Aller au contenu

RT2600AC + Freebox + IPV6


Qontrol

Messages recommandés

Bonjour à tous,

 

Je profites du confinement pour tester ma configuration et apprendre surtout 🙂

J'ai utilisé le bon tuto de @dd5992 pour configurer mon installation en IPV6

Résultat :

Je vois bien une adresse IPV6 sur mes équipements (PC, NAS, etc...)

Mais lors des tests IPV6, je n'ai que des résultats négatifs :

image.thumb.png.aa0804229e771767d2d15fa74781d7b2.png

 

Est-ce lié aux DNS ? J'utilise depuis peu le service DoH natif du routeur avec les DNS d'adguard.

Est-ce lié au parfeu IPV6 de la freebox ? Il faut le désactiver ou le laisser activé?

Est-ce lié à mes règles du parfeu du routeur ? Comme écrit dans le tuto, j'ai ouvert les accès vers internet depuis les adresses IPV6 local.

image.thumb.png.368a4de38baed9fa5feeb2896c1ab6bd.png

 

Merci à vous pour vos retours 🙂

Luc

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Qontrol,

Pour que ça fonctionne, il faut que le pare-feu de le freebox soir désactivé. Il faut aussi créer des règles du pare feu dans le routeur.

Pour le service DoH, je n'ai pas encore essayé et donc je ne sais pas.

Pour les DNS, il faut avoir un enregistrement AAAA vers la machine cible de ton réseau local et autoriser dans le pare-feu les connexions vers cette machine

Tu peux tester la connexion IPV6 sortante en tentant une connexion vers le site ipv6.google.com qui ne fonctionne qu'en IPV6.

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, dd5992 a dit :

Concernant DoH, je n'ai pas essayé car je me demande si c'est compatible avec le fait d'avoir un DNS local implanté sur le routeur Syno.

Un avis ?

Pour ça je peux te renvoyer vers un autre sujet, et la réponse était que non :

Citation

 

D'ailleurs, il n'est pas possible d'activer DoH si le paquet DNS Server est actif sur le routeur :

https://www.synology.com/en-us/knowledgebase/SRM/help/SRM/RouterApp/localnetwork#t1c

 

 

 

 

Luc

Lien vers le commentaire
Partager sur d’autres sites

Et d'ailleurs merci pour ta réponse @dd5992.

 

Dans la suite de mes questions et pour trouver une solution, quelqu'un sait à quoi correspond le réglage "mode d'état" au niveau de la configuration IPV6 local ? :

image.thumb.png.50f3f96d6db6f7f5fb573fa9ea2b782a.png

Quand je suis configuré "Mode d'état", je vois mes périphériques dans les clients DHCP IPV6.

Quand je suis configuré en "Mode sans état", je n'ai pas accès aux clients DHCP IPV6, il ne me propose que les IPV4.

 

Mais dans les cas, ça ne change rien à mon histoire de test sur les sites IPV6, ça ne fonctionne toujours pas.

J'ai vérifié le parfeu, ça me semble OK, et celui de la freebox est désactivé.

Il ne faut que configurer les liaisons IN vers OUT, rien d'autre?

 

Luc

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 modes de configuration IPV6 pour l'affectation des adresses IPV6 pour les équipements terminaux.

Ceci est décrit dans le lien que tu viens de me transmettre.

il y a une heure, Qontrol a dit :

D'ailleurs, il n'est pas possible d'activer DoH si le paquet DNS Server est actif sur le routeur :

https://www.synology.com/en-us/knowledgebase/SRM/help/SRM/RouterApp/localnetwork#t1c

En mode d'état (Stateful mode) l'équipement terminal récupère une IPV6 par le biais du DHCPV6, ainsi que les adresses des DNS. Il faut alors avoir configuré un serveur DHCPV6 (voir l'option dans la freebox).

Ce n'est pas le mode que je recommande dans notre configuration. Je préfère (et j'ai testé extensivement) le mode Sans Etat (Stateless) qui est plus simple. Le routeur "annonce" au réseau le préfixe IPV6 à utiliser (les 64 premiers bits), ainsi que les DNS et chaque équipement terminal se construit une ou plusieurs adresses IPV6 lui même (selon sa configuration).

  • Les synos, ainsi que de nombreux équipements, se construisent une adresse avec le préfixe annoncé, plus une fin basée sur l'adresse MAC de l'interface réseau (RFC 4862).
  • Les PCs utilisent par défaut deux adresses. Une fixe, générée aléatoirement et conservée dans le registre pour autoriser des connexions de l'extérieur sans dévoiler l'adresse MAC (RFC 4941), et une autre, variable,  utilisée pour les connexions vers l'extérieur afin de ne pas dévoiler l'adresse fixe.

