IPv6 K-Net / Rosace

fsutter · 02 Mai 2021 à 10:48:15

J'ai ça: 10:47:29.329502 IP6 fe80::8e94:1fff:fe21:7c62 > ff02::1: ICMP6, router advertisement, length 32

fsutter · 02 Mai 2021 à 10:51:54

Depuis le routeur, un ping6 www.google.com marche.
Par contre depuis un device il ne se passe rien.
L'adresse est bien résolue mais pas de ping:
ping6 www.google.com
PING6(56=40+8+8 bytes) 2a03:4980:xxx:xxx:192:168:1:21 --> 2a00:1450:4007:80e::2004

Xynor · 02 Mai 2021 à 10:54:24

si le ping6 marche depuis le routeur, celui-ci est connecté correctement alors.
Problème de firewall ?
Pour info, je n'ai aucune règle coté LAN et coté WAN le minimum IN et LOCAL

Xynor · 02 Mai 2021 à 10:59:36

ah mais je n'avais pas bien lu : il n'y a pas de réponse au ping6

fsutter · 02 Mai 2021 à 11:08:47

Depuis le routeur ça passe:

[2.5.1-RELEASE][root@pfsense.lan]/root: ping6 www.google.com
PING6(56=40+8+8 bytes) 2a03:4980::34:0:1c2 --> 2a00:1450:4007:80e::2004
16 bytes from 2a00:1450:4007:80e::2004, icmp_seq=0 hlim=117 time=15.411 ms
16 bytes from 2a00:1450:4007:80e::2004, icmp_seq=1 hlim=117 time=15.913 ms
16 bytes from 2a00:1450:4007:80e::2004, icmp_seq=2 hlim=117 time=16.204 ms
16 bytes from 2a00:1450:4007:80e::2004, icmp_seq=3 hlim=117 time=16.130 ms

Mais pas depuis les devices.

Xynor · 02 Mai 2021 à 11:20:40

c'est bon signe ! donc la connexion IPv6 au réseau fonctionne. Ton souci est local.
Tu as vérifié le firewall et la table de routage ?

bOLEMO · 02 Mai 2021 à 12:22:42

Oui, pas de problème IPv6 côté OI, ni sur le client DHCPv6 de votre routeur.

Problème de route, de pare-feu ou de configuration système (sysctl).

Vérifiez ip -6 route, ip -6 addr, ip6tables -S, ip6tables -t mangle -S, ip6tables -t nat -S, ip6tables -t raw -S et sysctl -a | grep -F ipv6

Et aussi, vérifiez la connexion IPv6 entre appareils et le routeur sur le LAN est-elle ok ? Peut-être la mise-à-jour pfsense a-t-elle changée des paramètres ; à vérifier selon votre config (stateless, stateful, managed, etc...)

fsutter · 02 Mai 2021 à 12:34:19

Merci d'avoir regardé.

Le router mode est en managed(Will advertise this router with all configuration through a DHCPv6 server.).
Depuis un device sur le LAN, je peux faire un ping6 sur un autre device.

On dirait que la route n'est pas envoyé au device.
Le FW a l'air OK je dirais.

Voici le résultat d'un ip -6 route sur un device:
[frederic@cyberlab ~]$ ip -6 route
unreachable ::/96 dev lo metric 1024 error -113 pref medium
unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -113 pref medium
unreachable 2002:a00::/24 dev lo metric 1024 error -113 pref medium
unreachable 2002:7f00::/24 dev lo metric 1024 error -113 pref medium
unreachable 2002:a9fe::/32 dev lo metric 1024 error -113 pref medium
unreachable 2002:ac10::/28 dev lo metric 1024 error -113 pref medium
unreachable 2002:c0a8::/32 dev lo metric 1024 error -113 pref medium
unreachable 2002:e000::/19 dev lo metric 1024 error -113 pref medium
2a03:4980:127:c300::2000 dev ens160 proto kernel metric 100 pref medium
2a03:4980:127:c300::8f41 dev ens160 proto kernel metric 100 pref medium
2a03:4980:127:c300:192:168:1:125 dev ens160 proto kernel metric 100 pref medium
2a03:4980:127:c300::/56 dev ens160 proto ra metric 100 pref medium
unreachable 3ffe:ffff::/32 dev lo metric 1024 error -113 pref medium
fe80::/64 dev ens160 proto kernel metric 100 pref medium
default via fe80::20d:b9ff:fe48:83f5 dev ens160 proto ra metric 100 pref medium

et ip -6 addr:
[frederic@cyberlab ~]$ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2a03:4980:127:c300:192:168:1:125/128 scope global noprefixroute dynamic
valid_lft 7147sec preferred_lft 4447sec
inet6 fe80::20c:29ff:fe6f:3374/64 scope link noprefixroute
valid_lft forever preferred_lft forever

Merci

Hugues · 02 Mai 2021 à 14:55:51

Citation de: fsutter le 02 Mai 2021 à 10:25:41
je viens de voir que le gateway n'est pas seté correctement par le dhcpv6.

DHCPv6 ne donne pas de gateway, c'est les RA et ils ne peuvent pas se tromper.

Citation de: Xynor le 02 Mai 2021 à 10:35:05
Mais bon, rien n'empêche une faute de frappe en configurant le dhcp coté k-net.

Sauf que K-Net n'a evidemment pas connaissance de toutes les ip LL de tous les routeurs de covage. Donc K-Net ne connait pas la gateway.

fsutter · 02 Mai 2021 à 16:15:59

Sur la WAN j'ai un Subnet mask IPv6 de 128.
Je croyais que je devais avoir un /96 non ?

IPv6 Link Local
fe80::20d:b9ff:fe48:83f4%igb0
IPv6 Address
2a03:4980::XXXX
Subnet mask IPv6
128
Gateway IPv6
fe80::8e94:1fff:fe21:7c62

Hugues · 02 Mai 2021 à 16:28:35

Pas forcément non

Xynor · 02 Mai 2021 à 17:10:04

oui, c'est normal, j'ai pareil ici : 2a03:4980::xxx:xxx:xxx/128, c'est l'adresse de l'interface WAN (enfin, je crois !)

bOLEMO · 02 Mai 2021 à 17:45:29

Votre device semble avoir la bonne route :
default via fe80::20d:b9ff:fe48:83f5 dev ens160 proto ra metric 100 pref medium

fe80::20d:b9ff:fe48:83f5 étant j'imagine l'adresse link local de l'interface LAN de votre routeur.

Le problème est au niveau du routeur. Il ne forward pas les paquets LAN/WAN.
Que retourne sur le routeur la commande sysctl -a | grep net\.ipv6\.conf\.[^.]*\.forwarding ?

Les valeurs devraient être à 1.

fsutter · 02 Mai 2021 à 18:20:35

[2.5.1-RELEASE][admin@pfsense.lan]/root: sysctl -a | grep forwarding
net.inet.ip.forwarding: 1
net.inet6.ip6.forwarding: 1

bOLEMO · 03 Mai 2021 à 01:04:19

Comme ce problème est spécifique à votre routeur, si ce n'est déjà fait, j'irais chercher sur les forums spécifiques à Pfsense, et si ce sujet n'existe déjà pas, poser la question.

Bien sûr, on peut continuer à aider sur ce forum. Pour l'instant je n'ai pas grand chose d'autre à proposer, si ce n'est de chercher les logs du routeur (dmesg ou autre).

Si d'autres personnes sont sur pfsense ici, ils pourront peut-être partager leur config IPv6.

Rechercher

IPv6 K-Net / Rosace

IPv6 K-Net / Rosace

fsutter

fsutter

fsutter

fsutter

fsutter

fsutter

IPv6 K-Net / Rosace