Debian

Posté par AncalagonTotof le 04 août 2011 à 20:06.

Étiquettes :

août

2011

Bonjour,

D'habitude, c'est mes potes admin sys que j'embête avec mes questions foireuses. Mais sur ce sujet, c'est déjà fait ... Alors je me tourne vers vous pour tenter de comprendre pourquoi je n'ai pas d'IPv6 chez moi, alors que je suis chez Free, dégroupé (total) et que la console d'admin de Free me donne mon préfixe v6.

En plus de mon cas personnel, j'ai trois autres références :

un pote : FB v5 (à l'époque du test; pas retesté avec la v6 qu'il a depuis), même NRA que moi, 1 PC/losedows se7en --> ça marche.
Mon père : FB v5 en mode routeur, 1 PC/KUbuntu --> ça marche.
Mon parrain : FB v4 en mode routeur, 1 PC/KUbuntu --> ça marche.

Et chez moi, j'ai une FB v4, en mode transparent + quelques heures de tests en mode routeur, 1 FireWall/Debian (testing) --> marche pas.
J'ai fait des tests en mode routeur après avoir vu sur certains forums que c'était probablement nécessaire. Sans différence notable.

Des trois cas qui fonctionnent, est-ce que je dois conclure que ça devrait marcher chez moi, avec un NRA correct et une FB v4 ? (et que c'est ma faute ...)

Parce que je sèche. Pourtant, j'ai récupéré les /etc des deux KUbuntu et j'ai cherché les différences. Je n'ai rien trouvé.
En particulier, au niveau /etc/network/interfaces, on est proche de l'identique.

Mais des choses comme le NetworkManager, à peine entrevu jusque là, me laisse perplexe. Késako ? Y'en a plusieurs, des packages comme ça. Ils configurent un bout de réseau par-ci, par-là ? Du coup, mes vieilles certitudes se font la malle ! Je croyait que sous unix/linux, on se contentait des outils qui ont fait leurs preuve (ifconfig & cie).
Ceci dit, ma configuration de ces "extras" est tout aussi similaire à celles des machines qui marchent.

Bref, merci d'avance pour vos réponses & pistes à suivre !

Totof

# Ton pare-feux?

Posté par tetaclac le 04 août 2011 à 20:56. Évalué à 2.

Tu bloquerais pas l'ICMPv6 par hasard?
Router advertisement tout ça...
- [^] # Re: Ton pare-feux?
  
  Posté par AncalagonTotof le 06 août 2011 à 09:07. Évalué à 0.
  
  Non, pour la simple et bonne (pardon, mauvaise ...) raison que mon FW est configuré en "je laisse tout passer et j'arrête ce qui est indésirable".
  Je sais, normalement, on fait l'inverse ...
# module noyau ipv6

Posté par NeoX le 04 août 2011 à 23:33. Évalué à 1.

de memoire il fut un temps ou IPv6 n'etait pas activé par defaut sur les distribs car les routeurs n'etaient pas 100% compatibles (les livebox par ex)

du coup, tu peux verifier si tu a bien le support d'IPv6 sur ta machine avec :

lsmod | grep ipv6

pour savoir s'il est chargé

modprobe ipv6

pour le charger si ce n'est pas le cas

redemarrer ton interface reseau
- [^] # Re: module noyau ipv6
  
  Posté par AncalagonTotof le 06 août 2011 à 09:28. Évalué à 1.
  
  J'ai déjà pensé à un truc comme ça, mais je n'ai trouvé aucun module directement lié à ipv6. En particulier, je n'ai pas de module "ipv6".
  Pour être plus précis, je suis en Debian testing avec un kernel 2.6.39-2-amd64.
  
  Ceci dit, l'une des KUbuntu qui a de l'ipv6 a un kernel 2.6.32-33-generic, et pas de module ipv6 non plus.
  - [^] # Re: module noyau ipv6
    
    Posté par Donk le 06 août 2011 à 10:20. Évalué à 1.
    
    Si l'ipv6 est activé dans le noyau, tu dois au moins avoir des ipv6 sur le loopback et le local-link de tes cartes réseaux.
    - [^] # Re: module noyau ipv6
      
      Posté par AncalagonTotof le 06 août 2011 à 12:19. Évalué à 0.
      
