Ericzen01

Je vais partir sur cette solution dès que j'aurais un peu de temps pour le faire. Et j'aimerai avoir un UCG-FIBER avant de la mettre en place. J'ai regardé le tunnel fourni par Hurricane et cela me parait super bien pensé. Il faudra juste que je fasse les bons tests. Mais en gros ils te fournissent un tunnel entre une entrée que tu choisie (j'ai choisi Paris) et ton ip externe. J'ai cru qu'il fallait automatiquement une ip fixe et bien il semblerait que non puisqu'ils permettent l'utilisation d'un DDNS si besoin avec un système de mise à jour automatique du end point si ton DDNS change d'ip. Donc cela devrait résoudre le problème d'accès via le backup de free (En espérant que l'on ait une ipv4 de fourni vu que free a activé par défaut l'ipv6 sur la partie mobile). Ensuite, ils semblent te fournir (si j'ai bien compris) un bloc 64 donc tu peux utiliser ton serveur SLAAC pour attribuer tes ip internes et être visible de l'exterieurs sur cette ipv6. Du coup, tu gères tes DNS et tes reverses DNS comme tu le souhaites. Et ce je pense directement chez HE. Ils fournissent aussi un /48 à la demande si tu veux gérer des sous réseaux. J'ai hâte de pouvoir tester tout cela.

Je précise une ip fixe v6 pour faire du reverse DNS v6. Ce que ne permet pas free mais semble permettre HE.

Merci @PiwiLAbruti. J'ai déjà le site ou chercher donc je le ferais moi-même. Faut pas exagéré tout de même ! L'objectif est que l'ipv4 fonctionne au travers de la connexion 4G pour l'ensemble de mes services (mails, sites, etc...) Le second objectif est d'avoir une ipv6 fixe pour pouvoir faire du reverse dns car sinon en ipv6 certains serveurs de mail rejete les mails (Cas de gandi.net). Si tu as une ipv6, il fait un reverse dns sur ton ipv6 sinon il le fait sur l'ipv4 et dans cet ordre. Du coup, il rejete tes mails si tu n'as pas de reverse dns v6. C'est pour cela que pour le moment, le nas est le seul appareil à ne pas avoir d'ipv6. Et personnellement, je ne vois pas aujourd'hui d'hebergement secure business. Je travaille dans l'informatique (de gestion je précise) et je vois bien que c'est le bordel aussi pour mes gros clients qui se font heberger en cloud chez leur presta. C'est la merde pour faire communiquer les appli entre elle car chacune est hébergé chez Sage, chez Cegid, chez tartempion. Il faut faire ouvrir des ports, mettre en place des passerelles, des api, des ftp... Les échanges de données sont plus long que si tout était en interne. Sans compter que sous couvert de sécurité, tu n'as parfois pas accès à tes propres bases de données pour faire du requétage. Et cela n'empêche pas de ce faire pirater (Microsoft...) ou d'avoir un serveur qui crame sans sauvegarde (j'étais de ceux qui ont eux un de leur VPS cramé chez OVH et dont la sauvegarde auto était dans le même data center). Donc la notion de plus sécure, j'y crois plus trop. J'ai même des clients qui reviennent en On-Premise. Donc on peux se poser des questions. Et dans ce cas là ils se posent la question de la redondance de ligne pour ne pas avoir de coupure justement. Et ceux de mon secteur géo on le même problème que moi, il n'y a qu'un fournisseur d'infra donc si ça plante c'est pour tout le monde. Donc oui pour avoir un mx backup sur un VPS pour récupérer les mails perdus éventuellement. Mais je ne m'appelle pas Amazon et je n'ai pas besoin d'avoir une redondance pour mes sites internet. Je vends rien dessus. Et le backup 4G c'est juste au cas ou la box tombe en rade ou que ma connexion fibre est hs. Sinon les antennes du secteur passent elles aussi sur le réseau fibre mono opérateur donc si ça pète c mort. En fait, j'exagère un peu car il y a une artère national qui longe la Saone près de chez moi et les antennes 4G/5G de ces zones sont directement pluguées sur cette artère (bouygues/Free/SFR et Orange). Donc c'est mon dernier salut. Mais encore une fois, le risque est franchement acceptable compte tenu de mon activité et de l'ensemble des gardes fous mis ou à mettre encore en place.

