IPV4 => IPV6 l'embrouille....

S

shaks2022

Maître Jedi
22 Février 2022
611
174
113
Bonjour
Je me suis tâté à tenter d'activer l'IP v6 sur ma nouvelle box ( en fait, c'était activé à la livraison ) ,et du coup d'activer l'IP V6 sur mon NAS, et de voir un peu comment ça se passe.

Donc, en IP v6, il n'y a plus de NAT.. le NAT, pour rappel, c'est le truc qui permet de dire : sur mon UNIQUE adresse publique TOTO.fr ( qui correspond à votre box ), je crée des routages en fonction des ports , genre : 443 => vers le NAS qui est derriere ma box, 2222 ==> vers mon petit serveur qui est derriere la box....

en IP V6, la box récupère une IP v6 qui est publique, ET un espace d'adressage : Chez Orange/sosh, c'est donc /56 ce qui est assez large.( 4722366482869645213696 adresses IP différentes, d'après http://www.gestioip.net/cgi-bin/subnet_calculator.cgi )
Donc, on n'a pas UNE adresse IP publique ... on en a ... heuu pleins... Et TOUTES ces adresses ip sont publiques ... donc , plus besoin de faire du NAT ( network adress translation )

Bon, c'est chouette , mais comment ça se passe ensuite ?

Alors, on a activé l'IP v6 sur son NAS, qu'on a laissé en DHCP... celui ci reçoit donc une IP V6 attribuée par la livebox ( grâce au dhcp v6) . Cette adresse est PUBLIQUE et diffférente de celle de la livebox... hé oui... mais.
- Alors déjà, on serre les fesses pour que cette IP publique ne change pas parce que sinon, ça va pas être pratique du tout pour la suite. Ya pas de possibilité sur la box de dire "je veux que cette adresse soit statique", comme sur le serveur dhcp des adresses IP v4 avec les histoires de bail statique. En tout cas, j'ai pas trouvé.
- Ensuite, cette IP V6 est publique ok... mais inaccessible depuis l'extérieur parce que le firewall de la box ferme tout ce qui est traffic entrant IP V6 par défaut ( et c'est une bonne précaution ).
Donc il faut aller dans Reseau ==>IP V6... RATE!! :D Il faut aller dans Pare-feu ,et descendre au fond de la page sur le menu "Ouverture de ports dans le pare-feu (pour équipements IPv6).".
Là, on va donc pouvoir ouvrir des ports vers des équipements en IP V6. exemple : 443 vers mon NAS.

- A partir de là, on peut donc acceder à son NAS sur l'IP V6 publique de son NAS. Sauf que déjà une IPV4, c'était pas la joie, mais là, on a affaire à un truc totalement pas mémorisable. ( une ip v6 ).
Bon, si on gère soi-même son DNS, on se dit , pas de soucis : J'ai une entree "A" qui relie mon domaine TOTO.fr à mon IP V4 publique ( celle de la box ), donc on cree une entrée AAAA qui est là pour relier mon domaine TOTO.fr à mon IP V6 publique ( celle de la box aussi hein ? )...OK
Et on rajoute une nouvelle entree AAAA pour lier "NAS.TOTO.fr" à l'IP publique du NAS...

ET là, on essaye d'accéder à NAS.TOTO.fr , et... ça fonctionne, sauf que le certicat ne correspond pas parce qu'on l'a créé pour TOTO.fr, et pas pour NAS.TOTO.fr

Du coup, on se dit qu'on va plutot modifier l'entree AAAA qui pointe sur la livebox pour la faire pointer sur le NAS, et du coup, creer une entree AAAA "livebox.TOTO.fr" si on veut s'adresser à sa box depuis l'extérieur...
Mais si on fait ça, ça ne fonctionnera alors que pour UN équipement : le NAS..et le petit serveur à l'écoute sur le port 2222, ben il lui faudra un autre certificat non ?...

En plus, on ne sait pas d'avance si on va "partir" depuis notre client en IP V4 ( et donc venir taper la box qui va nous router ) ou en IP V6 ( et donc taper directement le NAS ) . Je sens venir l'embrouille....

En tout cas, j'en suis là après une seule soirée.

Au fait, cerise sur le gateau : j'ai testé tout ça pour essayer d'atteindre le serveur openvpn en IP V6 ( depuis l'extérieur ) ... mon NAS est un asustor.. pas la peine d'insister, le serveur openvpn n'écoute rien en IP V6 ( connexion refusée ) , il ne doit pas être compatible ip v6.


