Aller au contenu

RT2600AC derrière une Freebox Pop (IPv6) : Serveur Adguard Home ne résout plus les requêtes depuis les iPhones


Messages recommandés

Posté(e)
il y a 16 minutes, MilesTEG1 a dit :

Bref, j'ai désactiver l'IPv6

Alors il va falloir changer ton titre 🤣........tu me diras si tu le désactives on peut dire que tu le configures de manière sécurisée 😉.

 

Posté(e)
il y a 1 minute, Jeff777 a dit :

Alors il va falloir changer ton titre 🤣........tu me diras si tu le désactives on peut dire que tu le configures de manière sécurisée 😉.

🤪 🤣 en effet 🙂

Mais je ne l'ai désactivé que sur mon mac (et normalement sur tous les autres périphériques 😮 )
La différence, c'est que je ne l'ai pas vraiment activé sur le routeur ^^ Enfin ça je sais pas... en fait je pense que c'est actif, mais que les périphériques n'obtiennent pas d'IPv6 depuis le routeur.

Posté(e)

Bon pour cette histoire d'IPv6, je viens de voir que nos iPhones avaient une (en fait 3) IPv6 en plus de l'IPv4 🤣
Et là, je sais pas comment faire pour désactiver...

Mais je me dis, que ça devrait le faire, vu que le parefeu IPv6 de la freebox bloque tout ce qui vient de l'extérieur... mon routeur fait la même chose aussi 😄 

Posté(e)
il y a 16 minutes, MilesTEG1 a dit :

Bon pour cette histoire d'IPv6, je viens de voir que nos iPhones avaient une (en fait 3) IPv6 en plus de l'IPv4

Oui les PC sous Windows aussi:

Capture.jpg

Tu peux même en avoir beaucoup plus. Si le PC est connecté sur l'extérieur avec une adresse temporaire et que son bail vient à terme le PC peut se connecter avec la nouvelle adresse sur un nouveau site et les deux adresses temporaires apparaitront. J'ai déjà vu ça.

il y a 21 minutes, MilesTEG1 a dit :

Et là, je sais pas comment faire pour désactiver...

Le danger c'est pas d'avoir une adresse IPV6 c'est plutôt que quelqu'un puisse se connecter dessus de l'extérieur.

  • MilesTEG1 a modifié le titre en RT2600AC derrière une Freebox Pop (IPv6) : Serveur Adguard Home ne résout plus les requêtes depuis les iPhones
Posté(e)

Changement de titre pour refléter  une nouvelle problématique, liée à la migration chez free (IPv6 inside)

Nouveau titre :
RT2600AC derrière une Freebox Pop (IPv6) : Serveur Adguard Home ne résout plus les requêtes depuis les iPhones

--------------------------------------------------------------------------------------------

Bonjour 🙂

Alors, suite à ma migration chez free, l'IPv6 semble me causer quelques soucis...
J'ai deux nouvelles problématiques :

  • Une liée au serveur VPN et la non accessibilité du routeur via son IP LAN (avec la connexion L2TP) ;
  • Une liée aux iPhone (et je pense aux périphériques qui ne peuvent pas avoir l'IPv6 désactivée) dont la résolution des ndd ne se fait plus avec mon serveur AdGuardHome.

Précision du vocabulaire dans ce qui va suivre :

  • LAN = réseau du routeur Syno, en 192.168.2.xxx
  • IP du routeur dans le LAN : 192.186.2.1
  • IP du NAS dans le LAN : 192.168.2.200
  • Serveur AdGuard Home en macvlan, IP : 192.168.2.210.
    Défini en unique serveur DNS dans le serveur DHCP du routeur.
  • Serveur VPN OpenVPN : Ip dans la plage 192.168.10.xxx
  • Serveur VPN SSL-VPN : IP = 192.168.2.xxx
  • Serveur VPN L2TP : IP = 192.168.2.xxx

