Aller au contenu

RT2600AC derrière une Freebox Pop (IPv6) : Serveur Adguard Home ne résout plus les requêtes depuis les iPhones


MilesTEG1

Messages recommandés

@MilesTEG1 je viens de faire un test. J'ai coché la case du firewall IPV6 pour ma Freebox. J'ai redémarré ma freebox puis essayé la TV.  Pour moi OQEE fonctionne correctement. Je n'ai pas de chaîne payante (dons pas pu tester) mais je reçois bien les gratuites et n'ai pas remarqué de bugs.

C'est un peu logique non, Free ne va pas se tirer une balle dans le pied avec son parefeu IV6 non ?

Je me suis demandé si le fait que j'étais en bridge bypassait le parefeu de la box. Je ne crois pas car dans le test https://ipv6-test.com/ avec ce parefeu j'obtiens 17/20 au lieu de 19/20 il a donc une influence (il bloque les ICMPv6) et d'autre part je perds la redondance de mes nas (plus d'accès en IPV6 de l'extérieur). Par contre on conserve la connectivité vers l'extérieur en IPV6 (sauf ICMPV6 donc). 

Bon il nous faudrait un grand spécialiste de l'IPV6 pour arriver à comprendre tout cela 🤪

Alors la question est : en supposant que le mode bridge n'affecte pas le parefeu IPV6 de la box, celui-ci permet de conserver l'accès aux sites purement IPV6 (vérifié) mais offre-t-il une sécurité suffisante ?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 49 minutes, Jeff777 a dit :

 

Je me suis demandé si le fait que j'étais en bridge bypassait le parefeu de la box. Je ne crois pas car dans le test https://ipv6-test.com/ avec ce parefeu j'obtiens 17/20 au lieu de 19/20 il a donc une influence (il bloque les ICMPv6) et d'autre part je perds la redondance de mes nas (plus d'accès en IPV6 de l'extérieur). Par contre on conserve la connectivité vers l'extérieur en IPV6 (sauf ICMPV6 donc).

Bonjour,

Le mode Bridge de la freebox ne concerne que l'IPV4 , pour l' IPV6 ça ne change rien.

Je ne connais rien en IPV6 et je cherche à relier à la freebox  une "TV avec Oqee" à distance via un VPN .

 Ça  fonctionne en transportant le niveau 2 via vpn, mais j'aimerais plutôt faire de l'IPV6 via L2TP, mais ça semble pas fonctionner.Si quelqu'un a des idées sur le sujet (déport de réseau IPV6 freebox via l2tp) je suis preneur

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

il y a 21 minutes, Juan luis a dit :

Le mode Bridge de la freebox ne concerne que l'IPV4 , pour l' IPV6 ça ne change rien.

A oui, merci !

il y a 22 minutes, Juan luis a dit :

j'aimerais plutôt faire de l'IPV6 via L2TP,

Je n'ai pas de problème avec OpenVPN (à condition de bien paramétrer la config). Par contre L2TP je n'ai jamais pu l'utiliser même en IPV4 🙄

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, Juan luis a dit :

Tu obtiens bien une adresse IPV6 de ta box lors de la connexion via OPENVPN

Là je peux pas faire de tests, mais de mémoire lorsque je me connecte le tel affiche protocole UDPV6 et ça fonctionne normalement.

Lien vers le commentaire
Partager sur d’autres sites

Oula, ça commence à partir dans le coté technique que je ne comprends plus trop 😅


Pour ma problématique n°1 (avec le VPN, pas d'accès à l'IP du RT avec le L2TP).
C'est résolu en mettant le réseau VPN sur une autre plage d'IP, à savoir 192.168.11.xxx.
J'ai basculé le SSL VPN aussi sur cette plage.
Le OpenVPN étant déjà sur une plage différente 192.168.10.xxx.

Par contre, même avec une IP obtenue dans le réseau 192.168.11.xxx, avec SSL VPN, toujours impossible d'accéder aux noms de domaines qui ont un profil d'accès.

J'ai fait un nslookup sur mon nom de domaine avec profile d'accès :

nslookup monRT.monNDD.tld
Server:		192.168.11.1
Address:	192.168.11.1#53

Non-authoritative answer:
monRT.monNDD.tld	canonical name = monNDD.tld.
Name:	monNDD.tld
Address: mon IPv4 interent (Freebox)

AdGuardHome ne voit même pas passer les requètes...

Il semblerait donc que le SSL VPN n'utilise pas le DNS personnalisé...
L'ip que voit DSM semble être mon IP free internet. 
J'ai pourtant mis cette IP dans l'autorisation du contrôle d'accès, mais j'ai toujours la page qui me dit que le service n'est pas accessible 

 

Essai avec le L2TP :

nslookup monRT.monNDD.tld
Server:		192.168.2.210
Address:	192.168.2.210#53

Non-authoritative answer:
Name:	monRT.monNDD.tld
Address: 192.168.2.200

Là, ça passe bien par le DNS que j'ai spécifié...

mais en fait, en allant voir la configuration du SSL VPN, pas moyen de trouver où mettre l'IP DNS que je veux 😆 ça n'a pas l'air possible...


Bon c'est pas trop grave encore, si ce n'est que je n'ai plus AdGH d'utiliser avec le SSL VPN...

 

Il y a 2 heures, Jeff777 a dit :

je viens de faire un test. J'ai coché la case du firewall IPV6 pour ma Freebox. J'ai redémarré ma freebox puis essayé la TV.  Pour moi OQEE fonctionne correctement. Je n'ai pas de chaîne payante (dons pas pu tester) mais je reçois bien les gratuites et n'ai pas remarqué de bugs.

C'est un peu logique non, Free ne va pas se tirer une balle dans le pied avec son parefeu IV6 non ?

J'ai déjà le pare-feu IPv6 de la freebox d'activé 🙂 

C'est juste que si je désactive le relais IPv6 du routeur (dans la partie Centre de réseau/Internet), je n'ai plus accès à la TV via OQEE, et l'appli me dit bien qu'elle doit être connectée à un réseau IPv6.

Mais quand je laisse le relais IPv6 activé, aucun soucis pour la TV.

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, MilesTEG1 a dit :

Mais quand je laisse le relais IPv6 activé, aucun soucis pour la TV.

Par curiosité, dans ton routeur as-tu plusieurs modes pour l'IPV6, et que sont-ils?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
Le 01/02/2022 à 10:21, MilesTEG1 a dit :

Hello 🙂 

Ça y est je suis chez free 😄 

Alors, apparemment ce que j'ai fait fonctionne puisque d'une part j'ai la TV via l'application OQEE de free sur l'AppleTV 😄 Et surtout mes domaines semblent bien fonctionner depuis ma connexion 4G (Plex, Vaultwarden...).
Bref tout me semble parfait.

Maintenant, voilà ce que j'ai fait... vous allez voir, je n'ai pas fait grand chose...

Alors, une fois la POP connectée à la fibre (et les techniciens peu bavards partis), je me suis connecté en filaire sur la POP, pour la configurer. J'ai déjà re-paramétré le Wifi pour que ma femme puisse accéder à internet depuis son ordi le temps que je finisse la configuration.

  1. Activation du pare-feu IPv6
  2. Désactivation de l'UPNP
  3. Configuration du DHCP : J'ai mis l'adresse MAC du RT en baux statique sur l'IP 192.168.1.2. (J'ai aussi réduit la plage DHCP)
  4. Gestion des ports : mise en DMZ de l'IP du RT.

Ensuite sur le RT, après avoir branché ce dernier sur la freebox :

  1. J'ai cliqué sur le bouton détecter :
    twdPlfp.png
  2. Et dans la configuration IPv6, c'est en mode Relais IPv6.

Voilà, c'est tout ce que j'ai fait.
 

