sujet Re: IPv6 entrant dans Livebox

IPv6 entrant

vince34750 — Wed, 23 Mar 2022 10:45:50 GMT

Bonjour !

La livebox 5 ne proposant pas de mode bridge, je suis donc en train de passer en IPv6 (ce que je comptais faire du reste depuis un moment....). J'ai donc un routeur/firewall entre la box et mes équipements (sous OPNSense).

Pour le traffic sortant, pas de soucis, tout se passe bien selon le site de test https://test-ipv6.com : je vois bien l'IPv6 de mon PC.

Le problème est pour joindre mes équipements depuis l'extérieur. Dans l'interface de la box, je n'ai aucun équipement listé dans la partie firewall pour autoriser les flux entrants. J'ai raté quelque-chose ? Le routage IPv6 est bien activé (je confirme la boite de dialogue après avoir cliquer sur enregistrer, mais elle reste là. bug de l'interface ?)

Merci !

Re: IPv6 entrant

Eric_Le_Grompf — Sun, 27 Mar 2022 14:42:29 GMT

Bonjour,

(mise a jour : voir plus bas. Message obsolète)

@vince34750

Jusqu'ici avec mes livebox 3 et 4 (et la 5 doit faire la meme chose) :mettre un routeur derriere une livebox pour l'IPv6 est quasi impossible. Il faut configurer ce routeur en bridge-filtrant pour pouvoir faire quelque chose correctement : la livebox ne supporte le DHCPv6-ND qu'a sont propre profit afin de recuperer un /56 chez Orange et ne vous distribuer seulement qu'un unique /64 au lieu de 256 /64.

Pour connecter un routeur sur votre livebox : il faudrait qu'elle supporte le DHCPv6-ND au profit de l'utilisateur en tant que routeur-serveur. (OSPF6 et RIP6 seraient les bienvenus aussi pour automatiser ca proprement et sans surcharge pour le support Orange). Ce qui n'est pas le cas actuellement. Orange veut voir la totalité de votre reseau derrriere la box. Et quand je dis "voir" : c'est a prendre au pied de la lettre.

Solutions de contournement :

- activer la traduction de prefix (NPT : network prefix translation) sur votre routeur. Soit traduire votre FD00::/8 en 2000:/3 tel que distribué par la livebox par exemple. C'est une RFC officielle, il faut que votre routeur la supporte. C'est du stateless ca ne consomme pas de ressource autre qu'un peu de temps cpu. Elle est destinée a couvrir ce genre de pepin qu'orange organise et procure comme tant d'autres FAIs.

- programmer un proxy-ndp, ce qui est plus bidouillesque... ca attire les men-in-black, les nuisibles et les problemes comme le vinaigre les mouches.

- utiliser le NAT66 si disponible (ce n'est plus censé exister en IPv6). Attention ca vous apporte les meme galeres qu'en IPv4 pour rester poli. voire pire vu que les checksum internes ne sont pas mis a jour. Ca c'est ultra-bidouillesque. Comparé au NPT : ce NAT vous assure un filtrage statefull de plus : ca bouffe CPU et memoire et donc peut occasionner des cas de famine. Ca route moins dans ces cas là.

- configurer votre routeur en bridge filtrant et laisser la livebox distribuer les données "routeur", prefix, etc. Orange verra ce qui se passe chez vous mais ne pourra jamais y acceder, ni meme quelqu'un d'externe.

- si ca marche actuellement en IPv6 pur chez vous peut etre qu'il vous manque un NAT64+DNS64 pour acceder aux sites malheureusement pas mis a jour et n'ayant qu'une IPv4. googel peut aider. Orange n'a pas mis ce service a disposition de ses clients.

Une fois ce petit point de detail reglé : vous verrez toutes vos IPv6 apparaitre sur la livebox et vous pourrez exposer chacune de vos machines une par une au choix via le firewall de la sus-dite livebox. Celui-là : il marche magnifiquement bien vu qu'il n'y a plus de NAT et rien que des adresses publiques.

Hop!

Re: IPv6 entrant

vince34750 — Fri, 25 Mar 2022 10:47:39 GMT

Merci pour cette réponse très complète.

J'ai fait une capture coté WAN de mon routeur/firewall (opnsense) et je recois ce type de paquet en provenance de la box:

Frame 10: 158 bytes on wire (1264 bits), 158 bytes captured (1264 bits)
Ethernet II, Src: Arcadyan_8a:c5:e0 (8c:19:b5:8a:c5:e0), Dst: IPv6mcast_01 (33:33:00:00:00:01)
Internet Protocol Version 6, Src: fe80::8e19:b5ff:fe8a:c5e0, Dst: ff02::1
Internet Control Message Protocol v6
Type: Router Advertisement (134)
Code: 0
Checksum: 0x75cc [correct]
[Checksum Status: Good]
Cur hop limit: 64
Flags: 0x48, Other configuration, Prf (Default Router Preference): High
Router lifetime (s): 600
Reachable time (ms): 0
Retrans timer (ms): 0
ICMPv6 Option (Prefix information : 2a01:cb1d:81cb:8200::/64)
ICMPv6 Option (Recursive DNS Server 2a01:cb1d:81cb:8200:8e19:b5ff:fe8a:c5e0)
ICMPv6 Option (DNS Search List Option home)
ICMPv6 Option (MTU : 1500)
ICMPv6 Option (Source link-layer address : 8c:19:b5:8a:c5:e0)

C'est une livebox5, avec l'option "Routage IPv6 activé"

Je récupère donc un prefix en /64 (le /56 est celui que la box utilise pour elle même) que je distribue coté LAN via le DHCPv6 de mon routeur

Ce qui m'inquiete un peu plus c'est la conf coté firewall orange qui ne propose qu'un seul device dans la dropdown: celle du routeur. Idéalement j'aimerais supprimer complèment cette couche de firewall......

