La Fibre
Datacenter et équipements réseaux => Routeurs => 
Routeur => Discussion démarrée par: benoitc le 16 janvier 2020 à 12:03:41
-
Bonjour,
Est-ce qu'il n'est toujours pas possible d'associer des addresses IPv6 aux machines gérées par un routeur derrière la DMZ? Où y-a-til une configuration particulière pour le faire?
-
En LB normale non. En LB pro je ne sais pas, il ne me semble pas.
-
Comment dire. Il n'y a pas de DHCPv6 dessus, du coup c'est mort
Par contre :
- les machines ont -toujours- plusieurs IPv6 dont une en link-local, il n'y a plus de broadcast.
- les machines obtiennent via SLAAC une IPv6 basée sur leur adresse MAC, via les infos envoyées par le routeur, ici la LB, qui file au moins le préfixe ipv6 à utiliser, et la route par défaut.
- les machine en mode "privé" RFC 4941, beaucoup de machines dans les faits, sous Windows c'est de base (et ne prend pas une IPv6 basée sur la MAC mais random) et ca prend une IPv6 par nouvelle connexion TCP, et elle change régulièrement, de mémoire toutes les 10 minutes.
Du coup vous pourrez peut être assigner -une- adresse mais la machine en utilisera plein d'autres.
Méthode 2 : aller mettre une IPv6 statique dans les machines et avoir un petit carnet.... La question cache peut-être un interrogation sur la gestion d'un parc, il doit certainement y avoir des logiciels un peu plus évolué que le "petit carnet" pour vous y aider.
-
je viens de voir qu'on peut eventuellement mettre en place un proxy pour les requêtes ARP genre https://github.com/DanielAdolfsson/ndppd
il me semble d'ailleurs avoir vu un sujet dessus ici. peut-être que cela peut le faire. perso je trouve dommage que meme sans le supporter orange ne documente pas publiquement son protocole...
-
Comment dire. Il n'y a pas de DHCPv6 dessus, du coup c'est mort
Par contre :
- les machines ont -toujours- plusieurs IPv6 dont une en link-local, il n'y a plus de broadcast.
- les machines obtiennent via SLAAC une IPv6 basée sur leur adresse MAC, via les infos envoyées par le routeur, ici la LB, qui file au moins le préfixe ipv6 à utiliser, et la route par défaut.
- les machine en mode "privé" RFC 4941, beaucoup de machines dans les faits, sous Windows c'est de base (et ne prend pas une IPv6 basée sur la MAC mais random) et ca prend une IPv6 par nouvelle connexion TCP, et elle change régulièrement, de mémoire toutes les 10 minutes.
Du coup vous pourrez peut être assigner -une- adresse mais la machine en utilisera plein d'autres.
Méthode 2 : aller mettre une IPv6 statique dans les machines et avoir un petit carnet.... La question cache peut-être un interrogation sur la gestion d'un parc, il doit certainement y avoir des logiciels un peu plus évolué que le "petit carnet" pour vous y aider.
merci pour la réponse cela donne quelques pistes :)
-
merci pour la réponse cela donne quelques pistes :)
Ou mettre machine qui a un serveur DHCPv6.... desfois je vois pas les trucs évident au premier coup ˆˆ
-
Ou mettre machine qui a un serveur DHCPv6.... desfois je vois pas les trucs évident au premier coup ˆˆ
vous voulez dire en remplacant la livebox? le souci c'est que le backup rn livrbox pro ne fonctionne qu'en usb apparamment. donc pas de possibilite de le brancher sur autre chose que la livebox imo
-
vous voulez dire en remplacant la livebox? le souci c'est que le backup rn livrbox pro ne fonctionne qu'en usb apparamment. donc pas de possibilite de le brancher sur autre chose que la livebox imo
non pas la remplacer. Juste une machine qui a le serveur DHCPv6 dans votre reseau local. Vu que la LB en a pas y a pas de risque de "collision" des rôles. Vous laissez la LB balancer les annonces de routeur (les RA) vu que la mécanique DHCPv6 ne gère pas la route par défaut. Vous envoyez juste l'IPv6, les DNS, et "permettez d'autres infos" : la LB enverra toujours le prefixe et la route par défaut. Le prefixe vous pouvez le passer par le DHCPv6 mais ca peut faire double avec la LB.
-
machines gérées par un routeur derrière la DMZ
Vous cassez pas la tête la DMZ c'est juste pour dire "pas de filtrage". Ca reste dans le même LAN que le reste. C'est pas une vraie DMZ, routée et filtrée, distincte du LAN sur une LB. Il est même plus que probable qu'en IPv6 il n'y est -aucun- firewall sur la LB, et donc pas de DMZ. Parait qu'il y en a un.
-
Vous cassez pas la tête la DMZ c'est juste pour dire "pas de filtrage". Ca reste dans le même LAN que le reste. C'est pas une vraie DMZ, routée et filtrée, distincte du LAN sur une LB. Il est même plus que probable qu'en IPv6 il n'y est -aucun- firewall sur la LB, et donc pas de DMZ. Parait qu'il y en a un.
Désolé pour cette réponse tardive j'ai été un peu sous l'eau... pas sur de comprendre le "vous cassez pas la tête", cad ? Sinon en ce qui concerne un serveur dhcpv6 sur une autre machine, cela implique d'avoir un tunnel?
-
Un tunnel entre quoi et quoi ?
-
Un tunnel entre quoi et quoi ?
je ne suis pas sur de voir comment un simple serveur dhcp6 pourrait fonctionner sans delegation de prefix dans une DMZ ou alors vous voulez dire qu'il sst mis sur un des ports lan? De quelle configuration parle-t-on?
-
Le serveur DHCPv6 doit avoir une patte dans le LAN des machines auxquelles il assigne les IP (rien de neuf par rapport au v4, sauf si vous voulez galérer avec un relay, qui lui aura de toute façon une patte dans le LAN).
La délégation de préfixe, en général :
- soit vous la faite en statique avec les infos données par l'opérateur avec votre serveur
- soit votre serveur c'est aussi le routeur, il chope les infos de l'opérateur sur la patte WAN, se donne sa propre IP d'interco, et fait le job sur la patte LAN pour diffuser le préfixe alloué que vous avez récupéré. Y a deux manoeuvres en DHCPv6 : une manoeuvre NA, on va dire la partie cliente, pour assigner au routeur sa propre IPv6. Et une manoeuvre Prefix Delegation (PD) pour recevoir les préfixes attribués et les annoncer au LAN. On va dire la partie server. Le router chopera sa route par defaut avec les annonces RA.
Blagounette : le DHCPv6 ne donne pas la route par défaut. Soit vous les coller en statiques , soit vous lancez un démon qui va envoyer les annonces RA (rtadvd router advertisement daemon).
Je sais pas ce que vous voulez faire avec votre DMZ, mais en general on y met les servies accessible par Internet : serveur de mail, serveur web, concentrateur vpn... et pas de truc qui gère le LAN comme un serveur DHCP. Actuellement vous faites comment pour l'IPv4 ?
-
actuellement j’ai remplacé la livebox par l’USG 3P de ubiquiti. Le probleme etant que ctte config implique d’installer du logiciel custom dans l’USG qui peut sauter a chaque update. je cherche donc a simplifier cette partie. L’autre solution etant de mettre un routeur mikrotik configure pur se connecter a orange en mode bridge et brancher l’USG derrire. Je cherche en effet a garder l.usg voir le remplacer par l’UDM pro apres pour mieux gerer tt ce qui est vlans et autre regle de routage. Bien sur tout serait plus simple si la livebox avait un mode bridge :(