En rédigeant ce message, j'ai essayé la connexion à mon VPN sur le RT depuis la 4G de mon téléphone... mais ça ne fonctionne plus...
Le DDNS Synology que j'utilise a bien eu la bonne IP (je sais pas quand en fait), mais là il ne veut plus se mettre à jour, et n'est pas joignanble, ce qui expliquerais les soucis de connexion au VPN...

JhG7HPn.png

 

C'est vitale pour moi d'arriver à me connecter au VPN du RT...
Comment puis-je configurer le tout pour que ça fonctionne ?
Merci de votre aide 🙂

@oracle7 @Einsteinium @PiwiLAbruti @Jeff777

Merci pour ce super tuto. Je viens de m'abonner chez free avec une offre freebox pop. Je n'ai pas pris le décodeur TV comptant sur mes deux Shield TV pour exploiter le bouquet via Oqee.

Ton post m'a deja bien déblayé le terrain pour assurer une migration sans prise de tête (j'etais chez sosh avec une LB4)

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Freebox Pop reçue et raccord réalisé par le technicien hier.
J'ai suivi strictement les instructions de ce topic et tout roule :

- Internet ok avec le RT2600AC en DMZ
- Test IPV6 à 17/20 avec firewall IPV6 actif et routeur en relais IPV6.
- TV fonctionnelle via Oqee sur deux Shield TV

Hormis quelques messages (de la même personne à chaque fois) qui n'amènent rien au sujet, la discussion mériterait d'être épinglée ! Merci aux contributeurs de ce topic qui m'ont épargné de longues heures de bidouillages en tout genre dans les tréfonds de freebox OS...

Lien vers le commentaire
Partager sur d’autres sites

Je me suis contenté de tes précieuses recommandations. Je ne me suis pas attaqué à l'attribution des IPV6 en local par le RT2600AC. Pour autant, le routeur étant placé en relais IPV6, je me suis rendu compte que tous les périphériques compatibles avaient de fait une IPV6 : j'imagine donc( je maitrise peu le sujet pour le moment et me garderai de faire le malin comme certains) que la Freebox s'en charge car le prefixe de ces IPV6 semble le même.

Bref, je nai pas fouillé le sujet.

Lien vers le commentaire
Partager sur d’autres sites

@church OK 😉 Mais tu as donc ta carte réseau de ton ordi qui a l'IPv6 d'activé, sinon, tu ne passerais pas le test ipv6 🙂

En activant l'IPv6 sur mon mac, j'ai moi aussi un score de 17/20.

Par contre, l'IPv6 détectée, c'est celle du mac ou bien celle de la freebox coté internet ? Je n'y comprends toujours rien 😅

edit : à priori ce serait celle de mon mac, et d'après un ifconfig, ce serait une :

prefixlen 64 autoconf temporary

 

  • J'ai une autre IPv6 taguée
prefixlen 64 autoconf secured

 

  • et encore une autre : 
prefixlen 64 secured scopeid 0x4

 

Mais je précise que je n'ai pas de DHCPv6 actif 🙂 

Après, sur le LAN, je ne vois pas ce qu'apporte l'IPv6 🤣
Bon sur l'Apple TV, si, ça permet d'avoir OQee fonctionnel 😄 

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, MilesTEG1 a dit :

Par contre, l'IPv6 détectée, c'est celle du mac ou bien celle de la freebox coté internet ? Je n'y comprends toujours rien 😅

Considère qu'il n'y a plus de NAT en IPv6. L'adresse IPv6 publique détectée est donc celle de l'appareil. L'adresse IPv6 de la box n'étant utilisée que pour le routage uniquement, alors que l'IPv4 de la box est utilisée pour le routage et le NAT.

Je sais que ça en perturbe beaucoup, mais IPv4 devait également fonctionner ainsi avant qu'on se rende compte que la taille de l'espace d'adressage était insuffisante. D'où la création de l'aberration qu'est NAT.

Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, MilesTEG1 a dit :

à priori ce serait celle de mon mac, et d'après un ifconfig, ce serait

Bonjour @MilesTEG1

Je n'ai pas de mac mais je suppose que les trois adresses correspondent à ce que j'ai sur mon pc Windows :

1/ l'adresse publique statless de ton mac composée du préfixe de 4 blocs (le même sur tout ton lan) suivi de 4 blocs déduits de l'adresse MAC du périphérique avec toujours  "ff:fe".

