Ericzen01 Posté(e) le 13 mars Posté(e) le 13 mars Bonjour, Vu la qualité des échanges que j'ai pu lire sur votre forum, je lance un nouveau sujet pour lequel j'ai des questions. Je bosse depuis chez moi en Freelance et mon épouse aussi. J'ai donc mes deux VM pour gérer les sites internet de mon épouse et le mien et je gère aussi mes sauvegardes de pc sur le nas avec Drive ainsi que les mails persos et entités pro. J'ai eu des coupures de ligne l'année dernière et donc des soucis pour recevoir mes mails même si j'ai un serveur mx backup chez OVH. On a pu se connecter sur internet via nos portable en 4G mais black out pour les mails et les sites web. Du coup j'étais partie pour mettre en place un backup 4g perso et juste quand j'ai réussi à bricoler backup perso 4G qui petouillait, Free a sortie son backup 4G. Du coup, je l'ai pris car c'est pas compliqué à maintenir, il bascule tout seul en cas de coupure de la ligne fibre. Bon je sais ça résoud pas une panne complete de la box principale car il n'y a plus de bascule possible. mais c'est pas grave. Le risque est minime. Donc tout cela pour vous demander si en appliquant le tuto de @Fenrir avec gestion des dns vers le WAN en ipv6 et sachant que j'ai qu'un seul nas RS822+ je pourrais faire un semblant de redondance. En effet, si l'ip externe ip v4 change lorsque je bascule sur le backup de free, je ne pense pas que l'ipv6 de mon nas change. Du coup, quelque soit le mode de connection vers l'exterieur box free, backup free ou autre box, je devrais avoir une continuité de service pour mes sites internets, mes mails et mon drive non ? Dans l'attente de votre interessante prose, Eric 0 Citer
Jeff777 Posté(e) le 13 mars Posté(e) le 13 mars il y a une heure, Ericzen01 a dit : , je ne pense pas que l'ipv6 de mon nas change Le préfixe pourrait changer, non? 0 Citer
Ericzen01 Posté(e) le 14 mars Auteur Posté(e) le 14 mars Il y a 14 heures, Jeff777 a dit : Le préfixe pourrait changer, non? C'est peut être là ma limite de compréhension de l'ipv6. Je croyais que l'adresse ipv6 publique était unique par adresse MAC ? 0 Citer
PiwiLAbruti Posté(e) le 14 mars Posté(e) le 14 mars Ce n'est que l'une des différentes méthodes d'assignation de la partie hôte d'une adresse IPv6 (EUI-64). Cette partie hôte peut également être assignée par un serveur DHCPv6, ou générée aléatoirement par le client lui-même. Regarde sur tes différents équipements, certains ont même plusieurs adresses IPv6 assignées sous un même préfixe selon la façon dont sera utilisée l'adresse. 0 Citer
Jeff777 Posté(e) le 14 mars Posté(e) le 14 mars il y a 15 minutes, Ericzen01 a dit : Je croyais que l'adresse ipv6 publique était unique par adresse MAC ? C'est vrai pour l'adresse privée (fe80::xxxx:xxxx:xxxx:xxxx) lorsqu'elle est Stateless (directement déduite de l'adresse MAC) mais l'adresse publique utilise le préfixe du réseau pour les 4 premiers groupes (en remplacement de fe80::). Ce préfixe dépend de ta connexion. @PiwiLAbruti corrige moi si nécessaire. Ma connaissance de l'IPV6 est parcellaire. 0 Citer
Ericzen01 Posté(e) le 14 mars Auteur Posté(e) le 14 mars il y a 26 minutes, Jeff777 a dit : C'est vrai pour l'adresse privée (fe80::xxxx:xxxx:xxxx:xxxx) lorsqu'elle est Stateless (directement déduite de l'adresse MAC) mais l'adresse publique utilise le préfixe du réseau pour les 4 premiers groupes (en remplacement de fe80::). Ce préfixe dépend de ta connexion. @PiwiLAbruti corrige moi si nécessaire. Ma connaissance de l'IPV6 est parcellaire. Il faudrait que je vois si le préfixe mobile Free ipv6 est identique au préfixe de l'ipv6 fixe. Mais à mon avis il faut pas réver. Car s'il y a changement d'ipv6 ben c'est mort car je ne peux pas faire pointer mon nom de domaine sur 2 ip différentes. Et je suppose qu'il n'est pas possible de créer une ipv6 propre pour ma machine sauf à mettre un routeur entre la box et mon réseau qui gère les ipv6. C'est cela ? Par contre, si c'est le cas, on perd des chaines sur l'offre free. Par exemple Canal+ live ne passera plus. Et pour avoir déjà essayé de le faire avec mon MS510TXM c'est un peu la merde à faire pour avoir un résultat qui pétouille. 0 Citer
PiwiLAbruti Posté(e) le 14 mars Posté(e) le 14 mars il y a 53 minutes, Jeff777 a dit : C'est vrai pour l'adresse privée (fe80::xxxx:xxxx:xxxx:xxxx) Mais pas que. La construction UEI-64 peut se faire avec n'importe quel préfixe n'ayant aucune spécificité au-delà du /64, et est propre à la configuration de l'appareil par le constructeur (certains l'utiliseront, d'autres non). Cependant, c'est fortement déconseillé sur les préfixes publiques GUA (2000::/3) car ça permet d'identifier de manière unique une machine sur internet (ce qui n'est pas possible en IPv4). Et sans surprise, Synology adresse nos NAS de cette manière… 🤦♂️ 0 Citer
Ericzen01 Posté(e) le 14 mars Auteur Posté(e) le 14 mars Il y a 2 heures, PiwiLAbruti a dit : Mais pas que. La construction UEI-64 peut se faire avec n'importe quel préfixe n'ayant aucune spécificité au-delà du /64, et est propre à la configuration de l'appareil par le constructeur (certains l'utiliseront, d'autres non). Cependant, c'est fortement déconseillé sur les préfixes publiques GUA (2000::/3) car ça permet d'identifier de manière unique une machine sur internet (ce qui n'est pas possible en IPv4). Et sans surprise, Synology adresse nos NAS de cette manière… 🤦♂️ Ouah je suis au milieu de l'océan et je coule ! Ma machine a un préfixe 2a01 et une adresse en /64 d'après ce que je comprends. Et tu me dit que Synology adresse les machines avec une ip unique. Cela veut dire que ma machine est vu directement sur internet avec cette ipv6 et donc que si je fait pointer un DNS dessus, quelque soit mon mode de connexion à internet (via le backup free ou la box free) cela ne changera rien même si la box n'attribue pas la même ip interne. Je suppose que tu dis que c'est fortement déconseillé car la machine étant vu en directe, elle est plus simple à attaquer c'est cela ? Parce que sinon, c'est bien pour gérer la coupure d'un accès et prendre le relais via l'autre. C'est ça qu'on appelle le load balancing ? 0 Citer
PiwiLAbruti Posté(e) le 14 mars Posté(e) le 14 mars Je ne sais pas comment se comporte l'adressage des équipements réseau lors de la bascule de la fibre à la 4G chez Free. il y a 15 minutes, Ericzen01 a dit : [...] la machine étant vu en directe, elle est plus simple à attaquer c'est cela ? Elle est plus simple à identifier car l'adresse IPv6 contient l'adresse MAC qui contient elle-même le nom du constructeur (00:11:32:: = Synology) suivi l'identifiant unique de l'appareil (::xx:xx:xx). Une fois le constructeur identifié, il est possible de lancer des attaques sur les vulnérabilités publiées par le constructeur lui-même (Synology dans le cas présent) : https://www.synology.com/en-us/security/advisory Ensuite il y a pléthore de sites qui donnent plus de détails pour choisir le type de vulnérabilité qu'on souhaite exploiter : https://www.cvedetails.com/vendor/11138/Synology.html D'où la nécessité de maintenir son NAS à jour et d'appliquer le tutoriel sur la sécurité si on veut qu'il survive sur internet. 0 Citer
