internet & fixe Livebox

Voir tous les sujets internet & fixe

Bonjour,

@vince34750L'idée c'est de connecter les appareils devant faire serveur directement sur la livebox sans passer par l'opensense ; ceci si vous voulez garder le firewall de la livebox en "automatique" genre "reglage moyen". Si vous utilisez le wifi de la livebox : c'est pareil vous vous connectez directement sur la livebox.

Donc, ici, ça se fait soit physiquement en tricotant les câbles et en déplaçant les connecteurs.

Ou soit, en "déplaçant virtuellement", ces connexions au niveau d'un switch managé, en deux clics. En ayant par exemple un VLAN "Orange" (numéro au choix)  sur qui est connecté au minimum la livebox et l'opensense et un VLAN "Perso" (numéro au choix aussi) ou sont connectés l'opensense et vos appareils : le fait d'affecter un connecteur a un VLAN ou un autre permet de "déplacer" un appareil sans y toucher ni bouger un seul câble. C'est un choix de flemme technologique.

Par contre si vous placez le firewall de la livebox en "manuel" avec des règles personnalisées : vous exposez vous même vos machines en IPv6 disponibles derrière l'opensense directement via la livebox, et donc plus besoin de solution de contournement vu que le firewall de la livebox va être ouvert machine par machine par vos soins...

Les machines ne seront pas visibles sur la livebox car non connectée directement : mais le job sera fait et elles seront joignables depuis l’extérieur.

Mais attention : ça réclame un opensense réglé aux petits oignons pour IPv4 et IPv6, idem pour la livebox ! Attention aussi aux règles minimale a s'imposer si vous utilisez le boitier TV orange.

C'est en effet ce que j'utilise déjà pour le boitier TV qui n'apprécie guère de ne pas voir directement la LB. j'utilise un VLAN dédié (le 100, pour jongler entre Free te Orange de manière transparente) sur lequel se trouve la LB, et le boitier TV à l'autre bout via du CPL. LE CPL trimbale donc déjà un VLAN dans toute la maison, avec à chaque fois un switch derrière l'adaptateur CPL.

J'espère qu'une mise à jour règlera ce problème ennuyeux un de ces jours......

Re!

@vince34750 Il faudrait trouver comment avoir du 2a01:...00:... derrière mon firewall comme workaround,

Ça : il faut l'oublier. Ça ne marche pas comme ça un routeur. chose qui est fait pour router avec d'autres routeurs en face.

Sauf a configurer votre opensense en bridge-filtrant (bridge + firewall) au lieu de routeur filtrant (routeur + firewall), ca ne sera pas possible. Mais ça c'est une autre histoire.

Là, on a vérifié que le routeur + firewall IPv6 fonctionne derrière une livebox a une reprise manuelle du firewall de cette dernière près. Bref, on n'a pas fait du sale et coté utilisateur 99% du taff est fait (le 1% manquant reste le fait de ne pas se fatiguer en clicouillant sur l'interface graphique du firewall de la livebox).

@vince34750 en sachant que j'aime bien avoir du fd: pour etre "autonome" sur mon adressage.

Ca : c'est simple a avoir : c'est l'opensense qui le fournit a vos machines sauf a votre livebox qui n'en a rien a faire. C'est de base.

@vince34750  NPT6 me plaît bien comme concept pour le coup....

Ce NPTv6 :  c’était la solution idéale quand Orange ne nous avait pas signifié que son DHCP6-PD était fonctionnel. Ou avant que ça ne soit découvert comme étant fonctionnel. Pour moi c’était il y a deux jours... j’avais déjà testé ça auparavant et ça ne répondait pas du tout : je me faisais insulter en gothique dans mes logs.

L'usage du NPTv6 reviendra de lui même chez orange quand ils décideront a nous changer à nouveau les prefixes tous les cinq matins, vu que ça pète les DNS.

N'oubliez pas que vous pouvez avoir autant d'IPv6 sur une interface que vous le voulez ! un FD, un 2, etc ca vous permet d'avoir un adressage fixe et toujours disponible sans processus de traduction vu que si la livebox disparaît le 2 va disparaître de lui même et il vous restera toujours le FD. Ca marchera tout seul...

@vince34750 Orange se ballade souvent sur le forum pour alimenter leur backlog ?