2/l'adresse locale avec fe80:0:0:0   noté fe80::0 qui remplace le préfixe, les 4 blocs suivants identiques.

3/l'adresse publique temporaire toujours avec le même préfixe, mais 4 derniers blocs aléatoires.

1 et 3 sont routables et peuvent être utilisées pour atteindre le périphérique  de l'extérieur du lan.

mais le périphérique n'utilise que son adresse temporaire pour se connecter vers l'extérieur.

C'est cela?

 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1 En IPv6, un périphérique a deux moyens d'obtenir une IPv6 :

  • par autoconfiguration, ce qu'on appelle encore SLAAC ou Stateless.
    => un périphérique construit son IPv6 basée sur le préfixe délivré par le FAI + sa MAC
  • par serveur DHCP (ou Stateful).
    => un périphérique obtient une IPv6 du serveur DHCP basée sur le préfixe + un range défini dans le serveur DHCP

En plus de ça, il y a le Router Advertisment (RA) qui permet qu'un routeur se signale aux périphériques proches comme passerelle et serveur DNS IPv6. Forcément nécessaire si pas de serveur DHCPv6, sinon les périphériques n'auraient pas connaissance du préfixe à utiliser ni quelle passerelle utiliser.

Certains périphériques comme Android refusent le fonctionnement d'IPv6 en DHCPv6, car ils souhaitent que leurs périphériques puissent avoir plusieurs IPv6 simultanément. Rien n'empêche que ce soit le cas avec le serveur DHCPv6, mais globalement ce serait le réflexe de pas mal de responsables IT, donc à moitié légitime de la part de Google.
En revanche du côté d'Apple, l'implémentation d'IPv6 serait optimale de ce que j'ai lu.

Et oui, en IPv6, on peut avoir plusieurs IPv6 publiques (ou GUA, Global Unicast Address), une permanente, et des temporaires pour éviter de diffuser sa vraie IPv6 lors de la navigation. Si tu veux faire un réseau local adressé en IPv6, ton serveur DNS peut utiliser les adresses permanentes.

J'ai mis l'IPv6 en place chez moi localement, sans user du subterfuge du relais (car au final on ne contrôle rien), et ça marche très bien. Mais ça demande de mettre un peu les mains dans le cambouis par rapport à ce qu'on connaît de l'IPv4. Mais au final ça n'a rien de très compliqué.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Pour compléter. Tu peux avoir plusieurs adresses temporaires simultanément . Si le bail d'une temporaire expire mais que celle-ci est toujours utilisée pour une connexion, l'ipconfig montrera la nouvelle et l'ancienne.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, MilesTEG1 a dit :

@church OK 😉 Mais tu as donc ta carte réseau de ton ordi qui a l'IPv6 d'activé, sinon, tu ne passerais pas le test ipv6 🙂

En activant l'IPv6 sur mon mac, j'ai moi aussi un score de 17/20.

Par contre, l'IPv6 détectée, c'est celle du mac ou bien celle de la freebox coté internet ? Je n'y comprends toujours rien 😅

Il faudrait que je vérifie en rentrant ce soir mais je suis presque certain que l'adresse IPV6 de mes périphériques est construite selon le point technique amené par @.Shad. :

 

  • Citation

    par autoconfiguration, ce qu'on appelle encore SLAAC ou Stateless.
    => un périphérique construit son IPv6 basée sur le préfixe délivré par le FAI + sa MAC

     

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Jeff777 a dit :

Bonjour @MilesTEG1

Je n'ai pas de mac mais je suppose que les trois adresses correspondent à ce que j'ai sur mon pc Windows :

1/ l'adresse publique statless de ton mac composée du préfixe de 4 blocs (le même sur tout ton lan) suivi de 4 blocs déduits de l'adresse MAC du périphérique avec toujours  "ff:fe".

