Aller au contenu

RT2600AC derrière une Freebox Pop (IPv6) : Serveur Adguard Home ne résout plus les requêtes depuis les iPhones


Messages recommandés

Posté(e)
il y a 8 minutes, PiwiLAbruti a dit :

En règle générale, oui. Mais il existe des exceptions très spécifiques où NAT6 est bien utile.

Pour Docker par exemple, surtout sur Syno où Docker IPv6 n'est à ma connaissance, pas activable dans le démon.

il y a 8 minutes, PiwiLAbruti a dit :

En règle générale, oui. Mais il existe des switches L3 et même L4 qui implémentent une grande partie des mécanismes IPv6.

A ma connaissance, la plupart des switchs administrables gèrent effectivement la couche L3.
Mais un bête switch L2 n'empêchera pas a priori un équipement qui lui est relié d'obtenir une IPv6.

Posté(e)
Il y a 6 heures, .Shad. a dit :

En espérant que ta box permettre de créer des règles sur le pare-feu IPv6, à défaut le RT.

La Freebox Pop ou Révolution (la Delta je ne sais pas mais je pense que c'est la même chose) ont un parefeu IPV6 non configurable qui pour mon utilisation était beaucoup trop bloquante. Mais il faut essayer pour voir si ça bloque la TV.

Posté(e)
Il y a 10 heures, MilesTEG1 a dit :

Bon reste la configuration du parefeu IPv6.

En fait je viens de tester le pare-feu IPV6 de la pop. Il ne bloque pas la TV (ce qui finalement est assez logique Free ne se tire pas une balle dans le pied).

J'ai cherché ce qu'il faisait et j'ai trouvé ceci :

https://forum.touslesdrivers.com/reponses.php?v_code=9&v_message=1108145&v_pm=1&v_pr=1

C'est peut-être la solution la plus simple pour toi.

A noter que sur https://ipv6-test.com/ l'ICMP est filtré (seule différence visible). https://test-ipv6.com/ ne change pas.

Posté(e)
Il y a 8 heures, Jeff777 a dit :

Je peux te dire la mienne mais comme je disais je ne suis pas certain qu'elle soit optimisée. Mais c'est intéressant de la soumettre afin de la tester.

En gros depuis l'extérieur je permets l'accès aux port 53 (tcp et udp),80 et 443 (tcp) sur les adresses IPV6 des deux nas. Je "drop" les requètes icmpv6 de type 5 (redirection) et j'accepte les autres.

En local j'accepte tout échange IPV6 entre les deux nas  et j'accepte les échanges icmpv6.

Tout ceci est issue de nombreux tests que je n'ai pas documentés. Je ne peux donc pas argumenter sur les raisons de certains paramètres. 🙄

Ce que je ne sais pas non plus c'est si le pare-feu agit aussi sur le VLAN. Ce qui est certain c'est qu'en rejetant toute requête IPV6 rentrante sur le routeur je perds la TV.

Merci pour ces infos @Jeff777. Pourrais-tu agrémenter cela avec quelques captures d'écran ? (Merciii 🤗)

Il y a 7 heures, .Shad. a dit :

Tu confonds les couches réseau, les switchs ne voient pas les adresses IP, ils sont de la couche 2.
Pour l'IPv6, chez Proximus le FAI t'attribue un préfixe (PD = Prefix Delegation), qui correspond à un sous-réseau IPv6 à ta disposition. Chez nous c'est du /56 (/128 en IPv6 pour un réseau d'une seule IP, semblable au /32 en IPv4). Mais Proximus est en IP dual-stack, avec IPv6 natif (pas de tunnel d'encapsulation).

De là, la box va attribuer à chaque périphérique une IPv6 de lien local (portée locale uniquement), basé sur la MAC des périphériques, et une IPv6 routable (comprendre publique) permanente ainsi que souvent une temporaire, basées sur le préfixe + la mac.
C'est là l'importance d'avoir un pare-feu IPv6, car tous tes périphériques seront accessibles depuis l'extérieur, sans NAT (ON NE NAT PAS EN IPV6).