EDIT : au fait, j'ai un routeur en cascade derrière ma box.. Lui aussi , il y a la possibilité d'activer l'IP V6.
Quand c'est fait, et qu'on a rebooté la box et le routeur ( sinon, c'est pas clair ) , alors on se retrouve avec la box qui refile carrément un sous réseau au routeur : le routeur se retrouve avec une plage d'adressse IP v6 publiques de 18446744073709551616 IP différentes ( /64 )... Une paille.
Donc mon routeur en cascade étant celui qui gère mon wifi, tous mes équipements réseau connecté à ce routeur se retrouvent avec une IP publique dans la plage déléguée par la livebox au routeur...

Petit site très utile pour savoir si on est bien full IP v6 : http://test-ipv6.com/ . Donc mon vieux laptop a beau avoir une IP v6, il se prend un 0/10, alors que mon smartphone , sur le même réseau wifi, a bien 10/10... Tout n'est pas rose dans ce nouveau monde....
 
Dernière édition:
  • J'aime
Réactions: CyberFR, Eirikr70 et EVO
J'ai également chercher à comprendre IPv4/IPv6 . Je suis également chez Orange avec un NAS synology et dispose de mon propre routeur Unifi UDM_SE .
shaks2022 a dit:
Chez Orange/sosh, c'est donc /56
Cliquez pour agrandir...
Orange attribue d'office un préfixe IPv6 en /56 . Malheureusement chez Orange ce préfixe n'est pas Fixe , il peut changer lors d'une mise à jour de la Box ou d'intervention sur le central . Résultat quasi impossible d'attribuer une IPv6_Lan fixe à un équipement avec Orange .
shaks2022 a dit:
Et TOUTES ces adresses sont publiques ...
Cliquez pour agrandir...
En IPv6 tu peux avoir plusieurs adresses IPv6 publique par équipement , mais chaque équipement à une adresse IPv6 local type fe80:
exemple info données par mon routeur pour mon PC
Capture.PNG

En fait il faut impérativement avoir un routeur évolué derrière sa Box pour être en mesure de gérer l'IPv6 sur son LAN ;
Dans mon cas je distribue l'IPv6 sur mon LAN en /64 par SLAAC . Chaque device compatible à bien une IPv6 publique ; Mais j'ai désactiver l'IPv6 sur mon NAS car incompatible avec l'utilisation du reverse proxy et des applis sur Docker
Pour fonctionner il faudrait que le routeur soit en DHCP v6 et pouvoir attribuer manuellement une IPv6 à chaque équipement , à chaque Docker ect ......
Mais à ma connaissance tu ne peux le faire que si tu as un Préfixe IPv6 fixe donner par ton FAI
Il existe un tuto pour ce genre de config sur un forum Néerlandais avec le matos de chez Unifi mais là j'avoue que mes connaissances dans la matière ne sont pas suffisante et inapplicable chez moi pour cause de préfixe IPv6 dynamique .
 
Eirikr70 a dit:
Salut, je suppose donc qu'il n'est pas possible d'avoir une adresse publique en IPv6 et de rester en IPv4 à l'intérieur de son réseau local ...
Cliquez pour agrandir...
Si c'est possible si tu as un routeur derrière ta BOX . Et même sans routeur tu as une possibilité :
La Box peut très bien diffuser l'IPv6 sur le LAN . Ensuite il faut que tes devices soient configurer sur l'IPv6 au niveau de leur interface réseau .
Chez moi j'ai configurer l'IPv6 sur tout les matériels compatible qui reçoivent bien une IPv6 de la part de mon routeur . Sauf que j'ai désactiver l'IPv6 sur mon Synology . Le pb c'est que les DDNS Synology et Qnap ( j'ignore pour Asustor) prenne automatiquement en compte l'IPv6 ,et priorise cette adresse IPv6 .
Ce qui pose pb avec le reverse proxy , Docker .
Dans mon cas tout les équipements compatibles ont une IPv4 et une Ipv6 (sauf le synology) ; Si tu prends un nom de domaine tiers cela devrais fonctionner sur le Nas à condition de ne faire qu'une entrée de type A pour l'IPv4.
 