Alors, première problématique : le serveur VPN. (tout ce qui suit concerne la connexion via le VPN du routeur) :

  • Depuis l'iPhone (dernier iOS possible pour mon i7) :
    • Connexion avec L2TP, OpenVPN (ouioui ça fonctionne 😄) et SSL VPN.
    • Accès à toutes les ressources du LAN, y compris à l'IP du routeur depuis OpenVPN et SSL-VPN.
      Pour OpenVPN, j'ai du ajouter une règle dans le parefeu du routeur hier :
      tqNHJd8.png
    • Mais pas moyen d'accéder à l'IP LAN du routeur en L2TP... ça c'est chiant ! (bon j'ai deux autres connexion VPN qui me permettent d'y arriver, mais j'aimerais comprendre pourquoi ça ne fonctionne pas avec L2TP...)
      Cependant, je peux accéder au routeur via le nom de domaine rt.mon-ndd.ovh.
      Précision n°1 : ce ndd possède un contrôle d'accès dans le reverse-proxy qui restreint l'accès aux IP LAN et OpenVPN uniquement.
      Précision n°2 Il y a dans AdGuardHome une redirection pour *.
      mon-ndd.ovh vers l'adresse IP LAN du NAS (reverse-proxy).
       
  • Depuis mon mac, (macOS Big Sur, dernière version possible pour mon vieux MBA...), connecté avec le partage de connexion 4G de mon iPhone :
    • Connexion possible et fonctionnelle avec les 3 modes de VPN : L2TP, OpenVPN et SSL-VPN.
    • Avec OpenVPN : aucun soucis pour atteindre l'IP LAN du routeur, ou les noms de domaines qui ont un contrôle d'accès (celui du RT et celui de DSM). Que ce soit avec TunnelBlick ou bien OpenVPN Connect.
      Par contre, la connexion semble planter au bout d'un moment car je n'ai plus accès à rien à ce moment là...
    • Avec L2TP : pas moyen d'accéder à l'IP LAN du routeur... ça c'est chiant ! 
      Tout le reste est fonctionnel : accès aux IP LAN (sauf RT), accès aux ndd, même ceux avec contrôle d'accès.
      Et cette connexion L2TP semble être la plus stable de toutes, car je n'ai quasiment jamais de plantage de connexion... 
    • Avec SSL-VPN : aucun soucis pour accéder aux IP LAN, incluant le RT qui est donc accessible via son IP LAN.
      Mais, pas moyen de résoudre les noms de domaines et donc d'accéder au RT et à DSM avec leur ndd qui ont une redirection dans AdguardHome.
      Je constate aussi que ce n'est pas super stable, la connexion plante au bout d'un moment...

 

Alors, deuxième problématique : l'accès au domaine du RT et de DSM, via l'iPhone, lorsque connecté au wifi du RT, donc dans le LAN.

  • L'iPhone n'arrive pas à accéder aux noms de domaines qui ont un profil d'accès (restreignant les IP autorisées aux IP LAN + IP OpenVPN).
  • Je pense que c'est du au fait que l'iPhone a une (ou plusieurs) IPv6, et que ce n'est pas désactivable...
    Il faut que je refasse un test chez moi ce soir pour vérifier si AdGH me fait bien la redirection, mais il me semble que c'était bien le cas ce matin. Du coup, ce serait le NAS qui ne reconnait pas l'adresse IP de l'iPhone...

Voilà, je suis preneur de vos conseils pour résoudre ces petits soucis 🙂 

Posté(e)
il y a 3 minutes, MilesTEG1 a dit :

L'iPhone n'arrive pas à accéder aux noms de domaines qui ont un profil d'accès (restreignant les IP autorisées aux IP LAN + IP OpenVPN).

@MilesTEG1 je voudrais bien t'aider mais je n'ai pas d'Iphone et je n'ai jamais pu implémenter L2TP.

