Même si cet article date, il reste d'actualité concernant la sécurité :

https://blog.fenrir.fr/2013/06/28/ipv6-securite/

Ceux qui ont lu le nom de domaine savent qui est l'auteur 😉

Si vous vous posez encore des questions sur l'adressage IPv6 après la lecture de l'article Wikipedia, la source d'information ultime est la RFC (en anglais) :

https://tools.ietf.org/html/rfc4291

⚠️ Si vous n'avez jamais lu ce type de référence, ça peut piquer les yeux et le cerveau 😄

 

Un article très instructif que j'avais trouvé pour IPv6 autrefois : https://www.bortzmeyer.org/9099.html

il y a une heure, PiwiLAbruti a dit :

Même si cet article date, il reste d'actualité concernant la sécurité :

Bonjour,

Oui  c'est un très bon article. Je l'avais lu, et il m'avait convaincu qu'il me fallait un parefeu IPV6 et envisageais de mettre celui décrit par Fenrir sur le Raspberry. mais c'était trop technique pour moi. 

Finalement j'ai utilisé (avec difficulté) celui de mon routeur.

A noter qu'il est rassurant que tous les tests de connectivité IPV6 donnés dans l'article du parefeu ou autre indique l'adresse IPV6 temporaire du PC et non l'adresse stateless. 

 

Il y a 1 heure, .Shad. a dit :

Un article très instructif que j'avais trouvé pour IPv6 autrefois

Alors là! j'ai vraiment l'impression que l'objectif de l'auteur est de noyer le lecteur 🤣 C'est pire que de tenter de lire le RFC.

Tout ce que j'ai compris c'est que de l'IPV6 je ne comprenais qu'une petite partie de la surface hors de l'eau de l'iceberg !

J'aime bien faire la correspondance avec IPv4, même si elle n'est pas 100% exacte, ça permet aux débutants de s'y retrouver :

::/0       0/0

::/128     0/32

::1/128    127.0.0.1/32

fe80::/10  169.254/16

fc00::/7   10/8
           172.16/12
           192.168/16

ff00::/8   224/4

Il faut bien garder à l'esprit qu'IPv6 est ce qu'IPv4 aurait dû être avant qu'on ne se rende compte qu'il allait rapidement y avoir une pénurie d'adresses IPv4. Cette pénurie a favorisé la prolifération des passerelles NAT (plus précisément NAPT pour faire plaisir à Bortzmeyer) qui a totalement modifié l'usage d'IPv4 pendant des décennies.

De manière générale, une machine adressée en IPv6 (sans DHCP) s'attribue une adresse locale dans fe80::/10 et une autre publique dans 2000::/3 (réduit au scope fourni pour l'opérateur évidemment). Si on fait l'analogie directe en IPv4, cette même machine devrait s'attribuer une adresse dans 169.254/16 et une autre publique (difficilement définissable étant donné que l'espace IPv4 publique est fragmenté de partout).

Ça n'a donc rien à voir avec l'utilisation actuellement faite d'IPv4 (du moins en bout de chaîne). Cette réplique de Morpheus s'applique plutôt bien à IPv6 :

Aux vues de ces derniers échanges, les IPv6 sont-elles géographiques ? Genre peut-on filtrer via le pare-feu les IPv6 de certains pays ? et de n'autoriser que celles d'un autre ?

il y a 32 minutes, MilesTEG1 a dit :

les IPv6 sont-elles géographiques

Je ne m'étais pas posé la question. Mon parefeu ne permet pas de filtrer les pays d'origine.

Mais ce site semble confirmer que c'est le cas :

https://online-free-tools.com/fr/whois_geolocaliser_ip_v4_v6

Oui J'ai essayé avec une adresse IPV6 d'un site américain.

Modifié le 25 janvier 20223 a par Jeff777

Le pays associé à une adresse IP est celle du client qui a réservé, auprès d'un RIR, la plage réseau à laquelle elle appartient.

