Aller au contenu

[RESOLU] parametrages macvlan ipv6 pour adguard sur contain manager et freebox pop


j0ffr37

Messages recommandés

Bonjour, je reviens pour une aide ( qui pourra surement servir aussi de tuto futur pour d'autres)

contexte 

j'ai actuellement un abonnement freebox pop + un kit asus zenwifi xt8 (192.168.1.24) + nas 1522+ (192.168.50.180)

ma freebox pop est restée en mode routeur avec l'asus en DMZ qui gere lui mon reseau local IPV4. mon reseau local est donc en 192.168.50.x

Pour l'IPV6, Je peux éventuellement utiliser l'ipv6 de la freebox pop en activant le passthrough dans l'ASUS ou bien utiliser ce tuto pour que l'asus gere l'ipv6 en local et ponte sur l'ipv6 de la freebox ( https://utux.fr/index.php?article13/free-bridge-ipv6)

Objectif 
Je souhaite mettre en place adguard home sur le nas

installation IPV4 Only 

J'ai premièrement testé un fonctionnement en ipv4 only (désactivation de l'ipv6 au niveau du routeur asus) et j'ai utilisé ce tuto  :https://www.wundertech.net/how-to-install-adguard-home-on-a-synology-nas/comment-page-1/ ce qui m'a crée une ip locale 192.168.50.181 qui dirige vers le docker adguard qui n'attribue donc qu'une ipv4

la ligne de commande utilisée ssh était 

docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.181/32 -o parent=eth0 adguard-network

Puis dans reseau de container manager j'ajoute un reseau ag_bridge IPV4

ss reseau 192.168.51.0/24 plage d'ip 192.168.51.2/32 gateway 192.168.51.1 

et enfin j'affecte bien ag_network et ag_bridge au container crée

J'ai ensuite indiqué l'IP locale virtuelle 192.168.50.181 comme serveur DNS dans le routeur asus.

tout fonctionne normalement.

Amélioration IPV6

Je souhaite donc ajouter la couche IPV6 car le reseau free est devenu natif IPV6 et l'IPV4 est désormais encapsulé dans de l'IPV6

mais là pour le moment je pèche. pour une installation avec l'asus en passthrough, j'ai donc (ip modifiés) :

sur la freebox, adresse lien local fe80::1111:2222:fe69:0000 et délégation de préfix 2a01:123:456:36e0::/64

l'asus a comme ipv6 fe80::7e10:c9ff:feb1:1111

mais je n'arrive pas à faire fonctionner cette regle

docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.182/32 --ipv6 --subnet=???????????????? --gateway=??????????? -o parent=eth1 ad_network2

c'est volontairement sur eth_1 et sur 192.168.50.182 car j'ai déjà adguard qui tourne en only ipv4 sur eth_0 et 192.168.50.181

est ce possible d'avoir ce fonctionnement en passthrough, sinon je repasse en ipv6 géré par asus mais dans ce cas quelle régle appliquer également ?

 

merci

 

 

 

 

Modifié par j0ffr37
résolu
Lien vers le commentaire
Partager sur d’autres sites

C'est un peu confus, je vois ce que tu veux faire mais il y a des limitations avec Docker et l'IPv6.

Avant de parler d'IPv6 pour Docker est-ce que les périphériques de ton réseau derrière le routeur ont bien une IPv6 publique (donc commençant par le préfixe, et pas par fe80) ?

Si l'hôte n'a pas une connectivité IPv6 fonctionnelle, càd le NAS, alors ça ne sert à rien d'aller plus loin, car s'il n'est pas joignable le conteneur ne le sera pas non plus, donc déjà :

  • Vérifier dans Panneau de configuration -> Réseau -> Interfaces réseau :

parametres_reseau_ipv6.png

que tu as bien une IP commenant par le préfixe

  • Vérifier que ton routeur est correctement configuré pour laisser les paquets ICMP (Ping) nécessaires à une bonne connectivité IPv6, par SSH :
ping -6 ipv6.google.com
Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, j0ffr37 a dit :

docker network create -d

Bonjour,

Fonctionne chez moi avec une freebox-pop en mode routeur :

docker network create -d macvlan \
--subnet=192.168.1.0/24 \
--ip-range=192.168.1.160/28 \
--gateway=192.168.1.254 \                                           #IPV4       Freebox
--ipv6 \
--subnet=fe80::0/64 \
--ip-range=fe80::42:xxxx:xxxx:xxxx/124 \                  # IPV6 de pi-hole pris dans cette tranche     
--gateway=fe80::8exx:xxxx:xxxx \                              # IPV6      Freebox
-o parent=eth1 \
macvlan-network
 

