La Fibre
Datacenter et équipements réseaux => Routeurs => 
Routeur => Discussion démarrée par: lyapounov le 16 septembre 2024 à 15:23:35
-
Bonjour,
j'espère être dans la bonne section...
Je fais de la synchronisation entre un Synology distant (en fibre avec Orange comme FAI) et le mien (Starlink).
Mon réseau est commandé par un ASUS RT-AX86U Pro, le modem Starlink étant en mode bridge.
Mon syno local est donc accessible uniquement en IPv6 (je ne passe pas par Synology en mode quickconnect, c'est horriblement lent)
La sychronisation marche très bien, tant que mon routeur Asus n'a pas de parefeu.
En revanche, si je mets le parefeu IPv6, en prenant bien soin d'ouvrir le port 6690 en TCP vers mon synology interne, ça ne passe plus...
En ce qui concerne mon adresse IP de syno interne, j'ai bien mis fe80:: en prefix de mon IPV6 interne, ça marche pas. En mettant /64 à la fin de mon adresse IPv6 interne (ce que me dit mon synology), ça marche toujours pas.
Qu'est-ce que je fais de mal ?
Merci !!!
-
Bonjour,
Ah ... j'aurai mis l'adresse autre que celle de lien local dans le pare-feu.
Et il me semble qu'il y en a deux, dont une temporaire, de mémoire. Donc prendre la bonne.
Sinon, pour la synchronisation, pourquoi ne pas utiliser un tunnel OpenSSH entre les deux machines ?
-
L'adresse en fe80:: n'est pas utilisable sur internet (link-local, sa portée ne dépasse pas le lien).
Il te faudra autoriser les connexion entrantes vers l'adresse GUA, celle qui commence par 2a01:cb chez Orange, 2406:2d40: chez Starlink.
-
L'adresse en fe80:: n'est pas utilisable sur internet (link-local, sa portée ne dépasse pas le lien).
Il te faudra autoriser les connexion entrantes vers l'adresse GUA, celle qui commence par 2a01:cb chez Orange, 2406:2d40: chez Starlink.
Je suis pas sûr de comprendre.
Mon routeur qui gère mon réseau local a besoin juste de l'adresse interne, pas de l'externe (surtout que Starlink me la change de temps en temps, la partie externe).
Donc je ne vois pas pourquoi une règle de parefeu a besoin de l'adresse IPv6 totale, qui en plus change ? En IPv4, on met bien l'adresse IP¨interne comme règle, pas la partie externe ?
Ou alors j'ai rien compris
-
Appliquer les mêmes concepts en IPv4 et IPv6 c’est l’assurance de prendre un mauvais départ… déjà il n’y a pas de NAT en IPv6, donc le NAS DOIT avoir une IPv6 publique.
Si le préfixe fournit par Orange et/ou Starlink change souvent, alors oui c’est un problème…
-
Appliquer les mêmes concepts en IPv4 et IPv6 c’est l’assurance de prendre un mauvais départ… déjà il n’y a pas de NAT en IPv6, donc le NAS DOIT avoir une IPv6 publique.
Si le préfixe fournit par Orange et/ou Starlink change souvent, alors oui c’est un problème…
Donc, si je comprends bien, la régle de mon parefeu dont contenir l'intégralité de l'adresse IPv6 de mon Synology, et pas seulement fe80:: suivi de la partie interne qui, elle ne change pas ???
Mais alors, comment on fait quand le préfixe change ?
-
Donc, si je comprends bien, la régle de mon parefeu dont contenir l'intégralité de l'adresse IPv6 de mon Synology, et pas seulement fe80:: suivi de la partie interne qui, elle ne change pas ???
Mais alors, comment on fait quand le préfixe change ?
fe80:: c'est une adresse locale autogénérée par ton matériel, elle ne sortira pas de ton réseau local ( cf : https://www.ripe.net/media/documents/ipv6_reference_card.pdf )
pour pouvoir accéder à ton matériel depuis l'extérieur (i.e. internet), l'adresse de destination doit être une GUA (Global Unicast Address), et donc dans ton parefeu, il faut ouvrir le port à destination de cette GUA.
