Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2945 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

IPv6

n°1070214
isyris
Posté le 06-03-2019 à 14:31:09  profilanswer
 

Bonjour à tous,
 
Je dispose d'un petit serveur at home avec quelques services sur machines virtuelles (Site Web, VPN...) et je souhaite attribuer une IPv6 à ces VMs.
Au niveau de la connectivité j'ai souscris chez un FAI Alternatif Local un service VPN + IPv4 + /48 IPv6.
Le sysadmin me transmet cette info:  
"Tu as un / 48 routé vers ton réseau :
 
route 2001:913:300c::/48 via 2001:913:3002::2;"
Mon bloc v6 serait donc: 2001:913:300c::/48  
Ce qui représente 65536 /64.
Je compte utiliser le premier bloc /64 (si possible évidemment) soit la première adresse:
2001:913:300c::1/64.
Je dispose d'un firewall homemade sous Debian.
 
Quelle serait la démarche pour utiliser et router ces IPv6 sur mon réseau et ainsi attribuer une (plusieurs) IPv6 à mes VMs?
 
Merci d'avance,
 
isyris.

mood
Publicité
Posté le 06-03-2019 à 14:31:09  profilanswer
 

n°1070230
Ivy gu
3 blobcats dans un trenchcoat
Posté le 06-03-2019 à 15:42:20  profilanswer
 

router normalement c'est déjà fait, il te suffit de créer une interface IP en /64 sur l'interface interne de ton firewall, et d'attribuer les IP que tu veux dans le même subnet à tes VM (ou utiliser DHCPv6)


---------------
Vous venez de perdre une seconde.
n°1070238
isyris
Posté le 06-03-2019 à 16:09:27  profilanswer
 

Je met une adresse, un cdir, mais quid de la passerelle ? (pour le firewall j'entends)


Message édité par isyris le 06-03-2019 à 16:09:51
n°1070244
isyris
Posté le 06-03-2019 à 16:15:06  profilanswer
 

Ah j'ai peux-être compris, désolé je suis noob en v6 (pas les moteurs :o) :/
J'attribue une ipv6 sur le firewall et je met la commande  

Code :
  1. route  2001:913:300c::/48 via 2001:913:3002::2;

?
Seulement 2001:913:3002::2 n'st pas pingable, c'est à moi de faire qqch?
 
EDIT: à noter qu'il m'a donné ça au début:
 

Code :
  1. ===== IPv6 ==========
  2. Réseau routé vers IP: 2001:913:300c::/48
  3. IP : 2001:913:3002::2/126
  4. Gateway : 2001:913:3002::1


 
J'ai d'autres manips à faire?
 
Et quand je me connecte au VPN,  
 
Je peux attribuer l'ip 2001:913:3002::2/126 et gateway 2001:913:3002::1 et ça fonctionne..


Message édité par isyris le 06-03-2019 à 16:18:36
n°1070252
Ivy gu
3 blobcats dans un trenchcoat
Posté le 06-03-2019 à 16:36:18  profilanswer
 

y'a fondamentalement aucune différence avec ipv4

 

2001:913:3002:: /126 c'est ton réseau d'interco avec ton FAI,
tu mets 2001:913:3002::2/126 tu la patte wan de ton firewall
default gateway de ton firewall 2001:913:3002::1 (ie le routeur de ton FAI)

 

ensuite tu peux utiliser n'importe quel subnet /64 contenu dans 2001:913:300c:: /48 pour ton LAN.

 

mauvais point pour ton FAI qui a mis un /126 pour l'interco alors que normalement c'est du /127 [:wade:3] mais c'est pas grave ça marche quand même.


Message édité par Ivy gu le 06-03-2019 à 16:37:13

---------------
Vous venez de perdre une seconde.
n°1070536
isyris
Posté le 08-03-2019 à 16:28:46  profilanswer
 

Bon j'ai ajouté l'adresse à mon FW; par contre j'ai un petit soucis:

Code :
  1. root@firewall:~# ip -6 r
  2. 2001:913:3002::/126 dev vpn_vpnv6  proto kernel  metric 256
  3. fe80::/64 dev eth0  proto kernel  metric 256
  4. fe80::/64 dev vpn_vpn  proto kernel  metric 256
  5. fe80::/64 dev vpn_vpnv6  proto kernel  metric 256
  6. default via 2001:913:3002::1 dev vpn_vpnv6  metric 1024


Code :
  1. root@firewall:~# ping6 2001:4860:4860::8888
  2. PING 2001:4860:4860::8888(2001:4860:4860::8888) 56 data bytes
  3. From 2001:913:3002::2 icmp_seq=1 Destination unreachable: Address unreachable
  4. From 2001:913:3002::2 icmp_seq=2 Destination unreachable: Address unreachable
  5. From 2001:913:3002::2 icmp_seq=3 Destination unreachable: Address unreachable
  6. From 2001:913:3002::2 icmp_seq=4 Destination unreachable: Address unreachable
  7. ^C
  8. --- 2001:4860:4860::8888 ping statistics ---
  9. 7 packets transmitted, 0 received, +4 errors, 100% packet loss, time 6040ms


