PowerPlus Posté(e) le 13 juin 2011 Partager Posté(e) le 13 juin 2011 I - Plan Plan Avant de commencer Comment avoir une adresse IPv6 ? Création d'un routeur Sécurisation Conclusion II - Avant de commencer A - Connaissances requisesIl faut commencer par avoir connaissance de certaines notions : Les netmasks (notation CIDR) ; Les types d'adresses IPv6 (celles utilisées pour les LAN, les adresses publiques...) ; Si vous ne les avez pas, vous pouvez lire ceci.B - FAQÀ quoi sert d'installer l'IPv6 ? Pour que les geeks s'amusent ; En prévision du passage à l'IPv6 prévu pour 2012 (nous sommes dans la période de transition) ; Qu'est-ce que l'auto-configuration d'IPv6 ?Pour profiter de l'auto-configuration, il faut que le FAI fournisse au moins un "/64". Il vous faudra aussi un routeur d'avertissement que nous verrons dans la suite du tutoriel. L'auto-configuration permettra au système d'exploitation de choisir une adresse IPv6 pour accéder à Internet. L'algorithme permettant de choisir l'adresse IP peut se baser sur l'adresse MAC pour choisir cette dernière, notamment avec un système d'exploitation Linux.Quels sont les risques de passer à l'IPv6 ?Selon LeMagIT, IPv6 poserait différents problèmes notamment dans son implémentation au sein du système d'exploitation. De plus, certains antivirus ne filtrent pas le contenu provenant d'IPv6 et les systèmes de sécurité se basant sur des listes d'adresses IP deviennent caduques.Sur quels OS fonctionne l'IPv6 ? Linux selon la distribution ; Windows Vista, Windows 7, Windows 8 sans rien faire ; Windows XP il faut l'installer : explication sur Univers Freebox. Mon adresse MAC est-elle écrite dans mon IPv6 publique ?Oui, si vous utilisez l'auto-configuration et un client Linux. Toutefois, il est possible de fixer une adresse IPv6 manuellement et donc éviter ce genre de problème. Si votre client est Windows, l'adresse est générée aléatoirement donc vous n'avez pas ce problème.III - Comment avoir une adresse IPv6 ? A - En natifEn natif signifie simplement que vous pouvez utiliser l'IPv6 dans passer par de l'IPv4 contrairement au tunnel. Free : distribue un /64, option à activer dans l'interface ; FDN : opérateur alternatif proposant un /48 ; Nerim : opérateur professionnel /48 ; SFR : activé depuis peu, /56 ; OVH : /56 pour l'ADSL et le SDSL ; Orange : oui pour les professionnel, c'est prévu pour les particuliers ; Note : la norme voudrait que le FAI fournisse un /48. Sachant qu'il faut un /64 pour mettre en place l'auto-configuration, le /48 permettrait de découper le réseau en 2^16 (65 536) sous-réseaux [2^(64-48)].Si vous avez une adresse IPv6 native, vous pouvez sauter la prochaine section (sur les tunnels).B - À l'aide d'un tunnelUn tunnel 6to4 est un tunnel entre votre machine et un serveur. Ce tunnel permettra de transporter des paquets IPv6. Ces paquets seront enfermés (encapsulés) dans des paquets IPv4. Le serveur 6to4 va récupérer le paquet IPv6 et l'envoyer sur le réseau IPv6 (avec votre bloc).Cette partie détaille l'ajout d'une adresse IPv6 sur une distribution Linux. Je n'ai jamais réussi à installer un tunnel IPv6 sous Windows. Toutefois, il sera possible de l'utiliser quand nous verrons l'auto-configuration.1. Hurricane ElectricHurricane Electric est une entreprise américaine qui loue de la bande passante (transit) ainsi que des serveurs. Cette entreprise propose aussi, gratuitement, des tunnels 6to4. La limite est à 5 tunnels.Pour créer un tunnel, il faut s'inscrire sur le site tunnelbroker.net. Ensuite, il faut cliquer sur "Create Regular Tunnel" dans le menu à gauche. Dans le premier champ du formulaire, il faut mettre l'adresse IPv4 publique qui recevra le bloc d'IPv6. En dessous de ce champ, l'indication "You are viewing from" vous donne l'adresse IPv4 que vous utilisez pour visiter la page. Le champ suivant concerne le fameux serveur 6to4, celui qui recevra nos paquets IPv6. Il vous propose de le choisir en fonction de votre localisation : il faut prendre le serveur le plus près de sa machine (celui qui aura le meilleur ping). Une fois que ces informations sont renseignées, vous pouvez cliquer sur "Create tunnel". J'ai annoté en rouge sur la capture d'écran les différentes informations données sur la page. Maintenant nous allons configurer l'IPv6 sur votre machine. Nous allons utiliser une configuration de base donnée dans "Example Configurations". Je tiens à préciser que le code donné ne fonctionne apparemment pas sur Windows.Dans la suite du tutoriel, je vous montrerai comment configurer le routeur d'avertissement sous Linux, voici le code que j'utilise pour activer l'IPv6 sous Linux (intitulé "Linux-net-tools") : ifconfig sit0 up ifconfig sit0 inet6 tunnel ::216.66.84.42 ifconfig sit1 up ifconfig sit1 inet6 add 2001:470:****:***::2/128 ifconfig sit1 mtu 1280 route -A inet6 add ::/0 dev sit1 Ce morceau de cote utilise le protocole SIT. Il créé deux interfaces réseaux sit0 et sit1. Celle qui aura l'adresse IPv6 sera sit1. Il est important de savoir ça pour continuer.J'ai modifié deux choses par rapport à la configuration de base d'Hurricane Electric : Ligne 4 : pour faciliter la suite du tutoriel, j'ai modifié le "/64" de la configuration fournit par HE (Hurricane Electric) par un "/128". J'utilise cette technique pour éviter de router tout le bloc vers sit1 (c'est le système d'exploitation qui l'ajoute automatiquement). Ligne 5 : j'ai ajouté cette ligne pour corriger un problème de MTU (voir le post #17). 2. 6to4 anycast6to4 anycast est un système public de faire la même chose que tout à l'heure. Pour trouver son bloc d'IPv6 : 2002:WX:YZ::1/16. W, X, Y et Z correspond à chaque nombre de votre adresse IPv4 convertit en hexadécimal.Exemple : pour 192.168.25.47, l'adresse IPv4 sous forme hexadécimal est C0.A8.19.2F, le bloc sera 2002:c0a8:192f::1/16.Pour trouver votre adresse IP en hexadécimal, vous pouvez utiliser ce site : app.lightcode.fr/testip. Votre adresse IPv4 en hexadécimal est donné à la cinquième ligne, à la ligne suivante vous avez directement votre IPv6 6to4 anycast. ifconfig sit0 up ifconfig sit0 add <adresse6to4locale>/16 route -A inet6 add 2000::/3 gw ::192.88.99.1 dev sit0 Il faut remplacer "<adresse6to4locale>" par votre adresse IPv6 anycast. Une interface sit0 permet donc de joindre le réseau IPv6, la dernière ligne permet de router les paquets IPv6 (ceux en direction d'Internet) vers l'adresse 192.88.99.1. Cette adresse est celle du service 6to4 anycast, le signe "::" permet de rendre cette adresse compatible IPv6.3. Tunnel sur les NAS SynologyJe vais parler des NAS Synology, vu que j'en ai un. Il est aussi possible de faire un tunnel sur son NAS Synology. Cela est utile seulement si vous n'installez pas l'IPv6 sur tout votre LAN.Ils sont compatibles IPv6 mais les deux techniques précédemment données ne fonctionnent pas. Il faut donc se rendre dans l'interface via un navigateur puis : Panneau de configuration > Réseau > Tunnel. Il faut cocher "Activer le tunnel" puis entrer l'adresse "anonymous.freenet6.net". Si vous trouvez d'autres services compatibles, merci de me le signaler.4. Les autres fournisseurs SixxS Gogo6 (ou Freenet6) C - Outils et tests Pour faire un ping, il faut utiliser la commande ping6 sous Linux. Sous Windows, ce n'est pas la peine de changer ces habitudes. Pour faire un traceroute sous Linux on utilise traceroute6. Sous Windows la commande tracert fonctionne comme en IPv4. IV - Création d'un routeur Cette partie est destinée à ceux qui veulent fabriquer leur propre routeur IPv6 avec des logiciels Linux.A - Trouver son /64Si vous avez un bloc plus grand qu'un /64 (/48) vous pourrez faire plusieurs sous-réseaux.Par exemple, si votre bloc est un bloc de 6to4 anycast : 2002:abcd:dcba::/48. On va l'écrire en notation longue : 2002:abcd:dcba:0000:0000:0000:0000:0000/48. Rouge : cette partie est imposée par votre adresse IP, dans un /48 les 3 premiers groupes sont fixes ; Orange : cette partie vous permet de faire plusieurs sous-réseaux. Nous pouvons laisser ces chiffres à 0. Vert : les adresses des hôtes, des clients du réseau. Les parties rouge et orange forment un /64 qu'on associera à un LAN. Pour cette partie, dans les commandes "<votrebloc>" est à remplacer par les quatre premiers groupes de votre bloc (pour l'exemple : "2002:abcd:dcba:0").B - Configuration du routeurD'abord, sur le routeur, il faut activer le routage (IPv4 et IPv6), nous allons donc éditer le fichier /etc/sysctl.conf.Il faut dé-commenter les deux lignes : net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 Puis taper la commande : sysctl -p Voilà les noms des interfaces utilisés : eth0 : interface qui a accès à Internet ; eth1 : interface qui est raccordée au réseau local (LAN) ; sit0 : interface virtuelle qui a l'adresse IPv6 ; Il faut maintenant ajouter une IPv6 publique sur l'interface eth1 : ifconfig eth1 up ifconfig eth1 inet6 add <votrebloc>::42/64 C - L'auto-configuration1. Configuration de baseEn IPv6, le moyen le plus simple pour profiter de l'auto-configuration est d'installer un routeur d'avertissement. Un routeur d'avertissement envoie un bloc d'IP /64 sur le réseau à l'aide du protocole ICMP.Toujours sous Linux, nous allons installer le paquet radvd : apt-get install radvd Ensuite, il faut configurer radvd en éditant le fichier /etc/radvd.conf : interface eth1 { AdvSendAdvert on; prefix <votrebloc>::/64 { AdvOnLink on; AdvAutonomous on; }; }; Ligne 1 : on précise sur quel interface les requêtes partiront, nous allons prendre l'adresse du LAN ; Ligne 3 : on autorise l'envoie des requêtes ICMP "Advertissement" ; Ligne 5 : on configure le bloc d'IP. N'oubliez pas qu'il faut mettre un /64 ; On démarre le service : /etc/init.d/radvd start Bien entendu, vous devrez aussi configurer le routeur pour avoir l'IPv4 en faisant un NAT par exemple.2. Pour les tunnelsPour ceux qui utilisent un tunnel, il faut ajouter une ligne dans la configuration pour prévenir les hôtes de changer le MTU (3e ligne) : interface eth1 { AdvLinkMTU 1280; AdvSendAdvert on; prefix <votrebloc>::/64 { AdvOnLink on; AdvAutonomous on; }; }; V - Sécurisation Nous verrons ici le plus simple, à savoir le pare-feu. Il permet de filtrer les flux entrant et sortant du réseau ou de la machine à l'aide de règles.Attention toutefois, le pare-feu ne protège pas de toutes les menaces existantes, ainsi il sera toujours nécessaire d'avoir un antivirus et d'être vigilant sur ce que l'on télécharge ou installe.A - Sous LinuxNous verrons d'abord des règles à appliquer sur chaque machine du LAN. Puis nous verrons les règles qui s'appliquent au routeur, car il n'est pas intéressant d'autoriser tout ce qui vient d'Internet et faire un premier filtrage ne fait pas de mal.Dans les règles ci-dessous, eth0 correspond à l'interface réseau d'un client de votre LAN. sit1 est l'interface qui a une IPv6 publique et eth1 est l'interface qui permet d'accéder au LAN.1. Des règles pour tousCes règles peuvent être configurées sur les routeurs et sur les machines. Pour les routeurs, il faudra ajouter les règles de la partie "2. Pour les routeurs", cela permettra de filtrer le contenu entrant dans le LAN. ip6tables -F ip6tables -X # On bloque tous le contenu ip6tables -P INPUT DROP ip6tables -P OUTPUT DROP ip6tables -P FORWARD DROP # Autorise les accès a la boucle locale ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Autorise toutes les connexions sortantes dans la machine ip6tables -A OUTPUT -o sit1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Autorise les connexions entrantes déjà établies vers la machine ip6tables -A INPUT -i sit1 -m state --state ESTABLISHED,RELATED -j ACCEPT # Autorise les messages ICMP (et donc les ping) ip6tables -A INPUT -i sit1 -p ipv6-icmp -j ACCEPT ip6tables -A OUTPUT -o sit1 -p ipv6-icmp -j ACCEPT 2. Pour les routeursIl faut ajouter cette partie au morceau de code précédent : # On autorise le contenu sortant du LAN eth1 -> sit1 ip6tables -A FORWARD -i eth1 -o sit1 -j ACCEPT # On autorise les requêtes entrantes seulement si elles ont déjà été établies sit1 -> eth1 ip6tables -A FORWARD -i sit1 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT 3. Autoriser quelques connexions entrantesOuvrir un port TCP ou UDPPar défaut, ce script bloque tout le contenu entrant dans le réseau. Ainsi, si vous voulez autoriser les visiteurs IPv6 de votre site, il va falloir ajouter une règle sur la machine hébergeant le contenu : ip6tables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT Si vous avez choisi de bloquer le contenu entrant également sur le routeur, il faudra ajouter cette règle : ip6tables -A FORWARD -i sit1 -p tcp --dport 80 -d 2001:abcd:dcba::42 -j