Une petitr contribution cependant. Sur Android pas de problème (j'ai dû activer l'IPV6 qui ne l'était pas par défaut pour pouvoir jouer sur la redondance de mes nas). Sauf que en 4G pour le contrôle d'accès si je restreins à certains IP du réseau local (même en autorisant l'accès aux deux nas), ça ne fonctionne pas. Je suis obligé d'autoriser tout le LAN.

Posté(e)

@MilesTEG1

Bonjour,

Juste une remarque :

il y a 13 minutes, MilesTEG1 a dit :
  • Serveur VPN SSL-VPN : IP = 192.168.2.xxx
  • Serveur VPN L2TP : IP = 192.168.2.xxx

C'est compatible cela deux VPN sur un même sous-réseau local ?

L2PT est d'habitude plutôt sur du 172.16.0.0/24 voir 172.30.0.0/24, non ?

Sinon pour faire tes tests, je te conseille de retirer les profils d'accès dans un premier temps. Tu les rajouteras ensuite quand tout fonctionnera correctement et seulement après un reboot du RT et du NAS. J'ai constaté qu'à cause d'eux (profils d'accès), les modifs faites sur le VPN Serveur du RT n'étaient pas toujours correctement prises en compte, un effet de cache peut-être mais c'est un constat de fait que je n'ai pas réussit à expliquer jusqu'à maintenant.

Cordialement

oacle7😉

 

Posté(e)

@Jeff777
J'ai bien autorisé tout le LAN + toute la plage OpenVPN, (et aussi la plage pour un conteneur (Dashy)) :
zc6UcXY.png

Après, c'est la règle pour tout refuser 🙂

 

à l’instant, oracle7 a dit :

C'est compatible cela deux VPN sur un même sous-réseau local ?

L2PT est d'habitude plutôt sur du 172.16.0.0/24 voir 172.30.0.0/24, non ?

Sur le VPN Plus Server oui, on peut choisir des IP LAN pour SSL-VPN et L2TP. Mais pas pour OpenVPN.

Ok pour les tests sans le contrôle d'accès, je verrais ce soir 😉 

Posté(e) (modifié)
Il y a 19 heures, MilesTEG1 a dit :

J'ai bien autorisé tout le LAN + toute la plage OpenVPN, (et aussi la plage pour un conteneur (Dashy))

Bonjour

Et les IPV6 locaux tu les autorises (fe80::/10 et fc00::/7). Je les ai aussi dans les pare-feu des nas

Modifié par Jeff777
Posté(e)
il y a une heure, Jeff777 a dit :

Bonjour

Et les IPV6 locaux tu les autorises (fe80::/10 et fc00::/7). Je les ai aussi dans les pare-feu des nas

Lesquelles IPv6 ?
Mon mac n'en a pas, normalement XD
Et quand je suis en partage de connexion, je ne sais pas quelle IPv6 j'ai. XD

 

il y a 55 minutes, Geoff1330 a dit :

J'ai le même problème avec PiHole et les iPhones, ces derniers ont des ipv6 (public) comme dns et du coup, plus de filtre...

J'allais justement venir poster deux captures qui montre que mon iPhone a, en plus de l'IPv4 du serveur AdGuardHome, deux IPv6 comme serveurs DNS :
VFLEAYd.png

L'iPv4 est celle de mon adguardhome, l'ipv6 suivante semble être celle du routeur synology (car c'est la même que celle qui apparait dans l'écran d'avant :
EaB6rXL.png

Par contre la dernière IP, je ne sais pas ce que c'est...

Bref, du coup, le serveur adguardhome n'est quasi jamais interrogé.
Mais si je choisi "Manuel", et que je supprome les deux IPv6, là tout va bien 😉 la résolution des ndd est correctement faite par mon AdGH.