Que faire avec le préfixe qui change :
soit tu as un parefeu qui peut le prendre en charge (par ex openwrt permet de ne spécifier que la fin de l'adresse dans les règles), soit tu changes ta règle à chaque changement de préfixe.
Après, tu as les solutions qui font hurler les puristes à base de NAT66/NPT en utilisant une adresse ULA dans ton réseau dont tu traduis le préfixe sur le routeur pour en faire une GUA.
-
Que faire avec le préfixe qui change :
soit tu as un parefeu qui peut le prendre en charge (par ex openwrt permet de ne spécifier que la fin de l'adresse dans les règles), soit tu changes ta règle à chaque changement de préfixe.
Merci !
il semble donc que mon Asus n'accepte pas le préfix fe80::
je vais tester avec Merlin
-
il semble donc que mon Asus n'accepte pas le préfix fe80::
Qu'as tu tenté de faire ? J'ai du mal à suivre comment tu en es arrivé à cette conclusion, et j'ai peur que tu ne fasses fausse route.
-
Qu'as tu tenté de faire ? J'ai du mal à suivre comment tu en es arrivé à cette conclusion, et j'ai peur que tu ne fasses fausse route.
Ce que je tente de faire, c'est de synchroniser deux synology dont un distant et un chez moi, mais avec un parefeu IPv6 (étant chez Starlink, seul IPv6 a une adresse publique)
Sans parefeu, tout fonctionne bien.
Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.
J'ai tord ?
-
Sans parefeu, tout fonctionne bien.
Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.
J'ai tord ?
Comme tu n'as pas de NAT sur l'IPv6 de ton réseau, les protections ne se gèrent pas de la même manière sur les deux niveaux :
- dans le routeur, cela se fait par des règles forward et non input/ouput. Car en l'absence de NAT, le paquet ne fait que passer. L'erreur est ici. Une règle dans la section input/output ne sert à rien.
- dans le synology, des règles input/output classiques.
-
Comme tu n'as pas de NAT sur l'IPv6 de ton réseau, les protections ne se gèrent pas de la même manière sur les deux niveaux :
- dans le routeur, cela se fait par des règles forward et non input/ouput. Car en l'absence de NAT, le paquet ne fait que passer. L'erreur est ici. Une règle dans la section input/output ne sert à rien.
- dans le synology, des règles input/output classiques.
Dans mon routeur ASUS, section firewall, sous-section IPv6, je n'ai que des Inbound Firewall Rules avec adresse remote (que l'on peut laisser en blanc), Local IP, port et protocole. Je n'ai rien d'autre.
"Inbound Firewall Rules", c'est quoi, une règle forward ou input/output ?
-
Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.
J'ai tord ?
Non, je pense que tester un autre firmware est une bonne idée, et que tu es dans la bonne démarche. C'est moi qui n'ai pas compris, désolé.
Attention par contre, merlin n'est pas Openwrt (basé dessus peut etre ?). Si ca ne fonctionne pas avec Merlin, ca fonctionnera peut-être avec OpenWRT.
En dernier recours, une solution alternative serait d'accepter le port 6690 inbound vers tout le subnet délégué, ou vers 2406:2d40::/32, depuis 2a01:cb00::/19. Ca diminuerait un peu la sécurité, mais c'est toujours mieux que de tout autoriser: on accepte le traffic depuis le réseau d'Orange vers celui de SpaceX sur le port 6690, peu importe les adresses sources et destination, ce qui permet d'avoir des préfixes qui changent tout en évitant d'exposer le NAS à tout internet.
-
Dans mon routeur ASUS, section firewall, sous-section IPv6, je n'ai que des Inbound Firewall Rules avec adresse remote (que l'on peut laisser en blanc), Local IP, port et protocole. Je n'ai rien d'autre.
"Inbound Firewall Rules", c'est quoi, une règle forward ou input/output ?
C'est bien une règle forward. Mais à voir la doc d'Asus, c'est bien expliqué dans le paragraphe sur IPv6 Firewall.
Donc dans local IP, il faut bien mettre ton addresse GUA alors. A tester la solution de Simon avec les sous-réseaux dans remote et local-ip. Pas sûr que cela soit bien accepté pour local-ip par contre.
