JumpZero
Posts: 1051
Joined: Thu Mar 28, 2013 7:35 pm
Location: 127.0.0.1

ipv6 et Free

Wed Feb 12, 2020 5:49 pm

Bonjour,

ce qui va suivre n'a pas grand chose à voir avec le Raspberry Pi mais plutôt avec les réseaux.
J'ai été absent de chez moi 3 mois, et l'accès à mon serveur web ne fonctionnait plus.
Je pensais que le Pi qui héberge ce serveur web était planté car il y avait eu une coupure électrique.
En rentrant chez moi j'ai constaté que le Pi fonctionnait parfaitement mais que Free avait changé mon IP.
J'avais la même IP depuis 7 ans.
En fouillant un peu le web j'ai vite compris que je n'étais pas le seul dans ce cas et qu'en plus je n'avais qu'un quart d'IP.
voir ici ou
En fait Free prépare le déploiement de l'ipv6 et dans certains cas donne la même ipv4 à 4 clients en donnant 1/4 des ports à chacun.
Qu'à cela ne tienne je vais en profiter pour tout passer à ipv6.
Mais ce n'est pas si simple...
J'ai d'abord demandé et obtenu de Free une "ipV4 full stack" c'est gratuit, ça prend 30 minutes max, et j'ai les 65535ports pour moi seul!
Mon serveur web est à nouveau accessible sur cette nouvelle ipV4. Donc ok pour ipv4.
Mais j'ai un soucis de sécurité avec ipV6.
J'ai constaté que toute les machines compatibles ipV6 sur mon LAN avaient une addresse ipV6. Logique et normal, c'est fait pour, ça fonctionne bien.
Mais comme il n'y a plus de NAT en ipV6 toutes ces machines sont visibles depuis internet.
J'ai vu, horreur!, que depuis internet on voyait les ports ouverts sur mon serveur: http, https, ça c'est ok, mais aussi ssh(bon c'est par clef uniquement mais..), samba, cups, etc..
Ça ne me plait pas du tout.
Alors Free au courant du problème propose sur ses boxes un firewall, hélas pas sur la mienne une vieille Freebox V5.
D'autre part il n'est plus possible sur les Freeboxes de désactiver ipv6 l'option a disparu.
J'ai donc désactivé ipv6 sur 4 Raspberry Pi (ajouté ipv6.disable=1 à cmdline.txt)
Mais j'ai toujours 2 chromebooks et 2 smartphones visibles depuis internet avec leur adresse ipv6 (OK pas de ports ouverts, tous filtrés, mais je les aurais préféré non visibles)
J'ai aussi des ESP8266 et ESP32 avec MicroPython et NodeMCU à vérifer bien que je ne les vois pas en ipv6 pour l'instant (à fouiller)
Je pense que la situation devrait se régler car la fibre est en cours de déploiement ici, je devrait logiquement changer de box et donc avoir un firewall. Mais quand?
Bon je pourrais prendre un Pi et en faire un firewall en ipV6 en routant tout le traffic dessus. Pfff encore du boulot!
Bon voilà, merci d'avoir lu jusqu'ici, je n'attends pas particulièrement de solution, je voulais juste raconter ça, vos commentaires sont les bienvenus bien sur surtout ceux des spécialistes réseaux (oui oui il y en a plus d'un ici).

--
Jmp0

nikotinux
Posts: 707
Joined: Sat Feb 02, 2013 2:11 am

Re: ipv6 et Free

Wed Feb 12, 2020 7:15 pm

Ipv6 !!

plus de 20 ans qu'on en parle et personne n'en veut ...

bizarre non ?

epoch1970
Posts: 4252
Joined: Thu May 05, 2016 9:33 am
Location: Paris, France

Re: ipv6 et Free

Wed Feb 12, 2020 7:35 pm

Pour IPv6 je ne connais pas assez bien, mais je pense qu'il y a à boire et à manger côté design.
Concernant les firewalls je sais répondre : firewall d'ISP == firewall merdique et pas sous contrôle.

OPNsense est très bien. "Fonctionne" sur Pi3B (un build + ou - officiel traîne sur leurs forums) et en VM. Turbine sur une plate-forme spécialisée type PC-Engines APU. Même Pi4 n'a pas de chiffrement matériel ou accéléré, donc rien à attendre de sérieux avant un moment.

Varia-S**re, un revendeur Allemand (zone €) pour PC Engines m'a toujours bien servi.
Achtung : APU2 ou APU4 et surtout pas ALIX* qui est un design Geode du siècle dernier.
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." Les Shadoks, J. Rouxel

iznobe
Posts: 383
Joined: Sun Feb 05, 2017 4:14 pm
Location: Avignon , FRANCE

Re: ipv6 et Free

Wed Feb 12, 2020 8:12 pm

nikotinux wrote:
Wed Feb 12, 2020 7:15 pm
Ipv6 !!

plus de 20 ans qu'on en parle et personne n'en veut ...