Mes routes sont bonnes?
 

n°1070543
Ivy gu
3 blobcats dans un trenchcoat
Posté le 08-03-2019 à 18:09:41  profilanswer
 

tu arrives à pinguer l'adresse d'interco du FAI déjà ? si non est-ce qu'il apparait au moins dans la table des neighbors ? et si oui que donne un traceroute vers internet ?

 

edit : en fait j'ai un doute, tu es sûr que ton interface ipv6 existe bien là ? fais un "ip -6 addr show"

Message cité 1 fois
Message édité par Ivy gu le 08-03-2019 à 18:13:06

---------------
Vous venez de perdre une seconde.
n°1070614
isyris
Posté le 09-03-2019 à 14:03:01  profilanswer
 

Ivy gu a écrit :

tu arrives à pinguer l'adresse d'interco du FAI déjà ? si non est-ce qu'il apparait au moins dans la table des neighbors ? et si oui que donne un traceroute vers internet ?  
 
edit : en fait j'ai un doute, tu es sûr que ton interface ipv6 existe bien là ? fais un "ip -6 addr show"


Bien vu, je n'arrive pas à pinger:

Code :
  1. root@firewall:~# ping 2001:913:3002::1
  2. ping: unknown host 2001:913:3002::1
  3. root@firewall:~# ping6 2001:913:3002::1
  4. PING 2001:913:3002::1(2001:913:3002::1) 56 data bytes
  5. From 2001:913:3002::2 icmp_seq=1 Destination unreachable: Address unreachable
  6. From 2001:913:3002::2 icmp_seq=2 Destination unreachable: Address unreachable
  7. From 2001:913:3002::2 icmp_seq=3 Destination unreachable: Address unreachable
  8. ^C
  9. --- 2001:913:3002::1 ping statistics ---
  10. 5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4022ms
  12. root@firewall:~#


 
Pour la commande que tu m'as demandé:

Code :
  1. root@firewall:~# ip -6 addr show
  2. 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
  3.     inet6 ::1/128 scope host
  4.        valid_lft forever preferred_lft forever
  5. 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
  6.     inet6 fe80::215:5dff:fe01:f906/64 scope link
  7.        valid_lft forever preferred_lft forever
  8. 3: vpn_vpn: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 500
  9.     inet6 fe80::5c62:50ff:feb2:c08/64 scope link
  10.        valid_lft forever preferred_lft forever
  11. 4: vpn_vpnv6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 500
  12.     inet6 2001:913:3002::2/126 scope global
  13.        valid_lft forever preferred_lft forever
  14.     inet6 fe80::5c66:32ff:fe01:a84f/64 scope link
  15.        valid_lft forever preferred_lft forever
  16. root@firewall:~#


n°1070617
Ivy gu
3 blobcats dans un trenchcoat
Posté le 09-03-2019 à 15:57:38  profilanswer
 

je dirais que ton vpn n'est pas bien monté. Il faudrait regarder ce que disent les logs.

Message cité 1 fois

---------------
Vous venez de perdre une seconde.
n°1070726
isyris
Posté le 11-03-2019 à 12:33:13  profilanswer
 

Ivy gu a écrit :

je dirais que ton vpn n'est pas bien monté. Il faudrait regarder ce que disent les logs.


Bien vu ! J'avais oublié de démarrer le service au démarrage du FW.

Code :
  1. root@firewall:~# ping6 2001:4860:4860::8888
  2. PING 2001:4860:4860::8888(2001:4860:4860::8888) 56 data bytes
  3. 64 bytes from 2001:4860:4860::8888: icmp_seq=1 ttl=61 time=55.2 ms
  4. 64 bytes from 2001:4860:4860::8888: icmp_seq=2 ttl=61 time=26.7 ms
  5. 64 bytes from 2001:4860:4860::8888: icmp_seq=3 ttl=61 time=27.8 ms
  6. 64 bytes from 2001:4860:4860::8888: icmp_seq=4 ttl=61 time=26.1 ms
  7. 64 bytes from 2001:4860:4860::8888: icmp_seq=5 ttl=61 time=25.9 ms
  8. ^C
  9. --- 2001:4860:4860::8888 ping statistics ---
  10. 5 packets transmitted, 5 received, 0% packet loss, time 4006ms
  11. rtt min/avg/max/mdev = 25.923/32.373/55.206/11.437 ms
  12. root@firewall:~#

mood
Publicité
Posté le 11-03-2019 à 12:33:13  profilanswer
 

n°1070730
isyris
Posté le 11-03-2019 à 13:54:45  profilanswer
 

Et du coups, j'ai ajouté cette règle à mon firewall:

Code :
  1. ip -6 addr add 2001:913:300c::1/64 dev vpn_vpnv6


je ping du v6 sans problème maintenant, 2001:913:300c::1/64 est pingable depuis l'extérieur.
Sur de mes pc à distance sur un autre réseau, j'attribue l'adresse  
2001:913:300c::2/64 et la gateway 2001:913:300c::1 qui est la pate du /64 sur mon firewall . Je ping :

Code :
  1. C:\Windows\system32>ping 2001:913:3002::2
  3. Envoi d’une requête 'Ping'  2001:913:3002::2 avec 32 octets de données :
  4. Réponse de 2001:913:3002::2 : temps=43 ms
  5. Réponse de 2001:913:3002::2 : temps=44 ms
  7. ET:
  9. C:\Windows\system32>ping 2001:913:300c::1
  11. Envoi d’une requête 'Ping'  2001:913:300c::1 avec 32 octets de données :
  12. Réponse de 2001:913:300c::1 : temps=43 ms
  14. Statistiques Ping pour 2001:913:300c::1:
  15.     Paquets : envoyés = 1, reçus = 1, perdus = 0 (perte 0%),
  16. Durée approximative des boucles en millisecondes :
  17.     Minimum = 43ms, Maximum = 43ms, Moyenne = 43ms
  18. Ctrl+C


Pas non plus depuis l'extérieur:

Code :
  1. PING 2001:913:300c::2(2001:913:300c::2) 32 data bytes
  3. --- 2001:913:300c::2 ping statistics ---
  4. 4 packets transmitted, 0 received, 100% packet loss, time 2999ms


 
Je ne ping pas la gateway de mon FAI par exemple, aucun ping sur le WAN ne passe...
 
EDIT: On dirait que ma gateway ne fait pas le routage

Message cité 1 fois
Message édité par isyris le 11-03-2019 à 13:56:10
n°1070732
isyris
Posté le 11-03-2019 à 13:59:22  profilanswer
 

Bon problème réglé avec:
 

Code :
  1. echo 1 >/proc/sys/net/ipv6/conf/all/forwarding

n°1070735
Ivy gu
3 blobcats dans un trenchcoat
Posté le 11-03-2019 à 14:34:59  profilanswer
 

isyris a écrit :

Et du coups, j'ai ajouté cette règle à mon firewall:

Code :
  1. ip -6 addr add 2001:913:300c::1/64 dev vpn_vpnv6


 


 
je ne sais pas si tu as fait une faute d'inattention en écrivant ton post mais au cas où : c'est pas une règle firewall ça, c'est l'ajout d'une adresse IP sur ton interface virtuelle VPN (souvent c'est géré automatiquement pas le VPN mais peut-être que dans ton cas particulier ce n'est pas le cas).

Message cité 1 fois

---------------
Vous venez de perdre une seconde.
n°1070736
isyris
Posté le 11-03-2019 à 14:38:13  profilanswer
 

Ivy gu a écrit :


 
je ne sais pas si tu as fait une faute d'inattention en écrivant ton post mais au cas où : c'est pas une règle firewall ça, c'est l'ajout d'une adresse IP sur ton interface virtuelle VPN (souvent c'est géré automatiquement pas le VPN mais peut-être que dans ton cas particulier ce n'est pas le cas).


Effectivement faute de frappe :o  
Ce n'est pas fait automatiquement avec mon service VPN :/

n°1070772
isyris
Posté le 11-03-2019 à 20:32:05  profilanswer
 

Mais du coup, pour attribuer de l'IPv6 sur mon LAN, je dois installer le client VPN sur toutes mes machines?
Car par exemple j'ai testé sur mon pc portable:
IP: 2001:913:300c::2
Masque: 64
Gateway: 2001:913:300c::1 (qui est censée être la pate lan de mon /64).

Message cité 1 fois
n°1070775
Ivy gu
3 blobcats dans un trenchcoat
Posté le 11-03-2019 à 20:53:28  profilanswer
 

isyris a écrit :

Mais du coup, pour attribuer de l'IPv6 sur mon LAN, je dois installer le client VPN sur toutes mes machines?


 
non pourquoi ? il faut juste que tes machines aient une ipv6 dans ton subnet contenu dans ton préfixe 2001:913:300c:: /48 pour que les paquets retour te reviennent bien via ton FAI VPN.
 

isyris a écrit :


Car par exemple j'ai testé sur mon pc portable:
IP: 2001:913:300c::2
Masque: 64
Gateway: 2001:913:300c::1 (qui est censée être la pate lan de mon /64).


 
tu as testé, et donc ?

