Aller au contenu

Messages recommandés

Posté(e)
il y a 46 minutes, dd5992 a dit :

Pour tester la connexion au PC par ipv6, j'ai testé d'une autre machine du réseau

Ce que j'essayais de faire c'est de me connecter sur l'interface web de la freebox ou sur le dsm du nas avec leurs adresses IPV6 entre crochets. Et cela je n'y arrive pas !

il y a 2 minutes, dd5992 a dit :

Et pour les adresses globales, que vois tu avec "netsh interface ipv6 show addresses" ?

Capture.JPG.a8da310d183853ef641eb5524313d43c.JPG

Posté(e) (modifié)

La commande "netsh interface ipv6 show addresses" donne donc la même chose que chez moi. Je suppose que la fin de l'adresse locale (64 derniers bits) est identique à celle de l'adresse publique. C'est celle là qui est fixe.

Pas la peine que je fasse le test sur W10 famille ce soir.

Il y a 1 heure, Jeff777 a dit :

Ce que j'essayais de faire c'est de me connecter sur l'interface web de la freebox ou sur le dsm du nas avec leurs adresses IPV6 entre crochets. Et cela je n'y arrive pas !

Curieux car chez moi, en utilisant l'adresse https://[2a01:...ff:fe...]:5001 de chacun de mes nas dans le navigateur de mon PC, j'accède sans problème au DSM. j'ai même pu entrer des enregistrements AAAA dans mon serveur dns local avec les mêmes adresses. En utilisant les adresses de ce dns local, j'ai pu également me connecter aux partages SMB en IPV6 (vérifié avec le log de connection du nas).

Pistes possibles :

  1. Sur ton nas, l'IPV6 est il activé? (Config/Réseau/interf Réseau/Lan/Modifier/IPV6 - Auto et non Désactivé) ?
  2. Dans mon cas, j'ai du mettre une règle spécifique dans le firewall de mon routeur sinon rien ne passait. As tu un routeur? Un firewall ?

Pour ce qui est de l'accès de l'extérieur, c'est pour la suite des évènements.

A suivre.

Modifié par dd5992
Posté(e)
il y a 4 minutes, dd5992 a dit :

Pas la peine que je fasse le test sur W10 famille ce soir.

Si fais-le et tu verras avec la commande "netsh interface ipv6 show addresses" que les adresses dites "public" et "autre" ne contiennent pas le terme ff:fe (si je ne me trompe pas).

Et dans ce cas comme je le disais ci-dessus elles sont non seulement aléatoires (random) mais aussi semi fixes (vocabulaire personnel). Semi-fixe car contrairement aux adresses fixes en ff:fe établies à partir de l'adresse mac elles peuvent changer même si c'est pas très souvent et je n'ai pas trouvé ce qui les fait changer.

il y a 5 minutes, dd5992 a dit :

Je suppose que la fin de l'adresse locale (64 derniers bits) est identique à celle de l'adresse publique. C'est celle là qui est fixe.

oui. 

il y a 28 minutes, dd5992 a dit :

Curieux car chez moi, en utilisant l'adresse https://[2a01:...ff:fe...]:5001 de chacun de mes nas dans le navigateur de mon PC, j'accède sans problème au DSM

Ah oui c'est vrai, j'y arrive aussi avec le port 5001, mais pas en sécurisé. J'avais essayé avec le port 5000 mais le pare feu du syno devait me bloquer, il autorise les connexions locales mais en IPV4 et le port 5000 n'était pas autorisé (alors que 5001 l'est). Par contre je n'arrive pas encore à me connecter sur Freebox OS

Posté(e)
il y a 11 minutes, Jeff777 a dit :

Si fais-le et tu verras avec la commande "netsh interface ipv6 show addresses" que les adresses dites "public" et "autre" ne contiennent pas le terme ff:fe (si je ne me trompe pas).

Pourtant c'est bien ce que j'ai sur mon PC sans changement de paramètres. OK je teste ce soir.

Je testerai aussi l'accès à Freebox OS avec toutes les adresses (locale et globale).

Posté(e)
il y a 1 minute, dd5992 a dit :

Pourtant c'est bien ce que j'ai sur mon PC sans changement de paramètres

oui mais avec Win 10 pro. C'est ton idée

Posté(e)
il y a 15 minutes, Jeff777 a dit :

 je n'ai pas trouvé ce qui les fait changer.

D'après mon interprétation du résultat de "netsh interface ipv6 show addresses", je crois qu'elle change toutes les 24 heures.

Posté(e)
il y a 2 minutes, dd5992 a dit :

D'après mon interprétation du résultat de "netsh interface ipv6 show addresses", je crois qu'elle change toutes les 24 heures.

Là tu dois parler des adresses temporaires qui changent aussi à chaque reboot de la freebox je crois. Moi je parlais des adresses "public" et "autre" dans la commande "netsh interface ipv6 show addresses" celles qui ont les même 4 derniers groupes. Et je disais que lorsqu'elles ne sont pas aléatoires (donc en ff:fe basées sur l'adresse mac) elles sont fixes par construction et lorsqu'elles sont aléatoires (non basées sur l'adresse mac) elle ont l'air fixes mais peuvent changer de temps en temps sans que je sache trop pourquoi !

Posté(e)
il y a 28 minutes, Jeff777 a dit :

Ah oui c'est vrai, j'y arrive aussi avec le port 5001, mais pas en sécurisé. J'avais essayé avec le port 5000 mais le pare feu du syno devait me bloquer, il autorise les connexions locales mais en IPV4 et le port 5000 n'était pas autorisé (alors que 5001 l'est)

Il m'a suffit d'autoriser dans le pare-feu la plage IPV6 avec les 4 premiers termes de mon IPV6 global et ça marche avec le port 5000 (2a01:xxxx.xxxx:xxx:0:0:0:0 à 2a01:xxxx:xxxx:xxx:ffff:ffff:ffff:ffff). C'est normal que ce ne soit pas sécurisé le certificat étant attaché au domaine; c'est vrai aussi avec l'IPV4.

il y a 3 minutes, dd5992 a dit :

OK. Il reste donc encore du travail pour tout comprendre 😉

Oui mais je trouve que nous progressons bien 😉

Posté(e) (modifié)

En autorisant la plage   fe80::0:0:0:0  à fe80::ffff:ffff:ffff:ffff dans le pare-feu  j'arrive à me connecter instantanément sur Freebox OS avec l'adresse IPV6 de la freebox fe80::etc....

Modifié par Jeff777
Posté(e) (modifié)

Bon, petit retour de mes tests d'hier soir :

Sur les 2 PC (un sous W10 pro et un sous W10 home, sans modif des paramètres par défaut) , les adresses IPV6 (vues avec "netsh interface ipv6 show addresses") sont :

  • Temporaire : en 2a01:... dont les 64 derniers bits changent toutes les 24 heures.
  • Public : en 2a01:... dont les 64 derniers bits ne changent apparemment pas
  • Autre ; adresse locale en fe80::... dont les 64 derniers bits sont les mêmes que ceux de l'adresse "Public"

Par contre contrairement à ce que je disais hier (shame on me) la fin des adresses Public et Autre ne sont pas bâties sur les adresses MAC des interfaces (pas de marqueur ff:fe).

Ce sont des adresses que @Jeff777 nommait semi-fixe car il avait constaté des changements. Pour ma part, je n'ai pas constaté de changement depuis mardi où j'ai mis cette adresse dans un enregistrement AAAA de mon DNS local, qui fonctionne encore, malgré plusieurs reboots du PC et un reboot de la freebox.

Reste donc à comprendre ce qui fait changer cette adresse.

Il y a 20 heures, Einsteinium a dit :

Bon après pour ceux qui n’ont pas toute la plage de port disponible en ipv4 pour leurs serveurs, il reste la solution du vps.

Pour ce problème d'IPV4 "partagée", plusieurs remarques :

  • lors du passage à la fibre free, beaucoup ont eu des problèmes du fait de cette IPV4 partagée, mais sur tous les forums que j'ai lu à ce sujet (ça fait pas mal de posts quand même), je n'ai jamais rencontré de cas où une demande d'IP "Full-Stack" sur le site de Free n'a pas réglé le problème. personne ne s'est plein de ne pas avoir pu la demander (corrigez moi si je me trompe).
  • Ce problème ne se pose plus en IPV6. Les utilisateurs ayant une IPV4 partagée devraient pouvoir utiliser la totalité des ports de leurs adresses IPV6.
Il y a 20 heures, Jeff777 a dit :

En autorisant la plage   fe80::0:0:0:0  à fe80::ffff:ffff:ffff:ffff dans le pare-feu  j'arrive à me connecter instantanément sur Freebox OS avec l'adresse IPV6 de la freebox fe80::etc....

J'ai fait le même test et je n'y accède pas. Ça doit être dû au fait que mon réseau local est dans un autre sous-réseau /64 (derrière mon routeur). Par contre j'y arrive en autorisant les accès externes à la freebox (accès à freeboxOS) et en utilisant l'adresse globale de la freebox (2a01:...::1) et le port choisi dans "Port accès distant sécurisé".