      Tout à fait, fausse piste.
      .
      Bon, j'ai fait quelques expérience supplémentaire ce matin. Impossible de faire venir les KUbuntu qui marche chez moi (50 km ...). Par contre, sur mon LAN, j'ai 2 PCs, l'un en Debian/testing (+ un peu de unstable/experimental), et l'autre en KUbuntu.
      J'ai donc shunté le FW et connecté les deux PCs directement à la FB.
      .
      Au passage, un petite bizarrerie : sur la KUbuntu, j'ai obtenu l'adresse externe (82.x.y.z) alors qu'à ce moment, ma FB était configurée en routeur, et aurait du me donner du 192... Un reboot de la FB et c'était bon.
      Mais c'est déjà arrivé à mon père aussi, avec une v5 configuré en permanence en router.
      Bref, fin de la parenthèse, sinon j'ai vais dire du mal de Free ...
      .
      Je reviens à mon test:
      - KUbuntu : ça marche, IPv6 Scope:Global
      - Debian : toujours rien, que du Scope:Link
      .
      Il faut donc que je continue à chercher les différences de config entre Debian et KUbuntu. Mais ça ne saute pas aux yeux.
      .
      En tout cas, merci pour votre aide.
      - [^] # Re: module noyau ipv6
        
        Posté par NeoX le 07 août 2011 à 09:30. Évalué à 2.
        
        ton debian testing avec kernel 2.6.39 ?
        tu l'as compilé toi meme ce noyau ?
        t'aurais pas oublié le support reseau IPv6 tout simplement ?
        
        là ou KUbuntu est avec le noyau de la distribution qui contient le support de l'IPv6 ?
        
        chez moi, dans une machine virtuelle, debian squeeze, kernel 2.6.32 de la distrib
        
        quand l'IPv6 n'est pas actif sur la box
        
        eth0 Link encap:Ethernet HWaddr 08:00:27:81:3e:a3
        
        inet adr:10.0.2.15 Bcast:10.0.2.255 Masque:255.255.255.0
        adr inet6: fe80::a00:27ff:fe81:3ea3/64 Scope:Lien
        
        quand il est activé sur la box (redemarrage requis sur la box - v5 - apres avoir cocher l'option)
        
        eth0 Link encap:Ethernet HWaddr 08:00:27:81:3e:a3
        
        inet adr:192.168.1.104 Bcast:192.168.1.255 Masque:255.255.255.0
        adr inet6: 2a01:e35:2e40:ad40:a00:27ff:fe81:3ea3/64 Scope:Global
        adr inet6: fe80::a00:27ff:fe81:3ea3/64 Scope:Lien
        
        j'ai donc bien le support ipv6 sur une debian squeeze
        
        [^] # Re: module noyau ipv6
        
        Posté par AncalagonTotof le 07 août 2011 à 10:27. Évalué à 0.
        
        J'ai du "Scope:Link" systématiquement. C'est bien que mes kernel supportent IPv6, non ?
        
        Sinon, mes 2 Debian qui n'ont pas d'IPv6 sont parties d'une Squeeze, et passées en testing pour le FW, et testing+unstable+experimental pour l'autre.
        Je n'ai recompilé aucun noyau moi-même (pour l'instant ...), je n'utilise que les packages "linux-image-..." :
        - le FW est en 2.6.39-2-amd64
        - l'autre en 3.0.0-1-amd64 (d'où le unstable+experimental)
        Je peux toujours essayer un 3.0.0-1 sur le FW, mais j'ai des doutes sur le résultat.
        
        Comment as-tu installé ta VM ? VirualBox ?
        J'essayerais bien ça aussi, mais pareil, j'ai des doutes.
        