  • J'aime
Réactions: Eirikr70
Pour ceux qui serait tenté par l'IPv6 sur leur LAN , retour d'expérience.
A la base il faut savoir que suivant le matériel utilisé et le FAI tout ne sera pas possible.
Pour le FAI : il est impératif de savoir si le FAI propose un préfixe IPv6 fixe ou si celui-ci peut changer .
Pour les matériels: Sous Windows il faudra activé L'IPv6 dans la carte réseau : ce n'est pas automatique
Avec Androïd / Chrome OS , les matériels récupère l'IPv6 et privilégie l'adresse IPv6 ;
Certain équipement ne peuvent pas être configurer en IPv6 : TV connectée et Ampli Home cinéma chez moi
Pour la Shield TV : il faut activé le paramètre dans la config/réseau
Pour l'IPv6 sur le LAN : deux modes de config SLAAC ou DHCP_V6 : il faut donc un routeur /box qui soit en mesure de gérer cela;
Dans les deux cas l'IPv6 distribué sur le LAN est composée du préfixe IPv6 donnée par le FAI + un complément d'adresse
En SLAAC les équipements récupèrent une adresse IPv6 automatiquement . C'est la seule solution pour ceux qui ont un préfixe IPv6 dynamique
En DHCPv6 dans ce cas c'est le routeur qui gère les adresses IPv6 avec deux options serveur DHCP_v6 automatique /IPv6 attribuer manuellement
J'ai tester c'est deux solutions et l'IPv6 attribuer manuellement à très bien fonctionnée , jusqu'au jour ou mon FAI à modifier mon Préfixe . Résultat tout mon réseau IPv6 est tombé à l'eau :cry: Et j'ai reconfigurer mon LAN en SLAAC .
Pour les NAS Chez Synology / Qnap si l'IPv6 est activée dans l'interface réseau il faut savoir que l'adresse IPv6 du NAS remonte automatiquement au niveau des DDNS maison et que c'est cette adresse IPv6 qui sera prioritaire . C'est pour cette raison que je préconise de ne pas activer l'IPv6 sur les NAS car cela pose pb avec l'utilisation d'un reverse Proxy (2)
Pour ceux ayant un routeur Unifi les routeur Unifi permette de gérer le LAN en Ipv6 SLAAC ou DHCPv6 . Les adresses IPv6 remontent à la console ; il y a donc moyen de connaître l'IPv6 d'un device ainsi que sont Ipv6 local . Mais aussi d'attribuer une IPv6 statique aux clients .
Resumé
Avec un préfixe IPv6 dynamique : Pas d'autre possibilité que le SLAAC
Avec un préfixe Ipv6 fixe Il doit y avoir moyen d'attribuer manuellement une IPv6 à chaque client , aux Docker et tout devrais pouvoir fonctionner en IPv6 (1)

Notes
1 - je n'ai pas tester cela car en préfixe IPv6 dynamique . De même je n'ai pas tester avec du matériel que je possède pas comme NAS Asustor , matériels Apple,
matériels tombé du camion :censored:
2- J'avais ouvert un ticket auprès de Synology . Apparemment il ne savent pas que l'IPv6 remonte au DDNS synology et que cette IPv6 sera prioritaire . Je n'ai eu que des réponses bateau : vous n'avez pas ouvert vos ports , c'est votre pare-feu ; Il m'a fallu du temps et plusieurs test pour comprendre que cela était dû à l 'IPv6
 
Merci pour ces retours d'expériences et explications très précieuses.
Pour y avoir mis les mains il y a qqs années j'ai vite abandonné pour avoir rencontré une partie de ces problèmes.
Ma question est qu'elle est l'avantage d'avoir un réseau en IPv6 ?

l'IPv6 a pour but de remplacer les adresses ipv4 dont le nombre est arrivé à saturation sur internet, mais en dehors de cela, y a-t-il un gain de performance ? de sécurité ? Pour le réseau local est-ce vraiment utile ?
 
pierre liths a dit:
Ma question est qu'elle est l'avantage d'avoir un réseau en IPv6 ?
Cliquez pour agrandir...
Difficile de répondre à cette question . J'estime simplement dommage de ne pas avoir l'IPv6 sur son LAN surtout pour ceux qui sont en poste fixe ( RJ45)
Certain site privilégie l'IPv6
pierre liths a dit:
gain de performance
Cliquez pour agrandir...
J'ai rien remarquer et difficilement quantifiable à mon sens
pierre liths a dit:
de sécurité ?
Cliquez pour agrandir...
Pour la sécurité c'est plutôt un handicap . Beaucoup de pare-feu fonctionne suivant un filtrage des adresses IPv4 et donc inefficace avec l'IPv6. Il faut un pare-feu prévu pour . C'est le cas de suricata et de ces dérivés comme celui implanté sur les routeur Unifi .