Pour en savoir plus, voir ici : https://fr.wikipedia.org/wiki/Adresse_IPv6

Il y a 1 heure, Qontrol a dit :

J'ai vérifié le parfeu, ça me semble OK

Peux tu publier ici la configuration IPV6 de ton parefeu? anonymisé bien sûr!

Voici le mien :

image.thumb.png.d534deb2b27e31aa0fe8def88a898c25.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Un petit complément 

il y a 24 minutes, dd5992 a dit :

Une fixe, générée aléatoirement et conservée dans le registre pour autoriser des connexions de l'extérieur sans dévoiler l'adresse MAC

Ceci pour Windows. Il me semble que pour d'autres systèmes d'exploitation c'est obligatoirement une adresse basée sur l'adresse MAC (avec le groupe ff:fe).

D'ailleurs on peut facilement changer le mode d'attribution de ces adresses dans Windows (En ligne de commande : "netsh interface ipv6 set global randomizeidentifiers = disabled"      enabled pour revenir à l'état précédent).

Personnellement j'ai opté pour les adresses basées sur l'adresse MAC car j'avais besoin d'adresses qui restent fixes dans le temps pour la redondance de mes deux NAS (voir tuto de la signature fait avec @dd5992    👌). Et je ne suis pas certain que les adresses fixes IPV6 pour connexions extérieures le soient vraiment (si elle sont choisies aléatoirement comment peuvent elles rester les même en cas de crash de l'OS ou autre incident) .

Moi aussi je ne connais que le stateless.

Lien vers le commentaire
Partager sur d’autres sites

@Qontrol: Avec ta règle "Sortie internet IPV6" tu devrais pouvoir atteindre ipv6.google.com.

La règle juste avant a quoi en "IP source" ? si c'est un bloc d'adresse de ton réseau IPV6, ça veut dire que tu n'autorises que de l'accès à partir de ton réseau local. je propose plutôt une règle du style de mon "FR et UK IPV6 vers mon serveur" qui a comme destination la machine de ton réseau local (IPV6) qui est censée être joignable de l'extérieur. En donnant une IPV6 comme cible, ça veut dire que tu autorises les communications IPV6 vers ton serveur uniquement. Tu filtres sur la cible pour éviter que ton réseau soit une passoire complète.

@Jeff777 :

J'ai dit PC, j'aurais dû préciser PC sous Windows. Je ne connais pas le comportement par défaut de Linux à ce sujet.

il y a 17 minutes, Jeff777 a dit :

j'avais besoin d'adresses qui restent fixes dans le temps pour la redondance de mes deux NAS

Oui, si tu as besoin d'une adresse fixe, en fait, l'adresse fixe générée aléatoirement est fixe aussi. Elle est enregistrée dans le registre pour résister aux reboots, crash systèmes et autres. Bien entendu elle est perdue en cas de réinstallation de l'OS.

Mais as tu vraiment besoin d'une adresse fixe sur un PC windows pour cette application ? C'est sur les NAS qu'elle est indispensable, oui. A moins que ton PC ait des logiciels serveur.

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, dd5992 a dit :

C'est sur les NAS qu'elle est indispensable,

Tu as raison et elle est de toute manière fixe pour les NAS. Mais c'est pas grave je me dis que la marge de sécurité apportée n'est pas énorme.

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, Qontrol a dit :

Malgré la règle Sortie internet IPV6, je n'ai pas accès à ipv6.google.com.

et que se passe-t-il quand tu ajoutes une règle donnant accès à ton serveur

  • IP Source : Tous
  • Port Source : Tous
  • IP Cible : l'adresse IPV6 de ton serveur
  • Port Cible : Les ports de ton serveur que tu veux ouvrir.
  • Autoriser

Il faudrait vérifier aussi dans Internet/connexion/configuration IPV6

J'ai :

image.png.76f792bb413a5f247b90f988044e5ab0.png

Adresse IPV6 : l'adresse IPV6 du port WAN du routeur (note le 0::2 à la fin)

Longueur 64

Passerelle par défaut : l'adresse IPV6 locale de ta freebox (voir dans FreeboxOS/configuration IPV6/Adresse IPV6 lien local)

Serveur DNS préféré : Ton adresse de DNS. J'ai mis celle du routeur car il contient le serveur DNS local

Préfixe : le préfixe IPV6 de ton réseau local en aval du routeur (note le 1:: à la fin). C'est le préfixe du NextHop de la freebox renvoyant vers le routeur.

Lien vers le commentaire
Partager sur d’autres sites

Merci encore pour tes retours !

Alors Test 1, j'ai ajouté dans le parefeu deux règles :

1) Ouverture de tous les ports, en venant de toutes les connexions vers l'adresse IpV6 de mon PC.

2) Ouverture de tous les ports, en venant de toutes les connexions vers l'adresse IPV6 local de mon PC.

Ce qui donne :

image.thumb.png.f9799118a4b2212e0fce5ee8c3821773.png

 

Pour info, le client UPnP est mon NAS.

 

Résultat : ne fonctionne toujours pas :

image.thumb.png.4f2f7f5fb40fa0e46bb26b6b17025391.png

 

J'ai vérifié ma configuration IPV6 et j'ai les mêmes paramètres que toi au niveau des adresses.

 

A mon avis, ça doit être un paramètre tout con qui pose problème, mais lequel 😔

 

Pour rappel, le RT2600AC est derrière la freebox en mode routeur avec la DMZ activé vers le RT2600AC.

 

 

Luc

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

J'ai eu ce problème avec ma configuration assez proche un Edgmax ER-X derrière la freebox en mode routeur avec la DMZ activé vers le Edgemax.

J'ai résolu en paramétrant le coté WAN et LAN en stateless et en informant le routeur du préfixe de chaque côté (un qui se termine par 0 l'autre par1).

Extrait du config tree :

Capture3.JPG.6956f0148853caca1f27abbe3951207b.JPG

 

 

Lien vers le commentaire
Partager sur d’autres sites

Merci pour la réponse, je vais voir ça après le repas.

 

Par contre, j'ai l'impression que ma navigation sur internet est plus lente qu'avant.

Je pense que ça a un lien vu que la partie ipv6 ne fonctionne pas correctement.

 

Et au niveau de l'adresse local du routeur avec la commande ip addr, c'est bien l'adresse  inet6 fe80: dans la partie eth0 qu'il faut prendre ? :

4: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc nsshtb state UP group   default qlen 1000

Et donc au niveau de la freebox ca donne :

image.thumb.png.be17fc786abdc5288e818c03f6b17df2.png

Luc

Lien vers le commentaire
Partager sur d’autres sites

Je viens de faire une autre découverte pour résoudre mon problème.

 

Pour faire mes tests pour l'instant, j'utilisais mon ordinateur portable du boulot (qui est connecté à un domaine).

Je viens d'essayer sur mon ordi perso, et là, le test ipv6 est ok.

 

Mais c'est bizarre, car sur le PC en question (je suis admin), tous les paramètres IPV6 sont activés...

 

Luc

Lien vers le commentaire
Partager sur d’autres sites

Bon finalement j'ai trouvé,

Je savais que c'étais un truc à la con ...

Merci pour votre aide en tout cas !! J'ai pu découvrir un nouveau protocole, l'ipv6 🙂

 

Donc c'était Symantec le problème...

Je viens de le couper et c'est ok pour les tests.

Je suis à 17/20, pas trop mal pour un début lol :

image.thumb.png.d3692ff70dfb1aeff63aacbb6d768acb.png

Lien vers le commentaire
Partager sur d’autres sites

Pour obtenir 19/20 il faut autoriser le protocole icmp. Mais attention renseigne toi bien. De mémoire il faut interdire le type 5 (redirection) qui constitue une faille de sécurité. Pour 20/20 il faut un reverse dns qu'il est possible d'obtenir chez Free en ipv4 mais pas en ipv6. Donc impossible pour l'instant d'obtenir 20/20. Le reverse Dns il n'y a que ton Fai qui  peux l'obtenir.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

 

J'ai un nouveau problème...

Cette fois-ci, ça vient des DNS mais je ne sais pas si c'est lié à l'IPV6 ou pas.

 

Mon PC, au bout du moment (4-5h d'inactivité), n'arrive plus à résolver les adresses de sites.

Il faut que je le déconnecte du wifi, puis le reconnecte pour que j'ai accès à internet.

C'est comme s'il avait perdu la connexion au serveur DNS.

 

Est-ce que c'est déjà arrivé à quelqu'un ?

Ma config actuelle : le service DoH vers adguard, mais j'avais déjà le soucis avec Quad9.

 

Merci,

Luc

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.