Aller au contenu

Petit test suite passage IPV6 forcé par Free


Messages recommandés

Le 04/05/2019 à 19:58, CoolRaoul a dit :

Pour ma part j'habite en ville et ça me ferait un peu mal  /.../ de ne plus pouvoir accéder au port 443 de mon NAS.

De toute façons, tu pourras toujours y accéder par ton IPV6 😉

Raison de plus pour s'intéresser à IPV6 sans attendre. Pour ma part, j'ai traité le réseau local, mais il me reste à configurer l'accès de l'exterieur (le DNS de mon nom de domaine, le firewall et voir si le reverse proxy a un intérêt en IPV6).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, dd5992 a dit :

De toute façons, tu pourras toujours y accéder par ton IPV6

Pas de n'importe où: par exemple, dans ma boite, on est toujours pas compatible IPV6 et donc, c'est IPV4 exclusivement pour les connexions sortantes.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, dd5992 a dit :

Pour ce qui est des adresses IPV6 du réseau local, il semble que tout dépende de la façon dont elles sont obtenues.

Avec la méthode que je décris ici :

Merci du tuyau. je vais regarder ça !

Lien vers le commentaire
Partager sur d’autres sites

Désolé, mais je viens de revérifier et il semble bien que @Jeff777 ait parfaitement raison: l'adresse IPV6 des Synos (voir ma signature) est bien fixe pour l'instant après plusieurs reboots, mais celle de mon PC sous W10 a changé au dernier reboot.

Je peine à comprendre sur quel(s) critère(s) l'adresse change ou pas. Toutes mes machines compatibles IPV6 sont configurées en automatique (Synos, PCs, tel android, ...).

Pour avoir une adresse IPV6 fixe , il faudrait donc soit configurer IPV6 en manuel sur chaque machine (comme au bon vieux temps d'avant le NAT et le DHCP), soit utiliser le DHCPV6, mais ça poserait problème avec les tels android qui n'aiment pas ça.

Je cherche une explication.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, dd5992 a dit :

mais celle de mon PC sous W10 a changé au dernier reboot.

Oui mais ce qui est curieux c'est que j'ai lu quelque part que pour une adresse IPV6 les 4 premiers groupes de 2 octets étaient toujours les mêmes pour tous les périphériques du même LAN et que les 4 derniers étaient liés à l'adresse MAC du périphérique. Ce qui voudrait dire que l'adresse serait fixe !

D'ailleurs ce site permet de déduire l'adresse IP6 local (fe80::xxxx:xxxx:xxxx:xxx) de l'adresse mac https://ben.akrin.com/?p=1347

Dans ce site il y a aussi un lien vers un convertisseur inverse qui ne m'a pas l'air très fiable. J'ai plutôt utilisé le convertisseur mac vers adresse local IPV6. J'ai bien retrouvé celle fixe du NAS mais pas celle de mon PC parmi les divers adresses IPV6  attribuées. Par contre  tablettes téléphones et caméras ont bien une adresse IPV6 fixe déduite de l'adresse mac.

Donc nous avions tous les deux tort ...ou tous les deux raison 😉. Reste à savoir pourquoi les PC ne répondent pas à la règle.

Il y a 2 heures, dd5992 a dit :

soit utiliser le DHCPV6

Si j'utilise le DHCPV6 de la feebox je perds l'IPV6 de mon PC. Testé avec https://test-ipv6.com/

L'IPV6 a encore bien des secrets pour moi !

Lien vers le commentaire
Partager sur d’autres sites

J'ai trouvé ceci dans un forum :

Since Win Vista Windows uses random ipv6 link local addresses.
You can force it to use EUI-64-based interface IDs with the command:
netsh interface ipv6 set global randomizeidentifiers=disabled

et effectivement en utilisant la commande ci-dessus l'adresse IPV6 de mon PC est bien fixe et se déduit de son adresse Mac !

Maintenant je vais peut être pas rester comme cela car si Windows colle des adresses IPV6 aléatoires il y a peut-être une raison. Sécurité ?

Quelqu'un a t'il la réponse ?

Google m'a trouvé ça :En IPv6, il y a un mécanisme d'autoconfiguration, dans lequel le routeur diffuse un prefix (un /64), et chaque poste complétait initialement ce prefixe avec sa propre adresse Mac (48 bits) pour former une IPv6 complète. Sauf que certains ont pensé que c'était problématique car l'adresse Mac peut servir à identifier un poste de manière  unique. Donc, a présent, la majorité des OS génère un nombre sur 48 bits aléatoires (extension privacy), ce qui fait qu'en pratique l'adresse IPv6 d'un poste change fréquemment...
 