Houla... ca j'en sais rien et je ne veux pas le savoir... Il ne faut jamais se mêler du business d'autrui !

J'ai tenté une approche différente: DHCPv6 PD sur le WAN et interface LAN en mode track sur le WAN : j'ai donc du 2a:01 sur mes clients (mais toujours rien sur la dropdown du FW de la LB à part mon opnsense).

(J'ai aussi testé avec DHCPv6 sur opnsense en forward sur la LB pour le fun). Je me retrouve donc avec des adresses en 2a01: sur mon LAN, et la connectivité IPv6 sortante est OK. C'est bien IPv6 qui est prioritaire sur IPv4 alors que ce n'était pas le cas avant selon test-ipv6.com

J'ai ensuite ajouté comme vous des règles personnalisées IPv6 pour autoriser tout le traffic, sans succès. un tcpdump sur le port WAN ne montre pas le moindre petit paquet ICMPv6 en provenance de https://tools.keycdn.com/ipv6-ping

J'ai bien l'impression que c'est toujours ce fichu problème de non-détection des clients, ainsi que la non nouverture du prefixe délégué. Le firewall IPv6 semble prioritaire sur les règles personnalisées (voir même redondant) J'ai l'impression de tourner en rond....

Bonjour,

@vince34750 J'ai tenté une approche différente: DHCPv6 PD sur le WAN et interface LAN en mode track sur le WAN : j'ai donc du 2a:01 sur mes clients (mais toujours rien sur la dropdown du FW de la LB à part mon opnsense).

Du 2a01...:xx00::/64 ou autre chose ?

le dropdown ne fonctionnera pas pour l'instant, a mon avis, tant que les machines ne seront pas sur le 2a01:...:xx00::/64.

Pas la peine meme d'en rêver.

Essayez test-ipv6.com et ipv6-test.com. le second a aussi des infos intéressantes.

@vince34750 J'ai ensuite ajouté comme vous des règles personnalisées IPv6 pour autoriser tout le traffic, sans succès. un tcpdump sur le port WAN ne montre pas le moindre petit paquet ICMPv6 en provenance de https://tools.keycdn.com/ipv6-ping

Idem chez moi. Ce site, comme d'autres d'ailleurs, ne fonctionne pas sur les sous-réseaux délégués. L'ICMPv6 semble filtré quelque part. Par contre, je peux faire un ping sur l'IPv6 de la livebox en 2a01:..:xx00:...

Ca peut s'accepter vu que c'est une source de piratage assez facile. Par exemple, on peut vous dérouter le routage a distance les doigts dans le nez et jusqu'au coude après vous avoir scanné le réseau tranquillement pendant plus d'une semaine si c'est complètement ouvert. Pas mal de routeurs de transit surveillent ca comme le lait sur le feu et ne font pas dans la finesse; L'ICMPv6 n'est pas sécurisé de base. Par contre l'ICMPv6 vous est nécessaire en interne sur votre LAN (et peut l'être aux transporteurs en interne aussi en fonction des technologies utilisées).

Mais pour traverser entre des LANs avec une delegation de prefix dessus : je ne suis pas certains que ce soit vraiment nécessaire d'où une possible restriction. Je ne sais d'ailleurs pas à quoi se réfère exactement la boite a cocher "autoriser le ping" sur l'interface du firewall de la LB. Je suspecte que ce soit juste une règle générique façon IPv4+NAT qui ne concerne que la livebox sur son IP personnelle.

Par contre du pax normal passe et traverse jusqu'au serveurs internes a mon LAN depuis des réseaux non-orange comme mentionné précédemment.

D'ailleurs, ipv6-test indique pour mon serveur ou ma station de travail que c'est filtré ou non testable coté ICMPv6. Les bonnes IPv6 sont bien détectées aussi bien avec des adresses jetables ou des fixes en 2a01:...:xxd7:...

Sinon, vous avez ouvert par réseau ou par machine dans le firewall de la livebox ?

Ce soir, ma livebox va se prendre une règle IPv6 genre "accepte tout depuis tous vers tous"  après avoir monté le firewall de la grompfbox au niveau "nazi". On va voir ce que ca donne ! (Attention à bien maîtriser tous les angles morts... dans le cas contraire ne pas tenter de m'imiter :  c'est un coup a provoquer un divorce chez les adultes ou a se retrouver expédié au college militaire chez les ados).

Du 2a01...:xx00::/64 ou autre chose ?

==> autre chose. Dans le préfixe de la délégation en /60, pas dans le /56 de la LB. D'où le bazar.

La LB réponds effectivement au ping sur son adresse en /56 mais c'est tout. Aucun ping ne passe, même le coté WAN de opnsense. Le LAN je n'en parle même pas..... j'utilise en effet les 2 sites de test mentionnés.

J'ai mis des règles sur le réseau complet sur la LB, et des règles sélectives (ou pas selon le test) sur opnsense. Je ne laisse jamais ces règles plus de quelques secondes/minutes 💣 avec les logs dans une fenêtre et le gros bouton rouge sur le bureau.

Re!

Je profite d'un backup un peu immense par ici pour passer dans le coin rapidement pour se caller coté vocabulaire. sinon on risque de ne pas se comprendre.

• une adresse c'est de l'IPv6 donc un /128.
• un LAN, le truc avec un switch terminé par un routeur, pour faire simple  : c'est un /64 dans le cas qui nous concerne.
• un "réseau" de routeurs, c'est inferieur a un /64.

La livebox se fait déléguer la gestion d'un réseau en /56. C'est elle qui gère et route tout ce qui passe la dessus.

Elle se positionne sur le LAN entre elle et son routeur "délégueur" chez orange en prenant une adresse sur le premier LAN soit le sous-réseau 00 de sa delegation (choix d'Orange). Le "delegueur" sait que tout ce qui concerne le /56 passe par le ...:xx00::/64 qui s'en d*m*rd* et il ne s'inquiète même pas de savoir quelles sont les autres machines sur le ....:xx00::/64 (et encore moins pour ce qui se passe sur les autres /64 que gère la livebox).

En résumé la livebox consomme 8 bits d'adresse pour pouvoir créer 256 LAN. Par definition elle doit consommer des bits d'adresse pour pouvoir déléguer a son tour des sous-réseaux et des LANs. Orange a choisi que ca ne sera que des LANs donc des /64 à ce que j'ai pu voir dans mes logs. La livebox ne délèguera jamais son /56 a un sous-routeur mais juste des parties de celui-ci (c'est mathématiquement nécessaire pour pouvoir router entre LANs). De plus la livebox ayant déjà délégué son ...:xx00::/64 a elle meme : elle ne pourra pas le déléguer a un autre routeur ! Actuellement, elle ne répond qu'a son /128 sur son ...:xx00::/64 (et pas a son /56).

Maintenant arrive l'opensense (ou la grompfbox) qui demande a la livebox de lui déléguer un LAN, demande que la livebox va satisfaire en déléguant l'usage d'un /64 conformément aux requis d'orange et parmi ceux qui ne sont pas encore délégués. On va prendre comme exemple ici le ...:xxCF::/64. La livebox délègue ce réseau a l'opensense qui se prend une adresse dessus et elle sait que tout ce qui concerne  ce LAN va vers l'opensense. Et elle se f**t du reste... et de tout ce qui y est connecté : c'est l'opensense qui gère (d'où le dropdown un peu vide dans la LB qui s'en tamponne l'alimentation...).

La voie de remontée se fait simplement, car chaque "délégueur" devient le routeur par défaut pour chaque "délégué". D'où aussi l'impossibilité d'utiliser le /56 ou le /64 de la livebox car ca ne routerait alors plus.

Ensuite, l'opensense comme un grand va affecter ce LAN a l'interface qui lui a été désignée par vos soin via sa configuration (et seulement un seule interface !). Son interface WAN reste, elle, une IP /128 sur le ...:xx00::/64 de la livebox. Et une adresse locale a ce LAN en ...:xxCF::/64 va être crée pour cette interface. toutes les machines connectées sur cette prise vont utiliser cette nouvelle IP /128 comme voie de sortie. L'opensense maintenant qu'il connait son IP et son LAN en /64 va en faire la pub par SLAAC sur cette interface. Les routes internes à l'opensense vont être aussi mises a jour de façon transparente pour vous

Et hop... votre réseau se met en marche. Une requête depuis le fin fond du LAN en ...:xxCF:.. va fonctionner. Le routage et les delegations se passent  bien aller et retour quand vous faites une connexion sortante sur internet (ce que vous avez pu observer si j'ai bien lu).

Maintenant... reste deux choses indépendantes et séparée du routage brut : l'ICMPv6 et l'ouverture de traffic depuis l'extérieur.

Pour le premier, l'ICMPv6, il est nécessaire sur chaque LAN mais pas a l'extérieur du LAN. Il peut être coupé par n'importe quel routeur notamment ceux du propriétaire et responsable légal des IPs utilisées. Essentiellement par mesure de sécurité. Entièrement ou a demi ouvert : c'est une source de problème pour les men-in-blacks (et les avocats ôssi!). La culture IPv4 étant encore présente partout : ca attire aussi les problèmes. En IPv4, l'ICMP était un peu une foutaise donc c'était grand ouvert : en IPv6 c'est l'inverse donc les vis sont serrées sur le couvercle.  bref, tant que les données utiles circulent : pas la peine de se créer un AVC sur la question tant qu'on a pas la main la sur le contrôleur réseau d'Orange. On gardera en mémoire que tout routeur n'a rien a faire de ce qui se passe hors de sa délégation et ne doit pas baver sur le routeur du voisin. Et aussi que tout le monde paye pour router de la charge marchande pas des données de gestion de réseau.

Pour le second, l'exposition des machines sur une IP (un /128) qui commence par un deux... Chaque machine ayant une délégation gère sa propre delegation et passe en mode "ranaf'" pour tout le reste et surtout sur ce qu'elle délègue a un sous-fifre qui est censé s'en occuper totalement. Ca explique logiquement l'absence de remplissage du dropdown du firewall de la livebox. Orange n'a pas mis en place de solution palliative, bien qu'ayant mis en place une interface graphique associée censée faire une partie du boulot dans les réglages autres que personnalisés (the bug!). Conclusion : on fait ca a la main. Et ca implique de vérifier que ca fonctionne avec de la vraie charge marchande pas de l'ICMP pour ne pas se créer d'effet de bord (voir ci dessus). Ca implique aussi d'activer les logs verbeux. Si vous avez un site web en IPv6, une connection directe avec son /128 sous la forme http://[2xxx:xxxx:...:xxxx]/test.html suffit pour faire le job de test pourvu que contenu de test.html soit facilement identifiable.

Pour l'instant, j'ai vérifié les règles d'exposition ciblées machine par machine et pas sur des réseaux complet. Ca marche dixit mes logs et ce que je vois sur l'écran du smartphone depuis l'extérieur d'orange (pas de wifi). Par contre je n'ai pas vérifié les règles d'ouverture par réseau complet. Donc : a voir pour celles-là de mon coté en effet.

Hop!

Re!

@vince34750 test du soir...

Full Open : ça marche ! il n'y a que cette règle dans le firewall qui ne fait plus firewall d'ailleurs...

Attention, il faut que le routeur derrière la livebox soit capable d'encaisser et gérer des visites sur une plage de 4722366482869645213696 adresses différentes.

Réseau ouvert : ça marche ôssi !

Et ça ne fait plus que 18446744073709551616 adresses a amortir.

Et on avait vu que ça marchait machine par machine... (et même port par port !)

Et pour éviter les effet de cache/proxy , j'ai changé mon test.html a chaque essai !

CQFD

Bref en IPv6 : plus besoin de courir derrière le "mode bridge" ou de se rouler par terre quand on était coincé derrière le NAT de l'IPv4 sans pouvoir éditer les tables de routage de la livebox.

bon... je suis certain qu'on va encore en trouver des pas piquées des hannetons en complexifiant le setup. Mais {un LAN-un routeur-une  livebox} ca marche tout seul !

Et hop !

C'est bien ce qui motive mon passage en IPv6: fini le bricolage NAT/PAT & Co (double NAT sans mode bridge de surcroit) !

Je teste les ouvertures de FW ce soir en mettant ceinture/bretelle/ficelle au niveau des règles de mon côté avant.

Le 2a01::/64 est bien dans ce cas le prefix délégué par la box au routeur qui en a fait la demande ?

Mais alors la magnifique dropdown ne sert au final plus à rien avec cette magnifique règle manuelle !!