Forum Linux.debian/ubuntu IPv6, Debian, Freebox et LAN

Posté par  . Licence CC By‑SA.
Étiquettes :
1
14
sept.
2015

Bonjour

J'utilise la Freebox en mode Modem, et derrière j'ai un Firewall sous Debian 8.
Ensuite, ce firewall gère mon LAN (DHCP, GW, NTP, etc…)

Je suis en train d'activer IPv6 : j'ai un /64 distribué par FREE (mon_prefix::/64), et la GW est en ::1 (mon_prefix::1/64). Ca fonctionne parfaitement coté WAN.

Ensuite, je souhaite également mettre en place le LAN en IPv6 (histoire de pouvoir avoir du bout-à-bout).

Suite à mes recherches, je pense utiliser DHCPv6 pour attribuer les adresses (j'en veux certaines fixées), le DNS, le NTP. Et j'utiliserai SLAAC (radvd) pour distribuer la GW.

Maintenant, question adressage.
- la patte WAN du firewall a pour adresse mon_prefix::2/64
- Quelle adresse dois-je attribuer à mon eth_lan du FW ? monprefix::3/64 ?
- Si c'est le cas, je distribue à mes clients du LAN les adresses de mon_prefix::4/64 à mon_prefix::FFFF…FFFF/64 ?
- Quelle GW dois-je annoncer à mes clients du LAN ? monp_refix::1(gw_free) ou mon_prefix::3 (eth_LAN) ?

Merci de votre aide

Note : les adresses ont été simplifiées pour faciliter la compréhension du problème.

  • # Piste

    Posté par  (site web personnel) . Évalué à 2.

    https://linuxfr.org/forums/linux-general/posts/activer-ipv6-free-derriere-un-routeur-a-l-aide-d-un-pont-brouting-sur-proxmox

    Système - Réseau - Sécurité Open Source

    • [^] # Re: Piste

      Posté par  . Évalué à 1.

      Excellent tuto, qui fait en fait référence à celui-ci.

      Du coup, je vais désormais être obligé d'avoir un firewall sur chaque host du réseau ? Ou bien je peux toujours filtrer depuis mon Firewall/GW ?

      • [^] # Re: Piste

        Posté par  . Évalué à 1.

        Bon, je m'auto-réponds : a priori, on dirait que je peux continuer à filtrer depuis mon FW : En lisant ceci :

        Je cite :
        On crée les interfaces, la route par défaut, je cite :

        ip addr add 2001:DB8::2/126 dev red0        # eth_WAN
ip -6 route add default via 2001:DB8::1     # GW coté FAI
ip addr add 2001:DB8::3/64 dev green0       # eth_LAN

        Et ensuite, on filtre sur ces interfaces :

        # allow all IPv6 traffic on green0
ip6tables -A INPUT  -i green0 -p all -j ACCEPT
ip6tables -A OUTPUT -o green0 -p all -j ACCEPT
# give green0 access to the internet
ip6tables -A FORWARD -i green0 -j ACCEPT
[...]

        Apres, faut jouer avec le NDP, etc…
        Je pense que je vais partir sur cette solution.

  • # Pourquoi faire compliqué ?

    Posté par  (site web personnel) . Évalué à 3. Dernière modification le 14 septembre 2015 à 15:19.

    Suite à mes recherches, je pense utiliser DHCPv6 pour attribuer les adresses (j'en veux certaines fixées), le DNS, le NTP. Et j'utiliserai SLAAC (radvd) pour distribuer la GW.

    Pourquoi tu n'utilises pas les Ipv6 publiques de Free et SLAAC pour tout, tout simplement ?

    • L'interet principal d'ipv6 c'est justement de pouvoir utiliser des addresses publiques partout.
    • SLAAC est généralement déterministe, généralement basé sur l'adresse MAC, tes IPs seront fixes.
    • Tu filtres simplement ce que tu veux filtrer sur ton firewall.
    • Tu as pas besoin de DHCPv6, ni de créer ton prefix, etc, etc.
    • Tu laisses chaque PC obtenir sa propre adresse publique sur ton LAN.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.