-
sinon installer tailscale dans chaque syno peut resoudre le probleme. c'est dispo dans le magasin d'applications.
c'est le mieux quand les prefix ne sont pas stables (et sans faire de dyndns).
-
sinon installer tailscale dans chaque syno peut resoudre le probleme. c'est dispo dans le magasin d'applications.
c'est le mieux quand les prefix ne sont pas stables (et sans faire de dyndns).
oui, ou bien Remote It (que je préfère à tailscale, mais bon de gustibus et coloribus non es disputandem)
Mais comme je suis flémard, je cherchais la solution qui m'impose la plus faible charge cognitive ;-)
-
Le plus simple est de laisser le firewall du routeur pour ipv6 désactivé et de sécuriser (si tant est qu'il y ait besoin) chaque équipement localement.
Sinon tu fais une synchronisation avec rsync et comme tu inities une connexion le firewall autorisera bien l'échange
-
Ce que je tente de faire, c'est de synchroniser deux synology dont un distant et un chez moi, mais avec un parefeu IPv6 (étant chez Starlink, seul IPv6 a une adresse publique)
Sans parefeu, tout fonctionne bien.
Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.
J'ai tord ?
attention, quand je parle de la partie interne de l'adresse, ce n'est pas l'adresse lien local (celle en fe80). Il s'agit des 64 derniers bits de ton adresse publique (GUA).
exemple pour l'adresse 2a01:cb0c:bfef:5621:598c:dffe:fe52:1b62 ; la partie préfixe (qui peut changer chez orange) c'est 2a01:cb0c:bfef:5621 ; le suffixe ou partie interne (qui ne change pas pour ta machine) c'est 598c:dffe:fe52:1b62
openwrt permet de faire des règles de pare feu visant uniquement le suffixe : https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples#dynamic_prefix_forwarding
Tu ne peux pas utiliser les adresses en fe80 pour tes règles de parefeu, ça ne va pas marcher vu qu'elles n'ont pas d'existence hors de ton réseau local et donc aucun paquet n'arrivera sur ton routeur à destination de ces adresses depuis l'extérieur (la règle ne sera donc jamais utilisée).
-
fsoit tu as un parefeu qui peut le prendre en charge (par ex openwrt permet de ne spécifier que la fin de l'adresse dans les règles), soit tu changes ta règle à chaque changement de préfixe.
De mon coté (sur Mikrotik), c'est effectivement un script qui change les adresses dans les règles de firewall (enfin, plutôt dans dans des ip sets) exécuté à chaque changement de préfixe, vu qu'il n'est pas possible de spécifier un masque ::00FF:FFFF:FFFF:FFFF:FFFF dans RouterOS...
-
le suffixe ou partie interne (qui ne change pas pour ta machine) c'est 598c:dffe:fe52:1b62
Alors attention, c'est sans doute vrai pour un NAS chez Synology (les privacy extensions IPv6 sont désactivées), mais il ne faut pas généraliser. Les ordinateurs de bureau (que ça soit sous macOS, Windows, et certains Linux Desktop) ont généralement cette extension activée, et donc le suffixe change aussi régulièrement (mais du coup à l'initiative de l'OS, pas du FAI).
-
"le suffixe":
la terminologie officielle mais que pas mal de gens ont du mal a adopter en France est "interface identifier" ou "interface id".
la partie réseau s’appelle le subnet prefix qui dans le cas particulier des GUA est en 2 parties.
All IPv6 unicast addresses:
| n bits | 128-n bits |
+-------------------------------+---------------------------------+
| subnet prefix | interface ID |
+-------------------------------+---------------------------------+
Global Unicast Addresses (GUA):
The general format for IPv6 Global Unicast addresses is as follows:
| n bits | m bits | 128-n-m bits |
+------------------------+-----------+----------------------------+
| global routing prefix | subnet ID | interface ID |
+------------------------+-----------+----------------------------+
source : https://datatracker.ietf.org/doc/html/rfc4291#section-2.5.4
-
Bon, merci à tous, car grâce à vous j'y vois plus clair.