bizarre non ?
ba effectivement l ' IPV6 complique les choses pour tout le monde , mais bon , on ne sait pas quand , mais on sera bien obligé d' y passer un jour ou l ' autre :roll: avec la multiplication des machines en acces externe forcement les ips dispo diminuent au fur et a mesure que le temps passe ...
un lien plutot instructif sur le probleme ( en francais ;) ) : https://fr.wikipedia.org/wiki/%C3%89pui ... esses_IPv4 bien que n ' etant plus trop d' actualite ...


sinon pour le probleme de visibilité d' apres ce que j' ai compris sur wikipedia , il serait possible de , je cite : " Si la connectivité IPv6 n'est pas disponible dans le réseau local, on peut faire usage de tunnels IPv6 dans IPv4. Les méthodes 6to4, 6rd ou Teredo fournissent un moyen de configurer ces tunnels dynamiquement. Il existe également des fournisseurs de tunnel tels que SixXS14, Freenet615, Hurricane Electric16 qui permettent de configurer un tunnel IPv6/IPv4 de façon explicite. "

JumpZero
Posts: 1051
Joined: Thu Mar 28, 2013 7:35 pm
Location: 127.0.0.1

Re: ipv6 et Free

Thu Feb 13, 2020 5:33 pm

Merci pour vos commentaires,

ipv6 de toute façon il faudra y passer et puis il y a tout de même des avantages: plus de NAT, chaque nœud sur le LAN a une ip globale, avantage qui bien sur peut-être un inconvénient pour la sécurité.
epoch1970 wrote:
Wed Feb 12, 2020 7:35 pm
OPNsense est très bien. "Fonctionne" sur Pi3B (un build + ou - officiel traîne sur leurs forums) et en VM. Turbine sur une plate-forme spécialisée type PC-Engines APU. Même Pi4 n'a pas de chiffrement matériel ou accéléré, donc rien à attendre de sérieux avant un moment.

Varia-S**re, un revendeur Allemand (zone €) pour PC Engines m'a toujours bien servi.
Achtung : APU2 ou APU4 et surtout pas ALIX* qui est un design Geode du siècle dernier.
Super c'est le top mais c'est du professionnel, avec le prix qui va avec.
Il y a très longtemps j'avais joué avec pfsense, c'est un peu comme FreeNAS et OPNsense, basé sur FreeBSD tout administrable depuis une interface web. C'est la classe de très beaux projets open source, très aboutis, faits par des pros pour des pros.
Why not à réfléchir.
Comme quoi ici il n'y a pas que les miroirs qui réfléchissent :mrgreen:

En attendant j'ai une idée: désactiver le serveur dhcp de la freebox (plus personne ne reçoit d'ipv6) et en activer un autre (j'ai un pihole qui peut faire ça). En attendant la fibre et ce qui va venir avec.

nikotinux
Posts: 707
Joined: Sat Feb 02, 2013 2:11 am

Re: ipv6 et Free

Thu Feb 13, 2020 8:40 pm

il suffit d'essayer de passer en ipv6 seulement pour voir l’étendue des dégâts ! le web semble bien désert et quasiment tous les autres services inutilisables. mais c'est l'avenir ...

effectivement avoir un ipv6 publique pour chaque machine ça ne m’intéresse pas, voire même ça me dérange !

désactiver le serveur dhcp ipv6 de la freebox ne sert a rien, l'autoconfiguration stateless sera de toute façon disponible.

pour les versions récentes de debian et dérivés, ipv6 est actif d'office au niveau du noyau. on peut intervenir avec sysctl.

personnellement j'ai préféré ne garder que le lien local en ipv6.
avec NetworkManager c'est trivial.
avec ubuntu serveur et netplan il faut ajouter une ligne
accept-ra: false
apres chaque definition d'interface dans le fichier yaml actif
sous debian ca se passe dans le fichier interfaces avec un truc du style
iface enp3s0 inet6 auto
accept_ra 0

si ca peux aider ...

epoch1970
Posts: 4252
Joined: Thu May 05, 2016 9:33 am
Location: Paris, France

Re: ipv6 et Free

Thu Feb 13, 2020 9:26 pm

Je dois dire que le concept de DHCPv6 me laisse perplexe.

Avec OPNsense on peut semble-t'il configurer un réseau en ULA (classe d'adresses non routables) et utiliser NPT pour changer le préfixe vers celui, routable, de l'ISP. Un peu façon NAT IPv4.
Permettrait peut être d'éviter de se tartiner des règles de pare-feu à n'en plus finir ?
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." Les Shadoks, J. Rouxel

JumpZero
Posts: 1051
Joined: Thu Mar 28, 2013 7:35 pm
Location: 127.0.0.1

Re: ipv6 et Free

Fri Feb 14, 2020 12:01 pm

nikotinux wrote:
Thu Feb 13, 2020 8:40 pm
désactiver le serveur dhcp ipv6 de la freebox ne sert a rien, l'autoconfiguration stateless sera de toute façon disponible.
Zut! Effectivement ça semble bien être le cas, j'avais cru que l'autoconfiguration stateless ne concernait que l'adresse du lien local, non routable sur internet, mais non.
Bon encore de la lecture technique pour les soirées d'hiver...

Return to “Français”