J'ai cherché dans le routeur comment ne plus avoir ces IPv6 en tant que serveur DNS, mais ce n'est pas possible... je n'ai rien trouvé...
Quelqu'un a-t-il une solution ? (autre que de fixer manuellement une seule IP DNS)

 

 

 

Posté(e) (modifié)
il y a 30 minutes, MilesTEG1 a dit :

Par contre la dernière IP, je ne sais pas ce que c'est...

Je pencherais pour l'IPV6 du site freeboxos Free

Essaie" nslookup mafreebox.freebox.fr"

Ah j'ai trouvé ça :

https://forums.commentcamarche.net/forum/affich-37212504-acces-freebox-server-impossible-depuis-mise-a-jour-windows

ça correspond au fc00::/7 que j'ai autorisé dans mon pare-feu, comme je te l'ai écrit plus haut....j'avais oublié 😉

Modifié par Jeff777
Posté(e)
il y a 6 minutes, MilesTEG1 a dit :

Par contre la dernière IP, je ne sais pas ce que c'est...

C'est une adresse IP locale appartenant à fc00::/7 [fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff], elle n'est pas routable sur l'espace d'adressage public. C'est très probablement une adresse de serveur DNS annoncée par la box. Ton iPhone n'ayant pas d'adresse dans ce réseau, il ne peut pas communiquer avec cette adresse (ou alors j'ai loupé un truc sur IPv6 😅), ce qui me paraît étrange (pourquoi annoncer une adresse de serveur DNS non-joignable ?).

Comme ton Pi-hole est configuré en macvlan, il n'a probablement pas d'IPv6 :  https://docs.docker.com/network/macvlan/#use-ipv6

Vérifie au préalable que le support d'IPv6 est activé dans Docker (pas testé) https://docs.docker.com/config/daemon/ipv6/

Posté(e)
il y a 43 minutes, MilesTEG1 a dit :

Lesquelles IPv6 ?
Mon mac n'en a pas, normalement XD
Et quand je suis en partage de connexion, je ne sais pas quelle IPv6 j'ai. XD

 

J'allais justement venir poster deux captures qui montre que mon iPhone a, en plus de l'IPv4 du serveur AdGuardHome, deux IPv6 comme serveurs DNS :
VFLEAYd.png

L'iPv4 est celle de mon adguardhome, l'ipv6 suivante semble être celle du routeur synology (car c'est la même que celle qui apparait dans l'écran d'avant :
EaB6rXL.png

Par contre la dernière IP, je ne sais pas ce que c'est...

Bref, du coup, le serveur adguardhome n'est quasi jamais interrogé.
Mais si je choisi "Manuel", et que je supprome les deux IPv6, là tout va bien 😉 la résolution des ndd est correctement faite par mon AdGH.

J'ai cherché dans le routeur comment ne plus avoir ces IPv6 en tant que serveur DNS, mais ce n'est pas possible... je n'ai rien trouvé...
Quelqu'un a-t-il une solution ? (autre que de fixer manuellement une seule IP DNS)

 

 

 

Moi j'ai bien des IPv6 public (2a02...)

Si je met le DNS en manuel avec une IPv4, cela fonctionne aussi pour moi.

Posté(e)
il y a une heure, Jeff777 a dit :

Je pencherais pour l'IPV6 du site freeboxos Free

Essaie" nslookup mafreebox.freebox.fr"

Ah j'ai trouvé ça :

https://forums.commentcamarche.net/forum/affich-37212504-acces-freebox-server-impossible-depuis-mise-a-jour-windows

ça correspond au fc00::/7 que j'ai autorisé dans mon pare-feu, comme je te l'ai écrit plus haut....j'avais oublié 😉

Depuis mon PC windows (sans IPv6), j'ai ça :
Z3Sy6VJ.png

Je ne sais pas comment lancer la commande depuis mon iphone XD

 

il y a 42 minutes, Geoff1330 a dit :

Moi j'ai bien des IPv6 public (2a02...)

Si je met le DNS en manuel avec une IPv4, cela fonctionne aussi pour moi.

Je n'ai pas activé le serveur DHCPv6 sur mon routeur (le synology). C'est peut-être ça...

il y a 50 minutes, PiwiLAbruti a dit :

C'est une adresse IP locale appartenant à fc00::/7 [fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff], elle n'est pas routable sur l'espace d'adressage public. C'est très probablement une adresse de serveur DNS annoncée par la box. Ton iPhone n'ayant pas d'adresse dans ce réseau, il ne peut pas communiquer avec cette adresse (ou alors j'ai loupé un truc sur IPv6 😅), ce qui me paraît étrange (pourquoi annoncer une adresse de serveur DNS non-joignable ?).

Comme ton Pi-hole est configuré en macvlan, il n'a probablement pas d'IPv6 :  https://docs.docker.com/network/macvlan/#use-ipv6

Vérifie au préalable que le support d'IPv6 est activé dans Docker (pas testé) https://docs.docker.com/config/daemon/ipv6/

Le soucis c'est que je n'ai pas activé l'IPV6 sur le NAS ni sur le routeur coté LAN. Et je ne compte pas vraiment me lancer là dedans XD

Posté(e) (modifié)
il y a 10 minutes, MilesTEG1 a dit :

Le soucis c'est que je n'ai pas activé l'IPV6 sur le NAS ni sur le routeur coté LAN. Et je ne compte pas vraiment me lancer là dedans

Ben tu devrais essayer, mais mets le parefeu IPV6 de la box si tu n'en n'as pas un sur le routeur. Personnellement sur le parefeu du routeur j'autorise peu de requêtes d'IPV6 extérieurs (uniquement celles qui s'adressent à ma zone sur le nas (adresse IPV6 du nas port 53) mais toi tu n'en a pas besoin.

Modifié par Jeff777
Posté(e) (modifié)
Il y a 2 heures, Jeff777 a dit :

Ben tu devrais essayer, mais mets le parefeu IPV6 de la box si tu n'en n'as pas un sur le routeur. Personnellement sur le parefeu du routeur j'autorise peu de requêtes d'IPV6 extérieurs (uniquement celles qui s'adressent à ma zone sur le nas (adresse IPV6 du nas port 53) mais toi tu n'en a pas besoin.

Mouais... pas sûr que ça aide 🙂 et ça risque de me complexifier la vie XD

Sinon j'ai bien activé le pare-feu ipv6 de la freebox 🙂 et le RT lui a ceci qui doit faire la même chose :
kzduUf5.png

En regardant de plus près mon AdGH, lorsque l'iPhone a les ipv6 dans les DNS, il ne reçoit pas les requètes DNS de l'iPhone.
Le soucis est donc bien là pour la problématique n°2 de mon sujet.
La cause... je ne sais pas.

Dans la configuration du routeur, niveau internet, j'ai mis ça pour la partie IPv6 :
bgNlQWc.png

 

Et j'ai lancé cette commande sur le routeur pour voir quelles étaient mes IP :

ip -o addr show | awk '/inet/ {print $2, $3, $4}'

Et me faudrait un peut d'aide pour tout comprendre 🙂

  • eth0 : c'est le port qui est relié à la freebox..
  • eth1 : c'est le port connecté au premier switch de mon LAN (tout mon réseau local passe donc par là)
  • wlan0 : le réseau wifi, mais lequel entre le 5GHz et le 2,4GHz ?
  • wlan1 le réseau wifi, mais lequel entre le 5GHz et le 2,4GHz ?