EDIT: opnsense supporte NPT : https://docs.opnsense.org/manual/nptv6.html Du coup, je dois distribuer via mon DHCPv6 les adresses de l'internal prefix quand même ? Avec un external prefix de 2a01:cb1d:81cb:82ec::/64 , que type d'internal prefix peut-on mettre ?

Ou bien je défini un réseau IPv6 privé coté LAN totalement disjoint du prefix alloué, avec DHCPv6 pour les clients et que ce range réseau passe par NPT pour que la box l'identifie ?

Je suis un peu perdu avec IPv6...

EDIT2: j'ai configuré mon LAN pour utiliser le fd01:23fe:d669:b7da:: /64 et j'ai configuré NPTV6 pour substituer ce prefix avec celui donné par Orange: 2a01:cb1d:81cb:82ec:: cela semble fonctionner pour le sortant, bien que le navigateur semble préférer IPv4. ping -6 google.fr fonctionne par contre, pas de nouveaux équipements dans la dropdown du firewall de la box.... donc toujours pas de traffic entrant possible pour le moment. Mais ça avance !

Merci !

Re: IPv6 entrant

Eric_Le_Grompf — Fri, 25 Mar 2022 11:38:46 GMT

Bonjour,

@vince34750 Ce qui m'inquiete un peu plus c'est la conf coté firewall orange qui ne propose qu'un seul device dans la dropdown: celle du routeur.

La box utilise le SLAAC pour l'affectation d'IP automatique dont fait partie le paquet que vous avez relevé. A priori votre routeur ne renvoie pas les Neighbour solicitation / discovery venant des Pcs en multicast ICMPv6 vers la box (genre proxy...) une fois l'adresse sélectionnée. La box ne reçoit donc pas la "pub" règlementaire venant des clients. Enfin... pifo... a vue de nez... hein ! Règle : il ne faut pas couper le traffic ICMPv6 sauf a savoir ce qu'on fait et ca doit être fait chirurgicalement !

Le DHCPv6 n'est pas a priori à utiliser pour forcement affecter des addresses : vous avez les flags "pref" et "other" activés et pas le "managed" dans le packet ICMPv6 relevé. "Managed" c'est pour l'usage du DHCPv6 pour affecter les adresses donc ici niet (on va dire que c'est l'option "corporate-à-men-in-black"), "Other" c'est pour indiquer que vous pouvez récupérer les adresses de services genre DNS via DHCPv6 (idem pour les NTP, SIP, etc), vous pouvez aussi le récupérer via le SLAAC vu que la LB embarque cette RFC/fonction et aussi le récupérer en multicast venant de la box. Et "pref" : c'est pour indiquer le routeur préféré sur le réseau publié.

Et il vous faut aussi un routeur multicast pour que ca passe d'un coté à l'autre si vous jouez avec ça... (ce n'est pas obligatoirement une bonne idée)

@vince34750 Idéalement j'aimerais supprimer complèment cette couche de firewall......

Ca... ca va être très très dur. vu que c'est celle qui contrôle l'exposition de votre réseau IPv6 a l'extérieur sur vos IP globales. Pour 99% des clients chez Orange supprimer ceci c'est l'option "suicide immédiat".

@vince34750 opnsense supporte NPT : https://docs.opnsense.org/manual/nptv6.html

Ca c'est bon !

@vince34750 Du coup, je dois distribuer via mon DHCPv6 les adresses de l'internal prefix quand même ?

Vous pouvez aussi arrêter d'utiliser le DHCPv6 sur votre LAN. C'est fait pour les gens genre Airbus, Framatome ou le ministère de la defense sauf si vous avez des operating systems qui ne se déplacent que sur une jambe de bois et le nécessitent.

L'affectation automatique marche très bien aussi de base.

@vince34750 Avec un external prefix de 2a01:cb1d:81cb:82ec::/64 , que type d'internal prefix peut-on mettre ?

ce n'est pas un "external" : c'est un "global" visible de toute la planète sauf si un firewall est la pour faire son job. Ca commence en 2000::/3.

Il n'y a plus d'interne ni d'externe. Ce n'est pas IPv4.

Par contre la livebox ne distribue et ne vous route que le 2a01:cb1d:81cb:8200 et pas le 2a01:cb1d:81cb:82ec : elle ne va pas savoir le retrouver vu qu'elle n'en a pas délégué la gestion à votre opensense. (a priori). j'ai aussi tenté OSPF et RIP pour declarer des réseaux "inconnus" de la livebox pour le routage vu qu'on ne peut pas faire ca a la main : ca n'a pas marché chez moi.

si ca communique tel quel : c'est qu'il y a un bug quelque part. Ou alors vous avez activé "quelque chose" sur votre opensense.

un prefix "local" (opensense le bloquera sauf si bug: pas de routeur de sortie autorisé mais autres routeurs en FD::/8 autorisés) ca commence en FD00:/8. le prefix "réseau" est à choisir aléatoirement pour en faire un /64. le reste sera automatiquement sélectionné par chaque machine.

@vince34750 Ou bien je défini un réseau IPv6 privé coté LAN totalement disjoint du prefix alloué, avec DHCPv6 pour les clients et que ce range réseau passe par NPT pour que la box l'identifie ?

Vous configurez votre interface interne sur une IP de ce réseau, vous l'affectez donc a ce réseau en FDploumploum::/64.

vous activez et configurez le service SLAAC pour distribuer ça et configurez votre DHCPv6 pour annoncer seulement vos services genre DNS, SIP, LOG, NTP, etc.

Pas besoin d'activer la distribution d'adresses par DHCPv6 : c'est a priori inutile sauf machines buggées ou si vous avez des contraintes de sécurité types nucléaires !

vous configurez votre interface externe sur le réseau coté livebox. Ici aussi pas besoin de DHCPv6 sauf pour le DNS si besoin. vous récupérez un 2000::/3 automatiquement sans DHCPv6..

Vous activez le process NPT entre les deux interfaces. (vérifiez votre firewall local aussi).

Ca devrait marcher.

@vince34750 Ou bien je défini un réseau IPv6 privé coté LAN totalement disjoint du prefix alloué, avec DHCPv6 pour les clients et que ce range réseau passe par NPT pour que la box l'identifie ?

C'est ça : une IP en FD... pour le local, une en 2... pour le global (et une en FE80... pour les comm sur le meme réseau physique).

Avoir un FD est une "option" , mais c'est nécessaire si on ne veut pas que le réseau s'arrête parce que la livebox est en grève. Comme on peut avoir autant d'IPv6 qu'on veut sur une meme interface : ce n'est donc pas un problème.

Et le FE80... est basique... no problemo aussi, ca marche tout seul

@vince34750 Je suis un peu perdu avec IPv6...

IPv6 n'est PAS IPv4. Ca demande de ne pas reprendre les bases d'IPv4 pour s'en sortir facilement surtout au debut.

A part ça : Si vous avez des updates sur le comportement limité de la livebox suite a des mises a jours que je n'ai pas remarqué : n'hésitez pas !

Hop!

Re: IPv6 entrant

vince34750 — Fri, 25 Mar 2022 13:49:55 GMT

Merci beaucoup @Eric_Le_Grompf

En effet, il faut dé-apprendre ce que l'on connait d'IPv4. Pas évident, les (mauvais) réflexes reviennent au galop.

Donc, j'en suis là:

Coté WAN, je suis toujours en client DHCPv6

IPv6 address	2a01:cb1d:81cb:8200:20d:b9ff:fe57:b7b5/64
IPv6 delegated prefix	2a01:cb1d:81cb:82ec::/64
IPv6 gateway	fe80::8e19:b5ff:fe8a:c5e0

Les autres options n'ont pas donné de bon résultat (SLAAC entre autre).

Coté LAN, je suis en IPv6 static. Pas de serveur DHCP pour les clients

IPv6 link-local	fe80::20d:b9ff:fe57:b7b4/64
IPv6 address	fd01:23fe:d669:b7da::10/64

Sur le LAN, le Router Advertisement est en mode "unmanaged" pour laisser SLAAC faire le boulot coté client, et ça fonctionne bien. Le RA annonce aussi la default GW et le serveur DNS local.

NTPv6 est activé entre LAN et WAN pour changer le prefix fd01:23fe:d669:b7da::/64 en 2a01:cb1d:81cb:82ec::/64

Avec tout ça, j'arrive bien à pinger en v6 à l'extérieur.

Mais toujours rien sur la dropdown de la livebox Je vais me refaire quelques captures sur le port WAN et LAN pour essayer de comprendre ce qui se passe)

Note:ICMPv6 est ouvert; on ne peut même pas le bloquer sur OPNsense

A suivre.....

Re: IPv6 entrant

Eric_Le_Grompf — Fri, 25 Mar 2022 20:38:09 GMT

Bonsoir,

@vince34750Vous venez de me réouvrir l'horizon. Le dhcpv6-pd ne marchait pas... maintenant avec sûrement une update en douceur dans la box : le même fichier de configuration marche pour le DHCPv6-PD !!! Je route et me distribue du subnet !!!

On peut donc mettre un routeur derrière une livebox : ça marche en plug-and-play tant qu'on n’espère pas recevoir une délégation pour plus d'un /64 a la fois !!! Mais bon... un routeur par /64, ou N délégations, ca le fait bien aussi : ils savent causer entre eux !

J'en arrive a la même configuration que vous, mais en manuel (pas d'opensense en prefab' chez moi... c'est du fait main pas joli mais qui a le mérite de marcher et qui reste a mon niveau).

J'ai donc dorénavant une configuration au même niveau que vous. Y'a plus qu'a sortir son cerveau pour retomber sur ses pattes ! Je fais chauffer le lab et je cogite pour eviter de faire du sale et je repasse...

Note : Pour l'instant : pas besoin de NPT ici vu que je suis en multi-adressage sur toutes les interfaces.

Hop!

Re: IPv6 entrant

Eric_Le_Grompf — Fri, 25 Mar 2022 22:29:53 GMT

Re !

@vince34750 Bon, ça se confirme... z'aviez raison. ça ressemble bien a un bug de conception.

1- on nous annonce que le firewall IPv6 ne peut pas être désactivé dans l'onglet firewall. Bon... OK.

2- on ne peut créer des règles IPv6 qu'avec les machines auto-réferencées dans le cache DNS de la box dont la seule la version IPv4 est accessible dans l'onglet réseaux/DNS. Bon...OK.

3- on ne peut pas peupler nous même le DNS de la box. Apabon, ApaOK !

4- la box ne va peupler que les IPv6 de son préfixe en /56 plus 8 bits a 0 (ce qui donne le réseau ...:xx00::/64 ... Mwaip!). Apabon, ApaOK !

5- la box effectue bien ses délégations de subnet sur une base de réseaux en /64 et non pas N réseaux /64 en la fois (où N est un nombre pair). Bon...OK.

6- la box connaît les sous-routeurs a qui elle effectue ses délégations... vu qu'elle route parfaitement en sortie et retours. Bon...OK.

7- Mais elle ne se les déclare pas a elle-même! Apabon, ApaOK ! Ça a du être un chef de projet dit "Agile" qui a fait le taff... il a fait coder le dhcpv6-pd. mais il a oublié de faire coder les entrées DNS nécessaire au firewall IPv6 (ou re-coder le firewall IPv6, au choix) pour mettre a jour les entrée quand la livebox enregistre un routeur. Comme c'est souvent ce chef de projet par soucis d’économie qui écrit les cas-tests a passer et les test de non-régression quand il documente les mods a faire : ya eu plantus sur la gamme de test et ils sont passés a coté. (C'est juste mon avis!). Le codeur "Agile" : c'est comme le trouffion russe... il fait ce qu'on lui dit de faire épicétou, et il passe d'une modif a une autre pour écluser la pile de changements qui arrive sur son bureau (c'est comme dans "les temps modernes" mais avec un clavier a la place de la clef a molette).

8- On a donc changé de roncier... mais on a toujours le *** dedans !

9- Solution de contournement temporaire : en attendant que des gens d'Orange nous lisent et fassent remonter une demande de correctif et qu'une correction de la box descende par la fibre : il faut placer les serveurs devant être accessibles depuis le monde extérieur sur le réseau ....00::/64 de la livebox vu que c'est le seul qui est autorisé a voir la lumière du jour ! C'est facile a faire en 5 secondes sans tripoter les fils si on a des switchs manageables. (penser a documenter les changement induits dans le DNS qui gère la zone : 8 bits parmi les 128 de l'adresse vont changer.)

Si une idée arrive sur la question qui nous chatouille : je suis preneur ! Pour l'instant je réfléchis a ce qui va se passer si je tente de leurrer la livebox avec un proxy-ndp pour truquer la découverte du voisinage. Et pas selon la méthode à Gilles, plutôt méthode à la Rache !.

Note : testé sur une LB4.

Et hop !

Re: IPv6 entrant

Eric_Le_Grompf — Sat, 26 Mar 2022 08:49:47 GMT

Bonjour,

@vince34750 Donc si la méthode simple et automatique utilisant les capacités de la livebox ne fonctionne pas suite aux capacités défaillantes en question... la prise en main manuelle du firewall, s'impose. Et donc j'ai réussi a faire un ping depuis un ping6-online sur un serveur accessible via mon firewall personnel en ouvrant le sous-reseau IPv6 sur a box.

~~Les premiers règles sont celles de la livebox fournies a la base.~~

~~On y est presque :~~

~~-en automatique : utiliser le sous-réseau en ...00::/64. Le reste ne fonctionne pas.~~

~~-en manuel déclarer les sous-réseau en ...xx::/64 dans le firewall IPv6 réglé en "personnalisé".~~

~~Reste a faire un accès réel a la place d'un simple ping6 pour confirmer ça.~~

~~La je n'ai pas le temps...~~

update : quelque chose ne fonctionne pas !

Hop !

Re: IPv6 entrant

Eric_Le_Grompf — Sun, 27 Mar 2022 14:31:00 GMT

Bonjour,

@vince34750Ça a du être un moment de fatigue ... mon wifi est situé sur mon réseau IoT qui ne peut pas causer au réseau fixe. Et comme j'utilisais mon smartphone sur ce wifi. ça a toussé !

J'ai remis çà a plat avec un smartphone en théorie sur le réseau Bouygues en IPv6 (confirmé par whois) , et je reçois une connexion sur un web-lab, comme ça :

omale.grompf.lan 2a04:cec0:1313:2e51:xxxx:xxxx:xxxx:xxxx - - [27/Mar/2022:15:11:14 +0200] "GET / HTTP/1.1" 304 0 "" "Mozilla/5.0 (Linux; Android 11; MI 9) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.73 Mobile Safari/537.36"

l'adresse source correspond a celle vue dans les propriétés du téléphone.

où omale est un serveur web vide avec juste un message de bienvenue un peu particulier, configuré de la façon qui suit en SLAAC pour récupérer mon FD et mon 2 sur lesquels je sors couvert avec des adresses jetables :

vlan350: flags=648843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,AUTOCONF6TEMP,AUTOCONF6,INET6_NOSOII> mtu 1500
lladdr xx:xx:xx:xx:xx:e9
description: LAB VLAN, Self Controled Network.
index 9 priority 0 llprio 3
encap: vnetid 350 parent em0 txprio packet rxprio outer
groups: vlan egress
media: Ethernet autoselect (1000baseT full-duplex)
status: active
inet 10.0.3.3 netmask 0xffffff00 broadcast 10.0.3.255
inet6 fe80::xxxx:xxxx:xxxx:xxe9%vlan350 prefixlen 64 scopeid 0x9
inet6 fd03::3 prefixlen 64
inet6 2a01:xxxx:xxxx:xxd7:xxxx:xxxx:xxxx:xxe9 prefixlen 64 autoconf pltime 756 vltime 1656
inet6 2a01:xxxx:xxxx:xxd7:xxxx:xxxx:xxxx:xx82 prefixlen 64 autoconf temporary pltime 756 vltime 1656
inet6 fd03::xxxx:xxxx:xxxx:xxe9 prefixlen 64 autoconf pltime 756 vltime 1656
inet6 fd03::xxxx:xxxx:xxxx:xx51 prefixlen 64 autoconf temporary pltime 756 vltime 1656

ou le ...d7:... est le sous-réseau distribué par la livebox à ma grompfbox pour mon lab.

Et avec une grompfbox configurée en SLAAC sur le VLAN250 qui vient de la livebox et qui me distribue des sous réseau fournis aimablement par cette livebox sur les vlan350 (utilisé par mon lab) et 550 utilisé lui par tout ce qui a du firmware chez moi (çà va du wifi à l’éclairage) :

vlan250: flags=648843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,AUTOCONF6TEMP,AUTOCONF6,INET6_NOSOII> mtu 1500
lladdr xx:xx:xx:xx:xx:86
description: WAN VLAN, Orange Controled Network.
index 12 priority 0 llprio 3
encap: vnetid 250 parent re0 txprio packet rxprio outer
groups: vlan egress
media: Ethernet 1000baseT full-duplex
status: active
inet6 fe80::xxxx:xxxx:xxxx:xx86%vlan250 prefixlen 64 scopeid 0xc
inet6 fd02::2 prefixlen 64
inet6 2a01:xxxx:xxxx:xx00:xxxx:xxxx:xxxx:xx86 prefixlen 64 autoconf pltime 592 vltime 86392
inet6 2a01:xxxx:xxxx:xx00:xxxx:xxxx:xxxx:xx53 prefixlen 64 deprecated autoconf temporary pltime 0 vltime 24301
inet 10.0.2.2 netmask 0xffffff00 broadcast 10.0.2.255
inet6 2a01:xxxx:xxxx:xx00:xxxx:xxxx:xxxx:xx3e prefixlen 64 autoconf temporary pltime 592 vltime 86392

vlan350: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr xx:xx:xx:xx:xx:83
description: Local VLAN, Self Controled Network.
index 13 priority 0 llprio 3
encap: vnetid 350 parent re1 txprio packet rxprio outer
groups: vlan
media: Ethernet 1000baseT full-duplex
status: active
inet6 fe80::xxxx:xxxx:xxxx:xx83%vlan350 prefixlen 64 scopeid 0xd
inet6 fd03::2 prefixlen 64
inet 10.0.3.2 netmask 0xffffff00 broadcast 10.0.3.255
inet6 2a01:xxxx:xxxx:xxd7:xxxx:xxxx:xxxx:xx83 prefixlen 64

ici le ...00:... est le réseau IPv6 de base de la livebox.

ici le ..d7:... est fournit par la livebox et automatiquement installé sur le vlan350 qui ne se fabrique aucune IP jetable. Et qui s'annonce comme routeur préférentiel pour tous ceux qui sont sur le vlan350.

Même chose pour le vlan 550 qui se reçoit une adresse en ...df:... et la grompfbox s'annonce comme routeur préférentiel pour tout ce qui concerne ce sous-réseau.

Donc vu de chez moi ça entre et ça sort quasiment en PnP ... sauf le firewall de la LB qui est un peu arthritique en automatique (il y a une certaine buggicité ici) et semble par contre fonctionnel en manuel :

Voila ... une livebox en IPv6 quasi PnP, et un peu de 5G à l’extérieur: on va bientôt pouvoir piloter des drones jusqu'en Ukraine depuis sa propre cave...

Hop!

Re: IPv6 entrant

Eric_Le_Grompf — Sun, 27 Mar 2022 14:06:05 GMT

Re!

Et j'ai oublié... vu que le firewall de la LB est en "manuel" ... attention a avoir un firewall en béton derrière celle ci et a affiner les réglages de la LB en IPv4 et IPv6. Dans le cas contraire, il va y avoir une chaude ambiance a la maison en moins de 20mn !!

Re: IPv6 entrant

vince34750 — Sun, 27 Mar 2022 17:12:45 GMT

On déconnecte 2 jours, on revient et on a de la lecture pour 3 jours, j'adore 😊

Ca coince toujours chez moi a cause de cette découverte incomplète. Par contre je n'ai pas vu (lire sniffé) de paquets icmpv6 allant vers la LB pour lui indiquer l'existence de devices sur le LAN. Niet, que dalle.

En me mettant sur le wifi de la box, la dropdown se rempli bien par contre, donc pas totalement buggé le FW de la LB... mais effectivement votre analyse colle bien avec mon cas/scénario. Vivement un update rendant la fonction vraiment utile et utilisable par tous !

Concernant le point 9 "9- Solution de contournement temporaire" l'idée derrière est un VLAN avec les serveurs à exposer ? Par contre ayant un mix de Wifi/CPL/etc... j'avoue etre un peu feignant pour le coup.

Il faudrait trouver comment avoir du 2a01:...00:... derrière mon firewall comme workaround, en sachant que j'aime bien avoir du fd: pour etre "autonome" sur mon adressage. NPT6 me plait bien comme concept pour le coup....

Orange se ballade souvent sur le forum pour alimenter leur backlog ?

Courage, on va y arriver !

Re: IPv6 entrant

Eric_Le_Grompf — Sun, 27 Mar 2022 17:15:06 GMT

Bonjour,

@vince34750L'idée c'est de connecter les appareils devant faire serveur directement sur la livebox sans passer par l'opensense ; ceci si vous voulez garder le firewall de la livebox en "automatique" genre "reglage moyen". Si vous utilisez le wifi de la livebox : c'est pareil vous vous connectez directement sur la livebox.

Donc, ici, ça se fait soit physiquement en tricotant les câbles et en déplaçant les connecteurs.

Ou soit, en "déplaçant virtuellement", ces connexions au niveau d'un switch managé, en deux clics. En ayant par exemple un VLAN "Orange" (numéro au choix) sur qui est connecté au minimum la livebox et l'opensense et un VLAN "Perso" (numéro au choix aussi) ou sont connectés l'opensense et vos appareils : le fait d'affecter un connecteur a un VLAN ou un autre permet de "déplacer" un appareil sans y toucher ni bouger un seul câble. C'est un choix de flemme technologique.

Par contre si vous placez le firewall de la livebox en "manuel" avec des règles personnalisées : vous exposez vous même vos machines en IPv6 disponibles derrière l'opensense directement via la livebox, et donc plus besoin de solution de contournement vu que le firewall de la livebox va être ouvert machine par machine par vos soins...

Les machines ne seront pas visibles sur la livebox car non connectée directement : mais le job sera fait et elles seront joignables depuis l’extérieur.

Mais attention : ça réclame un opensense réglé aux petits oignons pour IPv4 et IPv6, idem pour la livebox ! Attention aussi aux règles minimale a s'imposer si vous utilisez le boitier TV orange.

Re: IPv6 entrant

vince34750 — Sun, 27 Mar 2022 17:31:47 GMT

C'est en effet ce que j'utilise déjà pour le boitier TV qui n'apprécie guère de ne pas voir directement la LB. j'utilise un VLAN dédié (le 100, pour jongler entre Free te Orange de manière transparente) sur lequel se trouve la LB, et le boitier TV à l'autre bout via du CPL. LE CPL trimbale donc déjà un VLAN dans toute la maison, avec à chaque fois un switch derrière l'adaptateur CPL.

J'espère qu'une mise à jour règlera ce problème ennuyeux un de ces jours......

Re: IPv6 entrant

Eric_Le_Grompf — Sun, 27 Mar 2022 17:43:53 GMT

Re!

@vince34750 Il faudrait trouver comment avoir du 2a01:...00:... derrière mon firewall comme workaround,

Ça : il faut l'oublier. Ça ne marche pas comme ça un routeur. chose qui est fait pour router avec d'autres routeurs en face.

Sauf a configurer votre opensense en bridge-filtrant (bridge + firewall) au lieu de routeur filtrant (routeur + firewall), ca ne sera pas possible. Mais ça c'est une autre histoire.

Là, on a vérifié que le routeur + firewall IPv6 fonctionne derrière une livebox a une reprise manuelle du firewall de cette dernière près. Bref, on n'a pas fait du sale et coté utilisateur 99% du taff est fait (le 1% manquant reste le fait de ne pas se fatiguer en clicouillant sur l'interface graphique du firewall de la livebox).

@vince34750 en sachant que j'aime bien avoir du fd: pour etre "autonome" sur mon adressage.

Ca : c'est simple a avoir : c'est l'opensense qui le fournit a vos machines sauf a votre livebox qui n'en a rien a faire. C'est de base.

@vince34750 NPT6 me plaît bien comme concept pour le coup....

Ce NPTv6 : c’était la solution idéale quand Orange ne nous avait pas signifié que son DHCP6-PD était fonctionnel. Ou avant que ça ne soit découvert comme étant fonctionnel. Pour moi c’était il y a deux jours... j’avais déjà testé ça auparavant et ça ne répondait pas du tout : je me faisais insulter en gothique dans mes logs.

L'usage du NPTv6 reviendra de lui même chez orange quand ils décideront a nous changer à nouveau les prefixes tous les cinq matins, vu que ça pète les DNS.

N'oubliez pas que vous pouvez avoir autant d'IPv6 sur une interface que vous le voulez ! un FD, un 2, etc ca vous permet d'avoir un adressage fixe et toujours disponible sans processus de traduction vu que si la livebox disparaît le 2 va disparaître de lui même et il vous restera toujours le FD. Ca marchera tout seul...

@vince34750 Orange se ballade souvent sur le forum pour alimenter leur backlog ?

Houla... ca j'en sais rien et je ne veux pas le savoir... Il ne faut jamais se mêler du business d'autrui !

Re: IPv6 entrant

vince34750 — Mon, 28 Mar 2022 08:45:50 GMT

J'ai tenté une approche différente: DHCPv6 PD sur le WAN et interface LAN en mode track sur le WAN : j'ai donc du 2a:01 sur mes clients (mais toujours rien sur la dropdown du FW de la LB à part mon opnsense).

(J'ai aussi testé avec DHCPv6 sur opnsense en forward sur la LB pour le fun). Je me retrouve donc avec des adresses en 2a01: sur mon LAN, et la connectivité IPv6 sortante est OK. C'est bien IPv6 qui est prioritaire sur IPv4 alors que ce n'était pas le cas avant selon test-ipv6.com

J'ai ensuite ajouté comme vous des règles personnalisées IPv6 pour autoriser tout le traffic, sans succès. un tcpdump sur le port WAN ne montre pas le moindre petit paquet ICMPv6 en provenance de https://tools.keycdn.com/ipv6-ping

J'ai bien l'impression que c'est toujours ce fichu problème de non-détection des clients, ainsi que la non nouverture du prefixe délégué. Le firewall IPv6 semble prioritaire sur les règles personnalisées (voir même redondant) J'ai l'impression de tourner en rond....

Re: IPv6 entrant

Eric_Le_Grompf — Mon, 28 Mar 2022 11:00:52 GMT

Bonjour,

@vince34750 J'ai tenté une approche différente: DHCPv6 PD sur le WAN et interface LAN en mode track sur le WAN : j'ai donc du 2a:01 sur mes clients (mais toujours rien sur la dropdown du FW de la LB à part mon opnsense).

Du 2a01...:xx00::/64 ou autre chose ?

le dropdown ne fonctionnera pas pour l'instant, a mon avis, tant que les machines ne seront pas sur le 2a01:...:xx00::/64.

Pas la peine meme d'en rêver.

Essayez test-ipv6.com et ipv6-test.com. le second a aussi des infos intéressantes.

@vince34750 J'ai ensuite ajouté comme vous des règles personnalisées IPv6 pour autoriser tout le traffic, sans succès. un tcpdump sur le port WAN ne montre pas le moindre petit paquet ICMPv6 en provenance de https://tools.keycdn.com/ipv6-ping

Idem chez moi. Ce site, comme d'autres d'ailleurs, ne fonctionne pas sur les sous-réseaux délégués. L'ICMPv6 semble filtré quelque part. Par contre, je peux faire un ping sur l'IPv6 de la livebox en 2a01:..:xx00:...

Ca peut s'accepter vu que c'est une source de piratage assez facile. Par exemple, on peut vous dérouter le routage a distance les doigts dans le nez et jusqu'au coude après vous avoir scanné le réseau tranquillement pendant plus d'une semaine si c'est complètement ouvert. Pas mal de routeurs de transit surveillent ca comme le lait sur le feu et ne font pas dans la finesse; L'ICMPv6 n'est pas sécurisé de base. Par contre l'ICMPv6 vous est nécessaire en interne sur votre LAN (et peut l'être aux transporteurs en interne aussi en fonction des technologies utilisées).

Mais pour traverser entre des LANs avec une delegation de prefix dessus : je ne suis pas certains que ce soit vraiment nécessaire d'où une possible restriction. Je ne sais d'ailleurs pas à quoi se réfère exactement la boite a cocher "autoriser le ping" sur l'interface du firewall de la LB. Je suspecte que ce soit juste une règle générique façon IPv4+NAT qui ne concerne que la livebox sur son IP personnelle.

Par contre du pax normal passe et traverse jusqu'au serveurs internes a mon LAN depuis des réseaux non-orange comme mentionné précédemment.

D'ailleurs, ipv6-test indique pour mon serveur ou ma station de travail que c'est filtré ou non testable coté ICMPv6. Les bonnes IPv6 sont bien détectées aussi bien avec des adresses jetables ou des fixes en 2a01:...:xxd7:...

Sinon, vous avez ouvert par réseau ou par machine dans le firewall de la livebox ?

Ce soir, ma livebox va se prendre une règle IPv6 genre "accepte tout depuis tous vers tous" après avoir monté le firewall de la grompfbox au niveau "nazi". On va voir ce que ca donne ! (Attention à bien maîtriser tous les angles morts... dans le cas contraire ne pas tenter de m'imiter : c'est un coup a provoquer un divorce chez les adultes ou a se retrouver expédié au college militaire chez les ados).

Re: IPv6 entrant

vince34750 — Mon, 28 Mar 2022 11:26:13 GMT

Du 2a01...:xx00::/64 ou autre chose ?

==> autre chose. Dans le préfixe de la délégation en /60, pas dans le /56 de la LB. D'où le bazar.

La LB réponds effectivement au ping sur son adresse en /56 mais c'est tout. Aucun ping ne passe, même le coté WAN de opnsense. Le LAN je n'en parle même pas..... j'utilise en effet les 2 sites de test mentionnés.

J'ai mis des règles sur le réseau complet sur la LB, et des règles sélectives (ou pas selon le test) sur opnsense. Je ne laisse jamais ces règles plus de quelques secondes/minutes 💣 avec les logs dans une fenêtre et le gros bouton rouge sur le bureau.

Re: IPv6 entrant

Eric_Le_Grompf — Mon, 28 Mar 2022 20:13:44 GMT

Re!

Je profite d'un backup un peu immense par ici pour passer dans le coin rapidement pour se caller coté vocabulaire. sinon on risque de ne pas se comprendre.

une adresse c'est de l'IPv6 donc un /128.
un LAN, le truc avec un switch terminé par un routeur, pour faire simple : c'est un /64 dans le cas qui nous concerne.
un "réseau" de routeurs, c'est inferieur a un /64.

La livebox se fait déléguer la gestion d'un réseau en /56. C'est elle qui gère et route tout ce qui passe la dessus.

Elle se positionne sur le LAN entre elle et son routeur "délégueur" chez orange en prenant une adresse sur le premier LAN soit le sous-réseau 00 de sa delegation (choix d'Orange). Le "delegueur" sait que tout ce qui concerne le /56 passe par le ...:xx00::/64 qui s'en d*m*rd* et il ne s'inquiète même pas de savoir quelles sont les autres machines sur le ....:xx00::/64 (et encore moins pour ce qui se passe sur les autres /64 que gère la livebox).

En résumé la livebox consomme 8 bits d'adresse pour pouvoir créer 256 LAN. Par definition elle doit consommer des bits d'adresse pour pouvoir déléguer a son tour des sous-réseaux et des LANs. Orange a choisi que ca ne sera que des LANs donc des /64 à ce que j'ai pu voir dans mes logs. La livebox ne délèguera jamais son /56 a un sous-routeur mais juste des parties de celui-ci (c'est mathématiquement nécessaire pour pouvoir router entre LANs). De plus la livebox ayant déjà délégué son ...:xx00::/64 a elle meme : elle ne pourra pas le déléguer a un autre routeur ! Actuellement, elle ne répond qu'a son /128 sur son ...:xx00::/64 (et pas a son /56).

Maintenant arrive l'opensense (ou la grompfbox) qui demande a la livebox de lui déléguer un LAN, demande que la livebox va satisfaire en déléguant l'usage d'un /64 conformément aux requis d'orange et parmi ceux qui ne sont pas encore délégués. On va prendre comme exemple ici le ...:xxCF::/64. La livebox délègue ce réseau a l'opensense qui se prend une adresse dessus et elle sait que tout ce qui concerne ce LAN va vers l'opensense. Et elle se f**t du reste... et de tout ce qui y est connecté : c'est l'opensense qui gère (d'où le dropdown un peu vide dans la LB qui s'en tamponne l'alimentation...).

La voie de remontée se fait simplement, car chaque "délégueur" devient le routeur par défaut pour chaque "délégué". D'où aussi l'impossibilité d'utiliser le /56 ou le /64 de la livebox car ca ne routerait alors plus.

Ensuite, l'opensense comme un grand va affecter ce LAN a l'interface qui lui a été désignée par vos soin via sa configuration (et seulement un seule interface !). Son interface WAN reste, elle, une IP /128 sur le ...:xx00::/64 de la livebox. Et une adresse locale a ce LAN en ...:xxCF::/64 va être crée pour cette interface. toutes les machines connectées sur cette prise vont utiliser cette nouvelle IP /128 comme voie de sortie. L'opensense maintenant qu'il connait son IP et son LAN en /64 va en faire la pub par SLAAC sur cette interface. Les routes internes à l'opensense vont être aussi mises a jour de façon transparente pour vous

Et hop... votre réseau se met en marche. Une requête depuis le fin fond du LAN en ...:xxCF:.. va fonctionner. Le routage et les delegations se passent bien aller et retour quand vous faites une connexion sortante sur internet (ce que vous avez pu observer si j'ai bien lu).

Maintenant... reste deux choses indépendantes et séparée du routage brut : l'ICMPv6 et l'ouverture de traffic depuis l'extérieur.

Pour le premier, l'ICMPv6, il est nécessaire sur chaque LAN mais pas a l'extérieur du LAN. Il peut être coupé par n'importe quel routeur notamment ceux du propriétaire et responsable légal des IPs utilisées. Essentiellement par mesure de sécurité. Entièrement ou a demi ouvert : c'est une source de problème pour les men-in-blacks (et les avocats ôssi!). La culture IPv4 étant encore présente partout : ca attire aussi les problèmes. En IPv4, l'ICMP était un peu une foutaise donc c'était grand ouvert : en IPv6 c'est l'inverse donc les vis sont serrées sur le couvercle. bref, tant que les données utiles circulent : pas la peine de se créer un AVC sur la question tant qu'on a pas la main la sur le contrôleur réseau d'Orange. On gardera en mémoire que tout routeur n'a rien a faire de ce qui se passe hors de sa délégation et ne doit pas baver sur le routeur du voisin. Et aussi que tout le monde paye pour router de la charge marchande pas des données de gestion de réseau.

Pour le second, l'exposition des machines sur une IP (un /128) qui commence par un deux... Chaque machine ayant une délégation gère sa propre delegation et passe en mode "ranaf'" pour tout le reste et surtout sur ce qu'elle délègue a un sous-fifre qui est censé s'en occuper totalement. Ca explique logiquement l'absence de remplissage du dropdown du firewall de la livebox. Orange n'a pas mis en place de solution palliative, bien qu'ayant mis en place une interface graphique associée censée faire une partie du boulot dans les réglages autres que personnalisés (the bug!). Conclusion : on fait ca a la main. Et ca implique de vérifier que ca fonctionne avec de la vraie charge marchande pas de l'ICMP pour ne pas se créer d'effet de bord (voir ci dessus). Ca implique aussi d'activer les logs verbeux. Si vous avez un site web en IPv6, une connection directe avec son /128 sous la forme http://[2xxx:xxxx:...:xxxx]/test.html suffit pour faire le job de test pourvu que contenu de test.html soit facilement identifiable.

Pour l'instant, j'ai vérifié les règles d'exposition ciblées machine par machine et pas sur des réseaux complet. Ca marche dixit mes logs et ce que je vois sur l'écran du smartphone depuis l'extérieur d'orange (pas de wifi). Par contre je n'ai pas vérifié les règles d'ouverture par réseau complet. Donc : a voir pour celles-là de mon coté en effet.

Hop!

Re: IPv6 entrant

Eric_Le_Grompf — Mon, 28 Mar 2022 20:18:51 GMT

Re!

@vince34750 test du soir...

Full Open : ça marche ! il n'y a que cette règle dans le firewall qui ne fait plus firewall d'ailleurs...

Attention, il faut que le routeur derrière la livebox soit capable d'encaisser et gérer des visites sur une plage de 4722366482869645213696 adresses différentes.

Réseau ouvert : ça marche ôssi !

Et ça ne fait plus que 18446744073709551616 adresses a amortir.

Et on avait vu que ça marchait machine par machine... (et même port par port !)

Et pour éviter les effet de cache/proxy , j'ai changé mon test.html a chaque essai !

CQFD

Bref en IPv6 : plus besoin de courir derrière le "mode bridge" ou de se rouler par terre quand on était coincé derrière le NAT de l'IPv4 sans pouvoir éditer les tables de routage de la livebox.

bon... je suis certain qu'on va encore en trouver des pas piquées des hannetons en complexifiant le setup. Mais {un LAN-un routeur-une livebox} ca marche tout seul !

Et hop !

Re: IPv6 entrant

vince34750 — Tue, 29 Mar 2022 06:07:32 GMT

C'est bien ce qui motive mon passage en IPv6: fini le bricolage NAT/PAT & Co (double NAT sans mode bridge de surcroit) !

Je teste les ouvertures de FW ce soir en mettant ceinture/bretelle/ficelle au niveau des règles de mon côté avant.

Le 2a01::/64 est bien dans ce cas le prefix délégué par la box au routeur qui en a fait la demande ?

Mais alors la magnifique dropdown ne sert au final plus à rien avec cette magnifique règle manuelle !!