Alors pourquoi l'adresse IPV6 de nos Syno est-elle fixe ? Pourquoi le risque serait-il plus grand avec nos PC qu'avec nos Syno ??

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Le mystère s'épaissit. Avec la commande ipconfig je retrouve bien l'adresse IPV6 fixe de mon PC avec son équivalent en liaison local (fe80: etc..).

Mais j'ai aussi une adresse IPV6 temporaire et c'est celle qui est trouvée par le test https://test-ipv6.com/.

J'ai fini par trouvé ceci :

https://www.geekzone.fr/2016/06/09/dossier-comprendre-ipv6-problematique/

Du coup j'ai rétablit l'IPV6 aléatoire avec la commande "netsh interface ipv6 set global randomizeidentifiers=enabled" 😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, StéphanH a dit :

une publique qui semble ne pas trop bouger

MacOS comme Android générerait donc des IPV6 fixes contrairement à Windows 10.

Par contre je comprends que l'adresse publique générée avec l'adresse mac donc fixe est maintenant remplacée par une adresse temporaire pour brouiller les pistes🙃 :

https://lafibre.info/ipv6/cest-quoi-toutes-ces-adresses-ipv6/    

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, Jeff777 a dit :

j'ai lu quelque part que pour une adresse IPV6 les 4 premiers groupes de 2 octets étaient toujours les mêmes pour tous les périphériques du même LAN et que les 4 derniers étaient liés à l'adresse MAC du périphérique. Ce qui voudrait dire que l'adresse serait fixe !

 

J'avais dû lire la même chose. Ca concernait bien l'adresse des périphériques (en 2a01:...).

Ce qui est sûr, les adresses locales sont bien fixes et construites à partir de l'adresse MAC.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

Since Win Vista Windows uses random ipv6 link local addresses.

Les addresses en scope "local" ne sont pas concernées ici, ce sont celles en scope "global" qui sont potentiellement (en absence de firewall sur la box) visible sur internet

Lien vers le commentaire
Partager sur d’autres sites

il y a 54 minutes, Jeff777 a dit :

Par contre je comprends que l'adresse publique générée avec l'adresse mac donc fixe est maintenant remplacée par une adresse temporaire pour brouiller les pistes🙃 :

J'avais bien vu (dans les propriétés réseau) que sous W10 il y avait plusieurs adresses IPV6 globales (en 2a01:...) dont une est marquée "temporaire".

Si elle(s) changent toutes les 24h sous W10, ça pourrait expliquer qu'elle semblait fixe malgré les reboots du PC, mais que le lendemain c'était une autre histoire.

il y a 50 minutes, CoolRaoul a dit :

Les addresses en scope "local" ne sont pas concernées ici, ce sont celles en scope "global" qui sont potentiellement (en absence de firewall sur la box) visible sur internet

Oui. Et donc ça peut avoir un intérêt de les avoir fixes, même sur un PC/Win, et pas seulement sur nos NAS.

Il y a 3 heures, Jeff777 a dit :

Google m'a trouvé ça :En IPv6, il y a un mécanisme d'autoconfiguration, dans lequel le routeur diffuse un prefix (un /64), et chaque poste complétait initialement ce prefixe avec sa propre adresse Mac (48 bits) pour former une IPv6 complète. Sauf que certains ont pensé que c'était problématique car l'adresse Mac peut servir à identifier un poste de manière  unique. Donc, a présent, la majorité des OS génère un nombre sur 48 bits aléatoires (extension privacy), ce qui fait qu'en pratique l'adresse IPv6 d'un poste change fréquemment...

La seule option qui nous reste (en dehors de DHCPV6) pour avoir une IPV6 fixe sous W10 est de configurer une IPV6 fixe de manière manuelle. (ça fera peut être une adresse IPV6 de plus ;-)).

Pour ce faire, voir ici : https://support.microsoft.com/fr-fr/help/15089/windows-change-tcp-ip-settings#1TC=windows-7

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

il y a 55 minutes, dd5992 a dit :

La seule option qui nous reste (en dehors de DHCPV6) pour avoir une IPV6 fixe sous W10 est de configurer une IPV6 fixe de manière manuelle.

Ou simplement désactiver la randomisation comme détaillé ici:

https://sid-500.com/2018/02/07/ipv6-how-windows-generates-link-local-addresses-eui-64/

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled

Toutefois, avoir une IP fixe sur une poste de travail n'est en général pas nécessaire, c'est à priori sur un serveur que ça a un sens il me semble.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, CoolRaoul a dit :

Ou simplement désactiver la randomisation comme détaillé ici:

https://sid-500.com/2018/02/07/ipv6-how-windows-generates-link-local-addresses-eui-64/

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled

Avoir une IP fixe sur une poste de travail n'est en général pas nécessaire, c'est à priori sur un serveur que ça a un sens il me semble

L'article parle de la construction des adresses IPV6 locales. Est-ce que ça s'applique aussi aux adresses globales?