Ensuite, j'ai des réseau dont je n'arrive pas à identifier ce que c'est :

  • bwlan0 : une seule IP en v6
  • bwlan1 : une seule IP en v6
  • bwlan0.1 : une seule IP en v6
  • bwlan0.2 : une seule IP en v6
  • bwlan1.1 : une seule IP en v6
  • bwlan1.2 : une seule IP en v6
  • gbr0 2 IP : une en v4 (celle du réseau invité) et une en v6
  • lbr0 : 3 IP : une en v4 (celle du routeur dans le LAN) et deux en v6
  • eth1.1733 : une seule IP en v6
  • vbr3 : 172.50.0.1/24
  • tap_lbr0
  • tun0 : une seule IPv4, qui est le réseau de OpenVPN je pense car 192.168.10.1
  • tap_vpn : une seule IP en v6

 

 

edit : ajout en rouge

Modifié par MilesTEG1
Posté(e)

"L'iPhone n'arrive pas à accéder aux noms de domaines qui ont un profil d'accès (restreignant les IP autorisées aux IP LAN + IP OpenVPN)"

@MilesTEG1 Une question : tu as bien défini ces noms de domaine dans zone locale ?

Posté(e)
il y a 2 minutes, Jeff777 a dit :

"L'iPhone n'arrive pas à accéder aux noms de domaines qui ont un profil d'accès (restreignant les IP autorisées aux IP LAN + IP OpenVPN)"

@MilesTEG1 Une question : tu as bien défini ces noms de domaine dans zone locale ?

Oui oui c’est bien le cas puisque dès que le serveur AdGH est le seul dans les dns de l’iPhone ils sont bien résolus correctement.

En supprimant les ipv6 de la liste des dns dans l’iPhone, j’ai contourné le soucis.

Posté(e)
Il y a 1 heure, MilesTEG1 a dit :

Le soucis c'est que je n'ai pas activé l'IPV6 sur le NAS ni sur le routeur coté LAN. Et je ne compte pas vraiment me lancer là dedans XD

L'autre souci est que ta Freebox utilise un réseau IPv6 natif. C'est-à-dire que pour communiquer en IPv4 sur internet, ta box encapsule le trafic IPv4 dans IPv6. Une passerelle chez Free se charge ensuite de décapsuler le trafic vers IPv4.

Pour résoudre ton problème, tu as le choix entre ne pas configurer IPv6 sur ton routeur (désactiver le relais par exemple), ou désactiver IPv6 dans les paramètres Wi-Fi de ton iPhone (si c'est possible).

Posté(e)

@PiwiLAbruti Merci pour les explications 🙂

il y a 44 minutes, PiwiLAbruti a dit :

Pour résoudre ton problème, tu as le choix entre ne pas configurer IPv6 sur ton routeur (désactiver le relais par exemple), ou désactiver IPv6 dans les paramètres Wi-Fi de ton iPhone (si c'est possible).

Le soucis de désactiver le relais IPv6 dans les paramètres du routeur, c'est que l'application OQEE sur l'AppleTV ne va plus fonctionner... (faudrait que je teste pour voir...) C'est d'ailleurs la raison pour laquelle j'avais mis le relais IPv6, car j'avais lu que c'était nécessaire...
je tente ce soir en rentrant. (si je le fais à distance, ma femme risque de râler (quoique là elle doit dormir (8ème mois de grossesse) 😄 )

 

@PiwiLAbruti Mais du coup, ce que tu as expliquer me fait penser que mon serveur VPN mériterais d'être en IPv6 directement non ? Mais là... pas sûr que ça fonctionne si je désactive le relais IPv6...
Et je sens que je pourrais dire adieu au AdGH ipv4 que j'utilise comme serveur DNS pour le VPN. (j'avais bien galéré pour que ça fonctionne... -> macvlan obligatoire)

Posté(e)

@PiwiLAbruti Bon je viens de tester en désactivant le relais IPv6. OQEE ne fonctionne plus 😮 Donc je ne peux pas désactiver l'IPv6.
Dans l'appleTV, je ne peux même pas personnaliser les DNS 😮 donc j'ai l'IP de AdGH et les deux IPv6 dont celle du routeur.

Donc je suis obligé de laisser à minima le relais IPv6 activé.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.