Bonjour,
 
avec mon passage récent sur une connection fibre ipv6, je me retrouve face au probleme d'acces a mon reseau depuis l'extérieur, comme beaucoup de monde.
je voudrai tenter de faire avec et ne pas demander d'ipv4 a mon FAI (SFR RED avec box NB6VAC)
 
globalement je ne fait pas trop de souci pour la plupart de mes usages, les raspberry par exemple c'est ok.
mais je possede un appareil un peu ancien, un DVR enregistreur pour mes caméras. celui ci ne prend que l'IPV4,
 
ma question donc, car je ne sais pas comment chercher cela, je ne connais pas les bons mots clefs.
 
existe il un appareil qui permettrai de faire la passerelle de mon reseau V6, vers cet appareil V4, de manière transparente si possible ?
 
je suis preneur de toute piste possible.
merci

Salut,
 
Si ça n'a pas changé c'est toujours du CGNAT ? (IPv4 privée sur le WAN de la box, comme sur mobile). Dans ce cas un VPN Ipv6 est la seule solution. Et d'ailleurs même si tu avais une ipv4 publique, accéder à un DVR directement depuis l’extérieur est une très mauvaise idée  (gros risque de piratage).
 
Vu que tu as des raspberry, tu peux très facilement monter un VPN. Je te conseille Wireguard : ultra simple à configurer et peu consommateur en ressources. J'en ai un sur RPi 2 en site-to-site et pour du nomade : ça marche nickel.

oui l'IPV4 est en CGNAT.
 
Je comprend les risques de mon DVR, il est protégé par mot de passe. au pire on peut voir un devant de porte, le fond du jardin et l'intérieur du poulailler.
 
par contre je vois pas trop comment je pourrai faire pour me connecter par ex depuis l'appli du smartphone (seule capable de se connecter au protocole chinois du DVR) par un tunnel VPN.
 
perso, j'imaginai plutot une solution du style un boitier possedant une IPV6 et lui meme connecté au DVR, il s'occuperai de faire une traduction transparent.
mais cela ne doit pas exister

L'application marche comment ?

Le DVR se connecte aux serveurs de la boite tout comme l'app ? Ou ça se connecte en local ? Si c'est en local ça ne devait pas poser de problème.

En gros :
-Connexion ipv6 entre ton smartphone et un des raspberry.
-Le tunnel est configuré pour accéder à ton LAN en Ipv4.

Petit schéma :

Ok, je vois globalement le principe. Mais je suppose que cela m'oblige à configurer le tunnel au niveau global android.
 
Au cours de mes recherches, je pense avoir un début de piste qui me semble correspondre un peu plus a mes attentes.
c'est le système DNS64 et NAT64 qui permet de faire une traduction d'IPV6 vers IPV4.
https://fr-wiki.ikoula.com/fr/Confi [...] t_unbound)

Je crois qu'il te manque de nombreux éléments de compréhension.

Le DNS/NAT64, c'est fait pour accéder à un réseau IPv4 en ayant seulement une IPv6, mais pour des adresses publiques (ce que font bouygues et orange sur mobile par ex).

Et même en admettant mettre ça en place sur ton LAN, il faudra bien te connecter à celui-ci pour ensuite aller faire une requête sur le DNS afin de récupérer la "fausse" ipv6, quoi qu'il arrive un VPN reste obligatoire. En partant de ce principe ça fait double boulot pour 0 avantage.

Sans compter que dans ce cas il faut que ton appli fonctionne en IPv6 (et oui).

Tu vois le problème ou pas ?

Oui je sais que je suis très loin de maitriser ne serait-ce que les bases en réseaux. Alors je peux dire des choses qui paraissent bêtes.
 
enfin je verrai, je ne pense pas que je ferai des tunnels. Car je ne souhaite pas acceder a un reseau ipv4 complet mais a seulement un appareil.
et je vois bien maintenant les soucis avec nat64 et donc pourquoi je n'arrivai pas a l'appliquer.
 
j'utilise ce DVR car je l'ai eu gratos, et vu le prix en neuf, je ne compte pas investir dans du matos récent pour le moment. tampis, il restera hors ligne le temps de trouver une solution.
 
je me dis quand meme qu'il doit bien y avoir un moyens de faire cela au niveau local et sans trop de complication ? non ?
voila le schema de ce que j'ai en tête :

Dans mon esprit simpliste, grace au pont reseau entre eth0 et eth1 sur le raspberry. Si on se connecte depuis l'exterieur sur abc:def::4 on se connecterai en fait de manière transparente sur 192.168.2.2 puisque la raspberry s'occuperai de la traduction et du transfert des paquets ip.
 
enfin bon, je vais surement en rester la.
merci en tout cas du temps passé a me répondre renaud072

Alors, je me suis renseigné un peu plus et il est bien possible de faire comme tu le décris (ipv6 publique vers ipv4 privée). Mais ça implique toujours que ton appli sache faire de l'ipv6, ce qui ne semble pas le cas. Donc on est bloqué dans tous les cas.

Et pour le VPN, si tu ne veux vraiment accéder qu'à ton DVR, c'est possible :  il suffit de restreindre le tunnel à sa seule IP + raspberry. Et le reste du trafic ne passe pas par le tunnel.

L'appli android, c'est Meye, elle est utilisable pour plusieurs modèles de DVR. donc a priori elle devrait savoir travailler en IPV6.
 
seul le boitier DVR à la maison ne gère que l'IPV4.

Ce n'est pas garanti.
 
Et au vu de la tronche de celle-ci, ça sent le truc simple sans chiffrement. Ton DVR supporte le https ? Si c'est pas le cas, je ne m'amuserais pas à l'exposer au net direct c'est bien trop risqué.
 

 
ok je veux bien, mais concrètement ?
peux tu me donner un exemple de ce qu'il serait possible de faire en exploitant un accès à un DVR ?

Une faille qui permet d’infiltrer le réseau à partir de celui-ci ? Ça s'est déjà vu.

une faille
Le terme est un peu généraliste. Des failles il y en a partout.
 
Enfin bon j'ai trouvé une solution qui fonctionne.
ça vaut ce que ça vaut. mais ça marche, et je l'ai fait de manière à satisfaire la sécurité.
 
Pour l'appli tu as raison, elle ne gere pas l'IPV6 non plus.
et pour la compréhension de la solution, il faut savoir que j'ai un petit serveur dédié avec une IPV4.
 
j'ai donc trouvé la solution avec le programme socat sous linux.
 
le DVR est de nouveau connecté en direct sur la box.
 
dans l'appli android, je met comme adresse du dvr, l'adresse de mon dédia en IPV4 port 123 (exemple)
 
sur le dédié j'ai créé un service avec pour commande :
socat TCP4-LISTEN:123,fork TCP6:raspberry:123
 
sur la raspberry, a la maison socat aussi :
socat TCP6-LISTEN:123,fork TCP4:192.168.1.9:123
 
Et je fait en sorte de pouvoir lancer et arreter les services socat pour que le DVR ne soit pas en permanence accessible de l'exterieur.
 
 
 
 

Et ben voilà, t'as même pas eu besoin de moi