        [^] # Re: module noyau ipv6
        
        Posté par NeoX le 07 août 2011 à 10:45. Évalué à 2.
        
        je me repond à moi meme, car je suis parti dans l'idée que tu avais compilé ton propre noyau
        
        j'ai mis à jour ma debian de squeeze vers wheezy
        j'ai donc le meme noyau que toi
        et... j'ai bien l'ipv6 sur une freebox v5
        
        ~# uname -a
        Linux 2.6.39-2-686-pae #1 SMP Tue Jul 5 03:48:49 UTC 2011 i686 GNU/Linux
        ~# ifconfig eth0
        eth0 Link encap:Ethernet HWaddr 08:00:27:81:3e:a3
        
        inet adr:192.168.1.102 Bcast:192.168.1.255 Masque:255.255.255.0
        adr inet6: 2a01:e35:2e40:ad40:a00:27ff:fe81:3ea3/64 Scope:Global
        adr inet6: fe80::a00:27ff:fe81:3ea3/64 Scope:Lien
        
        [^] # Re: module noyau ipv6
        
        Posté par AncalagonTotof le 07 août 2011 à 20:41. Évalué à 1.
        
        Je viens de comparer les config des kernels, après avoir filtré sur IPV6. Manifestement, mon 2.6.39 qui ne marche pas a plus d'options IPV6 "en dur" que le 2.6.32 qui marche :
        
        $ diff config-2.6.39-2-amd64-IPV6 config-2.6.32-33-generic-IPV6 3,6c3,5 < CONFIG_IPV6_ROUTER_PREF=y < CONFIG_IPV6_ROUTE_INFO=y < CONFIG_IPV6_OPTIMISTIC_DAD=y < CONFIG_IPV6_MIP6=y --- > # CONFIG_IPV6_ROUTER_PREF is not set > # CONFIG_IPV6_OPTIMISTIC_DAD is not set > # CONFIG_IPV6_MIP6 is not set 8d6 < CONFIG_IPV6_SIT_6RD=y 12,15c10,11 < CONFIG_IPV6_SUBTREES=y < CONFIG_IPV6_MROUTE=y < CONFIG_IPV6_MROUTE_MULTIPLE_TABLES=y < CONFIG_IPV6_PIMSM_V2=y --- > # CONFIG_IPV6_SUBTREES is not set > # CONFIG_IPV6_MROUTE is not set 17d12 < CONFIG_NF_DEFRAG_IPV6=m
        
        Je reste perplexe ...
        D'autant plus que, si j'ai bien compris les forums que j'ai pu lire, Free ferait du 6rd. Et cette option et active dans mon 2.6.39.
        Je continue à creuser ...
        
        [^] # Re: module noyau ipv6
        
        Posté par NeoX le 13 août 2011 à 23:03. Évalué à 2.
        
        Je reste perplexe ...
        D'autant plus que, si j'ai bien compris les forums que j'ai pu lire, Free ferait du 6rd. Et cette option et active dans mon 2.6.39.
        Je continue à creuser ...
        
        je ne sais pas ou tu en es, de mon coté, j'ai mis à jour ma wheezy, elle a recu un noyau tout neuf en 3.0.x
        
        apres redemarrage j'ai bien l'ipv6.
        
        par contre je suis en freebox v5
# stratégie de dépannage

Posté par Old Geek le 05 août 2011 à 16:18. Évalué à 1.
Il faut identifier l'élément problématique en réalisant si possible des combinaisons,
- La question est : est-ce que cela provient de ton PC, de la conf de la freebox, de Free ?
=> pourquoi ne pas essayer avec un PC qui fonctionne déjà ailleurs et le tester chez toi, test réalisable à l'inverse également
prendre ton PC pour vérifier que l'ipv6 fonctionne ailleurs.
- [^] # Re: stratégie de dépannage
  
  Posté par AncalagonTotof le 06 août 2011 à 19:31. Évalué à 0.
  
  C'est la Debian. Impossible de tester avec l'une des KUbuntu déjà citées, mais j'en ai une autre sur mon LAN.
  Cf ma réponse à Donk pour les détails.
  Merci.
# tcpdump

Posté par nono14 (site web personnel) le 05 août 2011 à 16:41. Évalué à 2.

Pour voir si tu reçois des paquets de la box ( à lancer en root ou sudo ) :

tcpdump -n -i wifi proto 41 or 58

wifi: interface réseau à écouter

Système - Réseau - Sécurité Open Source
# Attention mode routeur + simple

Posté par pistouille le 07 août 2011 à 22:17. Évalué à 2.

Hello,

Pour m'être sérieusement (enfin presque) penché sur la question je peux te donner les éléments suivants :
- Free utilise la technologie 6RD (pour 6 Rapid Deployement ou RD étant également les initiales de l'inventeur de cette techno).
Il s'agit en quelques mots d'une techno d'encapsulation de v6 dans du v4 (tunnel 6to4).

Pour cela Free utilise des "gros routeurs" dans leur coeur de réseau pour terminer le tunnel, ces routeurs ont 2 IPs (192.88.99.101 et 192.88.99.102).

La Freebox active automatiquement le tunnel et tu récupères de mémoire un préfixe en /60 (28 + 32).
Ton bloc IPv6 est construit à partir du préfixe Free (2A01:E30::/28) et de ton IPv4 ( sur les 32 bits).
Cela te donne le bloc IPv6 qui t'es alloué.

Lorsque la Freebox est en mode routeur elle annonce (router advertisement / icmpv6) le préfixe en /64. Ainsi l'ensemble des équipements construisent leur IPv6 en fonction de leur mac address.

Maintenant deux choses posent problèmes :
- Si tu mets ta Freebox en bridge, c'est quand même elle qui établit le tunnel et récupère le bloc IPv6
- Si tu mets un FW/Routeur derrière ta Freebox cela ne fonctionnera pas car Free ne supportera pas le fait que tu as découpé ton subnet (et donc ne connaitra pas l'IP de la GW permettant aux paquets le retour).

Les deux seules solutions viables sont à ma conaissance :
- Freebox en mode routeur et un réseau IPv6 à plat derrière
- FW avec une carte ADSL intégrée et "construire" manuellement le tunnel 6RD

Tu ne peux pas utiliser la Freebox en mode bridge et profiter de l'IPv6 en interne pour construire le tunnel IPv6

Ci-dessous un lien qui décrit une configuration de ce type :
http://forum.hardware.fr/hfr/OSAlternatifs/reseaux-securite/configuration-degroupe-degroupe-sujet_71399_1.htm
- [^] # Re: Attention mode routeur + simple
  
  Posté par AncalagonTotof le 08 août 2011 à 20:57. Évalué à 1.
  Merci, ça confirme de façon précise ce que j'avais lu et expérimenté.
  D'ailleurs, j'avais fait le "calcul" et vérifié que le préfix que me donne Free (page "Afficher mon adresse IP") est basé sur mon IPv4. Je me prendrais le chou une autre fois sur le /60 et /64, cette partie là reste confuse.
  
  Je précise que j'ai toujours essayé d'avoir une IPv6 sur une et une seule machine. Pour le LAN, avec ou sans FW, on verra plus tard ...
  
  Mais ça n'explique pas les derniers rebondissement de mes mésaventures !
  Freebox en mode routeur, je schématise :
```
ADSL]---[FreeBox]---[eth0[FireWall / Debian test.           ]eth1]---[LAN(PC1+PC2) : marche pas
ADSL]---[FreeBox]---[eth0[PC1      / Debian test.+unst.+exp.]    ]                 : marche pas
ADSL]---[FreeBox]---[eth0[PC2      / KUbuntu lucid          ]    ]                 : marche !
```
  De la FreeBox aux différentes machines, c'est juste un câble que je débranche/rebranche. Il n'y a pas d'autre équipement entre deux. C'est quand même pas la carte réseau ou son driver qui bloque ?
  En tout cas, je trouve dingue qu'un linux sur trois seulement attrape une IPv6.
  Et je n'arrive pas à trouver la différence de config qui fait que les Debian n'y arrivent pas.
  - [^] # Re: Attention mode routeur + simple
    
    Posté par NeoX le 08 août 2011 à 21:28. Évalué à 1.
    
    regarde dans la config de grub
    
    moi quand je ne veux pas ipv6, je met
    ipv6.disable=1
    dans les options de grub
    
    ca desactive ipv6
    et il suffit de virer cette option pour retrouver ipv6 sur la machine.
    - [^] # Re: Attention mode routeur + simple
      
      Posté par AncalagonTotof le 09 août 2011 à 23:45. Évalué à -1.
      