Les registres sont librement accessibles chez chacun des RIRs mais ne contiennent pas de données détaillées concernant l'identité du client, ... :

...
ripencc|LU|ipv4|5.8.92.0|1024|20120425|allocated
ripencc|IT|ipv4|5.8.96.0|8192|20120425|allocated
ripencc|LB|ipv4|5.8.128.0|8192|20120426|allocated
ripencc|RU|ipv4|5.8.160.0|4096|20120426|allocated
ripencc|RU|ipv4|5.8.176.0|2048|20120426|allocated
ripencc|ES|ipv4|5.8.184.0|2048|20120426|allocated
ripencc|RU|ipv4|5.8.192.0|8192|20120426|allocated
ripencc|RU|ipv4|5.8.224.0|4096|20120426|allocated
ripencc|IQ|ipv4|5.8.240.0|2048|20120426|allocated
ripencc|NL|ipv4|5.8.248.0|256|20210525|allocated
ripencc|FR|ipv4|5.8.249.0|256|20210525|allocated
ripencc|NL|ipv4|5.8.250.0|256|20210525|allocated
ripencc|US|ipv4|5.8.251.0|256|20210526|allocated
ripencc|ES|ipv4|5.8.252.0|1024|20180611|allocated
...

... sauf au RIPE-NCC. En reprenant la première ligne ripencc|LU|ipv4|5.8.92.0|1024|20120425|allocated :

lu.gcorelabs
    G-Core Labs S.A.

    20000126	213.156.136.0/21	ALLOCATED PA
    ...
    20120425	5.8.68.0/22	ALLOCATED PA
    20120425	5.8.92.0/22	ALLOCATED PA
    20120626	5.101.216.0/21	ALLOCATED PA
    ...
    20191107	91.199.87.0/24	ALLOCATED PA
    20121207	2a03:90c0::/32
    20121211	2a03:97c0::/31

 

Modifié le 26 janvier 20223 a par PiwiLAbruti

au passage la filtration géographique de nos synology marche pour l'ipv6 ?

Aucune idée. Il faudrait trouver la base de données utilisée pour vérifier, ou demander directement à Synology.

D'ailleurs je ne pense pas que cette base soit mise à jour régulièrement, au mieux à chaque mise à jour de DSM (ce qui est insuffisant).

Hello 🙂 

Ça y est je suis chez free 😄 

Alors, apparemment ce que j'ai fait fonctionne puisque d'une part j'ai la TV via l'application OQEE de free sur l'AppleTV 😄 Et surtout mes domaines semblent bien fonctionner depuis ma connexion 4G (Plex, Vaultwarden...).
Bref tout me semble parfait.

Maintenant, voilà ce que j'ai fait... vous allez voir, je n'ai pas fait grand chose...

Alors, une fois la POP connectée à la fibre (et les techniciens peu bavards partis), je me suis connecté en filaire sur la POP, pour la configurer. J'ai déjà re-paramétré le Wifi pour que ma femme puisse accéder à internet depuis son ordi le temps que je finisse la configuration.

1. Activation du pare-feu IPv6
2. Désactivation de l'UPNP
3. Configuration du DHCP : J'ai mis l'adresse MAC du RT en baux statique sur l'IP 192.168.1.2. (J'ai aussi réduit la plage DHCP)
4. Gestion des ports : mise en DMZ de l'IP du RT.

Ensuite sur le RT, après avoir branché ce dernier sur la freebox :

1. J'ai cliqué sur le bouton détecter :
   
2. Et dans la configuration IPv6, c'est en mode Relais IPv6.

Voilà, c'est tout ce que j'ai fait.
 

En rédigeant ce message, j'ai essayé la connexion à mon VPN sur le RT depuis la 4G de mon téléphone... mais ça ne fonctionne plus...
Le DDNS Synology que j'utilise a bien eu la bonne IP (je sais pas quand en fait), mais là il ne veut plus se mettre à jour, et n'est pas joignanble, ce qui expliquerais les soucis de connexion au VPN...

