Auteur Sujet: Ubiquiti ER Ipv6 dhcp6 en 2.X  (Lu 29051 fois)

0 Membres et 1 Invité sur ce sujet

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 207
  • THIONVILLE 57
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #24 le: 26 août 2019 à 21:18:29 »
zebra ?!

Ca a l'air dramatique zebra ! :/

Tu ne bloquerais pas ICMPv6 et/ou le multicast (et notamment NDP, qui est le remplaçant de ARP pour IPv6 et qui utilise multicast ICMPv6) par hasard ?

Niveau parefeu ipv6, c'est bon, icmpv6 + dhcpv6 sont autorisés.

J'ai sorti un tcpdump. J'ai l'impression qu'il n'y a pas de retour d'Orange. J'ai l'impression qu'il demande aussi la MAC a la mauvaise adresse broadcast (ff02::1:ffa0:bab)
21:05:56.997578 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1000 >                                                                                                                         ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::                                                                                                                        ba0:bab
          source link-address option (1), length 8 (1): fc:ec:da:47:bf:48
            0x0000:  fcec da47 bf48
21:06:36.608058 IP6 (flowlabel 0xa2aa3, hlim 1, next-header UDP (17) payload length: 93) fe80::1000.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=2782e6 (client-ID hwaddr/time type 1 time 619915408 fcecda47bf48) (rapid-commit) (elapsed-time 65535) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:0 T2:0 (IA_PD-prefix ::/56 pltime:4294967295 vltime:4294967295)))
21:06:36.608074 IP6 (flowlabel 0xa2aa3, hlim 1, next-header UDP (17) payload length: 93) fe80::1000.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=2782e6 (client-ID hwaddr/time type 1 time 619915408 fcecda47bf48) (rapid-commit) (elapsed-time 65535) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:0 T2:0 (IA_PD-prefix ::/56 pltime:4294967295 vltime:4294967295)))
21:06:47.327924 IP (tos 0xc0, ttl 1, id 3182, offset 0, flags [none], proto IGMP (2), length 32, options (RA))
    adijon-256-1-60-92.w81-51.abo.wanadoo.fr > all-systems.mcast.net: igmp query v2
21:06:47.327960 IP (tos 0xc0, ttl 1, id 3182, offset 0, flags [none], proto IGMP (2), length 32, options (RA))
    adijon-256-1-60-92.w81-51.abo.wanadoo.fr > all-systems.mcast.net: igmp query v2
21:06:51.291676 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
    192.168.9.1 > 224.0.0.251: igmp v2 report 224.0.0.251
21:06:51.292042 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
    192.168.9.1 > 224.0.0.251: igmp v2 report 224.0.0.251
21:06:57.155692 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
    192.168.9.1 > 239.255.255.250: igmp v2 report 239.255.255.250
21:06:57.156101 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
    192.168.9.1 > 239.255.255.250: igmp v2 report 239.255.255.250
21:07:50.038013 IP6 (flowlabel 0xa2aa3, hlim 1, next-header UDP (17) payload length: 224) fe80::1000.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=d64693 (vendor-specific-info) (client-ID hwaddr type 1 fcecda47bf48) (option-request authentication vendor-specific-info DNS-server DNS-search-list) (elapsed-time 65535) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (user-class) (vendor-class) (IA_PD IAID:3662135112 T1:3600 T2:5400))
21:07:50.038028 IP6 (flowlabel 0xa2aa3, hlim 1, next-header UDP (17) payload length: 224) fe80::1000.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=d64693 (vendor-specific-info) (client-ID hwaddr type 1 fcecda47bf48) (option-request authentication vendor-specific-info DNS-server DNS-search-list) (elapsed-time 65535) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (user-class) (vendor-class) (IA_PD IAID:3662135112 T1:3600 T2:5400))
21:08:35.608092 IP6 (flowlabel 0xa2aa3, hlim 1, next-header UDP (17) payload length: 93) fe80::1000.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=2782e6 (client-ID hwaddr/time type 1 time 619915408 fcecda47bf48) (rapid-commit) (elapsed-time 65535) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:0 T2:0 (IA_PD-prefix ::/56 pltime:4294967295 vltime:4294967295)))
21:08:35.608108 IP6 (flowlabel 0xa2aa3, hlim 1, next-header UDP (17) payload length: 93) fe80::1000.dhcpv6-client > ff02::1:2.dhcpv6-server: [udp sum ok] dhcp6 solicit (xid=2782e6 (client-ID hwaddr/time type 1 time 619915408 fcecda47bf48) (rapid-commit) (elapsed-time 65535) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:0 T2:0 (IA_PD-prefix ::/56 pltime:4294967295 vltime:4294967295)))
21:08:53.007943 IP (tos 0xc0, ttl 1, id 14733, offset 0, flags [none], proto IGMP (2), length 32, options (RA))
    adijon-256-1-60-92.w81-51.abo.wanadoo.fr > all-systems.mcast.net: igmp query v2
21:08:53.007986 IP (tos 0xc0, ttl 1, id 14733, offset 0, flags [none], proto IGMP (2), length 32, options (RA))
    adijon-256-1-60-92.w81-51.abo.wanadoo.fr > all-systems.mcast.net: igmp query v2