Message cité 1 fois

---------------
Vous venez de perdre une seconde.
n°1070782
Je@nb
Modérateur
Kindly give dime
Posté le 11-03-2019 à 22:13:03  profilanswer
 

met radvd ça sera plus simple

Message cité 1 fois
n°1070786
isyris
Posté le 11-03-2019 à 23:05:21  profilanswer
 

Ivy gu a écrit :


 
non pourquoi ? il faut juste que tes machines aient une ipv6 dans ton subnet contenu dans ton préfixe 2001:913:300c:: /48 pour que les paquets retour te reviennent bien via ton FAI VPN.
 


 

Ivy gu a écrit :


 
tu as testé, et donc ?


Je suis juste con enfaite, j’ai attribué 2001:913:300c::1 à la carte du vpn et pas a mon lan :o  
Et du coup ça fonctionne tout de suite mieux !  
 
En tout cas merci de ton aide précieuse.

n°1070787
isyris
Posté le 11-03-2019 à 23:05:37  profilanswer
 

Je@nb a écrit :

met radvd ça sera plus simple


Je ne connais pas, ça sert à quoi ?

n°1070789
Ivy gu
3 blobcats dans un trenchcoat
Posté le 11-03-2019 à 23:22:48  profilanswer
 

à attribuer des IP automatiquement, mais en mode stateless contrairement à DHCP.

Message cité 1 fois

---------------
Vous venez de perdre une seconde.
n°1070790
isyris
Posté le 11-03-2019 à 23:28:41  profilanswer
 

Ivy gu a écrit :

à attribuer des IP automatiquement, mais en mode stateless contrairement à DHCP.


Hmm je contais faire un serveur dhcpv6, c’est quoi le mieux ?

n°1070872
Anonymous ​Coward
Posté le 12-03-2019 à 15:46:31  profilanswer
 

En IPv6, une machine dont une interface réseau avec IPv6 activé se retrouve branchée sur un nouveau réseau configure systématiquement une adresse IPv6 de type "lien-local" sur l'interface réseau.
Cette manière d'attribuer l'adresse s'appelle la méthode SLAAC ou aussi "méthode stateless", "méthode sans état".
 
Ensuite, la machine envoie un ou plusieurs packets du type "Router Solicitation" du protocole NDP. En gros, la machine demande s'il y a des routeurs et qu'on lui envoie les paramètres du réseau. https://tools.ietf.org/html/rfc4861#page-18
 
En retour un éventuel routeur lui envoie un ou plusieurs "Router Advertisement" (RA) avec tout un tas de choses comme l'éventuelle route par défaut mais surtout les deux "flags" M et O dont tu peux lire la description en page 19 du RFC sus-cité.
L'indicateur M indique que des adresses IPv6 sont disponibles via DHCPv6 aussi appelé la "méthode stateful", "méthode avec état". Si cet indicateur est à zéro, la machine essaye de configurer une adresse IPv6 de type globale via SLAAC / la méthode stateless.
 
On peut bien évidemment configurer des adresses IPv6 et des routes IPv6 de manière manuelle / statique, c'est tout à fait valable.
Par contre, pour un réseau faisant fonctionner IPv6 de manière un tant soit peu dynamique, un logiciel / demon émettant des RA comme le très connu Radvd n'est pas optionnel, il en faut un.
 
Concernant un choix entre stateful / DHCPv6 et stateless / SLAAC, il y a des avantages et inconvénients à chaque solution. La méthode stateless doit être gérée quoiqu'il arrive.
DHCPv6 permet de faire parvenir à la machine se connectant d'autres paramètres que seulement l'adresse IP, comme un éventuel proxy et d'autres choses encore. De plus, DHCPv6 permet de mettre en place de la délégation de préfixe.
En contrepartie, un OS comme Android refuse de gérer DHCPv6 avec une obstination que l'on pourrait qualifier d'extrémisme idéologique. androids-lack-of-dhcpv6-support-frustrates-enterprise-network-admins
 
Donc, en gros, stateful pour des réseaux d'entreprise et stateless pour des réseaux un peu plus "yolo" / légers.


Message édité par Anonymous Coward le 12-03-2019 à 15:47:43
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
Activation IPv6Passage à l' IPV6 indispensable?
arte vod me localise en chine ipv6[IPv6] - mon routeur debian derrière la Freebox : mes péripéties...
passerelle IPv6 a IPv4RT1900AC, IPv6 et Free
Écart de débit énorme entre l'IPv4 et l'IPv6 (passage au VDSL2)[IPV6] De son intérêt en usage domestique
Changement IPV6 pour IPV4 sur Modem Voo Netgear CG3100 + Hésitation[Résolu] IPv6 LAN
Plus de sujets relatifs à : IPv6

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.105 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR