Tu as posté deux fois le même link, mais j'ai compris l'idée :)
Je n'avais pas envie de me prendre la tête avec un Dia et des icônes custom. Mais je ferai peut-être une mise à jour quand j'aurai du temps à y consacrer :)
Parce que je passe mon temps à faire n'importe quoi sur le réseau, et que du coup, je passe mon temps à couper l'une ou l'autre machine pour faire des modifs hardware dessus.
Si je coupe le serveur web, ça ne m'empêche pas de lire et envoyer des mails.
Par ailleurs, je ne suis pas fan de virtualisation, ce qui, dans mon cas, ne me serait pas d'une grande utilité vu que c'est au niveau hardware que j'aime bien faire mes bidouilles :)
Pourquoi de pas utiliser le Wifi de tes box?
Par soucis de découplage ? Parce que je veux une authentification RADIUS ? Parce que c'est possible !
J'ai oublié de préciser que ce billet fait référence à un topic que j'ai ouvert sur le forum, et par conséquent, j'ai commis l'erreur d'oublier de remercier ici ceux qui m'ont répondu et aidé. Merci à eux aussi !
Après m'être plus amplement renseigné sur la question, je me suis dis que puisque la freebox permet la délégation de (plusieurs) préfixe, autant m'en servir puisque c'est fait pour les routeurs.
Dans l'interface d'administration de la freebox, j'ai donc activé la délégation pour le deuxième préfixe (si je l'active pour le premier, je n'obtiens plus d'ipv6 sur WAN). J'ai ensuite installé wide-dhcp-client, avec la configuration suivante:
Et du coup, cette fois, les machines clients sur ce réseau parviennent à contacter l'extérieur en ipv6. Content, ça marche.
Mais.
Est-ce bien propre de faire les choses ainsi ?
Puis-je reprendre le même principe pour les deux autres réseaux que sont WLAN et DMZ ?
Puis-je reprendre le même principe pour la deuxième connexion WAN ?
En ipv4, mon DNS pointe sur les ip publiques de mes box (qui sont aussi du coup les ip des interfaces WAN puisque je suis en mode bridge). C'est pareil en ipv6 ou je suis obligé de mettre les ipv6 assignées à chaque serveur de la DMZ ?
Comment sécuriser tout ça ? comme en ipv4 ? Je décide ce qui rentre et sort en fonction de l'interface ?
Donc je dois bien spécifier des adresses comprises dans le préfixe fourni par free, mais sur des sous-réseaux distincts (ce qui semble logique, mais ipv6 me fait peur et donc me faire faire des conneries…)
Pour info, voilà ma table de routage, telle que construite automatiquement par le système:
> ip -6 route
2a01:e35:2e74:xxxx::/64 dev eth2 proto kernel metric 256 expires 84498sec
2a01:e35:8a84:xxxx::/64 dev eth4 proto kernel metric 256
2a01:e35:8a84:xxxx::/64 dev eth1 proto kernel metric 256 expires 84490sec
fe80::/64 dev eth0 proto kernel metric 256
fe80::/64 dev eth3 proto kernel metric 256
fe80::/64 dev eth1 proto kernel metric 256
fe80::/64 dev eth4 proto kernel metric 256
fe80::/64 dev eth2 proto kernel metric 256
default via fe80::224:xxxx:xxxx:xxxx dev eth1 proto ra metric 1024
J'ignore totalement à quoi correspond la route par défaut (je suppose, à la passerelle de free).
La table est à comparer avec le schéma du réseau que j'ai fais plus bas.
C'est prévu, mais avant je voudrais au moins que les machines du LAN puissent accéder à Internet en ipv6, si possible avec load-balancing (à voir comment ça sera réalisé, chaque chose en son temps)
Je pers mes routes par défaut, ce qui explique la perte de connectivité. Qu'à cela ne tienne, je recréé les routes par défaut, et j'ai de nouveau une connectivité ipv6 sur le routeur.
Par contre, je ne maitrise déjà pas bien le routage en ipv4 alors en ipv6…
Je viens de remarquer un autre problème: quand j'active les options suivantes dans /etc/sysctl.conf, le routeur ne parvient plus à obtenir d'adresse IPv6:
Du coup, les clients ne peuvent pas se connecter en ipv6, logique. Mais d'après ce que j'ai compris (y compris dans la doc du fichier sysctl.conf), j'ai besoin de ces deux options sur un routeur.
[^] # Re: Référence
Posté par Richard Dern . En réponse au journal Mon réseau (aussi). Évalué à 1.
Oui, j'avais vu ça dans un autre post sur lfr, mais je n'ai pas pris le temps de m'y mettre…
J'essaye d'embellir ça demain :)
[^] # Re: Bah merde alors!
Posté par Richard Dern . En réponse au journal Mon réseau (aussi). Évalué à 3.
Je sais, pour des raisons purement techniques, il aurait été plus intelligent d'opter pour deux FAIs différents.
Les raisons pour lesquelles j'ai opté pour free pour mes deux connexions sont plus triviales:
# Poisson rouge
Posté par Richard Dern . En réponse au journal Mon réseau (aussi). Évalué à 1.
J'ai oublié deux choses importantes dans la section IPv6 (merci ma mémoire de poisson rouge…)
Dans
/etc/sysctl.conf
, rajouter:Sinon pas de forwarding en IPv6 (et donc pas d'accès IPv6 pour les clients).
Et modifier le fichier
/etc/network/interfaces
:Où l'on configure les interfaces WAN en static pour IPv6 afin d'éviter toute reconfiguration automatique malvenue…
[^] # Re: Référence
Posté par Richard Dern . En réponse au journal Mon réseau (aussi). Évalué à 1.
Tu as posté deux fois le même link, mais j'ai compris l'idée :)
Je n'avais pas envie de me prendre la tête avec un Dia et des icônes custom. Mais je ferai peut-être une mise à jour quand j'aurai du temps à y consacrer :)
[^] # Re: Bah merde alors!
Posté par Richard Dern . En réponse au journal Mon réseau (aussi). Évalué à 4.
Parce que je passe mon temps à faire n'importe quoi sur le réseau, et que du coup, je passe mon temps à couper l'une ou l'autre machine pour faire des modifs hardware dessus.
Si je coupe le serveur web, ça ne m'empêche pas de lire et envoyer des mails.
Par ailleurs, je ne suis pas fan de virtualisation, ce qui, dans mon cas, ne me serait pas d'une grande utilité vu que c'est au niveau hardware que j'aime bien faire mes bidouilles :)
Par soucis de découplage ? Parce que je veux une authentification RADIUS ? Parce que c'est possible !
# Référence
Posté par Richard Dern . En réponse au journal Mon réseau (aussi). Évalué à 3.
J'ai oublié de préciser que ce billet fait référence à un topic que j'ai ouvert sur le forum, et par conséquent, j'ai commis l'erreur d'oublier de remercier ici ceux qui m'ont répondu et aidé. Merci à eux aussi !
[^] # Re: Délégation de préfixe
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Bon ben en fait, je me réponds tout seul aux questions 2 et 3: oui, et c'est super facile en fait.
Il me reste à savoir comment sécuriser le bouzin, et quelles ips renseigner dans mes DNS :)
# Délégation de préfixe
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Après m'être plus amplement renseigné sur la question, je me suis dis que puisque la freebox permet la délégation de (plusieurs) préfixe, autant m'en servir puisque c'est fait pour les routeurs.
Dans l'interface d'administration de la freebox, j'ai donc activé la délégation pour le deuxième préfixe (si je l'active pour le premier, je n'obtiens plus d'ipv6 sur WAN). J'ai ensuite installé wide-dhcp-client, avec la configuration suivante:
eth1 étant l'interface WAN1 et eth4 l'interface LAN.
J'ai configuré radvd de la manière suivante:
Et pour finir, j'ai ajouté la route suivante:
Et du coup, cette fois, les machines clients sur ce réseau parviennent à contacter l'extérieur en ipv6. Content, ça marche.
Mais.
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Désolé, je rame…
Donc je dois bien spécifier des adresses comprises dans le préfixe fourni par free, mais sur des sous-réseaux distincts (ce qui semble logique, mais ipv6 me fait peur et donc me faire faire des conneries…)
Autrement dit (par exemple):
2a01:e35:8a84:ABCD:0::1/80
2a01:e35:8a84:ABCD:1::1/80
2a01:e35:8a84:ABCD:2::1/80
De quoi adresser 2a01:e35:8a84:ABCD:0::2 jusqu'à 2a01:e35:8a84:ABCD:0:ffff:ffff:ffff sur le premier réseau, si je ne me trompe pas.
C'est mieux ?
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Ok, alors mettons que j'ai comme préfixe 2a01:e35:8a84:ABCD::/64, je devrais donc attribuer les adresses suivantes (par exemple) à LAN, WLAN et DMZ:
2a01:e35:8a84:ABCD:0::1/64
2a01:e35:8a84:ABCD:1::1/64
2a01:e35:8a84:ABCD:2::1/64
Non ?
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Ben ce sont des adresses qui correspondent au préfixe attribué à eth1 en l'occurrence.
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Ok, dans ce cas j'ai attribué les adresses suivantes:
2a01:e35:8a84:xxxx:0::1/64 à eth3 (DMZ)
2a01:e35:8a84:xxxx:2::1/64 à eth0 (WLAN)
Ça te paraît correct ?
[^] # Re: Une histoire de routes
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Pour info, voilà ma table de routage, telle que construite automatiquement par le système:
J'ignore totalement à quoi correspond la route par défaut (je suppose, à la passerelle de free).
La table est à comparer avec le schéma du réseau que j'ai fais plus bas.
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
C'est prévu, mais avant je voudrais au moins que les machines du LAN puissent accéder à Internet en ipv6, si possible avec load-balancing (à voir comment ça sera réalisé, chaque chose en son temps)
[^] # Re: Une histoire de routes
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Dans prefix c'est l'ip du réseau correspondant à l'interface sur laquelle radvd va écouter, mais dans la section route aussi du coup ?
[^] # Re: Une histoire de routes
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 2.
Tu peux m'indiquer à quoi correspondent les ips dans ton fichier de conf ?
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
[^] # Re: architecture
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Non tout est bien séparé, chaque réseau sur sa propre interface physique.
[^] # Re: Une histoire de routes
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Au passage je remarque que l'un de mes clients (sous Windows 8.1) n'a ni passerelle par défaut ni serveur DNS en ipv6.
[^] # Re: Une histoire de routes
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Ah non, pas du tout…
# Une histoire de routes
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
A priori, quand je fais
sysctl -w net.ipv6.conf.all.forwarding=1
Je pers mes routes par défaut, ce qui explique la perte de connectivité. Qu'à cela ne tienne, je recréé les routes par défaut, et j'ai de nouveau une connectivité ipv6 sur le routeur.
Par contre, je ne maitrise déjà pas bien le routage en ipv4 alors en ipv6…
# Plus d'ip...
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Je viens de remarquer un autre problème: quand j'active les options suivantes dans /etc/sysctl.conf, le routeur ne parvient plus à obtenir d'adresse IPv6:
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.accept_source_route = 1
Du coup, les clients ne peuvent pas se connecter en ipv6, logique. Mais d'après ce que j'ai compris (y compris dans la doc du fichier sysctl.conf), j'ai besoin de ces deux options sur un routeur.
# Forwarding enabled
Posté par Richard Dern . En réponse au message Router double-WAN sous Debian Wheezy et ipv6. Évalué à 1.
Non, j'ai bien suivi cette partie aussi. Et pour être certain que ce n'est pas une histoire de firewall, j'ai tout laissé en open.