Je vais remplacer la mac de l'interface eth5.832 par celle de la livebox pour voir + le fichier de config dhclient.

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 207
  • THIONVILLE 57
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #25 le: 26 août 2019 à 22:23:04 »
Voilà avant :

Aug 26 21:29:47 ubnt dhcp6c[23702]: dhcp6_reset_timer: reset a timer on eth5.832, state=SOLICIT, timeo=0, retrans=1068
Aug 26 21:29:48 ubnt kernel: ICMPv6: RA: ndisc_router_discovery failed to add default route
Aug 26 21:29:48 ubnt dhcp6c[23702]: copy_option: set client ID (len 14)

Aug 26 21:26:23 ubnt ntpd[22211]: bind(29) AF_INET6 2a01:cb11:802:e400::1#123 flags 0x11 failed: Cannot assign requested address
Aug 26 21:26:23 ubnt ntpd[22211]: unable to create socket on eth0 (10) for 2a01:cb11:802:e400::1#123
Aug 26 21:26:23 ubnt ntpd[22211]: failed to init interface for address 2a01:cb11:802:e400::1
Aug 26 21:26:24 ubnt dhcp6c[22288]: copy_option: set client ID (len 14)

Après quelques changements :
- modification de la MAC de l'interface eth5.832
- fichier de configuration dhclient6 (modificatino de l'adresse MAC)
- delete dhcpv6-pd duid dhclient6 (echo >/var/run/dhclient6_eth5_832.leases)
- suppression configuration EdgeOS (via configure) de la configuration DHCPv6-PD de l'interface eth5.832 (WAN)
- reset configuration eth0 (LAN)

ubnt@ubnt:~$ show ipv6 neighbors
fe80::ba0:bab dev eth5.832 lladdr 20:e0:9c:27:41:66 router REACHABLE

Aug 26 22:03:23 ubnt systemd[1]: Starting dhclient for sending DUID IPv6...
Aug 26 22:03:23 ubnt dhclient[28173]: Internet Systems Consortium DHCP Client 4.1-ESV-R15-P1
Aug 26 22:03:23 ubnt dhclient[28173]: Copyright 2004-2018 Internet Systems Consortium.
Aug 26 22:03:23 ubnt dhclient[28173]: Internet Systems Consortium DHCP Client 4.1-ESV-R15-P1
Aug 26 22:03:23 ubnt dhclient[28173]: Copyright 2004-2018 Internet Systems Consortium.
Aug 26 22:03:23 ubnt dhclient[28173]: All rights reserved.
Aug 26 22:03:23 ubnt dhclient[28173]: For info, please visit https://www.isc.org/software/dhcp/
Aug 26 22:03:23 ubnt dhclient[28173]: All rights reserved.
Aug 26 22:03:23 ubnt dhclient[28173]: For info, please visit https://www.isc.org/software/dhcp/
Aug 26 22:03:23 ubnt dhclient[28173]:
Aug 26 22:03:23 ubnt dhclient[28173]: Listening on Socket/eth5.832
Aug 26 22:03:23 ubnt dhclient[28173]: Sending on   Socket/eth5.832
Aug 26 22:03:23 ubnt dhclient[28173]: PRC: Soliciting for leases (INIT).
Aug 26 22:03:23 ubnt systemd[1]: Started dhclient for sending DUID IPv6.
Aug 26 22:03:23 ubnt dhclient[28180]: XMT: Solicit on eth5.832, interval 1050ms.
Aug 26 22:03:23 ubnt dhclient[28180]: RCV: Advertise message on eth5.832 from fe80::ba0:bab.
Aug 26 22:03:23 ubnt dhclient[28180]: XMT: Request on eth5.832, interval 970ms.
Aug 26 22:03:23 ubnt dhclient[28180]: RCV: Reply message on eth5.832 from fe80::ba0:bab.

