Bonjour;
On 18/07/2021 14:00, frsag-request@frsag.org wrote:
Date: Sat, 17 Jul 2021 15:14:02 +0200 From: Vincent Habchi vincent@geomag.fr [...]
Le souci, c?est l?IPv6.
Soit P mon préfixe (/64, évidemment).
Besoin d'une précision ici. Qu'est-ce que le FAI envoie ou délègue comme préfixe IPv6 exactement ? est-ce juste un /64 ou autre ... /60 ou autre ???
Dans le cas où ça ne serait qu'un /64 alors oui, il faudra faire du NAT66 mais dans le cas où le FAI envoie mieux (ce qui est normalement l'idéal), ça permet de faire des routages appropriés.
Initialement, avec ipv6_gateway_enable = YES dans /etc/rc.conf, j?avais configuré re0 en P::ffff/64 (mon routeur tête de pont est en P::1), et ale0 en P::1:0/112 avec une config DHCP6 correspondante. Pour les clients VPN, j?avais P::2:0/112
Idéalement, il vaut mieux toujours conserver 64 bits ...
https://datatracker.ietf.org/doc/html/rfc7421
Problème : rien ne passe de re0 vers ale0. Les pings des machines du réseau local (P::1:XXXX) atteignent leur cible, mais les réponses sont bloquées au niveau de la tête de pont, le gateway émettant des paquets multicast NS fff2::1:xxxx:xxxx auquel le serveur ne répond pas. J?ai essayé d?utiliser ndp(8) pour ?proxifier? certaines v6, mais queude. Le serveur reste complètement muet, et ne renvoie jamais de réponse aux sollicitations du gateway, donc les paquets réponse sont perdus. J?ai également tenté d?utiliser rtadvd pour avertir les équipements amont qu?ils communiquaient avec un routeur, mais là aussi, zéro effet.
Sans entrer dans les détails, je suis sur qu'à grande partie ces problèmes résultent de la taille du préfixe..
Alors, vous me direz, le mieux est de créer un bridge entre re0 et ale0. OK, pas de souci : ifconfig bridge0 create addm re0 addm ale0. Fantastique, tout à coup les machines du réseau local peuvent causer IPv6 avec l?extérieur.
Je ne vois pas de problème particulier ici s'il fallait conserver cette config (à part la taille de préfixe mentionnée plus haut) . C'est ici qu'intervient les règles de firewall pour gérer qui peut faire quoi.
Salut !
J’étais en train de regarder ndp-proxy. Je regarderai plus en détail ce soir quand tout le monde sera parti.
Besoin d'une précision ici. Qu'est-ce que le FAI envoie ou délègue comme préfixe IPv6 exactement ? est-ce juste un /64 ou autre ... /60 ou autre ???
On a un /64. En fait, soi-disant un /56 avec un autre préfixe. Mais je n’ai jamais réussi à faire arriver quoi que ce soit sur cet autre préfixe. Le dernier routeur (dans un traceroute6) apparaît avec ce préfixe, mais aucun paquet avec une adresse différente de celle du routeur ne semble être acheminé au-delà de celui-ci.
Je ne vois pas de problème particulier ici s'il fallait conserver cette config (à part la taille de préfixe mentionnée plus haut) . C'est ici qu'intervient les règles de firewall pour gérer qui peut faire quoi.
Non, effectivement. Je trouve juste un peu absurde de faire du NAT66.
J’avais une config en /64 partout. Ça marchait, mais ça avait l’air de faire râler dhcpd6 qui ne savait pas sur quel brin il devait écouter. Je vais voir s’il n’y a pas une ligne de configuration qui permettent de restreindre le service des adresses sur une interface particulière.
Vincent
.
On 19/07/2021 17:00, Vincent Habchi wrote:
Salut !
J’étais en train de regarder ndp-proxy. Je regarderai plus en détail ce soir quand tout le monde sera parti.
Besoin d'une précision ici. Qu'est-ce que le FAI envoie ou délègue comme préfixe IPv6 exactement ? est-ce juste un /64 ou autre ... /60 ou autre ???
On a un /64. En fait, soi-disant un /56 avec un autre préfixe. Mais je n’ai jamais réussi à faire arriver quoi que ce soit sur cet autre préfixe. Le dernier routeur (dans un traceroute6) apparaît avec ce préfixe, mais aucun paquet avec une adresse différente de celle du routeur ne semble être acheminé au-delà de celui-ci.
Cela ne résoudra pas directement ton problème mais je pense qu'il serait opportun de voir exactement avec le FAI comment il effectue le provisionning.
A priori, le /64 doit être vu simplement comme une liaison de point à point (donc entre le routeur tête de pont et re0) et le /56 le préfixe routé qui peut être utilisé sur les autres réseaux (ici sur ale0 qui peut choisir un /64 suivant le besoin).
Re-
On 19 Jul 2021, at 15:12, Willy Manga mangawilly@gmail.com wrote:
Cela ne résoudra pas directement ton problème mais je pense qu'il serait opportun de voir exactement avec le FAI comment il effectue le provisionning.
Oui, j’abonde totalement, mais obtenir des renseignements IPV6 chez Celeste, c’est le parcours du combattant. On a déjà mis plus de 4 mois à obtenir notre préfixe après ouverture de la liaison… Et chaque pour chaque opération c’est un mois minimum… Là j’ai demandé une inscription dans leur reverse DNS 6, ou une délégation de zone, je pense que j’aurai la réponse fin octobre…
Je pense qu’ils considèrent ça comme du confort. La preuve, leur relai smtp n’a même pas de AAAA record.
Bonne fin d’AM,
Vincent
-
Vincent Habchi -
Willy Manga