Bonjour,

Afin de compléter la documentation réalisée par les autres membres du forum voici un exemple de configuration IPv6 pour un réseau de LAB hébergé derrière un OPNSense virtualisé sur un Proxmox (utilisation de l'offre Dedibox de Scaleway)

Sources d'inspiration :
   - OPNsense Docs https://docs.opnsense.org/
   - Topics sur lafibre.info : https://ouvaton.link/DINgSs et https://ouvaton.link/bGFqaL

Tout d'abord, voici les points non abordés dans cette configuration :

   - La nouvelle interface de gestion des Dedibox via la WebUI de Scaleway (on peut l'activer tout en conservant l'accès à l'ancien panel mais ce n'est pas utile pour le tuto)
   - Le PCI passthrough d'une carte réseau. Le WAN est un bridge linké à la carte réseau de l'hôte Proxmox dans cet exemple.
   - La délégation de préfixe via le panel Online.net car je route tout mon /48 sur la VM OPNSense
   - La configuration de DHCPv6 statefull ou stateless sur le LAN.

Cette configuration se concentre uniquement sur les annonces RA pour configurer le routage et l'annonce du préfix tout en évitant d'utiliser les réglages par défaut d'OPNSense pour une meilleure compréhension des paramètres réellement utilisés.

Kgersen a détaillé dans ses posts les principaux exemples de déploiement d'IPv6 sur un LAN donc je vous conseille de lire ses propos

   - L'annonce des DNS via les RA car j'ai uniquement utilisé les DNS IPv4 d'Online vu qu'ils savent résoudre les records AAAA de toute manière. Tout comme le point précédent, votre configuration finale dépends de vos use cases et des OS que vous comptez déployer sur le LAN. Certains OS ne prennent pas en charge certains attributs de config annoncés via les RA dont les DNS par exemple.
   - Les OS clients sur le LAN autres que Windows 10 Build 21H1 (à priori aucun soucis pour des clients LAN sous Linux)
   - Le filtrage firewall. J'utilise pour ce test la patte LAN créer par défault par OPNSense car elle dispose d'une rule ANY from LAN to ALL en mode Allow.
   - Les flux inbound depuis le WAN sont en deny par défaut donc ça reste acceptable pour un test…

Version des OS dans la stack technique :
   - Proxmox 7.2-4
   - OPNsense 22.1.8_1-amd64
   - Windows 10 Build 21H1

Architecture :

Internet <---> Online.net router <----> vmbrX Proxmox bridge (WAN interface OPNSense VM) <----> OPNSense VM <----> vmbrY Proxmox bridge ( VLAN aware bridge pour joindre un VLAN qui simule un LAN)

Disclaimer 1 : si votre WAN envoie trop de spam DHCPv6, le port réseau de votre Dedibox sera coupé automatiquement. Il faut passer par un ticket au support Online pour faire un no shut du port.

Disclaimer 2 : Ce tutoriel n'a pas pour vocation à être une configuration optimale d'un point de vue du filtrage FW. Cette partie de la configuration est à réaliser selon vos besoins.

Le client DHCPv6 d'OPNSense utilise la route par défaut annoncée par Online qui correspond à l'adresse link-local du routeur Cisco d'Online.



Pour la configuration du LAN, voici un exemple de configuration en mode RA Only pour la gestion des annonces du préfixe LAN, l'adressage via le SLAAC, la route IPv6 par défaut pour le LAN.

On commence par configurer l'interface LAN en mode Track de la patte WAN via le menu Interfaces ---> LAN :





Pour le choix du Prefix ID, vous êtes libre de prendre ce que vous voulez. J'ai utilisé une valeur non nulle car le préfix ID 0 est déjà utilisé sur la patte WAN.

Petit update :

Le Prefix Delegation ne fonctionne pas dans le DC5.

J'essaye de comprendre avec le support technique pourquoi cela fonctionne dans le DC3 et pas dans le DC5.  :'(

DC5 :
Pas de réponse lors de l'envoi de paquets sur ff02::2

DC3 :
C'est OK

Hello,

Merci pour l'astuce, c'est fonctionnel.

Mais...

Il y a une race condition au niveau des adresses IPv6 de la patte WAN.

Car Online DC5 active à la fois SLAAC + Prefix Delegation.

Sauf que j'ai l'impression que les routes ipv6 sont apprises deux fois, via les RA du SLAAC et via les informations après le Prefix Delegation.

Donc si je système boot en prenant les infos du Prefix Delegation en premier, c'est OK dans le cas contraire, IPv6 marche de façon erratique.

L'ennui c'est que visiblement, sur FreeBSD / OPNSense, on peut pas désactiver l'autoconf par interface comme sous Linux...

J'hésite à revenir sur DC3 car je suis sous le coup de deux limitations techniques : OPNSense et le router / la fabric IP de DC5.

Sauf que si ça se trouve, ce genre de configuration va peut être aussi passer en prod dans DC3...

C'est pénible.

Salut,

Sous Windows, les requêtes entrantes pour ICMP et ICMPv6 Echo request sont bloquées par le firewall de l'OS.

Pour IPv6 chez Online / Scaleway, tu as deux choix :

- SLAAC

- Prefix Delegation

Il faudrait que tu précises quel mode IPv6 tu utilises.

Ok, si ta VM est en frontal d'Internet c'est bien elle qui doit faire les demandes de préfix avec le DUID.

Après je crois que c'est supporté nativement par Windows et qu'il faut utiliser des clients comme dibbler mais ça semble peu stable en effet.