J'ai maitenant :
1) à partir du routeur :
ubnt@ubnt:~$ sudo -i ping6 www.google.com
ping: www.google.com: Temporary failure in name resolution

2) à partir d'un PC :
C:\Users\admin>ping -6 www.google.com -n 1

Pinging www.google.com [2a00:1450:400e:809::2004] with 32 bytes of data:
Reply from 2a00:1450:400e:809::2004: time=24ms

Ping statistics for 2a00:1450:400e:809::2004:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 24ms, Maximum = 24ms, Average = 24ms

Bonne nouvelle donc ! IPv6 est de retour. Apparemment, dhcp6c a disparu des processus en cours de fonctionnement sur le routeur. Il reste le problème de ping à partir du routeur (j'ai testé plusieurs interfaces pour le ping, mais rien n'y fait...). C'est peut-être lié à dhcp6c aussi !

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 256
  • Antibes (06) / Mercury (73)
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #26 le: 27 août 2019 à 08:15:37 »
Donc ça voudrait dire que Orange filtre TOUT (y compris ICMPv6 pour NDP) tant que le routeur de contrôle d'accès n'a pas reçu un DHCP SOLICIT valide. D'ailleurs ça expliquerait aussi pourquoi il faut attendre jusqu'à 30 minutes pour obtenir la route par défaut si on ne la configure pas en statique.

zebra ?!
Normal sur EdgeOS pour une route configurée en statique dans la config du routeur. Sur EdgeOS tout le routage est géré par leur propre stack de routage (basée sur zebra, mais ce n'est pas zebra).

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 207
  • THIONVILLE 57
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #27 le: 27 août 2019 à 11:43:41 »
Bon... j'abandonne, j'ai passé mon week-end dessus... rien à faire ça ne fonctionne pas.

 >:(

Peux-tu essayer/vérifier de :
- Ajout d'un clone de la MAC de la Livebox pour la vif 832 de l'interface WAN (ici eth4.832)
       * set interfaces ethernet eth4 vif 832 mac xx:xx:xx:xx:xx:xx
- Suppression de la configuration DHCPV6-PD de la vif 832 de l'interface WAN (ici eth4.832) -> qui doit désactiver le service dhcp6c
       * delete interfaces ethernet eth4 vif 832 dhcpv6-pd
- Correction de la MAC externe dans le fichier de configuration /etc/dhcp3/dhclient6_eth4_832.conf
       * sudo -i systemctl restart dhclient6

Redémarrer le service dhclient6.

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 207
  • THIONVILLE 57
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #28 le: 27 août 2019 à 16:09:27 »
Bonjour,

Voici un erratum pour corriger la configuration IPv6.

Ce qui change par rapport à l'ancienne configuration c'est :
- Ajout d'un clone de la MAC de la Livebox pour la vif 832 de l'interface WAN (ici eth4.832)
- Suppression de la configuration DHCPV6-PD de la vif 832 de l'interface WAN (ici eth4.832)
- Correction de la MAC externe dans le fichier de configuration /etc/dhcp3/dhclient6_eth4_832.conf
- Modification du fichier /etc/systemd/system/dhclient6.service (version de fttmeh qui m'a corrigé le problème de démarrage du service) avec le remplacement de la section [Unit] par :
   [Unit]
   Description=dhclient for sending DUID IPv6
   After=network.target

J'ai modifié légèrement le fichier /etc/dhcp3/dhclient-exit-hooks.d/dhclient-ipv6 mais je pense qu'il n'y a aucun impact.

