinte est en zone LAN.
Je pense qu'il faut que j'arrive à passthrouth tout ce qui est interne (donc du préfixe fe80, du ff00, et le prefixe public de la livebox) mais je suis pas sur
Pour le moment j'ai bloqué avec le mangle l'ipv6 sur les alexa et les services multicast refonctionnent
-
plusieurs choses:
- tes regles sont générées par fw3, autant donner la config fw3 (uci) et surtout dans ce cas éviter de faire des regles directement avec ip6tables.
- tu ré-ouvres un sujet apres plusieurs mois (dernier post: 21 avril), ne t'attend a ce que les gens est mémorisé ta config et son environnement car la tu parles de multicast mais il n'y a pas de multicast wan->lan sur les connections grand public en France (hors TV gérées). T'as donc un souci entre des zones LAN ou ce n'est pas un souci de 'multicast' bref c'est pas clair sans plus de détails.
- 'alexa' n'est pas le nom d'un appareil mais d'un service. Il y a plusieurs produits dont l'Echo et le Dot qui ont une stack réseau différente, ils peuvent avoir des fonctionnements réseau différents.
- A priori mais ce n'est pas mon domaine, les Echo & Dot nécessitent SSDP/UPnP sur le routeur.
-
Hello,
Pour information j'ai réussi à faire fonctionner un semblant d'IPv6 derrière un ERL ou un openWRT connecté derrière la livebox.
Derrière un openWRT, la config décrite ici (https://lafibre.info/remplacer-livebox/routeur-derriere-la-livebox-ipv6/msg620317/#msg620317) fonctionne très bien.
Pour l'ERL j'ai configuré (je pense pour rien) des IPv6 en statique côté LAN et WAN avec un /56 côté WAN et un /64 côté LAN.
Puis j'ai utilisé le binaire de NDP proxy disponible ici (https://community.ubnt.com/t5/EdgeRouter/Set-up-IPv6-without-Prefix-Delegation/m-p/1559916/highlight/true#M110196) ainsi qu'adapté un peu le ndppd.conf pour forwarder entre les interfaces comme il faut. J'ai aussi activé le serveur RA de l'ERL
Normalement ndppd sera disponible dans les repos debian stretch compatible avec le firmware 2.0 des ERL.
C'est cracra mais ça marche. Dommage qu'ubiquiti n'intègre pas d'office le proxy NDP.
Un jour peut-être je m'attaquerais à la suppression de la livebox en frontal.
Bonjour Fuli
As tu la conf que tu as réussi à bidouiller avec ndppd ?
Merci
-
Hello
Non je n'ai plus la config depuis un moment déjà. Chez orange ce qui est bien c'est qu'il est possible de supprimer complètement la box tout en gardant la TV. Du coup au lieu de garder une config boiteuse j'ai tout remplacé (en utilisant openwrt).
-
Pour le moment j'ai cette config :
route-ttl 30000
proxy eth0 {
timeout 500
ttl 30000
autowire yes
rule ::/0 {
iface eth1
}
}
proxy eth1 {
timeout 500
ttl 30000
autowire yes
router yes
rule ::/0 {
iface eth0
}
}
l'ipv6 marche 20 à 30 secondes (traceroute6 google.fr fonctionne pendant ce lap) et ensuite l'ipv6 meurt et traceroute6 bloque sur l'erl
Malheureusement en ADSL se passer de la box est plus compliqué
-
J'ai avancé,
Voici le tcpdump depuis l'entrée WAN de mon ERLite
16:49:33.686846 IP6 2a01:cb10:##:7257:cd2d > 2001:bc8:32d7:18c::9: ICMP6, echo request, seq 31, length 16
16:49:33.694691 IP6 2001:bc8:32d7:18c::9 > 2a01:cb10:##:7257:cd2d: ICMP6, echo reply, seq 31, length 16
16:49:33.825181 IP6 2a01:cb10:##:9ca7 > 2001:bc8:32d7:18c::9: ICMP6, destination unreachable, unreachable address 2a01:cb10:17:9d00:a83c:8b3a:7257:cd2d, length 64
2a01:cb10:##:9ca7 est l'ERLite
Coté LAN de l'ERL on a :
16:52:11.067401 IP6 2a01:cb10:##:7257:cd2d > 2001:bc8:32d7:18c::9: ICMP6, echo request, seq 188, length 16
16:52:12.071348 IP6 2a01:cb10:##:7257:cd2d > 2001:bc8:32d7:18c::9: ICMP6, echo request, seq 189, length 16
16:52:13.071510 IP6 2a01:cb10:##:7257:cd2d > 2001:bc8:32d7:18c::9: ICMP6, echo request, seq 190, length 16
Du coup la route de la livebox vers l'ERL est bonne par contre il manque une route sur l'ERL vers mon PC ipv6 et ça c'est bizarre non ?
-
J'ai réussi
plusieurs étapes
J'ai ajouté ces routes à la main :
ip -6 route add 2a01:cb10:##::/64 dev eth1 metric 20
ip -6 route add 2a01:cb10:##:5ce2 dev eth0
J'ai activé le proxy ndp que sur l'eth0
et la magie fait que ça marche
-
Bonsoir à tous, avez vous l’équivalent de la config dhcp openwrt en config dhcp dnsmasq svp ? Merci