[IPv6] - mon routeur debian derrière la Freebox : mes péripéties...

- mon routeur debian derrière la Freebox : mes péripéties... [IPv6] - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 28-10-2017 à 22:07:14    

Bonjour,
 
J'essaie de configurer mon réseau perso en IPv6. Voilà ce que ca donne physiquement :  
 

Code :
  1. | Internet | -------- | Freebox | ------| Debian 9 router | ------ | Switch | ----- > d'autres PCs


 
J'ai une Freebox v6, j'ai activé mon IPv6, j'ai le block suivant : 2a01:e3:aaaa:c1f0:: /64
 
J'ai jusque là suivi ce HowTo, avec ça et ça
 
Sur mon routeur, j'ai eth3 pour le WAN, à qui j'ai fixé l'IP 2a01:e3:aaaa:c1f0::2 (la ::1 est attribuée à la FreeBox)
 
Jusqu'ici, ca va bien : mon routeur sort OK en IPv6, je le vois bien depuis l'extèrieur (j'ai une dedibox en v6 depuis laquelle je le ping OK).
 
Maintenant, ca se complique lorsque je veux passer le reste du réseau en Ipv6.
 
Je configure mon interface LAN (eth1) avec son adresse IPv6 : 2a01:e3:aaaa:c1f0::50
 
La dernière étape du HowTo consiste à ajouter le proxy NDP.  
 
En parallèle de ça, depuis ma dédibox externe en v6, je ping l'adresse du LAN : pour le moment, j'ai un "Network Unreachable"
Dans un tcpdump, je vois bien les "neighbor solicitation", sans réponse.
 
Je fais la modif dans le /etc/sysctl.conf, puis j'ajoute à la main mon adresse LAN.

Code :
  1. ip -6 neigh add proxy 2a01:e3:aaaa:c1f0::50 dev eth3


 
Dès que je rentre cette commande, je vois bien dans le tcpdump le "neighbor Advertisement", et le ping répond OK.
 
Donc tout va bien.
 
Sauf que je suis censé faire ça pour chaque périphérique IPv6 qui va arriver dans mon LAN !!! : pas tenable.  
 
C'est là que devrait entre en jeu ndppd. Après avoir passé pas mal de temps à googler, j'ai tenté diverses conf de ndppd.conf, mais jusque là, je n'ai toujours pas réussi à obtenir des réponses à mon ping. Voici la dernière conf testée :  

Code :
  1. # cat /etc/ndppd.conf
  2. route-ttl 30000
  3. proxy eth1 {
  4.     router yes
  5.     timeout 500
  6.     ttl 30000
  7.     rule 2a01:e3:aaaa:c1f0::/126 {
  8.         auto
  9.     }
  10. }
  11. proxy eth3 {
  12.     router no
  13.     timeout 500
  14.     ttl 30000
  15.     rule 2a01:e3:aaaa:c1f0::/64 {
  16.         auto
  17.     }
  18. }


 
Lorsque j'ai apt-get installé le paquet, les 2 blocs étaient déja présents, le 1er était commenté. J'ai tenté que le 1er bloc, que le 2eme, les 2 ensembles, inverser les interfaces : sans succès.
 
Auriez-vous une piste pour moi ?
Merci d'avance


Message édité par Burps le 29-10-2017 à 21:21:05
Reply

Marsh Posté le 28-10-2017 à 22:07:14   

Reply

Marsh Posté le 29-10-2017 à 20:35:19    

Alors, je me réponds à moi-même, j'ai trouvé sur irc des gens qui m'ont aidé à me faire comprendre là où je me ratais.
 
Je note tout ca ici pour les autres... et puis pour moi, je suis capable d'avoir tout oublié dans 2-3 ans quand je vais vouloir refaire mon réseau...
 
D'abord, Free dit qu'il m'attribue un :: /64 : c'est faux !! En fait, c'est au moins un /61, voire probablement même un /60. Comment puis-je l'affirmer ? En me rendant sur l'interface de configuration de la Freebox, on peut voir ceci :  
https://preview.ibb.co/bQ86D6/Free_Box_conf.png
et on voit bien qu'il y a donc 8 sous-réseaux /64 disponibles.
 
Le 1er, ce sera en fait le réseau entre ma freebox et mon routeur : la Freebox a le 2a01:aaaa:bbbb:c1f0::1, j'ai ensuite attribué sur l'interface WAN de mon routeur, de manière statique, l'adresse 2a01:aaaa:bbbb:c1f0::2
 
Pour mon LAN (avec PCs, tablettes, WiFi, etc...), j'ai décidé d'utiliser le 2ème sous-réseau. Dans le fichier /etc/network/interfaces, je fixe l'adresse de l'interface eth1 ainsi :  
 

Code :
  1. iface eth1 inet6 static
  2.         address 2a01:aaaa:bbbb:c1f1::1
  3.         netmask 64


 
Et c'est là que je configure le "Next Hop" dans la copie d'écran précédente, en mettant l'adresse "Link Local" de l'interface eth1 (fe80:xxx::yyyy).
 
Ensuite, je configure radvd pour qu'il attribue aux clients de mon LAN des adresses avec le bon préfixe :  

Code :
  1. interface eth1 {
  2.   AdvSendAdvert on;
  3.   MinRtrAdvInterval 3;
  4.   MaxRtrAdvInterval 10;
  5.   prefix ::/64 {
  6.     AdvOnLink on;
  7.     AdvAutonomous on;
  8.   };
  9. };


 
Je le relance,et MAGIE !!!
 
Depuis mon LAN :  

Code :
  1. root@astop:/etc/systemd# ping6 www.google.fr
  2. PING www.google.fr(ed-in-x5e.1e100.net (2a00:1450:4013:c03::5e)) 56 data bytes
  3. 64 bytes from ed-in-x5e.1e100.net (2a00:1450:4013:c03::5e): icmp_seq=1 ttl=54 time=25.0 ms
  4. 64 bytes from ed-in-x5e.1e100.net (2a00:1450:4013:c03::5e): icmp_seq=2 ttl=54 time=25.3 ms
  5. ...


 
Bon, mes aventures ne sont pas encore terminées, je ne vois toujours pas la tortue dancer, mais j'avance
 
NOTE : n'oubliez pas de configurer votre firewall avant tout, sinon vous êtes grand ouverts sur le net.
 
NOTE 2 : si vous voyez de grosses bêtises dans ce que je raconte, n'hésitez pas à me le dire, que je corrige.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed