Auteur Sujet: Dedibox IPv6 sur Windows Seveur  (Lu 1408 fois)

0 Membres et 1 Invité sur ce sujet

mycanaletto

  • Abonné Free fibre
  • *
  • Messages: 25
  • Avignon / Paris
    • My Canaletto
Dedibox IPv6 sur Windows Seveur
« le: 18 janvier 2024 à 18:08:41 »
Scaleway mon amour....

Il y a de nombreux sujets ici et ailleurs traitant d'IPv6, en général sur Linux mais pas grand chose sous Windows.

Pour utiliser d el'IPv6 sous Windows la doc officielle est ici : https://www.scaleway.com/en/docs/dedibox-network/ipv6/how-to/configure-ipv6-windows/

Vu les captures cette note doit dater de Windows NT/XP....

Selon cette documentation, il suffit de changer le DUID dans la reg et tout roule. Mais ça c'était avant !

Depuis de nombreuses itérations de Windows ce DUID est régénéré lors de chaque redémarrage en se basant sur l'adresse MAC de l'interface réseau. J'ai mis un moment pour comprendre ça et perdu beaucoup de temps :

https://insinuator.net/2017/01/ipv6-properties-of-windows-server-2016-windows-10/
https://discussions.citrix.com/topic/410267-non-persistent-dhcpv6-client-gets-a-new-ipv6-address-at-each-reboot/

Ces deux articles parmi d'autres expliquent que c'est maintenant le comportement normal et attendu.

De fait on ne peut pas se baser sur ce DUID, mais il y a plus drôle :

Si je configure le stack IPV6 de mon Windows (2019) avec une adresse liée au bloc obtenu (et de fait sans le bon DUID puisque ça saute), je suis en IPV6 pendant une minute,  je peux pinguer en IPV6 et mon serveur est accessible depuis l'internet en IPV6

Pinging google.com [2a00:1450:4007:818::200e] with 32 bytes of data:
Reply from 2a00:1450:4007:818::200e: time=1ms
Reply from 2a00:1450:4007:818::200e: time=1ms
Reply from 2a00:1450:4007:818::200e: time=1ms
Reply from 2a00:1450:4007:818::200e: time=1ms

Ping statistics for 2a00:1450:4007:818::200e:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 1ms, Average = 1ms


Si je renseigne la passerelle que m'a généreusement fourni le support fe80::2ee:abff:fe29:98ed, ça fonctionne 10 minutes.

Et encore mieux, si dans mon stack je renseigne une IPV6 qui ne fait pas partie de mon bloc IPV6 ça fonctionne également 1 et 10 minutes (les voisins me remercieront).

Tout ça n'a aucune logique.

Au cours de mes recherches j'ai également trouvé quelques articles qui font référence à un stack DHCPv6 alternatif, Dibbler, qui semblait alors la seule facon d'obtenir une IPV6 :

https://blog.kingj.net/2014/01/03/how-to/ipv6-with-online-net-and-dibbler/

Ce stack n'était alors pas des plus stable n'est plus mis à jour depuis 2014 et de toutes façons ne fonctionne pas sur un Windows moderne.

Coté support Scaleway on me balade depuis des mois pour finir par me conseiller de m'en remettre à la communauté, et la dernière réponse, polie, du chef de projet est la suivante :

La configuration de votre Windows sous ESXi dépasse le cadre sur lequel nous intervenons. Si vous le souhaitez, j'ai contacté un partenaire qui peut vous faire une prestation pour vous aider à configurer votre server.

Donc voilà si une bonne âme à des informations je suis preneur.


-----------------------------------------------------------------
Configuration :
  • VM Windows 2019 sur un ESXi 7.0.25
  • Interface WAN avec une IPV4 failover

mycanaletto

  • Abonné Free fibre
  • *
  • Messages: 25
  • Avignon / Paris
    • My Canaletto
Dedibox IPv6 sur Windows Seveur
« Réponse #1 le: 19 janvier 2024 à 20:48:02 »
Je vais me répondre à moi même et éviter que d'autres tombent dans ce piège...

La doc Scaleway induit en erreur : https://www.scaleway.com/en/docs/dedibox-network/ipv6/how-to/configure-ipv6-windows/

Ce document mets en avant l'utilisation du DUID. Hors changer le DUID dans l'implémentation Windows est devenu impossible comme vu dans le post précédent. Cette doc n'a donc plus lieu d'être dans sa version actuelle.

Un pavé a été ajouté en novembre et il faut lire entre les lignes :
On servers supporting IPv6 SLAAC, SLAAC has to be enabled in order to ensure that DHCPv6 works correctly. This documentation addresses the setup of a /48 IPv6 network on your Dedibox. If you intend to use only the SLAAC IP address, no additional configuration is necessary, and your machine can acquire its IP address automatically.


En fait pour obtenir une IPv6 il n'y a rien de plus à faire que d'activer le stack IPv6 de Windows par défaut (client DHCP) (après avoir demandé un bloc IPv6 /48). Et c'est tout, l'obtention de l'IPv6 se fait via le serveur DHCPv6 de l'infrastructure Scaleway (il est également possible de renseigner une adresse prise dans le bloc, mais ça ne sert à rien).

Alors, pourquoi toute cette galère depuis des mois ?

  • Je me suis obstiné sur l'utilisation du DUID que la documentation mets en avant ! Normal j'ai appris à lire.
  • Ensuite il se trouve que cette machine avait un firewall plutôt blindé, et comme elle n'utilisait pas IPv6 auparavant tous les entrée Core Networking IPv6 étaient désactivées, donc les échanges avec le DHCPv6 et RA ne pouvaient pas se faire correctement.
A aucun moment le support Scaleway n'a su me dire qu'il ne fallait pas poursuivre dans la voie du DUID, ce qui aurait évité une perte de temps de toutes parts !

Par contre de base Windows génère une IPv6 aléatoire, ce qui peut être utile sur un client mais gênante sur un serveur, on désactive en PS:
  Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
Ou :
  netsh interface ipv6 set global randomizeidentifiers=disabled store=active
  netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
  netsh interface ipv6 set privacy state=disabled store=active
  netsh interface ipv6 set privacy state=disabled store=persistent


On peut également désactiver l'utilisation d'une IPv6 temporaire :
  Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

Et bien sur affiner le firewall en fonction de l'introduction de cette IPv6 ...

Voilà, en espérant que Scaleway clarifie son article car si le passage de l'utilisation d'un DUID à du full DHCPv6 facilite largement la tache, encore faut-il l'expliquer !



Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 271
  • Sarrebourg (57)
Dedibox IPv6 sur Windows Seveur
« Réponse #2 le: 19 janvier 2024 à 22:00:05 »
Salut,

L'implémentation d'IPv6 est différente selon le DC où se trouve le serveur.

L'ajout des précisions dans la documentation vient probablement de mon ticket de support qui avait été escaladé au Niveau 3 il y a quelques mois.

Pour résumer :

Sur DC3 : pas besoin d'activer le SLAAC dans le panel admin de l'espace client --> il faut juste envoyer le bon DUID au routeur du datacenter pour activer le routage de ton bloc IPv6 via la délégation de préfixe.

Sur DC5 : il faut activer SLAAC dans le panel admin sinon le routeur ne réponds jamais, même avec le bon DUID.

C'est une galère sans nom.

Je ne comprends pas pourquoi l'implémentation IPv6 n'est pas uniforme sur tous les DC.

mycanaletto

  • Abonné Free fibre
  • *
  • Messages: 25
  • Avignon / Paris
    • My Canaletto
Dedibox IPv6 sur Windows Seveur
« Réponse #3 le: 19 janvier 2024 à 22:34:27 »
Le serveur en question est sur DC2. Pas de DUID à utiliser, juste un client DHCPv6. Je pense que ça vaut pour DC3 et que cette méthode est également utilisable sous Linux (pas testé à ce jour).

mycanaletto

  • Abonné Free fibre
  • *
  • Messages: 25
  • Avignon / Paris
    • My Canaletto
Dedibox IPv6 sur Windows Seveur
« Réponse #4 le: 26 janvier 2024 à 17:29:16 »
Petite info supplémentaire car ce n'est écrit dans aucune docs et ça pourra peut être faire gagner du temps.

Pour faire de l'IPv6 dans un Dédirack (offre housing de Scaleway), il faut demander au support un bloc /48 et ensuite le gérer en statique à sa convenance. Ca ne s'invente pas.