Bonjour
Je suis client FTTH Red depuis peu de temps, en IPV6+IPV4-Carrier Grade NAT.
J'ai souscrit une offre 1Gb/500Mb avec box NB6VAC-FXC-r0, que je compte remplacer rapidement par un routeur/pare-feu OPNsense.
J'ai lu pas mal de choses sur ces forum et les infos données m'ont permis de gagner énormément de temps, merci à tous pour vos infos.
.
Je compte passer tous mes services en IPV6 autant que possible, l'idée étant de ne pas réclamer un rollback IPV4 dédiée.
Pour l'instant et avant que tout soit totalement opérationnel (SIP pour lequel j'attends un ATA compatible IPV6 en remplacement de mon cisco pap2t IPV4 only, OpenVPN à configurer sous IPV6, serveur Debian sur le lan à migrer en dualstack IPV4+IPV6, etc) j'ai remis la box en service temporairement, pour cause d'un autre usager en télétravail qui risque de criser si je casse régulièrement le lien data.
Pendant mes premiers essais si j'arrivais à surfer a priori normalement, j'ai rencontré un blocage des updates OPNsense et des problèmes de résolution DNS intermittents (j'utilise 9.9.9.9 et 1.1.1.1, pas ceux de SFR). Pas top.
Ces problèmes ont été solutionnés (enfin, à vérifier de manière approfondie) en modifiant l'interdiction des réseaux privés (RFC1918) activée par défaut sur l'interface WAN. Sous OPNsense, cocher cette case filtre également en entrée ce qui provient des ip 100.64.0.0/10 (Carrier Grade NAT).
J'ai donc décoché cette option pour supprimer le filtrage global en entrée de tous les réseaux privés définis dans cette règle, et créé des règles limitées pour bloquer en entrée respectivement 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 en IPV4 et fc00::/7 en IPV6.
Suite à cette modif, j'ai de nouveau accès aux updates du système, plus de problème de résolution DNS...
Est-ce que la modif vous paraît OK sur le principe, et point de vue sécurité ?
Peut-être serait-il intéressant de limiter encore plus les IP non bloquées en identifiant ce que SFR utilise pour son CGNAT, probablement plus restreint que tout 100.64.0.0/10.
Je n'ai pas cette info et je n'ai pas la possibilité de bidouiller pendant quelques jours, quelqu'un saurait ?
Francis