Pour ce qui est de l’intérêt d'une IP fixe sur un PC, j'active épisodiquement l'accès à mon ordi à distance par RDP pour surveiller une tâche. Mais c'est rare et pas très sécurisé, c'est vrai.

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, dd5992 a dit :

L'article parle de la construction des adresses IPV6 locales. Est-ce que ça s'applique aussi aux adresses globales?

Les addresses globales ne sont pas randomisées il me semble, non?

il y a 8 minutes, dd5992 a dit :

Pour ce qui est de l’intérêt d'une IP fixe sur un PC, j'active épisodiquement l'accès à mon ordi à distance par RDP pour surveiller une tâche.

A distance, dans ce cas c'est donc l'addressee *globale* qui est utilisée.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Ben oui, justement, le sujet avec @Jeff777 portait bien sur l'adresse globale qui n'est pas fixe sur W10 (alors qu'elle l'est pour les synos). Il semble qu'elles soient randomisées aussi puisqu'elles varient.

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, dd5992 a dit :

Ben oui, justement, le sujet avec @Jeff777 portait bien sur l'adresse globale qui n'est pas fixe sur W10 (alors qu'elle l'est pour les synos). Il semble qu'elles soient randomisées aussi.

Ah oui en effet, au temps pour moi, j'avais pas lu en détail le fil de discussion sur la fibre, il explique bien les implications et les moyens de désactiver cette adresse globale variable ('ipv6 set privacy state=disabled")

Donc pas de problème pour ceux qui souhaitent forcer l'IP de leur PC pour par exemple permette des accès distants.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

OK. Merci. Je teste ça ce soir.

Après, la question pour l'accès de l'extérieur à mon réseau en IPV6, est de choisir

- si j'expose une seule adresse IPV6 avec un reverse-proxy pour n'utiliser que le port 443 (comme je fais maintenant en IPV4 - à mon boulot, seuls les ports 80 et 443 sont utilisables)

- oui si j'expose autant d'adresses IPV6 que de machines qui doivent être visibles. Je devrai utiliser aussi un reverse-proxy de toutes façons pour les machines qui fournissent plusieurs services sur des ports différents.

Je n'ai pas encore une idée claire sur la question.

Lien vers le commentaire
Partager sur d’autres sites

Petit retour sur mes tests suite à nos discussions, voici ce que j'ai constaté :

Par défaut, W10 a 3 adresses IPV6, qui existent simultanément :

- Une adresse locale, en fe80:..., dont les 64 derniers bits sont construits à partir de l'adresse MAC, comme l'indique @Jeff777, qui est donc fixe.

- Une adresse globale, dont le préfixe de 64 bits est celui attribué par Free et dont les 64 derniers bits sont identiques à ceux de l'adresse locale. Cette adresse est donc fixe également.

- Une adresse globale dite temporaire, dont le préfixe de 64 bits est celui attribué par Free et dont les 64 derniers bits sont différents de l'adresse précédente et qui semblent aléatoires. Cette partie de l'adresse varie avec le temps (probablement un autre tirage aléatoire).

L'adresse globale temporaire est utilisée pour toutes les connections initiées à partir du PC

- connexion web (comme vérifié avec test-ipv6.com)

- connexion CIFS (connexion réseau pour monter un partage SMB du Syno par exemple, comme vérifié dans les logs de connexion du Syno).

- et probablement les autres connections.

Ceci permet de garantir la non traçabilité du PC par les sites distants accédés (mais permet une traçabilité du réseau local par le préfixe 64 bits de l'adresse IP - similaire à ce qui se passe en IPV4).

D'autre part il est possible de se connecter au PC par l'une quelconque des adresses globales. Il existe donc une IPV6 fixe pour accéder à des services hébergés sur le PC (RDP ou autres si le PC est utilisé comme serveur). Il est donc possible de créer des enregistrements AAAA sur votre serveur DNS local et/ou le DNS global de votre nom de domaine pour donner l'accès à votre machine.

Ce comportement me convient parfaitement, d'autant plus que c'est la configuration par défaut. Pas de modification à apporter aux machines sous Windows.

Les synos n'ont pas d'adresse IPV6 globale temporaire, mais n'en ont pas besoin car leur objet est d'être des serveurs d'applications. Les quelques connections vers l'extérieur (requêtes de mise à jour, envoi d'emails de notification, ...) n'ayant pas besoin d'être protégées contre le suivi.

Voilà pour mes constatations. Je n'ai pas de mac et donc je n'ai pas pu voir si le comportement était similaire.