 

C'est vitale pour moi d'arriver à me connecter au VPN du RT...
Comment puis-je configurer le tout pour que ça fonctionne ?
Merci de votre aide 🙂

@oracle7 @Einsteinium @PiwiLAbruti @Jeff777

Alors là pour le coup je ne te serais d’aucune aide, je suis en bridge et je ne connais pas le comportement de la Freebox dans la configuration que tu en as faites.

Je peux tenter le mode bridge 😊

mais :
- est ce que j’aurais besoin de configurer plus de trucs côté routeur ?
- est-ce que le pare-feu ipv6 de la box continuera de fonctionner ?
 

 

il y a 18 minutes, MilesTEG1 a dit :

Je peux tenter le mode bridge

Moi aussi en mode bridge. Attention tu vas prendre le Wifi de la box si tu fais du bridge. Il te faudra l'obtenir autrement (ton routeur le permet ?).

Le pare-feu IPV6 de la box c'est très bien si tu ne te sers pas de l'IPV6. Personnellement je ne l'utilise pas (le pare-feu :)). Mais oui il fonctionne en bridge

Modifié le 1 février 20223 a par Jeff777

Bon j'ai rebooté le routeur des fois que...
Et... tadam :

Le ndd synology s'est enfin reconnecté.
Le VPN fonctionne sur le L2TP, faut que je teste les deux autres modes de connexion.

il y a 1 minute, Jeff777 a dit :

Moi aussi en mode bridge. Attention tu vas prendre le Wifi de la box si tu fais du bridge. Il te faudra l'obtenir autrement (ton routeur le permet ?).

Le pare-feu IPV6 de la box c'est très bien si tu ne te sers pas de l'IPV6. Personnellement je ne l'utilise pas.

Oui oui, j'ai un RT2600AC quand même (voir titre du sujet, et les différents messages 😄 )
Pour l'IPV6, seule l'IP externe est utilisée en tant que telle, moi dans mon LAN, je n'utilise en général pas l'IPv6...
Là seule l'AppleTV a récupérée une IPv6, et encore c'est pas sûr... faut que je vérifie.

Modifié le 1 février 20223 a par MilesTEG1

En tout cas. Bienvenue chez Free 👍

Donc connexion au VPN :

• L2TP : OK
• SSL VPN : OK
• OpenVPN : KO... mais je pense que c'est à cause du certificat qui a di changer... faut que je creuse.

Bon et bien ma foi, tout semble OK (sauf OpenVPN...)

Est-ce que niveau sécurité, ça vous semble OK ?

Je fonctionne qu'avec OpenVPN sur le nas, ça devrait marcher chez toi.

Par curiosité quel débit tu as (upload et download). J'espère la fibre cet été 🙄

Sinon, je suppose que tu as mis le routeur sur le port 2.5 Gbits/s. Est-ce que dans ta config tu peux utiliser les autres ports ? (par exemple pour le player)

il y a 6 minutes, Jeff777 a dit :

Je fonctionne qu'avec OpenVPN sur le nas, ça devrait marcher chez toi.

Par curiosité quel débit tu as (upload et download). J'espère la fibre cet été 🙄

Sinon, je suppose que tu as mis le routeur sur le port 2.5 Gbits/s. Est-ce que dans ta config tu peux utiliser les autres ports ? (par exemple pour le player)

Oui normalement OpenVPN devrait fonctionner, mais comme ça fait un bail que j'ai pas essayé avec, le certificat a du changer, et je devrais recréer le .ovpn pour mon iPhone. J'essaye ce soir (si j'y repense 😉 )

Pour le débit, en filaire sur mon pc fixe : 

 

Sinon oui j'ai connecté le RT sur le port 2,5Gbit/s

Et les autres sont dispo oui. Je me connectais avec mon mac sur la box avec le port n°2.

Mais l'objectif n'est pas d'utiliser ces autres ports XD
Je sais que je ne bénéficierais pas des 2,5Gbit/s de la box, mais pas grave, j'ai déjà plus que les 400M/400M de chez Orange.

 

@MilesTEG1

Bonjour,

Bon bah je vois que tu te débrouilles comme un grand 🤣🤪

Sinon pour OpenVPN as-tu essayé de mettre l'instruction "redirect-gateway ipv6" dans ton fichier de configuration .ovpn ?

