IPV6 - Freebox / RT2600ac

[dahu29]

Bonjour,

Je souhaite accéder à un site en ipv6 pour mon serveur de domotique jeedom.

La connexion est ko pour tous les périphérique derrière le routeur synology mais c'est ok si je me connecte en direct sur la freebox.

Le support de synology me dit de fouiller les conf avec free ...

J'utilise une freebox revolution avec fibre branchée au port WAN du routeur

Le test ipv6 est ko : https://test-ipv6.com/index.html.fr_FR

Mais ok si je me connecte au wifi de la freebox.

 

J'ai essayé de configurer comme indiqué sur ce topic mais cela ne fonctionne toujours pas😥

Coté Freebox :

J'ai indiqué sur le préfixe 1 l'ip inet6 obtenu depuis le routeur sur eth0

admin@SynologyRouter:/$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1
    link/sit 0.0.0.0 brd 0.0.0.0
3: miireg: <> mtu 0 qdisc noop state DOWN group default qlen 1
    link/generic
4: eth0: <BROADCAST,MULTICAST,NOTRAILERS,UP,LOWER_UP> mtu 1500 qdisc nsshtb state UP group default qlen 1000
    link/ether 00:11:32:72:05:d3 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.10/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 2a01:xxx:xxx:2510::2/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::211:32ff:fe72:5d3/64 scope link
       valid_lft forever preferred_lft forever

Sur la configuration ipv6 du routeur

J'ai mis l'adresse ipv6 de la box qu'on retrouve sur le inet6.

Pour la passerelle, j'ai mis l'ipv6 du lien local trouvé sur la freebox (que je retrouve aussi sur centre réseau /status ipv6)

Sur le réseau local :

J'ai sélectionné le préfix avec internet

Ajouté en suffixe dans l'adresse ipv6 le numéro 1

 

J'ai essayé de mettre des DNS en passant en mode état, ca ne change rien 

Pareil sur l'ajout de DNS dans config ipv6

Avez-vous une idée de ce qui coince ?

 

Merci

 

 

 

Modifié le 9 février par dahu29
image présent 2 fois

[.Shad.]

Désolé réponse très succinte, pas le temps de suite, d'autres t'aideront sûrement plus, mais tu dois absolument réactiver le pare-feu IPv6 d'urgence.

Modifié le 8 février par .Shad.

[Jeff777]

Bonjour @dahu29

La configuration IPV6 du routeur doit être sur auto pour qu'il puisse transférer le préfixe fourni par la box. Sur la freebox rien ne doit être coché dans la config IPV6. Seul le next hop est renseigné comme tu as fait. 

Pour le pare-feu IPV6 configurer plutôt celui du routeur. Celui de la freebox est trop strict.

[dahu29]

Bonjour,

Merci pour vos retours

Je ne sais pas pourquoi mais ca fonctionne bien ce soir alors que hier c'était ko, je ne comprends pas trop ce qui s'est passé

Je n'ai rien de configuré sur le pare feu de l'ipv6, coté routeur, je vais m'intéresser à ça

Si vous avez un tuto, je suis preneur 😀

[_DR64_]

Bonsoir à tous, 
Je profite de ce post pour poser une petite question qui je pense n'a aucun rapport mais je n'arrive pas à trouver la solution à mon problème.
Depuis 1 ou 2 semaines, les périphériques de mon LAN se croient à Washington.... Du coup, pubs en anglais sur youtube, heure de ma shield avec 6heures en moins etc...
Je n'ai rien touché à mon réseau sauf peut-être redémarré ma Freebox Delta / mon routeur.

La configuration IPV6 actuelle dans le routeur est en "relais IPV6".

Je ne pense pas avoir activé à un moment ou un autre cette option. Au contraire même !
Ma config de connexion sur le routeur est sur "Auto" peut-être qu'une modifiation s'est opérée au reboot ?

La question qui tue est : pourquoi Washington ? J'ai aucun VPN connecté là-bas !

Je tiens également à préciser que le problème survient aussi dans les recherches google sur mon tel en wifi à la maison mais pas en 4g/5g ou sur un autre LAN.

Je n'avais pas ces 2 lignes avant dans mon pare-feu (comptabilité IPV4 et IPV6) :

Modifié le 8 février par _DR64_

[_DR64_]

Au passage @dahu29 ton ip est affichée sur une de tes captures. A modifier pour ta sécurité

[Jeff777]

Il y a 3 heures, dahu29 a dit :

ca fonctionne bien ce soir

Donc tu avais tout bien fait y compris la config manuel.