Déjà, le problème est le même avec Merlin; ce qui ne m'étonne pas, Merlin est un fork du firmware Asus avec des améliorations.
En fait, l'interface Asus est pas claire, car sur la page du firewall il y a écrit "Local IP" mais quand on fouille plus loin dans les system log > IPv6, c'est bien l'adresse complète qu'il faut mettre, la fameuse GUA.
Et là, ça fonctionne bien.
Mais moi, ça ne m'arrange pas du tout, pour deux raisons:
1) comme je le disais, il arrive que Starlink me change la partie préfix
2) étant passé en mode RAD, je me bat actuellement pour que la fibre arrive enfin chez moi; mais comme Internet est crucial pour mon boulot (je fais des zoom le matin avec l'Australie et l'après-midi avec les US), je vais garder Starlink en Fail-over; ça va donc faire une raison de plus de voir le préfix changer en cas de panne...
Donc je me vois mal aller dans mon routeur à chaque fois, et changer les règles de parefeu...
Alors, j'ai bien compris qu'il fallait abandonner les réflexes IPV4 pour comprendre IPV6.
Mais franchement, je trouve là qu'il y a une singulière régression, non ?
Merci à vous tous en tout cas !
-
C'est sûr que c'est mieux si les préfixes sont fixes, c'est un peu comme ca que c'est pensé.
Chez Orange, en théorie ils peuvent changer, mais en pratique je n'ai eu que 3 changements en... des années, et encore, deux d'entre eux faisaient suite à un démenagement.
Ceci dit, les adresses IPv4 sont encore plus dynamiques et les routeurs/firewalls du marché s'en accomodent bien. C'est clairement plus un problème d'UX des solutions ASUS qu'un problème d'IPv6, et je pense qu'avec OpenWRT ou OPNsense tu n'aurais pas de souci.
Lorsque tu auras une connexion fibre, je te conseille de configurer ton acces comme ca:
- utilise le préfixe délégué par ton opérateur fibre sur ton LAN (fixe ou très stable, en fonction de l'opérateur),
- fais du NAT66 pour le failover Starlink en cas de panne de lien fibre.
-
En fait, l'interface Asus est pas claire, car sur la page du firewall il y a écrit "Local IP" mais quand on fouille plus loin dans les system log > IPv6, c'est bien l'adresse complète qu'il faut mettre, la fameuse GUA.
Et là, ça fonctionne bien.
As-tu essayé en mettant juste le sous-réseau et non l'adresse complète ? Il serait intéressant de savoir si cela fonctionne et si oui jusqu'à quelle taille de préfixe.
-
oui essaie une regle de firewall du style:
destination= ::a:b:c:d / ::ffff:ffff:ffff:ffff
ou a:b:c:d est l'interface id de ta gua (z:y:z:t:a:b:c:d, x:y:z:t étant le subnet)
certain tuto asus mentionnent cette syntaxe.
-
oui essaie une regle de firewall du style:
destination= ::a:b:c:d / ::ffff:ffff:ffff:ffff
ou a:b:c:d est l'interface id de ta gua (z:y:z:t:a:b:c:d, x:y:z:t étant le subnet)
certain tuto asus mentionnent cette syntaxe.
Désolé du retard, bcp de boulot en ce moment
J'ai essayé:
fe80::a:b:c:d
::a:b:c:d
fc00::a:b:c:d
Mais non, seul le GUA fonctionne...
Ouverture du port testée sur https://port.tools/port-checker-ipv6/
Ce que je vais probablement faire, si un jour j'ai la fibre, est de dupliquer les ouvertures de port sur les deux GUA, celles de Starlink, et celle de mon futur ISP
Merci à tous !
-
oui essaie une regle de firewall du style:
destination= ::a:b:c:d / ::ffff:ffff:ffff:ffff
ou a:b:c:d est l'interface id de ta gua (z:y:z:t:a:b:c:d, x:y:z:t étant le subnet)
certain tuto asus mentionnent cette syntaxe.
Bon, je suis un idiot. Effectivement, ajouter /:ffff:ffff:ffff:ffff marche (j'avais mal lu)
Merci kgersen !!
(j'ai retrouvé ça aussi: http://blog.dupondje.be/?p=17)