      Pas de ipv6.disable=1 où que ce soit, ni de ipv6.disable, ni de ipv6 dans la config de grub. De toute façons, IPv6 est activé (ifconfig, ip -6 ...). La vérité est ailleurs !
      Mais bon, ça m'a fait "googler" un peu autour de ça, et il y a des pistes possibles du côté de "alias net-pf-10 ipv6" peut être. Je ne suis pas 100% convaincu (et c'est beaucoup comme disait un certain Pierre) mais dès que j'ai le temps, je continue de creuser.
      - [^] # Re: Attention mode routeur + simple
        
        Posté par Donk le 15 août 2011 à 16:25. Évalué à 2.
        
        Essaye de faire des requêtes avec rdisc6 pour voir si tu obtiens des réponses.
        Sinon regarde du coté de sysctl, il y a certains paramètres qui désactivent l’auto-configuration.
        
        [^] # Re: Attention mode routeur + simple
        
        Posté par AncalagonTotof le 16 août 2011 à 20:49. Évalué à 0.
        
        aptitude install ndisc6 et :
        
        # rdisc6 eth0 Soliciting ff02::2 (ff02::2) on eth0... Hop limit : 64 ( 0x40) Stateful address conf. : No Stateful other conf. : No Router preference : medium Router lifetime : 1800 (0x00000708) seconds Reachable time : unspecified (0x00000000) Retransmit time : unspecified (0x00000000) Prefix : 2a01:e3X:XXXX:XXX0::/64 Valid time : 86400 (0x00015180) seconds Pref. time : 86400 (0x00015180) seconds Recursive DNS server : 2a01:e00::2 Recursive DNS server : 2a01:e00::1 DNS servers lifetime : 600 (0x00000258) seconds MTU : 1480 bytes (valid) Source link-layer address: 00:07:CB:27:32:0C from fe80::207:cbff:fe27:320c
        
        Maintenant, je vais lire la doc de rdisc6 !
        Mais je pense que grâce à ton tuyau, on vient de faire un pas dans la bonne direction puisque le prefix qu'il me donne correspond bien à mon IP fixe (que j'ai masquée). Il a pas pu deviner ça tout seul ?
        Quand j'aurai cinq minute, je jeterai aussi un oeil du côté de sysctl, mais je crois que je l'ai déjà fait.
        
        Encore merci ! On progresse ! Ca dit la même chose que chez mon père !
        
        [^] # Re: Attention mode routeur + simple
        
        Posté par AncalagonTotof le 16 août 2011 à 20:51. Évalué à 0.
        
        Je me répond à moi-même pour préciser que :
        - mon père est toujours en FB v5 / mode routeur
        - je suis toujours en FB v4 / mode bridge
        
        C'est dans cette configuration que je viens de faire les tests.
        
        [^] # Re: Attention mode routeur + simple
        
        Posté par AncalagonTotof le 16 août 2011 à 23:59. Évalué à 0.
        
        Sinon regarde du coté de sysctl, il y a certains paramètres qui désactivent l’auto-configuration.
        
        Bien vu :
        net.ipv6.conf.all.forwarding=1
        
        En plus, c'est marqué dessus :
        
        # Enabling this option disables Stateless Address Autoconfiguration # based on Router Advertisements for this host
        
        Passage à 0, rdisc6 eth0, et hop, j'ai mon Scope:Global.
        
        Je me doutais que ça tenais de la connerie, mais là, j'ai fais fort !
        Bon, il me reste quand même une Debian à contrôler. Là, si c'est la même raison, ce sera pas de ma faute, j'y ai pas touché à celle-là !
        
        Encore merci !
# Merci à tous

Posté par AncalagonTotof le 16 octobre 2011 à 13:43. Évalué à 0.

Hello tardif,

Ca fait un moment que je voulais faire un résumé de l'aide que j'ai eu. En bref, tout tourne autour du forwarding. Après, qu'elle soit en bridge ou en routeur, la FreeBox donne de l'IPv6. Configurée en bridge avec un firewall, j'ai également de l'IPv6 sur mon LAN à l'aide d'un bridge eth0+eth1 accompagné d'un filtre pour qu'il ne s'occupe que de l'IPv6.

Et surtout, grand merci à tout ceux qui m'ont aidé à explorer différentes piste. Et merci pour la découverte du package ndisc6, ça aide bien aussi.

A+
Totof

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.