En espérant que ta box permettre de créer des règles sur le pare-feu IPv6, à défaut le RT.

Oué, j'avais prévenu, je suis une quiche dès qu'il s'agit d'IPv6... je sais pas pourquoi, mais ça me fait peur 😨😅)

Cela dit tes explications me font croire que ce n'est pas si compliqué que ça 😄 enfin... presque 😅

Je comprends donc que j'aurais une IPv6 unique de la part de free, avec un préfixe propre à free (peut-être /56 ?).
Free est-il aussi en dual-stack ? Aurais-je également une IPv4 ?

Le seul périphérique qui sera connecté à la box sera le routeur, donc il aura à la fois une IPv6 et une IPv4, c'est ça ?
L' IPv6 sera directement accessible depuis internet, OK, il faudra donc que je configure le parefeu IPv6. Et c'est bien ça qui me fait peur... Vu que je ne comprends pas vraiment l'adressage IPv6 (trop de chiffre, trop de particularité comme la délégation, le péfixe, etc...)...

Il me faut de l'aide pour comprendre tout ça 😛 
Comment je fais pour répliquer ma configuration de parefeu ipv4 en ipv6 ?

J'ai bien compris que je n'aurais rien à faire sur les ports transférés, c'est ça ? Actuellement, je ne transfère que le port 443 et le 6690. Mais peut-on bloquer, c'est-à-dire ne pas transférer, les autres ports en IPv6 ? 
Niveau pare-feu, je bloque tout sauf :

  • ce qui arrive sur le port 443 sur toutes les IP FR
  • ce qui arrive sur le port 443 sur toutes les IP de partout (se supplante à la précédente règle, mais ça me permet de pouvoir couper l'accès au monde au besoin...)
  • ce qui arrive sur le port 6690 depuis les IP FR
  • ce qui arrive sur les ports VPN du paquet VPN Plus Serveur depuis les IP FR.

Voilà à quoi ressemble le pare-feu du RT :

p0sAY8C.png

 

il y a 42 minutes, Jeff777 a dit :

La Freebox Pop ou Révolution (la Delta je ne sais pas mais je pense que c'est la même chose) ont un parefeu IPV6 non configurable qui pour mon utilisation était beaucoup trop bloquante. Mais il faut essayer pour voir si ça bloque la TV.

Je tenterais avec celui de la box activé, mais j'ai peur de ne pas savoir ce qu'il bloque/autorise...

 

 

En écrivant ce qui précède, je me suis posé une autre question pour mes périphériques LAN.
En général, je désactive l'IPv6 sur tous mes périphériques où c'est possible.

  • Pour ceux sur lesquels l'IPv6 est désactivé : pouvez-vous me confirmer qu'ils ne seront pas soumis aux requêtes IPv6 ? Et qu'ils ne seront pas accessibles depuis internet ?
  • Pour ceux qui auront l'IPv6 activé : comment les protéger ? Comment faire pour qu'ils ne soient pas accessibles depuis internet ?
  • De manière générale, est-ce que mon NAS sera toujours accessible via l'IPv4 qu'il aura avec les mêmes réglages que ceux que j'ai actuellement ?

 

Merci encore pour votre aide et votre bienveillance 😇

edit

Il faut que mon NAS soit toujours accessible via son reverse proxy avec le nom de domaine OVH, sur le port 443 seulement, et accessible sur le port 6690 pour la synchronisation Drive.
D'ailleurs, à ce propos, faudra-t-il que je fasse quelque chose de coté là ?

il y a 39 minutes, Jeff777 a dit :

En fait je viens de tester le pare-feu IPV6 de la pop. Il ne bloque pas la TV (ce qui finalement est assez logique Free ne se tire pas une balle dans le pied).

J'ai cherché ce qu'il faisait et j'ai trouvé ceci :

https://forum.touslesdrivers.com/reponses.php?v_code=9&v_message=1108145&v_pm=1&v_pr=1

C'est peut-être la solution la plus simple pour toi.

A noter que sur https://ipv6-test.com/ l'ICMP est filtré (seule différence visible). https://test-ipv6.com/ ne change pas.

Merci, (tu as posté pendant que je redigeais mon pavé 😄 ), je vais lire ce le lien 😉

 

Posté(e)
il y a 4 minutes, MilesTEG1 a dit :

Je tenterais avec celui de la box activé, mais j'ai peur de ne pas savoir ce qu'il bloque/autorise...

Regarde mon dernier post et lit le lien ça répond à pas mal de tes questions.. Je pense que le parefeu de la pop est vraiment la solution pour toi. Il ne bloque pas la TV configurée comme indiqué plus haut.

Il conserve ta connectivité IPV6 mais interdit les connexions IPV6 non initiées de ton réseau local. Quelques captures à suivre pour confirmer.

Posté(e)

Sans le pare-feu IPV6 Free (mais avec celui que j'ai configuré sur le routeur):

Capture2.jpgCapture3.jpg

En ajoutant le parefeu IPV6 Free :

Capture1.jpgCapture.jpg

Avec le pare-feu de free le protocole ICMPV6 est filtré et mon serveur de nom n'est plus atteignable en IPV6. Par contre la TV fonctionne. Donc pour toi qui n'utilise pas l'IPV6 c'est certainement la solution.

Posté(e)
Il y a 1 heure, MilesTEG1 a dit :
  • Pour ceux sur lesquels l'IPv6 est désactivé : pouvez-vous me confirmer qu'ils ne seront pas soumis aux requêtes IPv6 ? Et qu'ils ne seront pas accessibles depuis internet ?
  • Pour ceux qui auront l'IPv6 activé : comment les protéger ? Comment faire pour qu'ils ne soient pas accessibles depuis internet ?
  • De manière générale, est-ce que mon NAS sera toujours accessible via l'IPv4 qu'il aura avec les mêmes réglages que ceux que j'ai actuellement ?

 

 

Bonjour,

Chez moi l' IPV6 est présent sur le LAN , le FW de la box est activé. Par défaut, je ne pense pas qu'on puisse avoir des connexions entrantes en IPV6.

Je pense que pour vous la problématique sera peut être de rendre votre routeur ( RT2600) transparent à l'IPV6 entre LAN et WAN.

Pour l'IPV4 , il n'y aura aucun changement.

Il y a 22 heures, MilesTEG1 a dit :

Je sais déjà que je vais devoir demander d'entrée de jeu une IP Full-Stack, pour être tranquille.

 

Attention cependant à l'anonymat , votre adresse IP sera gravée dans du marbre pour certain sites..dans une famille on se retrouve à recevoir des publicités ciblées partagées...bref le changement d'adresse ip de temps en temps c'est pas plus mal.

Posté(e)
Il y a 22 heures, MilesTEG1 a dit :

Faire une DMZ vers cette IP (je ne maitrise pas le mode bridge, et j'ai lu qu'on perdait l'accès à la configuration de la freebox...)

Je suis en bridge chez free et sur toutes les box il y a aucun soucis en bridge pour l’accès à la Freebox, la configuration est hyper simple et ne prends que 2 minutes 🙂

Posté(e)

@Jeff777
j'ai lu ton lien, et ça me rassure, je pense en effet que ce pare-feu devrait faire l'affaire ^^ D'autant que si la TV via OQEE est encore fonctionnelle, c'est ce que je veux, car mes serveurs (enfin via Docker) ne fonctionnent qu'en IPv4 🙂 

Je regarderais quand même quand l'IPv6 sera présente coté WAN du routeur pour le pare-feu du routeur en IPv6... mais j'aurais probablement pas besoin de configurer davantage que le pare-feu ipv6.

