Bonjour,
J'ai activé IPv6 sur mon routeur K-Net (offre Klassik => Netgear N300). Derrière, j'ai un PC sous linux avec un serveur web (http port 80), qui a son IP v6 routable globalement 2a03:4980:100:bb00:x:x:x:x.
Toutes les machines IPv6 de mon réseau local à la maison arrivent à :
- faire un "ping 2a03:4980:100:bb00:x:x:x:x" depuis leur IPv6 globale,
- faire un "telnet 2a03:4980:100:bb00:x:x:x:x 80" => le serveur web est bien accessible.
Par contre, j'ai un VPS sur Internet, qui a lui aussi une adresse IP v6 globale routable. Depuis cette machine, j'arrive bien à :
- faire un "ping 2a03:4980:100:bb00:x:x:x:x" ==> ça prouve qu'il n'y a aucun problème de routage
Mais par contre, un "telnet 2a03:4980:100:bb00:x:x:x:x 80" échoue !!! Le port 80 ne semble pas ouvert.
D'où ma question : est-ce que K-Net a mis en place des règle de filtrage (type ACL) pour éviter d'exposer nos machines en IPv6 ? Sinon, avez-vous une autre explication ?
Merci++,
E. D.
Bonsoir,
Une box ou routeur ne laissera rien entrer par défaut que ce soit du v4 ou v6, donc la réponse à ta question se trouve dans les ACLs de ton Netgear.
F.
Citation de: Drywan le 15 Février 2021 à 20:43:09
[...]Une box ou routeur ne laissera rien entrer par défaut que ce soit du v4 ou v6, donc la réponse à ta question se trouve dans les ACLs de ton Netgear.
Merci @Drywan, mais alors là, on a un problème : en effet, autant dans l'interfacer de paramétrage K-Net du Netgear, il y a bien un endroit pour paramétrer le "mappage" des ports entrant pour IPv4.
Mais par contre, j'ai fait le tour de tous les menus, il n'y a rien pour permettre le réglage des flux IPv6...
Y a-t-il une solution ? Est-ce un "oubli" dans le firmware K-Net ?
Très cordialement,
E. D.
Pour le netgear, je ne sais pas mais pour l'icotéra, il y a bien un réglage du firewall IPV6.
Citation de: Steph le 16 Février 2021 à 12:14:24
Pour le netgear, je ne sais pas mais pour l'icotéra, il y a bien un réglage du firewall IPV6.
Et bien je confirme que dans le Netgear, rien, nada, nothing... Le panel actuel (version 5.6) n'a pas eu de mise à jours depuis le... 11/04/2019.
Et si je remonte le temps, je vois que "Version 5.3, 29/11/2018 : (feature) Le firewall v6 est activé par défaut sur les Icotera."
Ouin sur kes Icotera, mais rien sur les Netgear... :-(
Quoi qu'il en soit, merci++ d'avoir confirmé mon intuition. Très cordialement,
E. D.
Par curiosité, vous pourriez m'envoyer l'adresse IPv6 en question ?
Citation de: emmanuel@desvigne.org le 16 Février 2021 à 13:26:29
Citation de: Steph le 16 Février 2021 à 12:14:24
Pour le netgear, je ne sais pas mais pour l'icotéra, il y a bien un réglage du firewall IPV6.
Et bien je confirme que dans le Netgear, rien, nada, nothing... Le panel actuel (version 5.6) n'a pas eu de mise à jours depuis le... 11/04/2019.
Et si je remonte le temps, je vois que "Version 5.3, 29/11/2018 : (feature) Le firewall v6 est activé par défaut sur les Icotera."
Ouin sur kes Icotera, mais rien sur les Netgear... :-(
Quoi qu'il en soit, merci++ d'avoir confirmé mon intuition. Très cordialement,
E. D.
Sur les Netgears, il est possible de modifier les règles de routage et de pare-feu IPv6 (ip6tables, ip -6, etc...), mais il faut le faire en ligne de commande (activer l'accès telnet)
Cela dit, le routeur risque de remettre à zéro ses règles de temps en temps, donc un firmware du genre Voxel est recommandé (on peut éditer un script qui modifie les règles à chaque fois que le pare-feu est relancé, permettant de toujours avoir ce qu'on veut).
J'ai donc mes propres règles de routage, filtrage, etc... en IPv4 et IPv6.
Citation de: Vincent O le 16 Février 2021 à 18:00:27
Par curiosité, vous pourriez m'envoyer l'adresse IPv6 en question ?
Bien sûr, une des deux @IP routable (celle en /128) est : 2a03:4980:100:bb00::e83e:f918
Très cordialement,
E. D.
Citation de: bOLEMO le 16 Février 2021 à 20:09:40
[...] Sur les Netgears, il est possible de modifier les règles de routage et de pare-feu IPv6 (ip6tables, ip -6, etc...), mais il faut le faire en ligne de commande (activer l'accès telnet)[...]
On peut faire ça sans perdre la garantie ? Idem, pour le changement de firmware ? Je ne savais pas (contrairement à la passerelle téléphonique que j'ai achetée, le routeur est la propriété de K-Net).
En tout cas, merci à tous pour vos pistes... Très cordialement,
E. D.
Citation de: emmanuel@desvigne.org le 16 Février 2021 à 21:46:22
Bien sûr, une des deux @IP routable (celle en /128) est : 2a03:4980:100:bb00::e83e:f918
Je l'ai autorisé à la main pour tester ; j'ai mis dans notre todo list cette fonctionnalité, je ne peux pas donner d'estimation de quand ça sera fait par contre
Citation de: emmanuel@desvigne.org le 16 Février 2021 à 21:49:31
Citation de: bOLEMO le 16 Février 2021 à 20:09:40
[...] Sur les Netgears, il est possible de modifier les règles de routage et de pare-feu IPv6 (ip6tables, ip -6, etc...), mais il faut le faire en ligne de commande (activer l'accès telnet)[...]