Il est bien ce tuto mais je ne crois pas que cela réponde à mon besoin. Ce que je comprends du but c'est d'accéder à son serveur de l'exterieur afin de pouvoir le gérer en garantissant un tunnel entre le serveur A et le Serveur B. Te connectant sur le serveur A pour atteindre B depuis une box 4g sans ip fixe. Du coup le tunnel reste ouvert en permanence entre A et B en ip v4. Cela ne résoud pas le problème d'ipv6 sortant. Mon but est de faire un tunnel entre le nas (la box ou un routeur) permanent en ipv6. Ceci permettant de ne jamais avoir de coupure d'internet que je soit en ipv4 ou ipv6 via l'ip fixe de free ou l'ip dynamic du backup free et d'avoir un reverse dns en ipv6. Je pourrais simplement créer un serveur SMTP externe et me connecter dessus pour envoyer mes mails en ipv4 et ipv6. Cela fonctionnerait sur un VPS d'OVH. C'est ce que je fesais relativement auparavant. J'avais un MX et un MX backup sur 2 VPS chez OVH et les deux me servaient de relais SMTP. Maintenant j'ai que le MX backup chez OVH et il ne sert pas de relay SMTP. Cela est plus sécure pour moi car j'ai eu un piratage de mon serveur SMTP une fois et j'ai pas eu d'alerte (car incompétant pour monter ce type de contrôle) lorsque c'est arrivée. C'est lorsque j'ai vu que mon SMTP avait une "queue" qui ne se vidait jamais et par hasard que j'ai vu le piratage. Et je te dis pas le souci ensuite car mon ip était black listé. Avec le syno, j'ai une alerte dès que j'ai des tentatives de connexion non habituel et j'ai aussi le bannissement d'ip si les quelqu'un tente de se connecter avec un mauvais mot de passe 3 fois. Si besoin, je réactive l'ip si c'est une vrai erreur de la part des utilisateurs (cas de ma mère régulièrement...) Tu me dira qu'un Tunnel VPN via Hurricane ou via un VPS d'OVH c'est pareil. Et tu n'auras pas tord. Mais j'ai pas envie de gérer la partie Serveur VPS chez OVH pour le moment. Si cela fonctionne avec HE et bien pourquoi pas dans un deuxième temps le faire sur un VPS. Enfin, pour le moment, j'ai pas trop le temps de mettre les mains dans le cambouis, je cherche le maximum d'info pour le faire dès que possible. Ce sera un gros chantier car je compte passer la box en bridge et mettre derrière un UCG-Fiber. J'ai le temps, le produit est en rupture depuis sa sortie en février 2025. Je veux bien que tu me donne le lien stp. C'est interessant car j'ai fait le test uniquement sur mes ports 80 et 443 et cela est passé. Peut-être que cela ne fonctionne pas sur d'autres ports. Et donc voir s'ils ont trouvés une solution dans ce cas là. Passer par un VPN sur un port particulier et donc encapsuler du v4 et du V6 via ce tunnel. Et dès lors raison de plus pour essayer HE.

