Changements IPv6 fixe / Covage Calvados ?

bOLEMO · 29 Janvier 2021 à 20:29:33

Bonsoir,

Y-a-t'il des changements d'IPv6 en cours ?

Normalement, mon adresse fixe était en 2a03:4980:xxx:xxxx::1/128 et ma délégation en /56
Depuis récemment, je me vois attribuer parfois une adresse globale en 2a01:e34:ee7c:xxxx:xxxx:xxxx:xxxx:xxxx/64 qui contient en partie la MAC de mon routeur (interface WAN).

Sur le nouvel espace client, je ne peux plus voir mes IP fixes comme sur l'ancienne interface (ou je ne sais pas où chercher...)

Une migration IPv6 en cours ? Une maintenance ? Ou un bogue quelque part (relais DHCP Covage, ...) ?

Merci

thedark · 29 Janvier 2021 à 20:39:24

Hello,
Aucun Changement pour moi. (Grand Nancy,Layer 2)
Pour voir ta délégation en /56, il faut avoir la KBOX.
Cordialement

bOLEMO · 29 Janvier 2021 à 20:41:09

PS

L'adresse est chez Free

??

Le relais DHCP Covage me donne une adresse Free ??

CitationIPv6 Address Whois Lookup
The IPv6 whois lookup tells you the owner of an IPv6 Address. You can use this information to contact the owner in case of abuse or spam report.

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '2a01:e00::/26'

% Abuse contact for '2a01:e00::/26' is 'abuse@proxad.net'

inet6num: 2a01:e00::/26
netname: FR-PROXAD-20080121
country: FR
org: ORG-PISP1-RIPE
admin-c: ACP23-RIPE
tech-c: TCP8-RIPE
status: ALLOCATED-BY-RIR
mnt-by: RIPE-NCC-HM-MNT
mnt-by: PROXAD-MNT
mnt-routes: PROXAD-MNT
mnt-domains: PROXAD-MNT
created: 2008-01-21T14:17:01Z
last-modified: 2018-02-14T01:51:58Z
source: RIPE # Filtered

organisation: ORG-PISP1-RIPE
org-name: Free SAS
country: FR
org-type: LIR
address: 16 rue de la Ville l'Eveque
address: 75008
address: Paris
address: FRANCE
phone: +33173502000
fax-no: +33173922555
admin-c: ACP23-RIPE
admin-c: TCP8-RIPE
mnt-ref: PROXAD-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
mnt-by: PROXAD-MNT
tech-c: TCP8-RIPE
remarks: Pour les requisitions judiciaires/administratives, merci de contacter par fax le 33 1 73 92 25 55
abuse-c: ACP23-RIPE
created: 2004-04-17T11:23:24Z
last-modified: 2020-12-16T12:45:25Z
source: RIPE # Filtered

role: Administrative Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: APfP1-RIPE
tech-c: TPfP1-RIPE
nic-hdl: ACP23-RIPE
mnt-by: PROXAD-MNT
abuse-mailbox: abuse@proxad.net
created: 2002-06-26T12:46:56Z
last-modified: 2013-08-01T12:16:00Z
source: RIPE # Filtered

role: Technical Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: APfP1-RIPE
tech-c: TPfP1-RIPE
nic-hdl: TCP8-RIPE
mnt-by: PROXAD-MNT
created: 2002-06-26T12:29:10Z
last-modified: 2011-06-14T09:03:07Z
source: RIPE # Filtered
abuse-mailbox: abuse@proxad.net

% Information related to '2a01:e00::/26AS12322'

route6: 2a01:e00::/26
descr: ProXad network / Free SAS
origin: AS12322
mnt-by: PROXAD-MNT
created: 2008-01-22T14:41:54Z
last-modified: 2008-01-22T14:41:54Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.99 (WAGYU)

thedark · 29 Janvier 2021 à 20:45:19

WTF. Une personne a mis sa freebox sur l'Arbre GPON ?

bOLEMO · 30 Janvier 2021 à 00:56:56

Citation de: thedark le 29 Janvier 2021 à 20:45:19
WTF. Une personne a mis sa freebox sur l'Arbre GPON ?

Peut-être, il y a pas mal de trucs qui traînent dans ma boucle locale apparemment, mais jusqu'à présent, c'était exclusivement de clients K-Net.

Mais recevoir une adresse Free /64 sur une boucle Covage, c'est pas mal quand même...

C'est pour l'instant revenu à la normale.

À suivre...

thedark · 30 Janvier 2021 à 08:31:55

Non mais c'est un client K-NET qui a mis sa box FREE avec sa box K-NET pour recevoir ses chaines FREE(Il y a une chance)

Steph · 30 Janvier 2021 à 09:13:07

Citation de: bOLEMO le 30 Janvier 2021 à 00:56:56
Peut-être, il y a pas mal de trucs qui traînes dans ma boucle locale apparemment, mais jusqu'à présent, c'était exclusivement de clients K-Net.

Hier après midi 13h30-18h30, ton IPv4 était inaccessible sauf de 16h-16h45.

bOLEMO · 30 Janvier 2021 à 12:27:43

Bon, après réflexion, c'est très probablement une Freebox qui a envoyé cela en stateless IPv6, donc pas en DHCP.
Et je ne serais pas surpris que cela vienne de la même personne qui inonde la boucle locale avec ses requêtes venant de son LAN 192.168.14.0/24

Maintenant, comment sa Freebox a-t-elle une adresse Proxad sur le réseau K-Net ? Les Freebox ont leur IPv6 codé en dur ?

thedark · 30 Janvier 2021 à 12:47:08

Citation de: bOLEMO le 30 Janvier 2021 à 12:27:43
Maintenant, comment sa Freebox a-t-elle une adresse Proxad sur le réseau K-Net ? Les Freebox ont leur IPv6 codé en dur ?

https://forum.caps.services/index.php?topic=4430.0

bOLEMO · 31 Janvier 2021 à 15:42:41

J'ai récupéré la MAC de la Freebox qui fuit sur l'arbre GPON : f4:ca:e5:58:4c:31

Je bloque la config SLAAC sur mon routeur, donc il n'ajoute pas son adresse Free, mais bon, ça serait bien que la personne qui a cette Freebox revoie la configuration de son réseau.

thedark · 31 Janvier 2021 à 15:46:39

Tu n'as pas de chance toi. Il y a des mecs pas malin dans ton arbre GPON. (Peut-être dans le mien aussi)

bOLEMO · 01 Février 2021 à 01:18:40

J'ai été radical, et j'ai créé deux règles (une IPv4, une IPv6) :

iptables -t mangle -I PREROUTING -i WAN IFACE -m mac ! --mac-source MAC GATEWAY COVAGE -j DROP
ip6tables -t mangle -I PREROUTING -i WAN IFACE -m mac ! --mac-source MAC GATEWAY COVAGE -j DROP

Bref, tout ce qui ne vient pas de la passerelle Covage est rejeté.

Il me faut simplement garder ça en tête si un jour Covage change leur passerelle.

bOLEMO · 01 Février 2021 à 18:38:10

Les messages ARP passaient encore (couche 2), donc j'ai remplacé mes règles iptables (couche 3) par des règles ebtables :

ebtables -N auth_macs
ebtables -A auth_macs -s MAC PASSERELLE -j RETURN
ebtables -A auth_macs -s MAC ONT -j RETURN
ebtables -A auth_macs -j DROP
ebtables -I INPUT -i ethwan -j auth_macs
ebtables -I FORWARD -i ethwan -j auth_macs

En gros, je crée une chaîne ebtables (auth_macs) dans laquelle je liste les MAC autorisées, ici la passerelle et l'ONT.

ethwan doit être remplacé par l'interface ethernet physique côté WAN
MAC PASSERELLE doit être remplacé par la MAC de la passerelle OI (peut être trouvée avec la commande arp par example)
MAC ONT doit correspondre à la MAC de l'ONT. cette ligne n'est utile que si on cherche à se connecter à l'ONT directement pour récupérer des statistiques (cf post dédié).

Résultat :
1) ça fonctionne : internet IPv4 et IPv6 n'est pas perturbé.
2) ça bloque absolument toute la pollution présente sur l'arbre GPON. Je ne vois plus que les paquets qui me sont destinés.
Une écoute tcpdump du genre tcpdump -i brwan -n -vv '(udp port 546 or 547)' est très silencieuse et n'affiche plus que les trames DHCPv6 que j'envoie et celles qui me sont destinées. Cela est valide pour les paquets broadcast, les messages ARP... Avant je voyait toutes les trames destinées et émises par tous les clients K-Nets de mon arbre GPON, et toutes les fuites LAN.
Bref, une règle qui est maintenant par défaut, car c'est un pare feu imparable contre les attaques ou les malencontreux paquets RA du genre de ceux de la Freebox.

Je recommande pour la sécurité.

Rechercher