On peut faire ça sans perdre la garantie ? Idem, pour le changement de firmware ? Je ne savais pas (contrairement à la passerelle téléphonique que j'ai achetée, le routeur est la propriété de K-Net).
En tout cas, merci à tous pour vos pistes... Très cordialement,
E. D.
Le routeur Netgear que vous mentionnez n'est pas un routeur perso ?
C'est la box K-Net qui est une Netgear ?
Si oui, je ne savais pas que K-Net avait des boxes NG, et dans ce cas, je n'ai aucune idée de ce que vous pouvez faire ou pas, les garantie et firmwares qui peuvent être installés...
Je parlais pour un routeur perso du type R7800, R9000 ou Orbi.
Citation de: bOLEMO le 17 Février 2021 à 00:10:24
Si oui, je ne savais pas que K-Net avait des boxes NG
Oui, c'est la Kbox V1 :)
Citation de: Vincent O le 16 Février 2021 à 22:09:24
Je l'ai autorisé à la main pour tester ; j'ai mis dans notre todo list cette fonctionnalité, je ne peux pas donner d'estimation de quand ça sera fait par contre
Bonjour,
Je confirme, ça fonctionne (port bien ouvert). C'est donc bien un filtrage en entrée... Merci pour l'inclusion dans la "todo list". Il ne reste plus qu'à être patient :-)
Très cordialement,
E. D.
Citation de: Hugues le 17 Février 2021 à 01:26:47
Citation de: bOLEMO le 17 Février 2021 à 00:10:24
Si oui, je ne savais pas que K-Net avait des boxes NG
Oui, c'est la Kbox V1 :)
Oui, c'est parce que je suis un vieuuuuuuux client ;-)
Bon après effectivement, je peux remplacer la box v1 K-Net par un routeur perso (j'ai un ou deux Linksys sous DD-WRT => si le besoin devienait pressant, j'essaierai).
En tout cas, merci à tous pour vos lumières :-)
E. D.
Oui, si j'avais bien relu le premier post, j'aurais vu que tu avais précisé N300 et routeur K-Net.
Merci Hugues d'avoir précisé que c'est la première K-Box, je l'ignorais.
Un firmware tiers ne semble donc pas une option ici, et Vincent O. a su trouver rapidement une solution temporaire qui fonctionne, car j'ai fait un Ping vers 2a03:4980:100:bb00::e83e:f918 de chez moi et ça répond :)
Citation de: bOLEMO le 17 Février 2021 à 12:16:53
[...]car j'ai fait un Ping vers 2a03:4980:100:bb00::e83e:f918 de chez moi et ça répond :)
Ah mais le ping répondait de base (c'est surtout ça qui m'a étonné). Mais les ports (TCP/80 en l'occurrence) étaient fermés. Mais là c'est bon.
Très cordialement,
E. D.
Citation de: emmanuel@desvigne.org le 17 Février 2021 à 12:24:26
Citation de: bOLEMO le 17 Février 2021 à 12:16:53
[...]car j'ai fait un Ping vers 2a03:4980:100:bb00::e83e:f918 de chez moi et ça répond :)
Ah mais le ping répondait de base (c'est surtout ça qui m'a étonné). Mais les ports (TCP/80 en l'occurrence) étaient fermés. Mais là c'est bon.
Très cordialement,
E. D.
Non, c'est logique en fait.
La table de routage IPv6 (ip6tables) laissait passer les paquets ICMP (ping) entre le WAN et le LAN, mais bloquait les paquets UDP et TCP (soit en général, soit sur certains ports spécifiques comme le 80).
Le blocage n'était certainement effectué que pour les paquets entrants non attendus (contrairement à ceux qui viennent en réponse à une requête depuis le LAN, comme la consultation d'un site web).
C'est une règle de pare-feu classique et souhaitable, tant qu'on peut autoriser certains protocoles/ports (ce dont tu avais besoin).
Pour le ping WAN vers LAN IPv6, les bloquer ou non est un choix personnel. Si K-Net révise leur panneau d'administration, ce serait bien d'ajouter cette option si elle n'existe pas (je ne connais rien de ce panneau puisque je n'ai jamais eu de K-Box).
Yo,
Non, vous ne devriez pas laisser la possibilité de désactiver ICMPv6, car contrairement à IPv4, ICMPv6 est très très important pour le bon fonctionnement de IPv6 (ND, RA, multicast, + err, info)
Le menu frugal IPv6 de la k-box (edit : V2 Icotéra)
Citation de: Steph le 17 Février 2021 à 14:24:56
Le menu frugal IPv6 de la k-box
Cette option/menu manque justement pour les V1
Citation de: dge le 17 Février 2021 à 14:20:50
Yo,
Non, vous ne devriez pas laisser la possibilité de désactiver ICMPv6, car contrairement à IPv4, ICMPv6 est très très important pour le bon fonctionnement de IPv6 (ND, RA, multicast, + err, info)
Oui, je ne pensais pas à tous les types d'ICMPv6, mais seulement les requêtes pings (type 128 et 129) par example.
Après, en effet, mieux vaut laisser cela tranquille pour les K-Box, car les personnes voulant faire un réglage pointu ou spécifique ont probablement déjà un routeur perso...