Suite à une panne électrique de ma zone toute mon infra réseau à rebooter , cela faisait quelques mois que je n'avais pas perdu de connexion et c'est le début des problèmes. Je me suis rapidement compte que quelques chose clochait car mes script de renouvellement de certificat letsencrypt passer en erreur systématiquement.
Après quelques analyses et recherche à priori je n'ai plus d'ipv4 classique dédié depuis ma ligne fibre j'ai une ipv4 privée depuis mon openwrt sur le WAN (ipv4) . En reconnectant ma box red qui en profite justement pour se mettre à jour, je découvre un nouveau protocole IPv4 CGNAT
Adresse MAC : 44:ce:7d:**:**:**
Version : NB6VAC-MAIN-R4.0.44f
Profil d'accès : FTTH
Connectivité : IPv6 & IPv4 CGNAT
du coup plus étonnant que mes site web ne soient plus accessibles depuis l'extérieur avec ce nat ( à la sauce mobile )
Le hic bien que j'avais déjà activé ipv6 je n'avais pas configuré mon réseau et en particulier mes sites web sous docker avec ipv6. impossible de désactiver l'option ipv6 elle a disparu. j'ai harcelé le support limite ils m'ont dit on a fait une mise à jour c'est à prendre ou à laisser . Aprés plus de 10 appels j'ai réussi à avoir un rdv avec un technicien pour voir le problème et éventuellement revenir en ipv4 classique le temps de reconfiguré intégralement mon reseau.
Est ce que d'autre ont été confronté à ce souci ?
Edit vivien : FAQ de juin 2021
Pourquoi le CGNAT ?
Les déploiements FTTH sont consommateurs de nouveaux blocs d'IPv4. Or, la pénurie d'IPv4 ne permet pas d'avoir de nouveaux blocs délivrés par le RIPE.
Le recyclage d'anciens blocs IPv4 ne suffit pas à combler les besoins du FTTH. Il n'est pas non plus possible de recycler facilement les blocs IPv4 de l'ADSL car ils sont toujours utilisés (==> cohabitation ADSL et FTTH sur une même plaque géographique, cela "surconsomme" de l'IPv4...)
==> Le CGNAT est la solution qui permet de réaliser un quick-win pour ne pas ralentir les déploiements FTTH : rapide à mettre en place, globalement fiable puisque déjà éprouvé sur les réseaux mobile, et peu consommateur en IP publiques. (une même IP partagée par N habitants)
Qui est concerné par une migration CGNAT ?
Pour être potentiellement migrable en CGNAT il faut remplir toutes les conditions suivantes :
- Être abonné à une offre SFR/RED, pour le grand publique (les offres comme la box Business par exemple ne sont pas concernées)
- Être relié en FTTH GPON
- Être sur une zone FTTH compatible IPv6 (globalement cela concerne la moitié du parc, l'autre moitié demeurant en IPv4 only pour des raisons techniques)
- Que l'IPv6 soit activé et fonctionnel sur ladite zone
- Être équipé "contractuellement" d'une box NB7 ou NB8 (les NB6 ne sont pas compatibles et resteront en IPv4 native (+ IPv6 native si disponible sur la zone)
Impacts du CGNAT
Globalement les impacts sont très limités car ce type d'architecture est déjà utilisé sur les réseaux mobiles ; les applications sont donc déjà coutumières des contraintes du CGNAT.
- Impacts sur certains protocoles exotiques (pas testé mais j'imagine que le GRE peut avoir du mal à passer...)
- Réduction du nombre de sessions simultanées (un utilisateur dispose de quelques centaines de ports TCP/UDP à sa disposition, attribués dynamiquement)
- Perte de la fonction NAT entrante, et de facto de la DMZ
- Impacts sur les sites "IPv4 only" qui se basent sur l'adresse IPv4 pour filtrer : un abonné peut blacklister les autres.
==> Globalement, c'est transparent pour quasiment tous les utilisateurs lambda, qui ne font quasiment jamais du NAT entrant. Ça n'impacte qu'une poignée de clients, considérés "geeks".
Comment savoir si je suis en CGNAT ?
La box indique dans l'encart en haut à droite "IPv6 & IPv4 CGNAT". Les menus DMZ et NAT n'apparaissent plus dans la section IPv4.
J'étais en IPv4/IPv6 native, j'ai été migré en CGNAT, et j'ai perdu la fonction NAT/DMZ. Comment faire pour récupérer la fonction ?
Il faut faire appel au support technique (1023 ou via l'appli RED&Moi) dans les jours qui suivent la migration en CGNAT, et signaler que vos serveurs internes ne sont plus accessibles.
Théoriquement, l'arbre de diagnostic du technicien (qui demandera à faire les classiques reboot et autres) concluera qu'un "rollback" est nécessaire.
Ce rollback consiste à réattribuer une IPv4 publique à l'abonné.
L'IPv4 ne sera pas la même que celle qu'il avait avant migration vers CGNAT.
==> Il peut être nécessaire d'insister car ce type de demande est très rare.
J'ai souscrit à SFR/RED et je n'ai pas la fonction NAT/DMZ. Comment faire pour bénéficier la fonction ?
Le raccordement a été produit dès le départ en CGNAT. De ce fait il n'est théoriquement pas possible de faire un "rollback" car il n'y a pas eu migration IPv4 publique ==> CGNAT.
Il va probablement falloir lourdement insister auprès du support (cf. procédure ci-dessus), sans pour autant avoir la garantie d'obtenir gain de cause...
J'ai migré d'un accès ADSL/FTTB vers FTTH, la fonction NAT/DMZ n'est plus disponible suite à cette migration. Comment faire pour récupérer la fonction ?
C'est un cas particulier car un changement de raccordement peut être considéré comme une nouvelle souscription. Il est donc possible qu'il faille insister auprès du support en soulignant que vous étiez avant en ADS/FTTB et que ca fonctionnait. (cf. procédure ci-dessus).