ACCEPT Ici 2001:abcd:dcba::42 est l'adresse IPv6 du client où est installé le serveur web.Pour débloquer un port UDP il suffit de faire la même chose en remplaçant "tcp" par "udp".Autoriser l'ICMP (ping entre autre)Pour vos clients, les ping sont déjà autorisés dans le script ci-dessus. Sur votre routeur pour accepter toutes les requêtes ICMP entrantes : ip6tables -A FORWARD -i sit1 -p ipv6-icmp -j ACCEPT Comme tout à l'heure, avec l'option "-d" il est possible de spécifier une IP.B - Sous WindowsPour Windows, le pare-feu fonctionne de la même manière en IPv6 qu'en IPv4. Ainsi, si vous autoriser les connexions TCP sur le port 80, ce sera valable pour l'IPv6 et l'IPv4. Ce pare-feu est disponible sur Windows à partir d'XP SP2.VI - Conclusion Vous êtes maintenant prêt à installer IPv6 sur vos machines. Si vous avez des questions, vous pouvez les poser dans ce topic.En supplément, la liste des routeurs compatibles IPv6. Ils sont rares, mais rassurez-vous la liste est non-exhaustive. BiPAC 7800N BiPAC 7800NL Cisco RV042 D-Link DIR-825 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 13 juin 2011 Partager Posté(e) le 13 juin 2011 Bon début, quand ça sera terminé envoie moi un MP pr l'épingler en haut :) Et merci de ta participation ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 13 juin 2011 Auteur Partager Posté(e) le 13 juin 2011 Bon début, quand ça sera terminé envoie moi un MP pr l'épingler en haut :) Et merci de ta participation ! OK pas de problème ! Un tuto c'est bien, informer des conséquences, est un devoir.... et ce n'est qu'un extrait. Je pense comprendre ce que vous voulez dire. Si vous voulez participer au tutoriel ou si vous avez d'autres informations, n'hésitez pas ! Le tutoriel n'est qu'à ses débuts, les informations que je donne proviennent de ce que j'ai accumulé en plusieurs mois (années ?) alors ça va assez vite à restituer. Maintenant, si vous avez des suggestions vous pouvez partager. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lilo27 Posté(e) le 14 juin 2011 Partager Posté(e) le 14 juin 2011 Merci beaucoup pour ce travail ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
treflemard Posté(e) le 14 juin 2011 Partager Posté(e) le 14 juin 2011 Bonjour, peut être dire juste après la listes des FAI que tous les OS sont compatibles ( et pour xp mettre ce qu'il faut faire - il me semble avoir lu qu'il fallait faire quelque chose ) histoire de rassurer ceux qui ont un OS récent et de guider les XPiens. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Killator Posté(e) le 14 juin 2011 Partager Posté(e) le 14 juin 2011 Bonjour, Quand à moi, ce tuto m'a donné l'idée de tester l'IPv6 sur ma connexion et mon serveur perso... Configuration pas très compliquée me concernant puis je suis chez Free... Merci la Freeteuse ! Bref, j'ai activé le support IPV6 sur mon serveur et renseigné un enregistrement AAAA dans le DNS de mon registrar... Quelques minutes plus tard, mon site était validé IPv6... Question: la manip' ne change rien dans l'immédiat mais si un internaute avec un OS, et un FAI compatible IPv6 surfe sur mon site, il utilisera de l'IPv6 de bout en bout, exact ? Je veux dire par là que la résolution DNS checkera automatiquement la présence d'un enregistrement A et AAAA... Pour choisir le AAAA si cela est possible... Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 14 juin 2011 Auteur Partager Posté(e) le 14 juin 2011 Question: la manip' ne change rien dans l'immédiat mais si un internaute avec un OS, et un FAI compatible IPv6 surfe sur mon site, il utilisera de l'IPv6 de bout en bout, exact ? Je veux dire par là que la résolution DNS checkera automatiquement la présence d'un enregistrement A et AAAA... Pour choisir le AAAA si cela est possible... Ben si t'as activé l'IPv6 chez toi, tu peux vérifier sur ce site : app.lightcode.fr/testip que t'as bien une IPv6 qui apparait (ce site a un champs A et AAAA donc c'est le AAAA qui est pris en priorité). Sinon, je me souviens d'un ami qui me disais avoir désactivé l'IPv6 (qu'il ne pouvait pas utiliser) parce que avant chaque navigation Firefox vérifiait si le site était disponible en IPv6. @treflemard : bonne idée, j'en avais vu une sur un news PCI en plus @Cape_Diem : bonne idée, j'y ferais un tour. Là justement j'allais parler sécurité (déjà la base avec iptables). @Lilo27 : de rien ça me fait très plaisir de poster un tuto et d'être lu/d'avoir des retours. C'était pas vraiment le cas sur mon site. Pour tous : la TODO list : Avant je vais surtout améliorer l'existant ; Je vais bosser sur la sécurité, je vais commencer par voir du côté d'iptables. Par manque d'expérience sur Windows on verra après ; Je regarderai la liste des OS [Ajouté] (au passage si quelqu'un réussi le tunnel Hurricane Electic sur Windows ce serait sympa d'avoir un retour) ; Recherches sur les risques liés à l'activation de l'IPv6 ; Surement un petit guide pour les DNS. Edit : je pensais en regardant un autre topic, mais une liste de modem/routeur compatible IPv6 serait un plus ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lilo27 Posté(e) le 15 juin 2011 Partager Posté(e) le 15 juin 2011 Edit : je pensais en regardant un autre topic, mais une liste de modem/routeur compatible IPv6 serait un plus ? Tu peux en mettre quelques-uns si tu veux Quand le tuto sera fini, je l'ajouterais au topic des Tutoriels du forum Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Pour ma part, j'ai remarqué que pratiquement aucun modem / routeur grand public n'a l'IPv6 : ça n'aide pas. Seuls certains modèles qui se démarquent, et souvent plus cher semblent l'avoir. Récemment, j'ai pris un Cisco RV042 double WAN, QoS etc... enfin bref un bel engin : à 167 euros, il y a bien l'IPv6. Certes je ne l'ai pas pris pour ça, mais c'est toujours ça de + durable. Il faudrait vraiment que le gouvernement se préoccupe de ça maintenant et n'autorise sur le marché que les modem / routeurs compatibles IPv6. Si on n'y pense pas maintenant, il va falloir changer non seulement les modems anciens (logique), mais aussi ceux qui en auront acheté un récemment. Gaspillage maximum. Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 18 juin 2011 Auteur Partager Posté(e) le 18 juin 2011 @Amour : oui, j'ai fait quelques recherches et j'peux te dire que c'est pas simple ! J'ai commencé par regarder la liste des modems routeurs proposés par materiel.net, je n'ai rien trouvé d'intéressant en dessous des 100 € (j'ai pas cherché plus loin). J'ai ensuite fait une recherche par marque : Netgear aurait, il y a 4 ans, annoncé qu'il y regardait. Aujourd'hui toujours pas de réponse. J'ai aussi lu sur le forum que les derniers routeurs de la gamme sont compatible IPv6, mais j'ai pas trouver d'autres sources allant dans ce sens. Pour moi, la seule marque qui fait de l'IPv6 est donc Cisco. Pour le grand public orienté bidouille, il est aussi possible d'installer OpenWRT sur son routeur et de suivre le petit tuto que j'ai placé plus haut. Edit : c'est même pas écrit sur leur site qu'il est compatible IPv6... c'est vraiment pas gagné. @Lilo27 : OK merci d'avance ! Le tutoriel n'est pas mort, je reviens prochainement pour avancer la partie sécurité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Vraiment sympa le tuto ! Je suivais IPv6 depuis un moment, mais j'étais refroidi par le fait de ne pas avoir lu le retour d'expérience de gens l'ayant mis en place (ma femme bosse avec le net et si je flingue le net, ça va pas le faire). Par exemple, je me suis toujours posé ces questions, mais je n'y ai jamais trouvé de réponse claire : Si j'active l'IPv6 chez Free, sachant que j'ai une passerelle (DHCPv4, NAT, NAS ...) sous Linux, est-ce que si je ne touche à rien, tout marchera comme aujourd'hui ? Est-ce que je peux faire mes bidouilles sur la passerelle en IPv6 sans faire tomber l'accès au net pour les machine en IPv4 ? Je pense ne pas être le seul à me poser ces questions, donc si des gens ont les réponses, je suis preneur ! Petite remarque sur le tuto, juste pour la lisibilité, à la fin de chaque méthode pour avoir une IPv6, ça serait pas mal d'avoir une phrase du style : "vous pouvez aller maintenant au chapitre IV". Ca évite de lire une longue partie qui peut embrouiller des gens alors qu'ils n'en ont peut être pas besoin Encore bravo. Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 18 juin 2011 Auteur Partager Posté(e) le 18 juin 2011 Merci pour les compliments (ça donne envie de s'y remettre et de finir tout ça) ! Si j'active l'IPv6 chez Free, sachant que j'ai une passerelle (DHCPv4, NAT, NAS ...) sous Linux, est-ce que si je ne touche à rien, tout marchera comme aujourd'hui ? Je ne sais pas exactement comment ça fonctionne chez Free. J'irais surement tester un jour chez un ami. Mais si tu utilises la même méthode que dans mon tuto pour configurer le routeur tu ne devrais pas avoir de problème particulier. Est-ce que je peux faire mes bidouilles sur la passerelle en IPv6 sans faire tomber l'accès au net pour les machine en IPv4 ? Qu'est-ce que tu entends par bidouille ? Pour moi, dans la minute où tu démarres radvd sur ta passerelle, toutes les machines du réseaux l'auront (sauf si tu désactive l'IPv6). Ça ne coupera pas l'accès au réseau pour les machines de ton LAN. Sinon, tu me dis précisément ce que tu veux savoir et je le teste sur mes machines virtuelles. Petite remarque sur le tuto, juste pour la lisibilité, à la fin de chaque méthode pour avoir une IPv6, ça serait pas mal d'avoir une phrase du style : "vous pouvez aller maintenant au chapitre IV". Pas de problème. Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Supposons que ma Freebox gère l'IPv6 (ça reste en plus de l'IPv4 si j'ai bien compris), je laisse DHCPv4 sur ma passerelle (donc pas de radvd), les machines auront donc toujours leur IPv4 sur le LAN, trouveront toujours la passerelle en IPv4 et la freebox routera toujours les requêtes IPv4 ? Si oui, ça veut dire que je peux activer l'IPv6 sur la Freebox sans casser l'accès au net pour les machines déjà présentes (tant que je ne modifie pas la passerelle). Après, je voudrai un peu plus "bidouiller" avec IPv6. C'est à dire, attribuer une IPv6 aux interfaces de la passerelle (là encore c'est toujours en plus de l'IPv4 c'est ça ?) mais encore une fois tout en conservant les IPv4 pour qu'il n'y ait pas de coupure du net. Déjà là, depuis la passerelle je pourrai faire des premiers tests en IPv6. Par la suite, je passerai une machine du LAN en IPv6 et faire des tests sur le routage de la passerelle (toujours sans couper le NAT IPv4). Et une fois que tout fonctionnera bien, je mettrai radvd sur la passerelle pour que toutes les machines passent en IPv6. Bref, j'aimerai passer à IPv6 en douceur en conservant le net IPv4 jusqu'au dernier moment. Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 18 juin 2011 Auteur Partager Posté(e) le 18 juin 2011 Supposons que ma Freebox gère l'IPv6 (ça reste en plus de l'IPv4 si j'ai bien compris), je laisse DHCPv4 sur ma passerelle (donc pas de radvd), les machines auront donc toujours leur IPv4 sur le LAN, trouveront toujours la passerelle en IPv4 et la freebox routera toujours les requêtes IPv4 ? Si oui, ça veut dire que je peux activer l'IPv6 sur la Freebox sans casser l'accès au net pour les machines déjà présentes (tant que je ne modifie pas la passerelle). Oui et heureusement, j'ai déjà désactivé l'IPv4 sur une machine virtuelle ben ça faisait beaucoup de sites inaccessibles. C'est à dire, attribuer une IPv6 aux interfaces de la passerelle (là encore c'est toujours en plus de l'IPv4 c'est ça ?) mais encore une fois tout en conservant les IPv4 pour qu'il n'y ait pas de coupure du net. Déjà là, depuis la passerelle je pourrai faire des premiers tests en IPv6. Si j'ai bien compris, ton réseau ça donne ça : +---------+ LAN_1 +---------------+ LAN_2 | Freebox +------------+ Ta passerelle +--------------------- +---------+ +---------------+ Avec tes autres PC Donc, si tu y vas doucement, tu actives l'IPv6 sur ta Freebox, elle donnera une IPv6 à ta passerelle (je pense que la Freebox a un radvd ou un DHCPv6). Jusque là, aucun problème apparent IPv4 et IPv6 cohabiteront bien. Ensuite, si tu veux mettre une machine de LAN_2 en IPv6, si suffira d'activer le routage IPv6 sur ta passerelle (cf. IV-B). Jusque là, tu n'as pas besoin de désactiver le NAT IPv4. Voilà, je pense avoir répondu à tes questions, je reste à ta disposition si t'as d'autres interrogations. Lien vers le commentaire Partager sur d’autres sites More sharing options...
phia Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Salut, juste une petite aparté... Il faudrait vraiment que le gouvernement se préoccupe de ça maintenant et n'autorise sur le marché que les modem / routeurs compatibles IPv6.Si on n'y pense pas maintenant, il va falloir changer non seulement les modems anciens (logique), mais aussi ceux qui en auront acheté un récemment. Gaspillage maximum. Oui mais gaspillage qui n'est pas sans intérêt pour certains !! On est dans une "société de consommation" (avec une "politique du chiffre"), où il faut qu'on consomme pour qu'il y ait croissance ! Regardez au moins le début de l'émission Prêt à jeter - Obsolescence Programmée passée sur Arte il y a quelques temps. (merci Marco07). Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Bon j'ai activé l'IPv6 sur la Freebox, pas de changement Tout fonctionne nickel en IPv4. Je posterai ici mes avancées dans mes tests (notamment la configuration shorewall). Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 18 juin 2011 Auteur Partager Posté(e) le 18 juin 2011 @fabien : Vraiment ? ça ne t'as pas ajouté une IPv6 sur ta passerelle ? Bon, j'ai le plaisir de vous annoncer que j'ai résolu un problème en faisant des tunnels avec Hurricane Electric. En effet, quand OVH est passé à l'IPv6 pour les offres mutualisées, j'ai décidé de tester ça grâce à un tunnel. L'ennui c'est que ça ne fonctionnait pas. En utilisant wget on trouvait un message qui ne m'aidait pas : requête HTTP transmise, en attente de la réponse...ERREUR de lecture (Connexion ré-initialisée par le correspondant) de l'en-tête. C'était le seul site qui posait problème (OK j'en ai pas testé beaucoup), je pensais donc que ça venait d'OVH. Le problème vient en fait du MTU (Maximal Transfert Unit) qui désigne le nombre d'octet que l'on peut mettre dans un paquet IPv6. En temps normal il est de 1500, mais à cause du tunnel 6to4, le paquet était "trop gros" et finalement je ne le recevais pas. Bien que je ne soit pas tout à fais sûr de la théorie : sit1 étant l'interface "IPv6" : ifconfig sit1 mtu 1280 Et le soucis est résolu. Pour tester si on est victime du problème, il suffit de télécharger un gros fichier, par exemple : wget -6 app.lightcode.fr/testip/big.bin -O /dev/null Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Premier retour d'expérience sur IPv6 avec Free. Je n'avais pas d'IPv6 sur ma passerelle parce que je n'avais réinitialisé le réseau. Mais effectivement, j'ai testé après un reboot et voilà l'IPv6 ! Ca fait bizarre parce que mes interfaces sont configurées en statique en IPv4 et je ne m'attendais pas à ce que l'interface se configure une IPv6 comme une grande ! Par contre, vu que mes clients dans le LAN sont tous reliés en réseau (pas d'isolation du net avec la passerelle), tout le monde a des adresse IPv6 ! Ca va accélérer ma migration du coup Mais la continuité est respectée puisque les machines reçoivent toujours une IPv4 du DHCP et l'utilise comme passerelle pour l'IPv4. Par contre en IPv6, elles accèdent direct au net. Je suis en train de me battre pour que mon use_tempaddr soit bien mis à 2 au reboot. Mais pour l'instant ça ne marche pas. Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 18 juin 2011 Auteur Partager Posté(e) le 18 juin 2011 T'as modifié le fichier /etc/sysctl.conf puis fait un sysctl -p ? Je connais pas cette variable, elle sert à quoi (en quelques mots) ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 18 juin 2011 Partager Posté(e) le 18 juin 2011 Ce paramètre active le mécanisme de "Privacy Address" sur IPv6. En gros, l'interface réseau aura deux IP. La première celle normalement configurée avec l'adresse MAC, l'autre aléatoirement générée change régulièrement. Quand il y a une requête IPv6 à faire, le PC utilise l'adresse générée aléatoirement. Ainsi, on évite d'avoir IP fixe visible de tout le monde sur le net. Mais là, je ne comprends pas, j'ai beau mettre les valeurs bien comme il faut dans /etc/sysctl.conf, rien n'y fait. Si je ne refais pas un "sysctl -p" la valeur reste à 0 après un reboot Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 18 juin 2011 Auteur Partager Posté(e) le 18 juin 2011 @fabien : fort bien cette variable, je vais l'ajouter au tutoriel Par contre, ça n'a pas l'air de fonctionner pour le moment. Bon, je viens d'ajouter la sécurisation, si vous avez des questions. Je vais regarder ce qu'on peut faire sous Windows de ce côté. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 19 juin 2011 Partager Posté(e) le 19 juin 2011 Salut, juste une petite aparté... Il faudrait vraiment que le gouvernement se préoccupe de ça maintenant et n'autorise sur le marché que les modem / routeurs compatibles IPv6.Si on n'y pense pas maintenant, il va falloir changer non seulement les modems anciens (logique), mais aussi ceux qui en auront acheté un récemment. Gaspillage maximum. Oui mais gaspillage qui n'est pas sans intérêt pour certains !! On est dans une "société de consommation" (avec une "politique du chiffre"), où il faut qu'on consomme pour qu'il y ait croissance ! Regardez au moins le début de l'émission Prêt à jeter - Obsolescence Programmée passée sur Arte il y a quelques temps. (merci Marco07). Raison de plus de ne pas céder à ça... et ne changer de matériel que si c'est réellement nécessaire... Là, c'est même pas obsolète au niveau hardware : certains routeurs auraient la capacité de gérer IPv6 (pas tous), il suffit juste d'un nouveau firmware. Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 19 juin 2011 Partager Posté(e) le 19 juin 2011 @Amour : La majorité des routeurs bon marché embarquent du Linux donc ils peuvent parfaitement gérer l'IPv6 pour peu que le constructeur fournisse un noyau où la fonctionnalité est compilée. Mais ça voudrait dire revoir l'interface pour intégrer IPv6, refaire des tests ... Ce qui a évidemment un coût. @PowerPlus : si j'arrête l'interface réseau, que je sysctl -p, que je relance l'interface réseau, ça marche bien. C'est juste que ça a pas l'air d'être pris en compte au boot. Mais sous Windows 7 et Mac OS c'est activé par défaut. Ce qui enlève l'argument du : "Ah mais tout le monde pourra contacter ma machine de l'extérieur ! (Virus ...)". Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 19 juin 2011 Partager Posté(e) le 19 juin 2011 @Amour : La majorité des routeurs bon marché embarquent du Linux donc ils peuvent parfaitement gérer l'IPv6 pour peu que le constructeur fournisse un noyau où la fonctionnalité est compilée. Mais ça voudrait dire revoir l'interface pour intégrer IPv6, refaire des tests ... Ce qui a évidemment un coût. Je m'en doute, ça coûte des $$$ mais ça coûte nettement plus cher à la Terre, en ressources, si on ne le fait pas. Question de choix... En plus, en général les gros constructeurs comme Netgear, D-Link, Cisco / Linksys ont largement les moyens de mettre à jour les firmwares. S'ils ne le font pas, je trouve vraiment que c'est une honte. Déjà que la plupart de leurs produits récents n'ont pas l'IPv6... Lien vers le commentaire Partager sur d’autres sites More sharing options...
PowerPlus Posté(e) le 19 juin 2011 Auteur Partager Posté(e) le 19 juin 2011 Je ne pense pas que l'on puisse dire que ça empêche les virus. Les virus n'ont pas toujours besoin de ton adresse IP (pièce jointe mail, téléchargement de fichiers vérolés...). Ca sert surtout à avoir de l'anonymat. En effet, pour "fliquer" ton PC, une adresse IP fixe valable uniquement pour ta machine c'est le rêve pour les agences de pub notamment. Si l'adresse IP change sans arrêt ça rend plus difficile ce "fliquage". Bien qu'avec ton bloc /64 il sera toujours possible de trouver tes PC dans ta maison (ce que ferais une IPv4 actuelle). Par contre, je me demande si l'adresse IPv6 de Windows change ou si elle est fixe. D'ailleurs, il n'est pas impossible de fixer l'adresse IP (sans utiliser l'adresse MAC) en la fixant par exemple à "<monBloc>::1337". J'utiliserai surement ça pour accéder à mon PC de tous les jours. Pour mon NAS je pourrais faire "<monBloc>::42"... Moi ma configuration fonctionne sous Ubuntu et ça fonctionne après un reboot. J'ai juste ajouter ça dans mon sysctl.conf (essaye en précisant le nom de l'interface) : net.ipv6.conf.eth0.use_tempaddr = 2 Je ne sais pas si vous êtes au courant mais SFR devrait passer à l'IPv6 cet été (youpi) mais est-ce que la NeufBox 4 sera compatible IPv6 ? Autre question : est-ce que quelqu'un sait si on peut faire deux sessions PPP sur de l'ADSL ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.