Lien vers le commentaire
Partager sur d’autres sites

donc pour moi :

Citation

docker network create -d macvlan \
--subnet=192.168.50.0/24 \
--ip-range=192.168.50.182/28 \                                                   l'ipv4 que je souhaite attribuer à adguard
--gateway=192.168.50.1 \                                           #IPV4       Routeur Asus derriere freebox 
--ipv6 \
--subnet=fe80::0/64 \
--ip-range=fe80::42:xxxx:xxxx:xxxx/124 \                  # IPV6 pour adguard  
--gateway=fe80::1234:abcd:ab12:c45e \                             # IPV6      WAN IPv6 Gateway du routeur asus
-o parent=eth1 \
macvlan-network

mais question, pour ip-range en ipv6, comment je le choisis ?

 

également, je dois aprés créer une seconde règle dans reseau de container manager, pour ipv4 je sais déjà comment remplir pour que cela fonctionne mais pour ipv6 ?

 

 

 

Capture d’écran 2023-06-14 110539.jpg

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, j0ffr37 a dit :

mais question, pour ip-range en ipv6, comment je le choisis ?

Je ne me souviens plus, j'ai pris une adresse statless au hasard, je crois.

 

il y a 29 minutes, j0ffr37 a dit :

également, je dois aprés créer une seconde règle dans reseau de container manager, pour ipv4 je sais déjà comment remplir pour que cela fonctionne mais pour ipv6

Je ne comprends pas, avec le script précédent le réseau apparait :

Capture.jpg

Par contre il faudra transmettre l'IPV6 de ton réseau à adguard et lui donner une IPV6 dans la tranche réservée. Moi, c'est pi-hole et je les transmets par le docker-compose.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

oui en effet avec ce script je crée une première régle macvlan dans container. mais le tuto que j'avais trouvé demandait également de créer une seconde règle directement dans container

le tuto que j'avais suivi https://www.wundertech.net/how-to-install-adguard-home-on-a-synology-nas/comment-page-1/

Citation

Par contre il faudra transmettre l'IPV6 de ton réseau à adguard et lui donner une IPV6 dans la tranche réservée. Moi, c'est pi-hole et je les transmets par le docker-compose.

c'est surement le but de cette seconde règle  dans container mais je ne sais pas comment la remplir

Capture d’écran 2023-06-14 113856.jpg

Capture d’écran 2023-06-14 114312.jpg

Lien vers le commentaire
Partager sur d’autres sites

@j0ffr37 Je vais y aller doucement car je pense que tu brûles un peu vite les étapes : ok tu as une connectivité IPv6 sur le NAS.
Donc en l'état, pour les conteneurs en mode bridge, si leurs ports sont translatés sur le NAS, et que les services qu'ils font tourner écoutent en IPv6 ou dual stack (0.0.0.0 en IPv4 ; ::/0 en IPv6), alors ton applicable est accessible via l'IPv6 de ton NAS.

Maintenant, toi tu veux donner une IPv6 au réseau macvlan, le seul intérêt est d'accéder directement au conteneur.
Ca veut dire que quelque part sur une zone DNS publique, l'IP (idéalement statique) de ton conteneur a un enregistrement AAAA. Et ton conteneur doit avoir son propre pare-feu si tu veux exposer ça de façon sécurisée, car un conteneur en macvlan n'est pas soumis aux règles de pare-feu de l'hôte, il est par défaut accessible sur le réseau physique comme n'importe quelle machine "nue". Ou alors ton routeur dispose d'un pare-feu avancé pour filtrer les connexions entrantes vers ton conteneur.

Il faut bien se rendre compte des implications que ça a.
D'autant plus que ta compréhension d'IPv6 semble partielle, sinon tu saurais quoi mettre dans les champs qui te posent problème.
Dans ces conditions, je déconseillerais d'essayer de donner une IPv6 à tes conteneurs.

Pour que ça fonctionne "bien", il faut que ton préfixe IPv6 ne change jamais, sinon tu seras bon pour recréer constamment tes réseaux.

Mais pour répondre quand même à ce que tu disais là :

Il y a 11 heures, j0ffr37 a dit :

 

Capture d’écran 2023-06-14 110539.jpg

Il faut choisir un réseau compris dans le préfixe de la box, visiblement un /64 si on en croit l'impression d'écran de l'onglet Réseau, par exemple un /80.

  • un /64 ça ressemble à ça : 2a01:ae5e:12d5:87c6::/64
  • un /80 c'est par exemple : 2a01:ae5e:12d5:87c6:1234::/80

Une IPv6, c'est 128 bits, soit 16 octets, sachant qu'on a 8 groupes, 2 caractères c'est un octet.