 

Modifié par dd5992
Posté(e)

Je partageais l'avis d' @Einsteinium, surtout lorsqu'un collègue a pris la main à distance sur mon imprimante grace à son ipv6 (imprimante sur laquelle je n'avais pas, naîvement, mis de mot de passe admin ...)

Une fois cette frayeur passée, j'ai blindé mon accès et ouvert IPv6 doucement sur mon NAS. 

Et depuis, ça a l'air d'aller.

Posté(e)
il y a 17 minutes, Einsteinium a dit :

je passerais à l’ipv6 quand je n’aurais vraiment pas le choix perso...

oui mais cela n'empêche pas de s'y intéresser et éventuellement de s'y préparer 🙂

Concernant la sécurité j'espère bien qu'elle ira en s'améliorant quand nous n'aurons plus le choix. J'ai trouvé ça pour que je puisse étudier le sujet :

https://www.cert.ssi.gouv.fr/information/CERTA-2006-INF-004/

 

Posté(e)

Bonjour,

Je viens de vérifier, et j'ai constaté que l'adresse IPV6 globale (marquée "Public") de mon PC n'a toujours pas changé.

@Jeff777, a-t-elle changé de ton côté ?

Je propose que nous vérifiions et notions les changements tous les deux (au moins) pendant quelques temps pour essayer de trouver ce qui peux bien la changer. Je posterai ici si je constate un changement, et quels évènements ont pu déclencher ça.

Posté(e)
Le 10/05/2019 à 13:16, Einsteinium a dit :
 
@StéphanH Ah c’est certains et pour beaucoup d’la doit être open bar... je passerais à l’ipv6 quand je n’aurais vraiment pas le choix perso... et encore seul le routeur sera en ipv6, derrière je resterais en ipv4...

Les freenautes n'ont pas le choix, dès le reboot de la box, c'est ipv6.

Le lan peur rester en ipv4 je crois et il est possible de désactiver l'ipv6 des équipements (produits Apple ?)

Posté(e)
il y a 23 minutes, dd5992 a dit :

Je viens de vérifier, et j'ai constaté que l'adresse IPV6 globale (marquée "Public") de mon PC n'a toujours pas changé.

Bonjour,

Maintenant je me suis mis en fixe basé sur l'adresse mac (netsh interface ipv6 set global randomizeidentifiers=disabled) mais comme je disais, l'historique des enregistrements des adresses IPV6 des PC sous win 10 sur freebox OS m'indique que les adresses publiques aléatoires ne changent pas souvent. Une fois choisies elles doivent rester en cache quelque part. Il doit falloir une modif majeur de win 10, une réinstallation ou une grosse mise à jour pour que l' IPV6 publique aléatoire change. Pour mon PC elle a changé plusieurs fois en janvier mais je ne sais plus ce que j'ai fait.

Mon fils est resté en aléatoire et comme son PC est sur le même LAN je vérifierai si ça change avec freebox OS . Son adresse a changé plusieurs fois en octobre dernier et une fois en décembre mais il ne se souvient pas non plus de ce qu'il a fait.

Posté(e) (modifié)

@Einsteinium: Le DHCPV6 n'est pas nécessaire pour faire fonctionner un réseau local avec IPV6. Avec IPV6, chaque machine est capable de se donner elle même une adresse V6, en fait même plusieurs (comme on a pu voir dans ce fil). DHCPV6 est même déconseillé car il est incompatible avec les smartphones Android.

Les PCs, tablettes ou smartphones utilisent alors pour accéder à internet des adresses IPV6 variables (durée de vie de 24 heures semble-t-il). Donc peu de risque si tentative d'intrusion. il semble que c'est aussi le cas des macs (à vérifier).

Les serveurs par contre (par exemple les synos) n'ont qu'une adresse globale fixe (logique).

Pour être complètement tranquille, plusieurs solutions :

  1. désactiver IPV6 sur chacune des machines (ou programmer le firewall pour le faire). Je n'ai pas vu comment faire pour les macs ou les smartphones.
  2. ou intercaler un routeur (par ex un syno RT2600ac) entre la box et le réseau local, et activer le firewall du routeur en bloquant le flux entrant IPV6.
Modifié par dd5992
Posté(e)
il y a 22 minutes, Einsteinium a dit :

maintenant si on active pas le dhcp ipv6 de la freebox, il ne doit pas y avoir de problème derrière

Effectivement j'ai essayé de l'activer par curiosité et là ça ne marche plus. Zonemaster voit rouge. Alors que sans le dhcp IPV6 de la free ça marche très bien avec les enregistrements AAAA de l'adresse publique IPV6 du NAS et les DNS IPV6 déclarés : IPV6 du NAS et IPV6 de FDN.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.