 

Il y a 3 heures, dahu29 a dit :

Je n'ai rien de configuré sur le pare feu de l'ipv6, coté routeur

A vrai dire moi non plus depuis que j'ai changé mon routeur Edgemax ER X pour un switch manageable 2.5Gbts (c'est la freebox qui fait routeur).

Sur le parefeu du nas, j'ai juste autorisé les IPV6 qui possède le préfixe du réseau. Les requêtes IPV6 qui n'ont pas ce préfixe (non locale) sont automatiquement soumises aux même règles que les IPV4 en ce qui concerne les ports.

Edit : Mais je viens de tester le parefeu Freebox que recommande @.Shad. et je pense qu'il a été modifié car sur le test https://ipv6-test.com/ je passe de 19 à 17 avec comme seule modification la filtration des ICMP qui passe de vert à orange. (avant ça bloquait tout) 

Si cette filtration bloque les ICMP de redirection c'est une bonne chose (avec Edgemax ER X c'est ce que j'avais fait...de mémoire autoriser ICMP sauf type 5 (redirection).

Un peu de lecture : https://www.malekal.com/bloquer-icmp-pour-et-contre/

En tout cas je vais effectivement cocher le parefeu de la Freebox et voir ce qui se passe....pour l'instant tout va bien.

 

Attention: Oui il faut editer ton post pour  supprimer ton adresse IPV4 publique (tu en a oublié une) de même que ton préfixe IPV6 dans plusieurs endroits.

Modifié le 8 février par Jeff777

[Jeff777]

Ce matin je constate que j'ai perdu le contact avec ma zone publique IPV6 que j'héberge (tests SSL Labs et Zonemaster dégradés) j'ai donc désactivé le parefeu IPV6 de la Freebox et tout redevient normal au bout d'un court moment. Mais ceci n'est peut-être uniquement dû à ma config un peu spéciale !

 

@_DR64_

Les deux lignes de ton pare feu sont identiques et ne semble autoriser que les échanges sur le réseau local, donc normal.

Quant à ton problème de migration vers les States vérifie peut-être les paramètres de ton NAS (option tégionale) ou de tes périphériques (PC, box etc...)

 

 

Modifié le 9 février par Jeff777

[.Shad.]

Si le pare-feu Free ne permet pas de configurer des règles avancées, alors il faut a minima s'assurer que tout ce qui n'est pas derrière le routeur mais derrière la box est bien protégé.

[Jeff777]

@.Shad.

Que je sache, la Freebox n'a pas de pare-feu IPV4 le pare feu est au niveau du (des) nas. Pour l'IPV6 je suis donc dans le même cas sans activer le parefeu freebox.

Le seul risque est une intrusion directement sur l'adresse IPV6 d'un périphérique du réseau sans passer par les pi-holes qui renvoient aux nas ou les nas qui n'autorisent que les requètes IPV6 locales ou avec le préfixe IPV6 du domaine (donc locales également) sauf pour le port 53.

Est-ce que ce risque existe. Je pense que l'on peut filtrer les IPV6 sur le switch manageable mais c'est loin d'être intuitif.

[_DR64_]

Il y a 4 heures, Jeff777 a dit :

Quant à ton problème de migration vers les States vérifie peut-être les paramètres de ton NAS (option tégionale) ou de tes périphériques (PC, box etc...)

Bonjour @Jeff777 et merci pour ton retour.
A titre d'exemple, je viens de réinitialiser totalement ma Shield (android tv).
Lors de l'installation, elle me demande de se connecter à mon compte google.
Je m'execute et je reçois une notification sur mon téléphone comme quoi quelqu'un essaie de se connecter à mon compte depuis les USA... 
Je ne pense pas que cela vienne d'un des périphériques.
Concernant les options régionales du routeur, elles sont correctement renseignées en France.

Ce problème me fait perdre la boule...

Je précise également qu'avec le compte google de ma femme, c'est la même chose.

[Jeff777]

@_DR64_

Peut-être ça :

https://support.google.com/googleplay/answer/7431675?hl=fr

 

[_DR64_]

@Jeff777

Merci beaucoup mais malheureusement ce n'est pas cela non plus 😔

[Kramlech]

Il y a 7 heures, _DR64_ a dit :

Je m'execute et je reçois une notification sur mon téléphone comme quoi quelqu'un essaie de se connecter à mon compte depuis les USA... 

A tout hasard, tu n'aurais pas un client VPN actif qui sortirait aux USA ?

[_DR64_]

Bonsoir @Kramlech

Le seul VPN "Publique" activé est celui du NAS qui est à Londres.
Le routeur ou la freebox n'ont pas de VPN d'activé

Après j'ai cru comprendre que la zone géographique est liée parfois à l'adresse IP. 
Cette correspondance IP/Zone se fait à partir de "liste" 
Je pense que peut-etre mon adresse se situe actuellement dans une mauvaise liste et fausse ma zone ?!
Je vais attendre un peu on verra bien.
Il ne me reste plus que ma shield en US pour le moment.
Parfois, les curiosités de l'informatique il ne faut pas chercher ahah

[_DR64_]

Le truc curieux, c'est que quand je fais une recherche sur google avec mon tel en wifi du mot "coucou" par exemple, j'ai des retours en anglais.
Je vais dans la conf du RT2600ac, je désactive le relais IPV6, je coupe et remet le wifi du tel, je fais la même recherche et les résultats sont tous français.

[_DR64_]

Autre question :
J'ai désactivé le relais IPV6 du routeur.
J'ai redémarré le routeur.
J'ai réinitialisé la conf ip sur mon pc : ipconfig/release et ipconfig/renew
malgrès ça :

 

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . : MONNOM
   Adresse IPv6. . . . . . . . . . . . . .: pourquoi c'est là ? sachant que le préfixe est bien celui que je vois dans la conf de la freebox
   Adresse IPv6 temporaire . . . . . . . .: pourquoi c'est là ? sachant que le préfixe est bien celui que je vois dans la conf de la freebox
   Adresse IPv6 de liaison locale. . . . .: pourquoi c'est là ? sachant que le préfixe est bien celui que je vois dans la conf de la freebox
   Adresse IPv4. . . . . . . . . . . . . .: 10.0.0.50
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : 10.0.0.1

Il faut que je désactive l'ipv6 dans la conf de l'ordi pour me retrouver "comme avant" :
 

Carte ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . : MONNOM
   Description. . . . . . . . . . . . . . : Realtek USB GbE Family Controller
   Adresse physique . . . . . . . . . . . : XX-XX-XX-XX-XX-XX
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 10.0.0.50(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : samedi 10 février 2024 08:07:56
   Bail expirant. . . . . . . . . . . . . : dimanche 11 février 2024 08:07:55
   Passerelle par défaut. . . . . . . . . : 10.0.0.1
   Serveur DHCP . . . . . . . . . . . . . : 10.0.0.1
   Serveurs DNS. . .  . . . . . . . . . . : 10.0.0.254
                                       10.0.0.4
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé
   Liste de recherche de suffixes DNS propres à la connexion :
                                       MONNOM

 

[church]

Hello ! 

SRM et DSM proposent la fonctionnalité de serveur NTP pour diffuser l'heure (et donc un fuseau horaire) aux périphériques présents sur le réseau.

As tu tenté de désactiver cette option pour voir ?

Idem, tente de modifier les options régionales du routeur dans un autre pays puis de les remettre en France pour voir.

Aucune chance que sur ton réseau, un périphérique soit mal paramétré au niveau de la zone géographique ? Sur mon switch manageable Netgear, je peux effectivement paramétrer une zone géographique et des serveurs de temps et lui demander de faire office de serveur de temps sur le réseau local.

Tu indiques que ton NAS est bien connecté à un VPN : aucune chance que tu l'aies également paramétré comme passerelle pour le reste du réseau ?

Si tu vires le DHCP et que tu fixes les paramètres réseau sur le PC, ça donne quoi (IP, passerrelle, DNS, etc) ?

[_DR64_]

Bonjour @church

Merci pour ta réponse.

Il y a 17 heures, church a dit :

As tu tenté de désactiver cette option pour voir ?

Comme j'ai deux routeurs Synology en Mesh, l'option est activé par défaut dans cette configuration. Je ne peux pas la désactiver.
Elle n'est pas activée sur mon NAS.

Il y a 17 heures, church a dit :

Idem, tente de modifier les options régionales du routeur dans un autre pays puis de les remettre en France pour voir.

J'ai testé, rien ne change.

Il y a 17 heures, church a dit :

Aucune chance que sur ton réseau, un périphérique soit mal paramétré au niveau de la zone géographique ? Sur mon switch manageable Netgear, je peux effectivement paramétrer une zone géographique et des serveurs de temps et lui demander de faire office de serveur de temps sur le réseau local.

A ma connaissance non tout est bien en france.

Il y a 17 heures, church a dit :

Tu indiques que ton NAS est bien connecté à un VPN : aucune chance que tu l'aies également paramétré comme passerelle pour le reste du réseau ?

Ma passerelle par défaut est le routeur (10.0.01) dans mon précédent commentaire.
De plus, le nas est connecté à Londres. Pas aux USA

Il y a 17 heures, church a dit :

Si tu vires le DHCP et que tu fixes les paramètres réseau sur le PC, ça donne quoi (IP, passerrelle, DNS, etc) ?

Rien ne change.