Certaines modifications ne sont peut être pas obligatoires, comme :
- Cloner de la MAC de la LB sur la vif 832
- Indiquer le préfixe complet Orange /64 pour l'adressage de l'eth0 (il est fort probable qu'on puisse utiliser les 256 réseaux possibles) mais je n'ai pas testé
- Configurer de la route par défaut fe80::ba0:bab
- Créer le fichier de configuration /etc/dhcp3/dhclient-exit-hooks.d/dhclient-ipv6

Il faudrait encore réaliser de nombreux tests pour confirmer que tout résiste au redémarrage et s'assurer que tous les changements sont strictement nécessaires. Mais le temps me manque un peu, et surtout, ma famille n'aime pas trop les redémarrages intempestifs pour vérifier que la config supporte le reboot.

Rechercher ####!!!! pour les informations dépendant de la configuration/fournisseur

Configurer le firewall IPv6
RQ : Nécessite de forcer le marquage CoS 6 pour les flux DHCPv6 en sortie sur le switch/router
configure
edit firewall ipv6-name WAN6_IN
set default-action drop
set rule 10 action accept
set rule 10 description "allow established"
set rule 10 protocol all
set rule 10 state established enable
set rule 10 state related enable

set rule 20 action accept
set rule 20 description "allow ICMPv6"
set rule 20 protocol icmpv6

set rule 30 action drop
set rule 30 description "drop invalid packets"
set rule 30 protocol all
set rule 30 state invalid enable
exit

edit firewall ipv6-name WAN6_LOCAL
set default-action drop
set rule 10 action accept
set rule 10 description "allow established"
set rule 10 protocol all
set rule 10 state established enable
set rule 10 state related enable

set rule 20 action accept
set rule 20 description "allow ICMPv6"
set rule 20 protocol icmpv6

set rule 30 action accept
set rule 30 description "allow DHCPv6 client/server"
set rule 30 destination port 547
set rule 30 source port 546
set rule 30 protocol udp

set rule 40 action drop
set rule 40 description "drop invalid packets"
set rule 40 protocol all
set rule 40 state invalid enable
exit

####!!!! Remplacer l'interface eth4 (WAN) si nécesssaire ####
set interfaces ethernet eth4 vif 832 firewall in ipv6-name WAN6_IN
set interfaces ethernet eth4 vif 832 firewall local ipv6-name WAN6_LOCAL

####!!!! Remplacer l'interface eth0 (LAN) si nécesssaire ####
set interfaces ethernet eth0 ipv6 address autoconf
commit;save;exit

Créer la route par défaut
####!!!! Remplacer l'interface eth4 (LAN) si nécesssaire ####
configure
set protocols static route6 ::/0 next-hop fe80::ba0:bab interface eth4.832
commit;save;exit

Cloner la mac de la livebox sur la vif 832
####!!!! Remplacer la MAC par celle de la livebox + adapter le fichier /etc/dhcp3/dhclient6_eth4_832.conf ####
configure
set interfaces ethernet eth4 vif 832 mac xx:xx:xx:xx:xx:xx
commit;save;exit

Paramétrer IPv6 pour l'interface eth0 (LAN)
####!!!! Remplacer par le préfixe /56 délégué d'Orange xxxx:xxxx:xxxx:xxxx ####
####!!!! Remplacer l'interface eth0 (LAN) si nécesssaire ####
configure
set interfaces ethernet eth0 ipv6 router-advert prefix xxxx:xxxx:xxxx:xxxx::/64
commit;save;exit

Redémarrer le service dhclient6
sudo -i systemctl restart dhclient6

Je n'ai pas eu besoin de redémarrer le routeur pour que cette configuration fonctionne.

Bon courage aux testeurs.

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 256
  • Antibes (06) / Mercury (73)
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #29 le: 27 août 2019 à 16:50:56 »
Indiquer le préfixe complet Orange /64 pour l'adressage de l'eth0 (il est fort probable qu'on puisse utiliser les 256 réseaux possibles) mais je n'ai pas testé
Mauvaise idée, le préfixe VA changer [1] un jour ou l'autre. Chez moi je ne configure plus SLAAC dans le fichier de configuration du routeur, et je génère le fichier de configuration de radvd dans le script du client DHCP (sous dibbler pour l'instant mais le principe est le même pour dhclient...).

Accessoirement, j'utilise au moins 6 /64 différents de mon /56 sans aucun problème (ouais, j'ai plein de VLAN différents sur mon LAN, chacun a son /64).

[1] : mon préfixe a changé il y a 15 jours après plus d'un an de stabilité. Mon IPv4 aussi, au même moment d'ailleurs.

Citer
systemctl restart dhclient6
A mettre dans un script dans le dossier /config/scripts/post-config.d pour être sur que le client DHCP6-PD est bien lancé après que toute la conf du routeur est en place (et accessoirement du coup il faut désactiver le lancement automatique).

barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #30 le: 27 août 2019 à 21:44:11 »
Peux-tu essayer/vérifier de :
- Ajout d'un clone de la MAC de la Livebox pour la vif 832 de l'interface WAN (ici eth4.832)
       * set interfaces ethernet eth4 vif 832 mac xx:xx:xx:xx:xx:xx
- Suppression de la configuration DHCPV6-PD de la vif 832 de l'interface WAN (ici eth4.832) -> qui doit désactiver le service dhcp6c
       * delete interfaces ethernet eth4 vif 832 dhcpv6-pd
- Correction de la MAC externe dans le fichier de configuration /etc/dhcp3/dhclient6_eth4_832.conf
       * sudo -i systemctl restart dhclient6

Redémarrer le service dhclient6.

Je passe par un GPON pour convertir en ethernet, dois-je mettre la mac du GPON ou de la Livebox (adresse ethernet marqué au dos) ?
« Modifié: 27 août 2019 à 22:10:52 par barichon »

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 207
  • THIONVILLE 57
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #31 le: 27 août 2019 à 22:08:14 »
Je passe par un GPON pour convertir en ethernet, dois-je mettre la mac du GPON ou de la Livebox (adresse ethernet marqué au dos) ?

P.S: je n'ai pas possbilité de modifier la QoS avec mon switch donc j'utilise iptable pour le faire.

Je n'ai pas la LB sous la main, mais oui, je dirais de mettre l'adresse indiqué au dos, celle au format ff:ff:ff:ff:ff:ff. Ce n'est, a priori, pas nécessaire de cloner la MAC mais bon... ça fonctionne aussi avec ^^
Et il ne faut pas oublié de modifier le client-id dans le fichier de conf

barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #32 le: 27 août 2019 à 22:10:06 »
Je n'ai pas la LB sous la main, mais oui, je dirais de mettre l'adresse indiqué au dos, celle au format ff:ff:ff:ff:ff:ff. Ce n'est, a priori, pas nécessaire de cloner la MAC mais bon... ça fonctionne aussi avec ^^
Et il ne faut pas oublié de modifier le client-id dans le fichier de conf

ok merci. Ou est-ce que tu modifies le client id ?

pinomat

  • Abonné Orange Fibre
  • *
  • Messages: 207
  • THIONVILLE 57
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #33 le: 27 août 2019 à 22:21:14 »
ok merci. Ou est-ce que tu modifies le client id ?

Hé bien là, si tu ne sais pas, ça va être compliqué, il faut suivre la configuration https://lafibre.info/remplacer-livebox/ubiquiti-er-ipv6-dhcp6-en-2-x/msg670540/#msg670540. Le fichier c'est : /etc/dhcp3/dhclient6_eth0_832.conf.

Mais si tu mets la MAC de la LB, il faut aussi cloner la MAC dans la configuration EdgeOs dans ce cas, c'est (en remplacant eth4 par ton interface WAN) :
set interfaces ethernet eth4 vif 832 mac xx:xx:xx:xx:xx:xx
Tu peux lire aussi https://lafibre.info/remplacer-livebox/ubiquiti-er-ipv6-dhcp6-en-2-x/msg678674/#msg678674

barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #34 le: 27 août 2019 à 22:23:28 »
EDIT:

Tout est fait, ça fonctionne enfin MERCI pour votre aide.
« Modifié: 28 août 2019 à 13:14:12 par barichon »

barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Ubiquiti ER Ipv6 dhcp6 en 2.X
« Réponse #35 le: 07 septembre 2019 à 09:59:13 »
Hello,

Ce matin je refais un test ipv6 et je vois que j'ai plus de connectivité. Je constate que dhcpv6-pd est dans ma config...du coup je l'éfface et je redemarre mais toujours pas d'ipv6. Pourriez-vous me m'aider a debuger ?

Par avance merci.
« Modifié: 07 septembre 2019 à 10:32:11 par barichon »