Peut-être aussi faut-il utiliser " proto udp6" au lieu de "proto udp".

Par ailleurs, si tu as configurer le mssfix, il faudra le refaire pour prendre en compte ta nouvelle box : ping www.free.fr ......

Cordialement

oracle7😉

Modifié le 1 février 20223 a par oracle7

il y a 13 minutes, oracle7 a dit :

Sinon pour OpenVPN as-tu essayé de mettre l'instruction "redirect-gateway ipv6" dans ton fichier de configuration .ovpn ?

Peut-être aussi faut-il utiliser " proto udp6" au lieu de "proto udp".

Non pas encore essayé, je m'en occupe ce soir du OpenVPN.
 

 

il y a 15 minutes, oracle7 a dit :

Par ailleurs, si tu as configurer le mssfix, il faudra le refaire pour prendre en compte ta nouvelle box : ping www.free.fr ......

 

Le quoi ?? mssfix ? ça sert à quoi ?

Le ping depuis le PC fonctionne et me retourne l'IPv4 de www.free.fr : 212.27.48.10

Depuis le RT (en SSH), j'ai l'IPv6 de free : 

Par contre, ormis ce stress de la reconfiguration, qui au final a été assez rapide, que c'est bon d'avoir son propre routeur, et de ne pas avoir à tout reconfigurer pour son réseau local !!

il y a 23 minutes, MilesTEG1 a dit :

Pour le débit, en filaire sur mon pc fixe : 

😭

il y a 21 minutes, oracle7 a dit :

Sinon pour OpenVPN as-tu essayé de mettre l'instruction "redirect-gateway ipv6"

Je n'ai pas cela et ça marche très bien.

il y a 15 minutes, Jeff777 a dit :

😭

Je n'ai pas cela et ça marche très bien.

Ha oui l’ADSL en bout de ligne… j’ai connu ça pas mal d’années… je compatis vraiment et je te souhaite d’avoir la fibre prochainement… mais je sais que ça peut être long… on est loin des promesses du gouvernement du tout fibré en 2022 😤🤬

Je referais un .ovpn classique ce soir pour voir si ça fonctionne correctement.

et après je verrais si je dois mettre les trucs v6 pour que ça marche 😅

il y a 7 minutes, MilesTEG1 a dit :

Ha oui l’ADSL en bout de ligne

3 069 m 🤪

Modifié le 1 février 20223 a par Jeff777

Bonjour,

@MilesTEG1

il y a 29 minutes, MilesTEG1 a dit :

Le quoi ?? mssfix ? ça sert à quoi ?

Le mssfix sert à ajuster la MTU à ta connexion effective afin d'accéler au maximum la transmission des paquets en optimisant leur taille.

Pour régler le mssfix tu fais ceci :

ping www.free.fr -f -l 1402 => Si on a une réponse , on essaye alors d'augmenter cette valeur de MTU jusqu’à ce que : soit on n'obtienne plus de réponse, soit que l’on obtienne le message FRAGMENTED. Donc, la valeur à retenir est la dernière valeur qui a donné une réponse.

Le plus rapide est de travailler par dichotomie sur les valeurs : par ex 1402 puis 1500, puis 1450, puis 1475, puis 1462, puis 1668, puis 1472, puis 1474.
Ensuite dans le fichier de config OpenVPN .ovpn, on rajoute sur une ligne avec cette option :
mssfix 1472.

@Jeff777

il y a 24 minutes, Jeff777 a dit :

Je n'ai pas cela et ça marche très bien.

C'est pour ses iPhones. Affaire vue et testée avec d'autres membres ici.

Edit :  Je ne veux pas faire le rabat joie mais tu n'auras pas le maximum permi par la fibre en étant à 3800m donc à peu près aussi éloigné que toi de la plaque, je n'ai que :

Ce qui est déjà pas si mal en soit.😜

Cordialement

oracle7😉

Modifié le 1 février 20223 a par oracle7