Bon c'est rassurant 😄 j'avais peur que ce soit super complexe ^^

@Juan luis 
C'est ce que j'ai compris en lisant l'article de touslesdrivers 🙂  Normalement avec le pare-feu de la freebox activé, si j'essaye de contacter mon réseau en ipv6, ce sera rejeté. Seul le traffic initié par le réseau lui même en ipv6 pourra recevoir un traffic en ipv6.

 

il y a 3 minutes, Einsteinium a dit :

Je suis en bridge chez free et sur toutes les box il y a aucun soucis en bridge pour l’accès à la Freebox, la configuration est hyper simple et ne prends que 2 minutes 🙂

Ok, nickel alors ^^ Et donc en bridge, je n'aurais pas besoin de fixer une adresse IP dans la freebox pour le routeur ? Il faudra juste que je passe le routeur en mode automatique pour la partie internet, j'ai bon ?

Posté(e) (modifié)
il y a 39 minutes, Juan luis a dit :

dans une famille on se retrouve à recevoir des publicités ciblées partagées...bref le changement d'adresse ip de temps en temps c'est pas plus mal.

Bonjour,

Je ne vois pas bien le rapport entre IP fixe et recevoir des publicités par mail. C'est plutôt l'adresse mail qu'il faudrait changer non ! 😄

il y a 10 minutes, MilesTEG1 a dit :

Et donc en bridge, je n'aurais pas besoin de fixer une adresse IP dans la freebox pour le routeur ? I

Attention il faudra utiliser la procédure que j'avais indiqué plus haut (donc inscrire l'adresse IPV6 du routeur côté WAN) pour laisser passer l'IPV6 au travers du routeur sinon pas de TV.https://utux.fr/?article13/free-bridge-ipv6

Modifié par Jeff777
Posté(e)
il y a 24 minutes, MilesTEG1 a dit :

Ok, nickel alors ^^ Et donc en bridge, je n'aurais pas besoin de fixer une adresse IP dans la freebox pour le routeur ? Il faudra juste que je passe le routeur en mode automatique pour la partie internet, j'ai bon ?

Globalement on passe en bridge, on active le pare-feu ipv6 et on désactive le dhcp ipv6, dans la section des ports on ferme tout (a la limite on peut laisser celui du contrôle de la Freebox à distance si on utilise), rien de plus à faire côté Freebox.

Concernant côté RT, on passe en manuel on met son ip ipv4, le masque 255.255.255.0, la passerelle c’est notre ip mais avec terminaison en .254 et là dns de free 212.27.40.240, on configure dans le même sens pour l’ipv6 si on utilise ou l’on désactive.

Aussi simple que cela 🙂

 

Posté(e)
il y a 11 minutes, Einsteinium a dit :

on configure dans le même sens pour l’ipv6 si on utilise

Bonjour,

C'est une alternative à la méthode que je décris plus haut, une obligation pour le RT Synology ou bien un complément ? Juste pour savoir si un jour je change de routeur 😉

Posté(e)
il y a une heure, Juan luis a dit :

Attention cependant à l'anonymat , votre adresse IP sera gravée dans du marbre pour certain sites..dans une famille on se retrouve à recevoir des publicités ciblées partagées...bref le changement d'adresse ip de temps en temps c'est pas plus mal.

Free fourni de base une IP fixe, c'est bien connu. Perso, chez Orange, l'IP ne change pas souvent... donc...
Par contre les sites ne devraient pas conserver ton adresse IP... mais bon, ça... la pub... 😅 Il faut un adblocker.