Donc, vu que c'est un réseau macvlan, et bien le champ "IPv6 Sous-réseau" doit être un sous-réseau du /64 obtenu par ton NAS, par exemple un /80.
Ajouter une plage d'IP sur un réseau IPv6 je ne vois pas l'intérêt, on en a à l'infini.
L'IPv6 passerelle doit être l'IPv6 de ton routeur ou box.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

 @.Shad. merci pour ces précisions... je comprends un peu mieux la seconde étape pour faire fonctionner cela... 

mais du coup en effet je vais donc rendre accessible de l'extérieur mon adguard. ce n'est pas le but. 

Existe t'il un véritable interêt de faire faire de l'IPV6 sur l'équipement connecté à mon reseau local ? 

Vu que soit je n'active que l'IPV4 et je peux avoir 100% des requetes qui passent par adguard home, soit j'active aussi l'IPV6 et la seule possibilité de maintenir un contrôle total sur les requêtes serait de passer par un prestataire exemple nextdns 

?

Lien vers le commentaire
Partager sur d’autres sites

@j0ffr37 Non, tu ne le rends accessible que si le pare-feu de ta box autorise l'accès distant, sinon aucun risque.
Je ne sais pas ce que tu sais régler sur ta box ou ton routeur s'il est en DMZ ?

Le 16/06/2023 à 00:40, j0ffr37 a dit :

Existe t'il un véritable interêt de faire faire de l'IPV6 sur l'équipement connecté à mon reseau local ? 

Pour ma part, mes périphériques ont tous une IPv6 publique routable, mais tout ce qui est DNS local, proxy inversé local, etc... je reste sur de l'IPv4. Ayant expérimenté IPv6 localement je n'y ai vu aucun bénéfice notable.

Pour la résolution IPv6, utilisant SLAAC, je n'ai pas de serveur DNS IPv6, mes requêtes IPv6 utilisent donc le serveur DNS indiqué par le serveur DHCPv4, à savoir mon Pi-Hole :

pihole_query_types_1.png

Celui-ci traite sans mal les requêtes IPv6.
Car il a autant des serveurs upstream IPv4 que IPv6.

Pour résumer, je dirais que l'IPv6 appliquée à Docker est envisageable si :

  • On a un pare-feu solide qui permet un accès sécurisé au conteneur
  • On souhaite accéder directement au conteneur sans passer par l'hôte
Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad. alors petite actualisation du week end. Je n'ai pas renoncé à faire tourner de l'ipv6 avec adguard. 

J'ai expérimenté beaucoup de choses et le résultat semble cohérent ?

1 Freebox :

Elle garde son mode routeur, l'ipv4 du routeur asus est sur sa DMZ, pour l'ipv6 j'ai paramétré un second next hop vers le routeur asus. En gardant le premier vide, je peux brancher le player pop directement sur la freebox et avoir la TV ( toutes les autres configurations, sauf le passthrough sur le routeur asus me posent des soucis pour le player pop via freebox ou routeur asus)

2) routeur asus 

Il gère le DHCP local ( routage de ports, firewall ipv4 et ipv6 activés avec ouverture des ports utiles ( 80.443 et 2 ports directs synodrive et emby sur un nuc dédié) ). j'ai paramétré l'ipv6 sur natif avec le next hop en réseau local.
il déclare en DNS V4 : l'ip4 de mon adguard home et en second celui de nextdns configuré à l'identique

en dnsv6 l'ipv6 de mon adguard home (en fe80::) et en second celui de nextdns configuré à l'identique

3)synology et adguard

j'ai reconfiguré le bond 0 sur les 2 premiers ethernet et ai activé 2 règles réseau dans container :

  • docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.181/32 --ipv6 --subnet=fe80::0/64 --gateway=fe80::123:456:789:39a0 -o parent=eth2 ad_network

    le second cf pièce jointe

du coup j'ai un adguard avec en ip :

  • 192.168.50.181
  • 2a01:abc:def:3ghi:42:jkl:mno:pqr
  • fe80::42:47:58:52

donc un ipv4 interne, un ipv6 externe sur le second next hop (comme tout les appareils qui passent par le routeur asus) et un ipv6 interne

j'ai donc pour l'ensemble de mes appareils réseau :

un ipv4 interne, et 2 ipv6 (externe et interne). dans les logs adguard, j'ai autant des requetés venant d'ipv4 que d'ipv6 en fe80::

Cela semble bien nan ?

 

Capture d’écran 2023-06-19 095038.jpg

Lien vers le commentaire
Partager sur d’autres sites

Le 19/06/2023 à 09:57, j0ffr37 a dit :

Je n'ai pas renoncé à faire tourner de l'ipv6 avec adguard. 