Lien vers le commentaire
Partager sur d’autres sites

Bon boulot @dd5992

Seul point sur lequel je ne suis pas tout à fait d'accord c'est l'adresse fixe par défaut sous windows 10.

Pour moi il faut utiliser la commande "netsh interface ipv6 set global randomizeidentifiers=disabled" pour quelle soit construite à partir de l'adresse mac (le teme ff:fe caractérise ce genre d'adresse). Par défaut l'adresse est aléatoire mais je n'ai pas réussi à établir quand elle changeait. En tout cas l'historique dans "périphériques réseau" de Freebox OS laisse penser que ce n'est pas souvent.

il y a une heure, dd5992 a dit :

D'autre part il est possible de se connecter au PC par l'une quelconque des adresses globales

ça je n'ai pas réussi comment fais-tu ??i😒

il y a une heure, dd5992 a dit :

Il est donc possible de créer des enregistrements AAAA sur votre serveur DNS local et/ou le DNS global de votre nom de domaine pour donner l'accès à votre machine.

Oui cela je l'ai fait en zone publique  ndd AAAA et ns.ndd AAAA avec l'adresse globale ça donne un zonemaster validé sauf pour l'enregistrement PTR de cette adresse (pas grave) et pour le DNSSEC pas possible avec DNS serveur je crois. J'ai aussi enregistré en zone privée les adresses globales fixes du NAS et Freebox. Mais je n'arrive pas à les atteindre avec ces adresses.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Jeff777 a dit :

Pour moi il faut utiliser la commande "netsh interface ipv6 set global randomizeidentifiers=enabled" pour quelle soit construite à partir de l'adresse mac (le teme ff:fe caractérise ce genre d'adresse). Par défaut l'adresse est aléatoire mais je n'ai pas réussi à établir quand elle changeait. En tout cas l'historique dans "périphériques réseau" de Freebox OS laisse penser que ce n'est pas souvent.

Je n'ai pas utilisé de commande pour changer la config (d'ailleurs je suis resté sur un compte non administrateur). Ce que j'ai décrit est donc le comportement par défaut. Ma version de W10 est la version pro, ça peut peut être influer. Mes deux adresses fixes (locales et globales) ont bien le terme ff:fe dont tu parles.

Pour voir les trois adresses, j'ai utilisé la commande "netsh interface ipv6 show addresses" qui donne pour chaque interface réseau les adresses ipv6 en cours. Pour l'interface filaire que j'utilise, il me donne les trois adresses que j'ai décrites ainsi que leur durée de validité restante. (je ne peux pas faire de copie d'écran, je ne suis pas chez moi).

Si tu n'as pas la même chose, peut-être peux tu poster le résultat de la commande (en masquant le préfixe IPV6 de ton réseau)?

Une hypothèse : Il peut y avoir une influence de la configuration IPV6 côté Freebox. Voici comment j'ai fait :

 

 

Pour tester la connexion au PC par ipv6, j'ai testé d'une autre machine du réseau (en fait j'ai testé depuis mon iPad une connexion RDP au PC). Ça a marché, que je donne l'adresse ipv6 globale fixe ou l'adresse globale temporaire.

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, dd5992 a dit :

Ma version de W10 est la version pro, ça peut peut être influer.

Oui peut-être !

Sur mon PC j'ai désactivé l'adresse aléatoire il y a deux jours. Voilà ce que cela donne :

Capture.JPG.0a0284e974abcfc156bd079b33faa06e.JPG

On constate que mon adresse IPV6 locale actuelle est bien basée sur mon adresse mac (ff:fe) et qu'auparavant  (avant utilisation de la commande netsh interface ipv6 set global randomizeidentifiers=disabled ) elle était aléatoire. C'est bien disabled et non enable....... j'ai corrigé plus haut. enabled rétablit les adresses aléatoires.

Par contre depuis fin janvier l'ancienne adresse aléatoire semble ne pas avoir varié et je ne sais pas ce qui a pu la faire varier en janvier !

Les autres PC (2) sous "windows 10 famille" de mon réseau qui reste avec une adresse aléatoire (donc bien par défaut, je confirme) ont aussi des changements d'adresse (en octobre 2018 pour l'un et en octobre et décembre 2018 pour l'autre).

 

 

 

 

il y a 41 minutes, dd5992 a dit :

Pour voir les trois adresses, j'ai utilisé la commande "netsh interface ipv6 show addresses" qui donne pour chaque interface réseau les adresses ipv6 en cours.

J'ai utilisé ipconfig tu obtiens le même résultat et c'est plus court à taper 😀

 

il y a 45 minutes, dd5992 a dit :

Il peut y avoir une influence de la configuration IPV6 côté Freebox

C'est forcément pas la même config pour moi car je n'ai pas de routeur.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.