Ericzen01 Posté(e) le 14 mars Auteur Posté(e) le 14 mars (modifié) Il y a 3 heures, PiwiLAbruti a dit : Je ne sais pas comment se comporte l'adressage des équipements réseau lors de la bascule de la fibre à la 4G chez Free. Elle est plus simple à identifier car l'adresse IPv6 contient l'adresse MAC qui contient elle-même le nom du constructeur (00:11:32:: = Synology) suivi l'identifiant unique de l'appareil (::xx:xx:xx). Une fois le constructeur identifié, il est possible de lancer des attaques sur les vulnérabilités publiées par le constructeur lui-même (Synology dans le cas présent) : https://www.synology.com/en-us/security/advisory Ensuite il y a pléthore de sites qui donnent plus de détails pour choisir le type de vulnérabilité qu'on souhaite exploiter : https://www.cvedetails.com/vendor/11138/Synology.html D'où la nécessité de maintenir son NAS à jour et d'appliquer le tutoriel sur la sécurité si on veut qu'il survive sur internet. Merci pour toutes ces informations. Donc, le problème serait le même si je paramètrais mon switch en ipv6 avec une ip globale. Et donc c'est vrai pour toute machine en ipv6 directe (ma box free par exemple) ? Quoiqu'il me semble que je peux générer des adresses mac aléatoire sur le switch et donc je pourrais peut être trompé l'ennemi lol. Mais bon ça me fait c...r de remettre ma freebox en mode bridge et de me refaire un paramétrage sur le switch. ça me plante des chaines tv et cela me ralenti internet. J'ai regardé j'ai une adress mac qui commence par 90:09:D0::: et je me suis dis chouette c'est donc pas une synology vu que c'est une carte pci 10gb. Ben si c'est bien aussi une mac synology. Dommage ! Modifié le 14 mars par Ericzen01 0 Citer
PiwiLAbruti Posté(e) le 14 mars Posté(e) le 14 mars il y a 55 minutes, Ericzen01 a dit : Donc, le problème serait le même si je paramètrais mon switch en ipv6 avec une ip globale. Ça dépend des options IPv6 du switch, mais la plupart construisent leur adresse IPv6 en EUI-64. Pour que les équipements soient joignables en IPv6 depuis internet, il faut aussi que le pare-feu IPv6 de la Freebox soit désactivé. Et c'est surtout là le drame, Freebox OS (toutes box Free confondues donc) ne propose pas d'options de filtrage IPv6 pour ne rendre accessible en IPv6 que certains équipements. 0 Citer
Ericzen01 Posté(e) le 16 mars Auteur Posté(e) le 16 mars Bon si je comprends bien si je veux passer en ipv6, il faut que je mette ma freebox en bridge. Que je paramètre un routeur derrière par exemple avec un switch manageable (tel qu'un UDM) et que je filtre les ip pour ne rendre visible que le synology pour me mon serveur de mail fonctionne correctement. Par contre cela ne resoudra pas mon reverse dns je suppose. Car free gèrera toujours le reverse dns sur l'ipv4 si je suis en mode fibre, ne gérera pas le reverse dns si je suis en mode ipv6 quoiqu'il arrive, ni mon reverse dns ipv4 si je suis en mode backup. Je pensais naivement que si je gérais mon serveur DNS propre et le DNS inverse, je pourrais me dédouaner du reverse dns de free qui ne fonctionne pas en ipv6. mais plus rien ne va fonctionner en fait. Même si je clone l'adresse mac de la box sur le port WAN. Retour à la case départ. Pour le moment j'ai desactivé l'ipV6 sur mon réseau pour ne pas avoir de souci mais en cas de bascule sur le backup, je n'aurais plus de mail pendant la dureée de la panne. C'est plutôt cela qui m'ennui le plus. Mon MX backup prendra le relais mais je devrais attendre un retour à la normal pour récupérer les mails et les distribuer aux clients. 0 Citer
PiwiLAbruti Posté(e) le 16 mars Posté(e) le 16 mars Il y a 3 heures, Ericzen01 a dit : Bon si je comprends bien si je veux passer en ipv6, il faut que je mette ma freebox en bridge. Non, IPv6 et bridge sont deux choses distinctes. Il y a 3 heures, Ericzen01 a dit : Pour le moment j'ai desactivé l'ipV6 sur mon réseau pour ne pas avoir de souci [...] Quel souci ? On peut très bien activer IPv6 est n'utiliser que IPv4 sur les MX (ce que je fais). 0 Citer
Ericzen01 Posté(e) le 17 mars Auteur Posté(e) le 17 mars (modifié) Il y a 12 heures, PiwiLAbruti a dit : Non, IPv6 et bridge sont deux choses distinctes. Quel souci ? On peut très bien activer IPv6 est n'utiliser que IPv4 sur les MX (ce que je fais). Je sais pas comment tu fais pour n'avoir qu'un mx en ipv4. Je m'explique. Lorque je suis en ipv6 et que j'envoie un mail à une adresse dont le serveur de mail est chez gandi, j'ai un message de refus du mail car il détecte mon ipv6 de mon synology et refuse de délivrer le mail car il n'y a pas de reverse dns sur cette ipv6. Si je desactive l'ipv6 de mon nas synology, j'ai plus de souci. Quand à la notion d'ipv6 en mode bridge, je pense peut être tord que dès lors ce sera le routeur (qui fait office de firewall aussi) derrière la box qui prendra la main et que dès lors, je pourrais mieux filtrer l'accès entrant vers mes machines pour que seules mon synology soit visible de l'exterieur avec une ipv6. Et la box tv free aussi. Et que dès lors si je gère mon propre serveur DNS et que je l'active sur mon hebergement OVH, je pourrais gérer un rDNS v6 correctement. Modifié le 17 mars par Ericzen01 0 Citer
Jeff777 Posté(e) le 17 mars Posté(e) le 17 mars il y a 4 minutes, Ericzen01 a dit : Et que dès lors si je gère mon propre serveur DNS et que je l'active sur mon hebergement OVH, je pourrais gérer un rDNS v6 correctement. A ma connaissance il n'y a que ton fournisseur d'accès qui peut gérer les rDNS. 0 Citer
PiwiLAbruti Posté(e) le 17 mars Posté(e) le 17 mars il y a 31 minutes, Ericzen01 a dit : Je sais pas comment tu fais pour n'avoir qu'un mx en ipv4. Rien de sorcier, il suffit que l'enregistrement MX pointe uniquement vers un enregistrement de type A (IPv4) : domain.tld MX mx.domain.tld mx.domain.tld A <adresseIPv4> il y a 30 minutes, Ericzen01 a dit : [...] si je gère mon propre serveur DNS et que je l'active sur mon hebergement OVH, je pourrais gérer un rDNS v6 correctement. Aucun opérateur grand public ne propose la délégation de zone DNS inverse IPv6. Donc il n'est pas possible de disposer d'un rDNS IPv6 actuellement. 0 Citer
Ericzen01 Posté(e) le 17 mars Auteur Posté(e) le 17 mars il y a 17 minutes, PiwiLAbruti a dit : Rien de sorcier, il suffit que l'enregistrement MX pointe uniquement vers un enregistrement de type A (IPv4) : Mes MX ne pointent que sur des adresses en IPv4 depuis le début et pourtant je me suis fait rejeter un mail par Gandi car le serveur qui a envoyé le mail à une ipv6 et qu'il n'a pas de reverse dns associé. De plus, le MX sert au serveur qui t'envoie des emails de connaitre l'ip où router les mails. Le MX sert à la réception. Pas à l'envoi des mails. Comme je l'ai déjà dit c'est lors de l'envoi des mails par le serveur que le contrôle de reverse dns est effectué. Donc il traduit l'adresse ip d'envoi en nom de domaine (et le mx ne rentre pas là dedans) et comme il priorise l'ipv6 pour son contrôle (j'ai l'impression), alors il rejette les mails. En enlevant l'ipv6 du synology, j'ai plus de souci car il ne voit que l'ipv4 et résoud le nom sans souci via le rDns de free. 0 Citer
Jeff777 Posté(e) le 17 mars Posté(e) le 17 mars il y a 4 minutes, PiwiLAbruti a dit : Rien de sorcier, il suffit que l'enregistrement MX pointe uniquement vers un enregistrement de type A (IPv4) : J'ai les ressources suivantes: mondomaine.tld MX 10 mailplus.mondomaines.tld mailplus.mondomaines.tld A monIPpubliqueIP4 mailplus.mondomaines.tld AAAA monIPpubliqueIP6 mondomaine.tld TXT "v=spf1 a mx ~all" et ça fonctionne. avec outlook sur windows et bluemail sous android 0 Citer
Ericzen01 Posté(e) le 17 mars Auteur Posté(e) le 17 mars Comment font les entreprises ? Ce n'est pas le FAI qui leur défini leur reverse DNS. Ce que je pense, de plus en plus, c'est qu'il faut gérer son propre serveur DNS et ses DNS inversés. Ce doit être pour cela que sur OVH je peux ajouter mon propre Serveur DSN avant ceux de OVH. Sinon je vois pas trop l'intérêt de gérer un serveur DNS pour les accès externe chez soi. C'est dommage j'aurai bien aimé l'avis de @Fenrir à ce sujet car il doit en savoir plus vis à vis de son tuto sur le serveur DNS. 0 Citer
PiwiLAbruti Posté(e) le 17 mars Posté(e) le 17 mars (modifié) @Jeff777 Ça fonctionne dans les conditions de ton test. Si tu envoies un mail à une adresse Microsoft (plutôt pointilleux sur le rDNS, si c'est toujours le cas) et que ça passe par IPv6, tu risques de te faire jeter. @Ericzen01 En entreprise, c'est au bon vouloir du service IT. Certains restent en full-IPv4, d'autres font appel aux services gérés de leur FAI (€€€), d'autres gèrent leurs propres réseaux IPv6 (donc les DNS associés). Tu pourras déclarer autant de zones DNS inverses que tu souhaites, aucune requête externe n'y parviendra puisqu'il faut au préalable que ton FAI ait créé la-dite zone inverse et qu'il en fasse pointer les enregistrements NS vers l'adresse IP de ton serveur DNS, comme expliqué ici : https://simpledns.plus/kb/191-how-to-sub-delegate-a-reverse-zone-ipv6 L'intérêt de gérer ses serveurs DNS est de définir des vues pour différencier les résolutions publiques et privées, et d'en limiter le périmètre de résolution (sécurité supplémentaire). Par exemple, j'utilise 3 NAS sur 3 sites différents et chacun d'eux gère ses propres zones DNS publiques et privées qui sont elles-mêmes répliquées sur leurs pairs pour la redondance. Modifié le 17 mars par PiwiLAbruti 0 Citer
Jeff777 Posté(e) le 17 mars Posté(e) le 17 mars il y a 26 minutes, PiwiLAbruti a dit : Si tu envoies un mail à une adresse Microsoft (plutôt pointilleux sur le rDNS, si c'est toujours le cas) et que ça passe par IPv6, tu risques de te faire jeter. Je me sers de l'adresse bibi@mondomaine.tld que pour recevoir les notifications de mes nas. Donc ça devrait le faire. 0 Citer
Ericzen01 Posté(e) le 17 mars Auteur Posté(e) le 17 mars Bon ben je comprend rien. Effectivement free semble gérer le reverse dns de la tranche d'ipv6. Par contre si tu fait un nslookup sur ton ipv6 complete, alors il y a pas d'info concernant free. Rien ne ressort. @PiwiLAbruti lorsque dans mon autre ticket tu montre don dig sur ton ipv6 tu as un retour sur un serveur dns avec ton nom de domaine. comment cela se fait il ? Parce que tu as defini l'info sur tes dns interne ? Que ce passe-t-il si tu fait un dig sur ton ipv6 en te connectant en externe chez toi. Tu as le même comportement ? 0 Citer
PiwiLAbruti Posté(e) le 17 mars Posté(e) le 17 mars Quel autre ticket ? Si c'est le cas, oui, ça ne fonctionne qui si j'interroge directement mes serveurs DNS (en interne ou externe). 0 Citer
Ericzen01 Posté(e) le 19 mars Auteur Posté(e) le 19 mars (modifié) Le 17/03/2025 à 8:39 PM, PiwiLAbruti a dit : Quel autre ticket ? Si c'est le cas, oui, ça ne fonctionne qui si j'interroge directement mes serveurs DNS (en interne ou externe). Pardon @PiwiLAbruti, je me suis trompé dans le suivi de mes tickets. Ce n'est pas toi mais CoolRaoul qui m'avait répondu. Est ce quelqu'un a un retour sur l'utilisation de Hurricane Electric ? Parce que du coup cela permet d'avoir une ipfixe en ipv6 en montant un tunnel. Ce pourrait être une solution. J'ai lu ce billet mais je n'ai aucune idée des risques https://niksa.dev/posts/he-ipv6-tunnel/ Modifié le 19 mars par Ericzen01 0 Citer
Jeff777 Posté(e) le 19 mars Posté(e) le 19 mars il y a 51 minutes, Ericzen01 a dit : Est ce quelqu'un a un retour sur l'utilisation de Hurricane Electric ? J'utilise HE depuis des années sans problème, mais pas pour avoir une IP6 fixe. Je suis chez Free et mon IP6 est fixe. En fait j'héberge ma propre zone publique (dernière section du tuto de Fenrir) et j'utilise HE comme serveur DNS secondaire gratuit. Ma zone publique est donc répliquée chez eux C'est en fait le seul fournisseur de serveur secondaire gratuit que j'ai pu trouver et j'en suis satisfait. J'ai aussi répliqué une zone IPV6 inverse avec une ressource PTR de mon nom de domaine mais ce n'est pas pour cela que j'ai un rDNS IPV6 que seul un FAI peut fournir sur sa propre zone. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.