Auteur Sujet: problème parefeu IPV6... (Lu 928 fois)

lyapounov · « **le:** 16 septembre 2024 à 15:23:35 »

Bonjour,

j'espère être dans la bonne section...

Je fais de la synchronisation entre un Synology distant (en fibre avec Orange comme FAI) et le mien (Starlink).

Mon réseau est commandé par un ASUS RT-AX86U Pro, le modem Starlink étant en mode bridge.

Mon syno local est donc accessible uniquement en IPv6 (je ne passe pas par Synology en mode quickconnect, c'est horriblement lent)

La sychronisation marche très bien, tant que mon routeur Asus n'a pas de parefeu.

En revanche, si je mets le parefeu IPv6, en prenant bien soin d'ouvrir le port 6690 en TCP vers mon synology interne, ça ne passe plus...

En ce qui concerne mon adresse IP de syno interne, j'ai bien mis fe80:: en prefix de mon IPV6 interne, ça marche pas. En mettant /64 à la fin de mon adresse IPv6 interne (ce que me dit mon synology), ça marche toujours pas.

Qu'est-ce que je fais de mal ?

Merci !!!

Kana-chan · « **Réponse #1 le:** 16 septembre 2024 à 17:41:37 »

Bonjour,
Ah ... j'aurai mis l'adresse autre que celle de lien local dans le pare-feu.
Et il me semble qu'il y en a deux, dont une temporaire, de mémoire. Donc prendre la bonne.
Sinon, pour la synchronisation, pourquoi ne pas utiliser un tunnel OpenSSH entre les deux machines ?

simon · « **Réponse #2 le:** 16 septembre 2024 à 17:52:43 »

L'adresse en fe80:: n'est pas utilisable sur internet (link-local, sa portée ne dépasse pas le lien).

Il te faudra autoriser les connexion entrantes vers l'adresse GUA, celle qui commence par 2a01:cb chez Orange, 2406:2d40: chez Starlink.

lyapounov · « **Réponse #3 le:** 16 septembre 2024 à 18:35:34 »

Citation de: simon le 16 septembre 2024 à 17:52:43

L'adresse en fe80:: n'est pas utilisable sur internet (link-local, sa portée ne dépasse pas le lien).

Il te faudra autoriser les connexion entrantes vers l'adresse GUA, celle qui commence par 2a01:cb chez Orange, 2406:2d40: chez Starlink.

Je suis pas sûr de comprendre.

Mon routeur qui gère mon réseau local a besoin juste de l'adresse interne, pas de l'externe (surtout que Starlink me la change de temps en temps, la partie externe).

Donc je ne vois pas pourquoi une règle de parefeu a besoin de l'adresse IPv6 totale, qui en plus change ? En IPv4, on met bien l'adresse IP¨interne comme règle, pas la partie externe ?

Ou alors j'ai rien compris

zoc · « **Réponse #4 le:** 16 septembre 2024 à 18:38:23 »

Appliquer les mêmes concepts en IPv4 et IPv6 c’est l’assurance de prendre un mauvais départ… déjà il n’y a pas de NAT en IPv6, donc le NAS DOIT avoir une IPv6 publique.

Si le préfixe fournit par Orange et/ou Starlink change souvent, alors oui c’est un problème…

lyapounov · « **Réponse #5 le:** 16 septembre 2024 à 19:05:34 »

Citation de: zoc le 16 septembre 2024 à 18:38:23

Appliquer les mêmes concepts en IPv4 et IPv6 c’est l’assurance de prendre un mauvais départ… déjà il n’y a pas de NAT en IPv6, donc le NAS DOIT avoir une IPv6 publique.

Si le préfixe fournit par Orange et/ou Starlink change souvent, alors oui c’est un problème…

Donc, si je comprends bien, la régle de mon parefeu dont contenir l'intégralité de l'adresse IPv6 de mon Synology, et pas seulement fe80:: suivi de la partie interne qui, elle ne change pas

Mais alors, comment on fait quand le préfixe change ?