Ou vois tu que le backup 4G ne permet pas de connexion entrante ? Aurais je mal interprété ta remarque ? Si tu essaie d'accéder à ton réseau via l'ip dynamic fourni par ton backup 4g quand il est actif, tu accèdes bien à ce dernier. Le backup 4G se comporte comme n'importe quelle box et de permet d'avoir des flux dans les deux sens. Le souci c'est que tu es en ip dynamic et que tu ne peux pas aisément attribuer un nom à cette adresse sauf DDNS. Mais alors tu es dans la situation ou tu passes toujours par un DDNS et ça marche pas pour du MX. Pour info, j'ai toujours gérer mon serveur de mail que ce soit en interne ou en externe. OVH hebergeait mes serveurs MX et MX backup mais je me suis fait pirater mes mails. J'ai fait le choix de les gérer chez moi afin de pouvoir plus facilement maintenir mon serveur de mail. Je ne perds aucun mail car j'ai conserver mon MX backup chez OVH. C'est juste qu'il peut y avoir un moment de flottement si j'ai plus accès à internet via la fibre Free. Il faut attendre un peu avant d'avoir de nouveau les mails. Je gère actuellement 3 noms de domaines sur Mail Server. Et pour chaque adresse j'ai plus de 5 adresses actives. Cela me couterait un bras pour gérer cela de manière sécurisée chez un hébergeur de mail. Donc j'ai fait ce choix. Je cherche plus à optimiser mon install quand je le peux (c'est mon côté Geek ;p). Je regarde différentes pistes possibles pour avoir un reseau le plus performant possible. Aujourd'hui Free me permet de gérer facilement les principaux aspects. En plus, dans le prix j'ai accès à des services qui répondent aux besoins de mes enfants. Si je voulait me la jouer pro, je passerais sur un abonnement pro avec redondance. Mais plus d'accès à certain de ces services pour mes enfants et un coût très élevé. Il faut faire des compromis. Je regarde aussi la possibilité de virer le backup de free pour passer sur un backup 4g avec une ip fixe. Cela me permettrait de ne pas perdre mes mails et de gérer mon rDNS suivant le fournisseur choisi. Mais encore une fois, cela a un coût et je cherche justement à les rationaliser.

Je croyais que l'intérêts de Hurricane Electric était de pouvoir bénéficier justement d'une ipv6 public. Mon idée était donc de monter un vpn vers Hurricane uniquement pour l'ipv6 et ainsi avoir une ipv6 public en lui associant un rDNS v6. Sauf que je ne vois nul part s'il est possible de faire cela sur une ip v6 fournie par HE. J'ai bien regardé ce point mais j'ai un doute sachant que le ticket date de 2012 : https://forums.he.net/index.php?topic=2705.0 En plus, il y a eu des changements en 2020-2021 qui on peut être impacté cette possibilité : https://lafibre.info/peering/free-hurricane-electric/204/ Et soyons réaliste, mes compétences étant assez limité sur le sujet de l'ipv6, du vpn et du rDNS, j'ai peur de ma lancer dans une aventure trop grande pour moi. Cela me conduit à 50 questions : - si je mets en place un tunnel vpn depuis mon NAS qu'elle sera l'incidence sur mon ipv4 avec Free ? - et quid de la sécurité car le Firewall du NAS est il suffisant ? - si cela est possible et que je l'installe sur ma freebox directement quel incident sur mon ipV4 fixe ? - Quid si je dois lancer un autre vpn pour me connecter chez un client depuis mon pc local (si j'ai fait le paramétrage du vpn sur la freebox...) ? - est il possible de ne passer par l'ipv6 que pour envoyer mes mails (donc port SMTP uniquement) et faire le rDNS v6 (port 53 ?) ? -...

Du coup, ton intervention sur ce ticket n'a aucun sens puisque nous parlons de faire un rDNS sur nos ipv6. Faire un Dig sur heise.de ou google.com n'a aucun intérêt par rapport au besoin.

@CoolRaoul tu as du paramétrer quelque chose pour que quand tu fasses un dig tu es ce retour : 0.0.0.0.0.0.0.0.0.0.0.0.2.0.3.0.1.0.0.1.e.f.3.0.0.e.2.0.2.0.a.2.ip6.arpa. 86400 IN PTR redirector.heise.de. C'est bien indiqué redirector.heise.de donc c'est ton nom de domaine qui répond au reverse dns non ? et il pointe sur ton ipv6 de free.

Et ils ne te permettent pas de gérer un ptr sur l'ipv6 qu'ils fournissent ?

