Forum Linux.général Parametrage openwrt derrière une box [résolu]

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
0
24
juin
2015

Bonjour à vous,

Je dispose d'un routeur tp-link avec Openwrt (Barrier Breaker 14.07 / LuCI Trunk) dont le wan est connecté à une box en mode routeur.

En ipv4 tout fonctionne bien [hormis bien sûr la réflexion de me dire que c'est du nat]

l'avantage pour moi (temporairement) est d'avoir un firewall plus élaboré que celui de la box ---> ipv4 ok

La ou je rencontre une difficulté se situe au niveau de l'ipv6.

Sur le lan du routeur que je sois en dhcp6 ou en static les pc communiquent entre eux,
tout va bien.

Sur le wan du routeur j'ai bien une adresse l' ipv6 que me fournit la box.
Pour le routeur
Dans l' interface web d' Openwrt, la rubrique diagnostic me ping bien l'internet ipv6.

----------------------------------------------------------------

PING ipv6.google.com (2a00:1450:400c:c09::8b): 56 data bytes
64 bytes from 2a00:1450:400c:c09::8b: seq=0 ttl=53 time=48.985 ms

--- ipv6.google.com ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 48.567/49.330/49.934 ms

---------------------------------OK-------------------------------------

Par contre, pas de lien ipv6 entre mes machines du lan et internet par défaut.
J'ai essayé plusieurs configurations en vain.
Quelqu'un peut il me donner les ficelles sachant que le but est de créer des règles générales de pare-feux pour les machines en amont du routeur.
merci

  • # Pur routage

    Posté par  . Évalué à 2. Dernière modification le 24 juin 2015 à 11:36.

    En IPv6 on n'utilises généralement pas de NAT.

    Le préfixe IPv6 (généralement un /64) que ton routeur doit recevoir par l’auto-configuration il va l'utiliser entièrement sur son interface WAN pour ses propres besoins de communications. Tu peut toujours le découper (genre en n'attribuant manuellement qu'une adresse IPv6 à l'interface WAN du routeur, une adresse IPv6 à l'interface LAN, et placer le reste du préfixe dans la pool du serveur DHCPv6)

    Si le routage est déjà activé (ça devrait-être la cas sur un routeur normalement :D ) ça devrait suffire tant qu'ip6tables bloque pas le bouzin.

    Si ton FAI et ta BOX le permettent (le cas de la Freebox Révolution de Free) tu peut router un plus grand préfixe à destination de ton routeur, ce qui permettra d'utiliser l’auto-configuration sur ton réseau local, et te passer de DHCPv6.

    Après perso je gère mes routeurs en ligne de commande, aucune idée si tout ça faisable depuis l'interface web.

  • # Route ipv6 par défaut ?

    Posté par  (site web personnel) . Évalué à 2.

    C'est quoi ta route IPv6 par défaut sur tes machines du lan ? C'est toi qui l'a forcée ou elle s'est mise toute seule ? Quand je suis passé de la version 12 d'openWRT à la 14, j'ai du changer mes routes IPv6. Le pb vient ptêt de là.

    Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

    • [^] # Re: Route ipv6 par défaut ?

      Posté par  . Évalué à 1.

      Ok merci pour vos retours très rapides

      en effet pour le nat la philosophie de l'ipv6 est toute autre.

      Pour le moment le but est d'avoir plusieurs machines sur le lan filtrées par le pare-feux du routeur.

      Je ne suis pas encore très à l'aise avec l'adressage ipv6

      Pour mon lan j'ai juste mis à 60 le IPv6 assignment length
      , une adresse FD28:56BF:35DA:0:0:0:0:1/60 s'est automatiquement enregistrée.
      Ensuite pour commencer les pc ont des adresses statiques.
      bof@bif:~$ ping6 FD28:56BF:35DA:0:0:0:0:1

      PING FD28:56BF:35DA:0:0:0:0:1(fd28:56bf:35da::1) 56 data bytes
      64 bytes from fd28:56bf:35da::1: icmp_seq=1 ttl=64 time=1.30 ms

      Si je commence à comprendre la méthode il faudrait que j'attribue en dur sur le lan
      une adresse comportant le préfixe de l'ipv6 que me propose le fai du type:
      2a02:8423:40b0:6500::1/64 et que soit routé celles de mes machines.

      Comment je peux faire ceci sans trop me prendre le choux ?
      La ligne de commande bien documentée ne me pose pas de problèmes
      merci @ vous

      • [^] # Re: Route ipv6 par défaut ?

        Posté par  (site web personnel) . Évalué à 2.

        Perso, j'ai laissé mes machines s'attribuer des adresses v6 toutes seules (avec le paramètre dans /etc/network/interfaces qui va bien pour éviter que ça utilise la mac pour compléter l'adresse v6) puis j'ai fixé l'adresse et la route par défaut en dur (toujours dans /etc/network/interfaces).

        Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

        • [^] # Re: Route ipv6 par défaut ?

          Posté par  . Évalué à 1.

          Oui pour le mode aléatoire en ce qui concerne les mac.

          En fait avec le firmware tout propre, tout se configure bien en automatique en ce qui concerne l'adressage (ipv4 ipv6)

          Les machines sortent bien sur le net mais en ipv4 …. le pont ipv6 ne se fait pas entre le lan
          et le wan. Il y a de base 3 interfaces dans le firmware. Le lan (br-lan)

          Le wan (eth0) et un wan6 (@wan) qui semble vide de programmation.

          LAN
          ()
          br-lan
          Uptime: 1h 20m 13s
          MAC-Address: ff:ff:ff:ff:ff:ff
          RX: 528.88 KB (3989 Pkts.)
          TX: 2.43 MB (3854 Pkts.)
          IPv4: 192.168.3.1/24
          IPv6: FD76:CC4C:95BA:0:0:0:0:1/60

          WAN

          eth0
          Uptime: 1h 44m 10s
          MAC-Address: ff:ff:ff:ff:ff:fe
          RX: 3.35 MB (5736 Pkts.)
          TX: 784.39 KB (6424 Pkts.)
          IPv4: 192.168.1.12/24
          IPv6: 2A02:8423:40B0:6500:1234:1234:FEac:acac/64

          WAN6

          @wan
          Uptime: 1h 43m 56s
          MAC-Address: 00:00:00:00:00:00
          RX: 3.35 MB (5736 Pkts.)
          TX: 784.39 KB (6424 Pkts.)

          Il me manque de l'expérience en routage c'est certain, comment m'y prendre pour que la connectivité ipv6 se fasse ?

          J'ai lu quelques internautes ayant le même souci mais tantôt en graphique ou en commande
          il y a largement de quoi s'y perdre, Openwrt est vraiment un outil puissant.

          Une erreur de paramétrage dans une config et pouf !

          le fait d'être derrière une box sans bridge n'empecherait t'il pas de pouvoir le faire?

          • [^] # Re: Route ipv6 par défaut ?

            Posté par  (site web personnel) . Évalué à 2.

            le fait d'être derrière une box sans bridge n'empecherait t'il pas de pouvoir le faire?

            pfft, j'sais pas.

            Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

            • [^] # Re: Route ipv6 par défaut ?

              Posté par  . Évalué à 1.

              J' ai essayé un tas de combinaisons sans aucun résultat.

              Le routeur se connecte bien à la box en ipv6 par le wan comme une simple machine.

              Mais c'est impossible de transiter du lan au wan en ipv6.

              Je me demande s'il n'y a pas une incompatibilité dans le fait que la box soit en mode routeur.

              En tout cas, je vais laisser tomber cette affaire d'ipv6 à la con avec ce routeur.

              Tout le monde critique l'ipv4, mais le fait de pouvoir filtrer avec un seul pare-feux les flux
              de plusieurs machines était une bonne chose à mon avis.

              Merci en tout cas ….. si quelqu'un semble avoir ce type de configuration ou me démontre le
              l'impossibilité de faire, je suis preneur

              L'ipv6 ok mais il faut quand même pouvoir faire des règles de pare-feu pour un réseau derrière une box en routeur non ?

              Merci en tout cas ….. si quelqu'un semble avoir ce type de configuration ou me démontre
              l'impossibilité de faire, je suis preneur

  • # Mode bridge

    Posté par  . Évalué à 1.

    Je vais peut être dire une bêtise mais : si tu passes en mode bridge ta box, cela ne marche pas ?

    En effet, Free t'indique (il me semble) dans leur interface la plage IPv6 qui t'est attribué (un /64 normalement).
    En partant de là, tu te l'affectes sur l'interface wan6 et tout roule.

    Alors que là, ce que tu essayes de faire, c'est :

    • soit à coup de proxy NDP entre la box et ton router pour que la box envoie les paquets IPv6 de tes PC vers ton router

    • soit faire un bridge IPv6 filtrant sur ton router (je n'ai personnellement jamais réussi à faire cela).

    • [^] # Re: pas en bridge [résolu]

      Posté par  . Évalué à 1. Dernière modification le 01 juillet 2015 à 15:16.

      Ambroise et les autres participants de ce fil

      Non non pas de bêtises du tout . J'étais un peu perplexe avec ipv6 sur certains points.

      Pour résumer en fait je ne suis pas chez free. Il y a tout de disponible en mode routeur sur

      la box. Par contre …. mettre le routeur directement sur la box en bridge n'est pas trop

      facile car sfr ne doit pas encore être en ipv6 natif (de plus la nb4 supporterait difficilement

      certains flux dans ce mode d'ailleurs). De surcroît en bridge je perds la téléphonie.

      Pour le moment, j'ai trouvé une combine pour mes essais en faisant du Nat6

      oui je sais ! C'est pas vraiment bien mais ça fonctionne pour mes expériences temporaires.

      Ensuite bien sûr, lorsque l'opérateur aura tout de compatible ou un pare-feux plus évolué

      je remettrai tout en ordre.

      Voici donc pour ceux que ça intéresse: il existe une appli pour Openwrt Barrier Breaker qui

      se nomme 'kmodiptnat6' qui fait bien le boulot avec un petit script associé.

      En attendant que tout le monde soit en phase avec ipv6.

      Merci pour vos partages en tout cas et le forum linuxfr.org apporte une foultitude

      d'informations dans tous les domaines.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.