Mjules · « **Réponse #6 le:** 16 septembre 2024 à 21:30:53 »

Citation de: lyapounov le 16 septembre 2024 à 19:05:34

Donc, si je comprends bien, la régle de mon parefeu dont contenir l'intégralité de l'adresse IPv6 de mon Synology, et pas seulement fe80:: suivi de la partie interne qui, elle ne change pas

Mais alors, comment on fait quand le préfixe change ?

fe80:: c'est une adresse locale autogénérée par ton matériel, elle ne sortira pas de ton réseau local ( cf : https://www.ripe.net/media/documents/ipv6_reference_card.pdf )

pour pouvoir accéder à ton matériel depuis l'extérieur (i.e. internet), l'adresse de destination doit être une GUA (Global Unicast Address), et donc dans ton parefeu, il faut ouvrir le port à destination de cette GUA.

Que faire avec le préfixe qui change :
soit tu as un parefeu qui peut le prendre en charge (par ex openwrt permet de ne spécifier que la fin de l'adresse dans les règles), soit tu changes ta règle à chaque changement de préfixe.

Après, tu as les solutions qui font hurler les puristes à base de NAT66/NPT en utilisant une adresse ULA dans ton réseau dont tu traduis le préfixe sur le routeur pour en faire une GUA.

lyapounov · « **Réponse #7 le:** 17 septembre 2024 à 07:19:41 »

Citation de: Mjules le 16 septembre 2024 à 21:30:53

Que faire avec le préfixe qui change :
soit tu as un parefeu qui peut le prendre en charge (par ex openwrt permet de ne spécifier que la fin de l'adresse dans les règles), soit tu changes ta règle à chaque changement de préfixe.

Merci !

il semble donc que mon Asus n'accepte pas le préfix fe80::

je vais tester avec Merlin

simon · « **Réponse #8 le:** 17 septembre 2024 à 09:17:02 »

Citation de: lyapounov le 17 septembre 2024 à 07:19:41

il semble donc que mon Asus n'accepte pas le préfix fe80::

Qu'as tu tenté de faire ? J'ai du mal à suivre comment tu en es arrivé à cette conclusion, et j'ai peur que tu ne fasses fausse route.

lyapounov · « **Réponse #9 le:** 17 septembre 2024 à 09:24:27 »

Citation de: simon le 17 septembre 2024 à 09:17:02

Qu'as tu tenté de faire ? J'ai du mal à suivre comment tu en es arrivé à cette conclusion, et j'ai peur que tu ne fasses fausse route.

Ce que je tente de faire, c'est de synchroniser deux synology dont un distant et un chez moi, mais avec un parefeu IPv6 (étant chez Starlink, seul IPv6 a une adresse publique)

Sans parefeu, tout fonctionne bien.

Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.

J'ai tord ?

ppn_sd · « **Réponse #10 le:** 17 septembre 2024 à 09:34:23 »

Citation de: lyapounov le 17 septembre 2024 à 09:24:27

Sans parefeu, tout fonctionne bien.
Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.
J'ai tord ?

Comme tu n'as pas de NAT sur l'IPv6 de ton réseau, les protections ne se gèrent pas de la même manière sur les deux niveaux :
- dans le routeur, cela se fait par des règles forward et non input/ouput. Car en l'absence de NAT, le paquet ne fait que passer. L'erreur est ici. Une règle dans la section input/output ne sert à rien.
- dans le synology, des règles input/output classiques.

lyapounov · « **Réponse #11 le:** 17 septembre 2024 à 09:39:42 »

Citation de: ppn_sd le 17 septembre 2024 à 09:34:23

Comme tu n'as pas de NAT sur l'IPv6 de ton réseau, les protections ne se gèrent pas de la même manière sur les deux niveaux :
- dans le routeur, cela se fait par des règles forward et non input/ouput. Car en l'absence de NAT, le paquet ne fait que passer. L'erreur est ici. Une règle dans la section input/output ne sert à rien.
- dans le synology, des règles input/output classiques.

Dans mon routeur ASUS, section firewall, sous-section IPv6, je n'ai que des Inbound Firewall Rules avec adresse remote (que l'on peut laisser en blanc), Local IP, port et protocole. Je n'ai rien d'autre.
"Inbound Firewall Rules", c'est quoi, une règle forward ou input/output ?