2/l'adresse locale avec fe80:0:0:0   noté fe80::0 qui remplace le préfixe, les 4 blocs suivants identiques.

3/l'adresse publique temporaire toujours avec le même préfixe, mais 4 derniers blocs aléatoires.

1 et 3 sont routables et peuvent être utilisées pour atteindre le périphérique  de l'extérieur du lan.

mais le périphérique n'utilise que son adresse temporaire pour se connecter vers l'extérieur.

C'est cela?

 

Alors, après réactivation, j'ai bien une adresse qui commence par fe80:: , et qui se termine par 936c%en0, et après laquelle s'affiche :  prefixlen 64 secured scopeid 0x4

Ensuite, j'ai deux autres IPv6 qui commencent toutes les deux par 2a01: .
ifconfig affiche derrière "prefixlen 64 autoconf secured" et "prefixlen 64 autoconf temporary".

Via https://ip.lafibre.info ou https://ipv6-test.com/ , l'adresse IPv6 qui est retournée est celle taguée comme "prefixlen 64 autoconf temporary" par ifconfig. Il s'agit donc bien de l'adresse IP de ma machine directement 😉 

@.Shad.

Aucune des IPv6 ne contient l'adresse mac de la carte wifi...
 

il y a une heure, .Shad. a dit :

J'ai mis l'IPv6 en place chez moi localement, sans user du subterfuge du relais (car au final on ne contrôle rien), et ça marche très bien. Mais ça demande de mettre un peu les mains dans le cambouis par rapport à ce qu'on connaît de l'IPv4. Mais au final ça n'a rien de très compliqué.

Tu conseillerais de paramétrer le routeur comment du coup ? Car le "on ne contrôle rien", ça me fait un peu peur 😅

 

En tout cas, merci de prendre du temps pour m'aider à comprendre l'IPv6... même si j'ai vraiment du mal 😅
 

 

 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

@Jeff777 ne dit pas le contraire, ça confirme que c'est bien l'adresse temporaire qui est utilisée pour surfer. 😉 

il y a 51 minutes, MilesTEG1 a dit :

Aucune des IPv6 ne contient l'adresse mac de la carte wifi...

Elle n'est pas répliquée telle quelle, elle est basée sur la MAC, pas copiée.

il y a 52 minutes, MilesTEG1 a dit :

Tu conseillerais de paramétrer le routeur comment du coup ? Car le "on ne contrôle rien", ça me fait un peu peur 😅

Non y a aucun problème de sécurité.
C'est juste que je préfère que mon routeur s'en charge au lieu de laisser ma box bridée le faire. 🙂 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, .Shad. a dit :

Elle n'est pas répliquée telle quelle, elle est basée sur la MAC, pas copiée

@MilesTEG1

Si tu retires de ton adresse ipv6 le préfixe (4 premiers blocs) puis le groupe ff:fe tu retrouves ton adresse MAC à un bit près.

Regarde sur Google la méthode. Tu trouveras aussi des convertisseurs MAC <==>IPV6

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 Bon et bien en regardant des convertisseurs ipv6 -> MAC, bah l'adresse mac résultante n'est pas celle de ma carte réseau... (du moins sous windows...)
Mais au moins sous windows, dans les détails de connexion réseau de la carte, j'ai l'appellation des différentes IPv6 :
ojqJ5uN.png

Par contre, c'est quoi ces %6 à la fin des IP ?

Il y a 2 heures, .Shad. a dit :

@MilesTEG1

@Jeff777 ne dit pas le contraire, ça confirme que c'est bien l'adresse temporaire qui est utilisée pour surfer. 😉 

Elle n'est pas répliquée telle quelle, elle est basée sur la MAC, pas copiée.

Non y a aucun problème de sécurité.
C'est juste que je préfère que mon routeur s'en charge au lieu de laisser ma box bridée le faire. 🙂 

Ok, donc je peux laisser le mode relais...

Mais par curiosité, comment ferais-tu sur le RT pour le configurer afin que ce soit lui qui gère ça ?

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.