Auteur Sujet: IPv6 sur un OpenVPN derrière une Livebox 4  (Lu 9083 fois)

0 Membres et 1 Invité sur ce sujet

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #12 le: 28 janvier 2019 à 00:55:01 »
C'est si nul que ça OpenVPN ? (j'avoue ne pas y connaître grand chose, et OpenVPN est le seul VPN que j'ai déjà testé)

Si j'ai bien compris, L2TP c'est un VPN niveau 2. OpenVPN sait le faire ça aussi (enfin, normalement)

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #13 le: 28 janvier 2019 à 00:55:17 »
Oui mais c'est moyennement propre, ça casse beaucoup de choses. Sinon je vais peut-être monter un tunnel TAP au lieu de TUN (VPN de niveau 2 au lieu de 3) mais bon cela a aussi des désavantages. Je ne vais quand même pas être obligé du faire du NAT (j'ai dû le faire sur un VPS chez OVH qui n'a qu'un /128, j'en pleure encore la nuit).

Il n'y a pas de « NAT », si c'est un tunnel avec un pont ethernet c'est comme si la machine distante était physiquement présente sur le LAN. Donc la machine distante obtiendra son IPv6 avec le SLAAC.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #14 le: 28 janvier 2019 à 01:23:08 »
Oui, je me suis mal exprimé. C'est soit j'utilise TAP (niveau 2), soit je fais du NAT (avec une interface TUN).

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #15 le: 28 janvier 2019 à 02:19:46 »
Oui, je me suis mal exprimé. C'est soit j'utilise TAP (niveau 2), soit je fais du NAT (avec une interface TUN).

Pas besoin, il suffit de router une IP dans le /64 au client.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #16 le: 28 janvier 2019 à 02:27:39 »
Je fais comment ? Je mets plusieurs IP sur mon interface ethernet ? (à la limite je peux en mettre genre 16 à la suite, ça peut me faire un /124, non ? comme ça je pourrai avoir 13 clients simultanèment sur mon VPN, non ?)

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #17 le: 28 janvier 2019 à 02:56:16 »
Je fais comment ? Je mets plusieurs IP sur mon interface ethernet ? (à la limite je peux en mettre genre 16 à la suite, ça peut me faire un /124, non ? comme ça je pourrai avoir 13 clients simultanèment sur mon VPN, non ?)

Il faut que la machine sur le LAN qui sert de relai réponde à l'NDP pour toutes les adresses que tu veux utiliser, autoriser ces adresses dans le pare-feu interne de OpenVPN puis router les adresses dans le tunnel.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #18 le: 28 janvier 2019 à 06:15:20 »
Ça y est, j'ai réussi !

Merci pour votre aide, elle m'a été d'une grande utilité !

Du coup, pour résumer, ma conf ressemble à ça (je ne mets que les parties utiles) :

openvpn.conf
#IPv6
server-ipv6 2a01:XXXX:XXXX:XX00::1:0/112
tun-ipv6
push tun-ipv6

push "route-ipv6 2a01:XXXX:XXXX:XX00::/64"
push "route-ipv6 2000::/3"

Ensuite j'ai fait un petit script (trouvé sur le net) pour mettre le proxy sur les adresses de 2a01:XXXX:XXXX:XX00::1:1000 à 2a01:XXXX:XXXX:XX00::1:112C (soit les 300 premières adresses après ::1:1000 qui est la première utilisée par OpenVPN, les autres sont incrèmentées à partir de celle-ci) :
#!/bin/sh
for i in $(seq 4096 4396) ; do
  ip neigh add proxy 2a01:XXXX:XXXX:XX00::1:$(printf %x $i) dev enp4s0
done

Et c'est tout ! (bon il faut aussi autoriser le forwarding et npd_proxy dans sysctl)

Petite note perso : J'ai beaucoup vu sur Internet qu'il fallait utiliser la commande "ip neigh add proxy..." avec tun0 comme interface. Or cela ne marchait pas pour moi. J'ai simplement remplacé tun0 par enp4s0 et tout est devenu fonctionnel !

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #19 le: 28 janvier 2019 à 06:52:14 »
C'est si nul que ça OpenVPN ? (j'avoue ne pas y connaître grand chose, et OpenVPN est le seul VPN que j'ai déjà testé)

disons que c'est lourding OpenVPN. Si tu veux du light mais avec du chiffrement il y a Wireguard (plus simple, plus performant).

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur un OpenVPN derrière une Livebox 4
« Réponse #20 le: 28 janvier 2019 à 07:40:22 »
Je ne connaissais pas Wireguard, ça a l’air récent (pas tant que ça en fait, je viens de voir que le premier commit a été fait le 25/06/2016). L’avantage de OpenVPN c’est qu’il est pris en charge par mon routeur, qui fait tourner un client OpenVPN. C’est pratique car ça permet à des appareils ne pouvant pas faire tourner de client VPN de pouvoir s’y connecter. Mon routeur accepte L2TP et PPTP aussi. Sinon j’ai un accès SSH dessus donc je devrai en théorie pouvoir installer un client Wireguard dessus, mais honnêtement je n’ai pas très envie de m’embêter pour l’instant.

Après c’est vrai que j’ai eu quelques soucis de performances avec OpenVPN, mon serveur n’étant pas très véloce. Mais il faudrait que je teste de nouveau pour voir à quel débit je suis limité