 

il y a 49 minutes, Jeff777 a dit :

Je ne vois pas bien le rapport entre IP fixe et recevoir des publicités par mail. C'est plutôt l'adresse mail qu'il faudrait changer non ! 😄

Il n'a pas parlé d'email... ou bien j'ai mal lu 😮 

il y a 52 minutes, Jeff777 a dit :

Attention il faudra utiliser la procédure que j'avais indiqué plus haut (donc inscrire l'adresse IPV6 du routeur côté WAN) pour laisser passer l'IPV6 au travers du routeur sinon pas de TV.https://utux.fr/?article13/free-bridge-ipv6

Ha oui, je garde le lien ^^ C'est pas super simple par contre 😅 mais je verrais quand j'aurais la connexion de la freebox activée 🙂

il y a 24 minutes, Einsteinium a dit :

Globalement on passe en bridge, on active le pare-feu ipv6 et on désactive le dhcp ipv6, dans la section des ports on ferme tout (a la limite on peut laisser celui du contrôle de la Freebox à distance si on utilise), rien de plus à faire côté Freebox.

Nickel 🙂 Pour le contrôle à distance, je laisserais désactivé, pour la gérer je passerais soit par le VPN du routeur, soit en local. Si soucis un jour, je verrais pour activer cette option pour pouvoir accéder à la freebox depuis l'extérieur.

 

il y a 26 minutes, Einsteinium a dit :

Concernant côté RT, on passe en manuel on met son ip ipv4, le masque 255.255.255.0, la passerelle c’est notre ip mais avec terminaison en .254 et là dns de free 212.27.40.240, on configure dans le même sens pour l’ipv6 si on utilise ou l’on désactive.

Aussi simple que cela 🙂

 

Ok, mais pour avoir la TV via l'application OQEE de free, il me faut l'IPv6 dans le LAN.
Je suivrais les indications du lien de @Jeff777 pour cela. Si je n'y arrive pas, je viendrais demander votre aide 🙂 

Posté(e)
il y a 3 minutes, MilesTEG1 a dit :

Il n'a pas parlé d'email... ou bien j'ai mal lu

Ah oui ! dans ce cas tu as donné la réponse. Mais je pense que la publicité ciblée elle l'est grâce aux cookies que les sites déposent sur ton PC et ça n'a rien à voir avec l'IP. Non?

Posté(e)
il y a 14 minutes, Jeff777 a dit :

Ah oui ! dans ce cas tu as donné la réponse. Mais je pense que la publicité ciblée elle l'est grâce aux cookies que les sites déposent sur ton PC et ça n'a rien à voir avec l'IP. Non?

Oué pour moi c'est ça 🙂 

Posté(e)
il y a une heure, Jeff777 a dit :

C'est une alternative à la méthode que je décris plus haut, une obligation pour le RT Synology ou bien un complément ? Juste pour savoir si un jour je change de routeur 

Un complément vis à vis de la box c'est tout.

il y a une heure, MilesTEG1 a dit :

Nickel 🙂 Pour le contrôle à distance, je laisserais désactivé, pour la gérer je passerais soit par le VPN du routeur, soit en local. Si soucis un jour, je verrais pour activer cette option pour pouvoir accéder à la freebox depuis l'extérieur.

Ce que je fais aussi je te rassure 🙂

il y a une heure, MilesTEG1 a dit :

Ok, mais pour avoir la TV via l'application OQEE de free, il me faut l'IPv6 dans le LAN.
Je suivrais les indications du lien de @Jeff777 pour cela. Si je n'y arrive pas, je viendrais demander votre aide 🙂 

Il faudra config alors l'ipv6 dans le rt, après tu laisses le dhcp ipv6 désactivé afin que les autres appareils n'en récupère pas une et tu fixe manuellement pour l'appleTV.

 

il y a une heure, Jeff777 a dit :

Ah oui ! dans ce cas tu as donné la réponse. Mais je pense que la publicité ciblée elle l'est grâce aux cookies que les sites déposent sur ton PC et ça n'a rien à voir avec l'IP. Non?

Si si les pubbeurs utilisent tous les moyens, l'ip en fait partie intégrante, surtout avec le blocages des cookies tiers, des adresses mac, des identifiants unique... etc...

Posté(e)
il y a 29 minutes, Einsteinium a dit :

Il faudra config alors l'ipv6 dans le rt, après tu laisses le dhcp ipv6 désactivé afin que les autres appareils n'en récupère pas une et tu fixe manuellement pour l'appleTV.

Je ne pourrais pas laisser le DHCPv6 activé ? Vu que mes périphériques n'ont pas l'IPv6 d'activé, ils n'auront pas d'IPv6, non ?

Comme ça je n'ai pas à me préoccuper de mettre une IP à l'AppleTV, car autant en IPv4 je sais faire, mais en IPv6... ?? 😅

Dernière chose, j'ai vu ici https://obram.fr/?p=398 qu'il parle de mettre le RT en relais IPv6. C'est ce que je devrais faire ?

Posté(e)

Oui c’est aussi une solution, mais je trouve plus simple pour ma part de ne définir que quelques IP sans avoir à m’en préoccupé pour d’autres lors d’ajout (pour certains appareils ont a pas accès à ce réglage aussi), a toi de voir ce qui est plus rapide/simple pour toi.

Oui c’est c’est l’une des méthodes qui est rapide au passage 🙂

Posté(e)
il y a une heure, Einsteinium a dit :

Si si les pubbeurs utilisent tous les moyens, l'ip en fait partie intégrante,

Ah bon !  Raison de plus pour avoir un antipub.

Posté(e)
il y a 12 minutes, Einsteinium a dit :

Oui c’est aussi une solution, mais je trouve plus simple pour ma part de ne définir que quelques IP sans avoir à m’en préoccupé pour d’autres lors d’ajout (pour certains appareils ont a pas accès à ce réglage aussi), a toi de voir ce qui est plus rapide/simple pour toi.

Oui c’est c’est l’une des méthodes qui est rapide au passage 🙂

Très pertinente ta remarque..
Si j'active le DHCPv6, il faut que je sois sûr que les périphériques qui sont sur le réseau ne cherche pas à avoir une IPv6... sinon ça peut être un soucis...

Sinon, comment je peux définir/choisir une IPv6 pour l'appleTV uniquement ?

Posté(e)
il y a 38 minutes, MilesTEG1 a dit :

Je ne pourrais pas laisser le DHCPv6 activé ?

Là je ne sais pas trop. Pour mon utilisation c'est prohibé car si je l'active je n'ai plus les adresses IPV6 stateless et donc je ne sais plus les gérer dans mes zones.

Sans l'activer les adresse IPV6 sont basées sur les adresses MAC (stateless).

Posté(e)
il y a 2 minutes, Jeff777 a dit :

Là je ne sais pas trop. Pour mon utilisation c'est prohibé car si je l'active je n'ai plus les adresses IPV6 stateless et donc je ne sais plus les gérer dans mes zones.

Sans l'activer les adresse IPV6 sont basées sur les adresses MAC (stateless).

Ok 🙂 

Je suis en train de regarder comment je configurerais la freebox via le lien utux.fr que tu m'as donné, et je ne sais pas quelle IPv6 je dois récupérer en SSH sur le routeur...
8mAdu9G.png

C'est quelle "carte" réseau que je dois regarder ? j'en ai 38 qui apparaissent avec un ip addr 😮 

il y a 2 minutes, Einsteinium a dit :

Très bonne question pour l’Apple TV, je ne sais pas si c’est possible la définir manuellement et j’en ai plus à disposition pour testé.

Je vais faire une petite recherche pour savoir ^^

Posté(e)
Il y a 2 heures, MilesTEG1 a dit :

Par contre les sites ne devraient pas conserver ton adresse IP... mais bon, ça... la pub... 😅 Il faut un adblocker.

 

Je peux juste dire que c'est flagrant , lorsque je suis derrière la freebox même en effaçant les cookies , je  me sens pisté à vie par la pub .Par contre derrière mon routeur 4G

avec une adresse IP qui change toutes les 12 H , je constate vraiment une différence.

Pour moi c'est un inconvénient de free, c'est super pour la connexion à mon serveur VPN , je n'utilise aucun nom de domaine, mais bonjour l'anonymat ...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.