T'as bien raison, faut jamais renoncer. 😛 

Ca me semble ok, est-ce que tu as testé de résoudre et de ping en IPv6 depuis le conteneur Adguard ?

Donc si je comprends bien, les équipements reçoivent une IPv6 de la box avec ton routeur qui fait le relais IPv6 ?

La box a un DHCPv6 ou c'est du SLAAC ?

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...
Le 21/06/2023 à 20:54, .Shad. a dit :

T'as bien raison, faut jamais renoncer. 😛 

Ca me semble ok, est-ce que tu as testé de résoudre et de ping en IPv6 depuis le conteneur Adguard ?

Hum je veux bien un conseil sur comment vérifier cela ? (lancer un terminal dans le container manager avec une ligne de commande ?)

Donc si je comprends bien, les équipements reçoivent une IPv6 de la box avec ton routeur qui fait le relais IPv6 ?

la Box délègue son second préfix IPV6 publique au routeur asus qui est en IPV6 natif. (important de laisser libre le premier préfix pour brancher le player sur la freebox et avoir accès à la TV, les droits d'accès ne peuvent se faire sur les serveurs free tv qu'avec le premier prévix IPV6 attribué à la ligne)

Le Routeur ASUS attribue à chaque périphérique :

-une IPV6 publique 2a01 sur le second préfix de la freebox. Ainsi la data entrante est routé de la freebox vers le routeur qui dispatche

-une ipv6 local Fe80 qui permet au conteneur adguard d'avoir une ipv6 local qui est en primary DNS serveur dans le routeur asus (avec en second serveur IPV6 Quad9 pour ne pas bloquer internet si adguard n'est plus dispo)

La box a un DHCPv6 ou c'est du SLAAC ?

SLAAC, le DHCPV6 pose des soucis notamment avec le player pop

@.Shad.

Lien vers le commentaire
Partager sur d’autres sites

  • j0ffr37 a modifié le titre en [RESOLU] parametrages macvlan ipv6 pour adguard sur contain manager et freebox pop

@j0ffr37 Tu exécutes la commande dans le conteneur depuis l'hôte via le terminal :

docker exec -it adguard ping -6 ipv6.google.com

où "adguard" est le nom du conteneur Adguard.

Quelque chose me chiffonne dans ton histoire de second préfixe, a priori tu ne reçois qu'un préfixe de ton FAI, mais celui-ci a une certaine taille, par exemple /52 ou /56. Parmi ce pool de réseaux, ton routeur va choisir par exemple un /64. Probablement que ton player utilise à lui seul son propre /64.

Mais du coup je n'ai plus tout en tête, ça fonctionne ou pas ? 😄 

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, .Shad. a dit :

@j0ffr37 Tu exécutes la commande dans le conteneur depuis l'hôte via le terminal :

docker exec -it adguard ping -6 ipv6.google.com

où "adguard" est le nom du conteneur Adguard.

Quelque chose me chiffonne dans ton histoire de second préfixe, a priori tu ne reçois qu'un préfixe de ton FAI, mais celui-ci a une certaine taille, par exemple /52 ou /56. Parmi ce pool de réseaux, ton routeur va choisir par exemple un /64. Probablement que ton player utilise à lui seul son propre /64.

Mais du coup je n'ai plus tout en tête, ça fonctionne ou pas ? 😄 

pour le ping du terminal c'est bon.

pour les préfix , voici les parametres  de la freebox

 

image.thumb.jpeg.56deeb058eb38af8df7bd1252ed2b013.jpeg

et ceux d'asus

image.jpeg.02e9a4ec0d9cab59cbb0d43d5bb12527.jpeg

 

et ca me donne  pour asus 

 

image.jpeg.15f1bc71beb6c6c0af4367e59de16ac0.jpeg

 

 

Modifié par j0ffr37
Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, .Shad. a dit :

Ok donc mon intuition était bonne, il y a bien plusieurs /64 qui sont tirés du préfixe initial, sûrement un /56 ou approchant.

Par contre je vois que ton pare-feu IPv6 est désactivé ? est-ce qu'il est bien activé au niveau du routeur ?

oui j'utilise les pare feu ipv4 et ipv6 au niveau du routeur + pare feu au niveau de syno.

J'ai pourtant un souci de sécurité en ce moment  : 

avec encore ce matin une attaque detectée par mon routeur ai protect WEB Remote Command Execution via Shell Script -1.a de

qui provient d'une ip encore identique 37.44.238.150 , quand je check ca me dit que l'ip est francaise est a comme host nekololis.wtf . 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.