PS : Je ne suis pas expert en IPv6 , ni en pare-feu . C'est juste mon expérience perso !
 
pierre liths a dit:
Merci pour ces retours d'expériences et explications très précieuses.
Pour y avoir mis les mains il y a qqs années j'ai vite abandonné pour avoir rencontré une partie de ces problèmes.
Ma question est qu'elle est l'avantage d'avoir un réseau en IPv6 ?

l'IPv6 a pour but de remplacer les adresses ipv4 dont le nombre est arrivé à saturation sur internet, mais en dehors de cela, y a-t-il un gain de performance ? de sécurité ? Pour le réseau local est-ce vraiment utile ?
Cliquez pour agrandir...
De performance, certainement à grande échelle pour les routeurs : plus de NAT et donc de modification de l'ip à faire à la volée, plus besoin de table pour mémoriser la transformation inverse quand la trame ip repart dans l'autre sens...
Et avec l'arrivée de l'IOT, chaque bidule peut avoir sa propre ip.
Sécurité : on ne se cache plus sur notre RL derrière du NAT, chaque ip peut être publique, donc un Firewall devient la pièce maîtresse et obligatoire..
 
bon.
gros mystère avec mon routeur R8000.
Après un 'certains temps' , je perds les ip v6 des équipements connectés au routeur..
un coup de reboot et ça repart.

la page de configuration ip v6 du routeur, c'est ça :
Screenshot_20241015_203132_Brave.jpg
et le menu déroulant
Screenshot_20241015_203157_Brave.jpg

Et j'ai pas trouvé de doc explicative...
 
Orange vient me poser la fibre dans 3 semaines et je compte désactiver l'IP V6 sur la box pour ne pas être confronté à toutes ces galères :D

En plus, l'IPv6 semble avoir un impact négatif sur la vitesse en Upload !!
 
zypos a dit:
En mode automatique pour moi c'est l'équivalent du SLAAC les adresse IPv6 sont attribuées automatiquement . Pour le reste il faudrait une petite doc:confused:
Cliquez pour agrandir...
le mode dhcp ne donne rien
le mode pass-through = plus aucune option sur la page ipv6 de mon routeur, plus de routeur sur la page ipv6 de la box, et des périphériques qui choppent une ip v6 dans la plage de la box et non plus celle du routeur, et des composants qui apparaissent dans 'périphériques connectés' de la box qui n'ont pas d'ip (d'ip v4, vu que cette page ne semble gérer que l'ip v4, donc ça serait 'normal' quelque part).
Comme ça, ça fonctionne, mais utiliser un R8000 pour faire juste de l'AP ( Access point: le routeur sert juste de relai wifi) pour tout ce qui touche à l'ipv6, c'est moyen...

bref on voit bien que l'ip v6, c'est adopté sur le papier pour faire joli par les FAI et les fabricants de routeurs, mais que ça reste très superficiel, la preuve si il le fallait, c'est que tout ce qui touche l'ipv6 est sur une page à part au lieu d'être intégré sur toutes les autres pages d'administration de nos box et routeurs.
 
Dernière édition:
Ce matin je me suis rendu compte que mon IPv6_Lan avait disparu , je n'ai toucher à rien :mad:
 
hello,

comme l'écrivait Pierre Liths ...
pierre liths a dit:
Ma question est qu'elle est l'avantage d'avoir un réseau en IPv6 ?
Cliquez pour agrandir...
... j'en suis au même point !

déjà que j'ai eu du mal à gérer la mise en place de mon routeur Asus RT-AX53U en simple répéteur du Wifi de la Freebox, et quand je lis la complexité et le coût (changement de routeur compatible, etc ...) du passage en IPv6 dont je ne comprend pas l’intérêt, je vais resté sagement en IPv4 😁😁

par contre je continu de suivre vos aventures ;)

Dominique
 
bonjour
j'ai trouvé UN avantage : Quand on active la liste noire de Adm defender, et qu'on a un appareil de notre réseau local qui tente d'accéder au nas via son dns public avec un mot de passe ko ( genre stocké dans l'explorateur de fichiers pour un accès par webdav).
- en ipv4, il blacklist votre unique ipv4 et vous êtes marron pour accéder au nas depuis votre réseau local ( avec son alias dns.. en ip locale ça va encore fonctionner mais vous devez passer l'avertissement du navigateur à cause du certificat du nas calculé pour son alias, etc..)
- en ipv6, il ne blacklist que l'ipv6 publique de l'appareil qui vous met le boxon...
C'est plus facile d'identifier le fautif dans ces conditions: comparer l'ip v6 blacklistee et le rechercher dans la liste des appareils connectés de la box ou routeur.
 
Dernière édition:
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas