Config IPv6 sur Edgerouter derriere KBOX

thel · 23 Mai 2019 à 21:50:56

Bonjour

Depuis l'activation d'ipv6 sur Covage (77), j'essaye de configurer mon edgerouter pour l'utiliser

La KBOX me propose ce réseau : 2a03:4980:xxx:yyyy::1/64

Mon edgerouter qui est derriere la K-BOX a bien récupéré son adresse IPv6

Code Sélectionner

eth0         192.168.50.10/24                  u/u  Internet
             2a03:4980:xxx:yyyy:feec:daff:fe45:6c42/64

Mon probleme est que l'ipv6 s'arrete la. Impossible d'avoir IPV6 sur mon lan

Voici ma conf :

Code Sélectionner

dhcpv6-pd {
     pd 0 {
         interface eth1 {
             host-address ::1
             service slaac
         }
         prefix-length /64
     }
     rapid-commit enable
 }
 duplex auto
 firewall {
     in {
         ipv6-name WANv6_IN
         name WAN_IN
     }
     local {
         ipv6-name WANv6_LOCAL
         name WAN_LOCAL
     }
     out {
         name WAN_OUT
     }
 }
 ipv6 {
     address {
         autoconf
     }
     dup-addr-detect-transmits 1
 }

Qui aurait deja mis ca en place ? Est-ce que K-Net/Kbox fait bien de la délégation ?

Merci pour votre aide

Vincent O · 23 Mai 2019 à 22:20:45

Citation de: thel le 23 Mai 2019 à 21:50:56
Est-ce que K-Net/Kbox fait bien de la délégation ?

Oui, et je vois même votre routeur faire des requêtes pour récupérer le préfixe (et notre serveur répondre).

Je vous envoie les logs DHCP par MP.

thel · 24 Mai 2019 à 17:06:15

Bonjour

Il semble qu'il ne soit pas possible d'utiliser un /64 vers mon LAN où j'utilise des VLAN. Le /64 serait seulement pour la zone entre mon router et la KB0X et ne pourrait pas etre utilisé sur mes équipements derrière.

Ca ne serait pas possible d'avoir plutôt un /56 ? Est-ce que cela pourrait corriger mon problème ?

Dans la kbox, je vois ca avec /128. Je ne comprend pas si je dois utilise /64 ou /128 pour mon lan

Adresse IP locale 192.168.50.1/24 2a03:4980:xxx:xxx::1/64
Adresse IP Internet 185.251.xxx.xxx/22 2a03:4980:xxx:xxx::1/128

Nh3xus · 24 Mai 2019 à 18:36:06

Hello,

C'est le premier routeur de la chaîne qui doit proposer de la délégation de préfixe pour le second.

Dans ton scénario, il faut que la KBox propose cette fonction, ce qui n'est pas possible pour le moment.

Par contre tu peux inverser l'ordre des routeurs pour demander à ton UBNT de gérer ce rôle.

Mais l'intérêt de la KBox devient limité...

thel · 24 Mai 2019 à 20:53:56

Merci pour ta réponse

D'apres ce que disais"Vincent O", kbox fait de la delegation donc je devrais pouvoir avoir de l'ipv6 sur mon réseau

Sinon, quel est l'interet d'avoir une ipv6 sur mon UBNT et plus loin :/

Vincent O · 24 Mai 2019 à 21:00:06

Je n'avais pas réalisé que vous aviez chainé des routeurs (je pensais que vous aviez spoofé l'adresse MAC de votre K-Box), K-Net fait bien de la délégation de préfixe, mais pas la KBox.

Je vous déconseille fortement de chaîner les routeurs, c'est une source de problème que ce soit en IPv4 (double NAT) ou en IPv6 (pour attribuer les IP, sauf si vous savez vraiment ce que vous faites et avez la main sur le premier routeur)

Nh3xus · 24 Mai 2019 à 23:25:58

Ton UBNT choppe une IPv6 GUA via le SLAAC / DHCPv6 statefull (c'est l'un ou l'autre, faut demander à Vincent O la techno utilisée chez K-Net) de la KBox.

Sauf que SLAAC / DHCPv6 statefull c'est des techno pour le LAN et pas pour le WAN / routage avancé.

Donc la Kbox utilise du DHCPv6-PD sur certains RIP, mais uniquement sur la patte WAN.

C'est pas encore déployé partout.

Sur les réseaux ex-Tutor, c'est encore de la conf statique. (et je me demande pour combien de temps encore d'ailleurs...)

D'ailleurs, si tu veux faire de la délégation de préfixe avec ton UBNT, il ne faut pas déléguer de préfixe plus petit que /64, car cela casse pleins de mécanismes IPv6 comme SLAAC par exemple.

Fyr · 25 Mai 2019 à 18:53:31

le truc c'est que si tu veux -router- de l'IPv6 entre ton WAN et le LAN , il te faut fractionner le /64 délégué en sous réseau plus petit. Fixer en dur l'IP de la patte WAN dans un /72 ou autre prefixe et tu routes le ou les autres subnets dans tes VLANs, et tu fais les annonces sur tes pattes idoines. La route par defaut de ton WAN ca changera pas. Et pour venir chez toi, K-Net balancera la sauce à tout ton /64 et tu feras le tri.

OU

rattacher ton LAN au /64 de ta patte WAN (façon Free, où tu es cul nul sur Internet en IPv6, et très probablement K-net aussi)

En gros si on te file un /56 tu sais fractionner. Bah là avec un /64 c'est pareil, sauf que tout le monde croit qu'on peut pas découper encore et pourtant on peut le faire.

thel · 25 Mai 2019 à 20:59:09

Merci c'est juste qu'avec un /64, slaac ne marche plus et donc faut se faire toute la conf et les annonces a la mimine

Je vais essayer de voir si je trouves sur le net, un gars qui aurait deja mis ca en place

Fyr · 26 Mai 2019 à 11:39:04

option 1 - passer en dhcpv6 au lieu de slaac sur ton infra et à la main pour les équipements qui le supporte pas.
option 2 - tu bridges si tu tiens à conserver le slaac
option 3 - la plus compliquée, transformer ton prefixe en prefixe route
- mettre un /126 sur la wan
- mettre un neighbor advertisement daemon (tu announces la MAC ton routeur) pour eviter à tes LANs de chipper les addresses du /126

thel · 27 Mai 2019 à 22:22:33

Je suis parti pour utiliser dhcpv6 pour gerer les addresses ipv6 sur mon lan
Mon guest récupere bien une @ip mais a chaque fois que j'essaye de pinger genre l'@ipv6 de google.Fr, il n'arrive pas a quitter mon lan

au tcpdump je vois mon router faire des who has sur mes @IPv6 du lan

Code Sélectionner

22:21:40.440193 IP6 2a03:4980:11d:7f00:100::150 > par21s17-in-x03.1e100.net: ICMP6, echo request, seq 13, length 64
22:21:40.448191 IP6 2a03:4980:11d:7f00::1 > ff02::1:ff00:150: ICMP6, neighbor solicitation, who has 2a03:4980:11d:7f00:100::150, length 32
22:21:41.440325 IP6 2a03:4980:11d:7f00:100::150 > par21s17-in-x03.1e100.net: ICMP6, echo request, seq 14, length 64
22:21:41.447518 IP6 2a03:4980:11d:7f00::1 > ff02::1:ff00:150: ICMP6, neighbor solicitation, who has 2a03:4980:11d:7f00:100::150, length 32
22:21:42.440290 IP6 2a03:4980:11d:7f00:100::150 > par21s17-in-x03.1e100.net: ICMP6, echo request, seq 15, length 64

Fyr · 28 Mai 2019 à 01:03:01

Il manque une route ? Ton pc a la bonne route par defaut filé par le DHCPv6 ? Le routeur una bien une route , ou une interface dans ton LAN ? Tu as bien un ipforwarding v6 dans ton roouteur ? VLAN violent ? Ou ton 2a03:4980:11d:7f00:100::150 sait pas répondre sur le link local (ff02::....)

Deja ping ton touteur <-> PC pour voir

thel · 28 Mai 2019 à 21:32:48

Donc, mon PC (D) peut pinger C & B mais pas A
En fait, quand D ping A, voici ce que je vois sur eth0 de UBNT

Code Sélectionner

21:28:55.184603 IP6 (flowlabel 0x601af, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a03:4980:11d:7f00:100::150 > 2a03:4980:11d:7f00::1: [icmp6 sum ok] ICMP6, echo request, seq 89
21:28:55.185366 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a03:4980:11d:7f00::1 > ff02::1:ff00:150: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a03:4980:11d:7f00:100::150
          source link-address option (1), length 8 (1): 00:1e:80:88:71:ae
            0x0000:  001e 8088 71ae

Donc la gateway (A) 2a03:4980:11d:7f00::1 envoit un multicast ff02::1 mais celui ci n'est pas propagé vers mon lan.

Maintenant je cherche comment propager "neighbor solicitation" vers le LAN. Peut etre avec ndppd ...

MODIFICATION
Avec ndppd , maintenant mon PC (D) peut pinger la gateway (A)

malgres ca, je ne peux toujours pas pinger google.fr

Fyr · 29 Mai 2019 à 01:50:02

C'est normal. La patte A overlap tout avec son /64. Il te manque des routes plus particulieres sur A pour joindre tes /72 via B, la réponse au ping passera pas au delà du LAN de A-B.

Je pense qu'après l'ajout des routes le ndppd sera inutile

Fyr · 29 Mai 2019 à 01:56:02

Plus sérieusement perso j'aurais bridgé pour avoir un seul /64, et fuck firewall. Le truc du bridge WAN-LAN pour le même /64 c'est que si y a pas de firewall IPv6 (comme la Freebox) c'est cul nul sur Internet, c'est routage en direct.

Caps Services - Forum

Rechercher