Pardon @PiwiLAbruti, je me suis trompé dans le suivi de mes tickets. Ce n'est pas toi mais CoolRaoul qui m'avait répondu. Est ce quelqu'un a un retour sur l'utilisation de Hurricane Electric ? Parce que du coup cela permet d'avoir une ipfixe en ipv6 en montant un tunnel. Ce pourrait être une solution. J'ai lu ce billet mais je n'ai aucune idée des risques https://niksa.dev/posts/he-ipv6-tunnel/

Je ne comprend pas comment redirector.hiese.de retourne la tranche ipv6 de free. Tu as un reverse dns interne et externe sur le syno, tu as créer un dns inverse sur Dns server et tu as enregistrer tes dns chez ton registrar ? Après cloudflare a peut être un fonctionnement différent des autres. Mais moi si je laisse mon ipv6 sur mon synology avec mon paramétrage actuel, si j'envoi un mail à l'adresse client-lld@free2move-lease.net, j'ai un message de retour de la part de Gandi refusant le mail pour defaut de reverse dns en ipV6. Actuellement j'ai coupé mon ipv6 de mon synology, je suis sur un réseau basé sur le DHCP de ma box free et j'ai mis en place DNS server que pour mes ip internes. Pas de publication externe. Est-ce ta config ? Que donne ton dig si tu le fais depuis l'extérieur de chez toi ? Depuis une ip publique sans vpn. Tu as la même chose ?

Bon ben je comprend rien. Effectivement free semble gérer le reverse dns de la tranche d'ipv6. Par contre si tu fait un nslookup sur ton ipv6 complete, alors il y a pas d'info concernant free. Rien ne ressort. @PiwiLAbruti lorsque dans mon autre ticket tu montre don dig sur ton ipv6 tu as un retour sur un serveur dns avec ton nom de domaine. comment cela se fait il ? Parce que tu as defini l'info sur tes dns interne ? Que ce passe-t-il si tu fait un dig sur ton ipv6 en te connectant en externe chez toi. Tu as le même comportement ?

Comment font les entreprises ? Ce n'est pas le FAI qui leur défini leur reverse DNS. Ce que je pense, de plus en plus, c'est qu'il faut gérer son propre serveur DNS et ses DNS inversés. Ce doit être pour cela que sur OVH je peux ajouter mon propre Serveur DSN avant ceux de OVH. Sinon je vois pas trop l'intérêt de gérer un serveur DNS pour les accès externe chez soi. C'est dommage j'aurai bien aimé l'avis de @Fenrir à ce sujet car il doit en savoir plus vis à vis de son tuto sur le serveur DNS.

Mes MX ne pointent que sur des adresses en IPv4 depuis le début et pourtant je me suis fait rejeter un mail par Gandi car le serveur qui a envoyé le mail à une ipv6 et qu'il n'a pas de reverse dns associé. De plus, le MX sert au serveur qui t'envoie des emails de connaitre l'ip où router les mails. Le MX sert à la réception. Pas à l'envoi des mails. Comme je l'ai déjà dit c'est lors de l'envoi des mails par le serveur que le contrôle de reverse dns est effectué. Donc il traduit l'adresse ip d'envoi en nom de domaine (et le mx ne rentre pas là dedans) et comme il priorise l'ipv6 pour son contrôle (j'ai l'impression), alors il rejette les mails. En enlevant l'ipv6 du synology, j'ai plus de souci car il ne voit que l'ipv4 et résoud le nom sans souci via le rDns de free.

Je sais pas comment tu fais pour n'avoir qu'un mx en ipv4. Je m'explique. Lorque je suis en ipv6 et que j'envoie un mail à une adresse dont le serveur de mail est chez gandi, j'ai un message de refus du mail car il détecte mon ipv6 de mon synology et refuse de délivrer le mail car il n'y a pas de reverse dns sur cette ipv6. Si je desactive l'ipv6 de mon nas synology, j'ai plus de souci. Quand à la notion d'ipv6 en mode bridge, je pense peut être tord que dès lors ce sera le routeur (qui fait office de firewall aussi) derrière la box qui prendra la main et que dès lors, je pourrais mieux filtrer l'accès entrant vers mes machines pour que seules mon synology soit visible de l'exterieur avec une ipv6. Et la box tv free aussi. Et que dès lors si je gère mon propre serveur DNS et que je l'active sur mon hebergement OVH, je pourrais gérer un rDNS v6 correctement.