Bonjour;
On 18/07/2021 14:00, frsag-request@frsag.org wrote:
Date: Sat, 17 Jul 2021 15:14:02 +0200 From: Vincent Habchi vincent@geomag.fr [...]
Le souci, c?est l?IPv6.
Soit P mon préfixe (/64, évidemment).
Besoin d'une précision ici. Qu'est-ce que le FAI envoie ou délègue comme préfixe IPv6 exactement ? est-ce juste un /64 ou autre ... /60 ou autre ???
Dans le cas où ça ne serait qu'un /64 alors oui, il faudra faire du NAT66 mais dans le cas où le FAI envoie mieux (ce qui est normalement l'idéal), ça permet de faire des routages appropriés.
Initialement, avec ipv6_gateway_enable = YES dans /etc/rc.conf, j?avais configuré re0 en P::ffff/64 (mon routeur tête de pont est en P::1), et ale0 en P::1:0/112 avec une config DHCP6 correspondante. Pour les clients VPN, j?avais P::2:0/112
Idéalement, il vaut mieux toujours conserver 64 bits ...
https://datatracker.ietf.org/doc/html/rfc7421
Problème : rien ne passe de re0 vers ale0. Les pings des machines du réseau local (P::1:XXXX) atteignent leur cible, mais les réponses sont bloquées au niveau de la tête de pont, le gateway émettant des paquets multicast NS fff2::1:xxxx:xxxx auquel le serveur ne répond pas. J?ai essayé d?utiliser ndp(8) pour ?proxifier? certaines v6, mais queude. Le serveur reste complètement muet, et ne renvoie jamais de réponse aux sollicitations du gateway, donc les paquets réponse sont perdus. J?ai également tenté d?utiliser rtadvd pour avertir les équipements amont qu?ils communiquaient avec un routeur, mais là aussi, zéro effet.
Sans entrer dans les détails, je suis sur qu'à grande partie ces problèmes résultent de la taille du préfixe..
Alors, vous me direz, le mieux est de créer un bridge entre re0 et ale0. OK, pas de souci : ifconfig bridge0 create addm re0 addm ale0. Fantastique, tout à coup les machines du réseau local peuvent causer IPv6 avec l?extérieur.
Je ne vois pas de problème particulier ici s'il fallait conserver cette config (à part la taille de préfixe mentionnée plus haut) . C'est ici qu'intervient les règles de firewall pour gérer qui peut faire quoi.