Tutoriel Mise en place de l'IPv6

[fabien29200]

@Amour : c'est clair que pour l'environnement faire changer tous les routeurs personnels, c'est catastrophique.

@PowerPlus : Je suis d'accord que les virus ne se propagent plus trop comme ça aujourd'hui, mais à l'époque, ils le faisaient

Le mécanisme des Privacy Address est justement de faire changer régulièrement l'adresse IP que ce soit sous Windows, Mac et Linux.

Toi tu as mis net.ipv6.conf.eth0.use_tempaddr = 2 et cette propriété est bien gardée au reboot ? Tu as Ubuntu 11.04 ?

J'ai créé un bug chez Ubuntu pour remonter le souci, parce que moi j'ai mis ça :

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2
net.ipv6.conf.eth1.use_tempaddr = 2

Et après un reboot, j'ai ça :

# cat /proc/sys/net/ipv6/conf/eth1/use_tempaddr 
0

[fabien29200]

Bon en fait, ça doit être un problème d'alias réseau udev puisque en mettant

net.ipv6.conf.eth0.use_tempaddr = 2

ça marche bien ! (malgré que dans ifconfig ma carte réseau s'appelle eth1 ...)

Par contre, je ne comprends pas trop le routage d'IPv6.

Lorsque je fais un "route" je vois bien le nom de ma passerelle à la ligne default.

Par contre, en IPv6 (route -A inet6), il y a beaucoup de lignes mais aucune default.

En tout cas, avec Free, c'est vraiment transparent comme installation. Juste à activer les Privacy Address sous Ubuntu et ça roule.

[PowerPlus]

Pour les virus, je serais curieux de savoir comment ça fonctionnait. Parce que même en IPv4 dynamique, pendant une période ton adresse est fixe... Mais je ne suis certainement pas aussi vieux sur le net que toi.

Content que ça fonctionne je ne suis pas un expert en Linux pour t'expliquer ce problème. Enfin merci du tuyau, je l'ajouterai au tutoriel. Je pense que je vais bientôt le "valider" car j'ai finit "mon idée de départ". Maintenant, il manque principalement :

• Une éventuelle liste des routeurs compatibles IPv6 ;
  
• Quelques précisions sur l'IPv6 et le pare-feu Windows ;
  
• Le Privacy Address pour ceux que ça intéresse ;
  

[fabien29200]

Eh bien à l'époque (2002), un certain nombre de virus tentaient des attaques en direct sur les IP internet (faille de sécurité dans Windows pour la plupart) pour pénétrer les machines.

Pour te donner un exemple vécu en live avec un pote aussi dans l'informatique qui venait de réinstaller Windows XP :

Moi : va pas sur le net sans firewall, tu vas te choper un virus

Lui : Nan, j'ai le temps d'aller sur telecharger.com, de télécharger Zone Alarm et de l'installer avant d'être infecté.

Il essaie. Pendant le téléchargement de Zone Alarm (on a rien fait d'autre avant, 512k Free powered) il a été infecté.

Si tu n'as pas vécu ça, tu as loupé un des plus gros arguments pro Linux.

Bref, depuis ce temps là, beaucoup de gens ont béni d'être derrière le NAT de leur box pour laisser un Linux gérer les attaques Internet

Et ces gens là ne sont pas prêts à se retrouver "en direct" sur le net.

Mais en tout cas, je suis content d'avoir essayé IPv6. Ca roxe grave

[Amour]

Pour te donner un exemple vécu en live avec un pote aussi dans l'informatique qui venait de réinstaller Windows XP :

Moi : va pas sur le net sans firewall, tu vas te choper un virus

Lui : Nan, j'ai le temps d'aller sur telecharger.com, de télécharger Zone Alarm et de l'installer avant d'être infecté.

Il essaie. Pendant le téléchargement de Zone Alarm (on a rien fait d'autre avant, 512k Free powered) il a été infecté.

Je ne peux que confirmer cette histoire : un XP SP0, à l'époque : rien qu'en se connectant à internet, il était infecté en quelques secondes / minutes.

Heureusement, il y a un pare-feu pour l'entrée, et puis j'admets que le NAT aide bien

Pour l'IPv6, j'aimerais vraiment qu'on ait le choix : des IP en direct, mais aussi du NAT pour éviter d'avoir à blinder / configurer chaque appareil...

[PowerPlus]

Merci pour l'explication sur les virus bien que j'ai du mal à concevoir ça.

@Amour : regarde ce que je propose dans le tutoriel en V.A. Directement un blocage sur le routeur dans le sens entrant ça n'irait pas ?

[Amour]

Ah oui ça pourrait être intéressant... à tester à l'occasion

[Amour]

Petit ajout pour le Cisco RV042 :

J'avais un souci sur l'interface web qui ne fonctionnait qu'avec Internet Explorer (8 et 9), et pas du tout Firefox 4 ni 5.

J'ai appelé Cisco (numéro vert si on cherche bien, c'est le 0805 54 04 27, et il vaut mieux créer un compte sur leur site d'abord).

Le monsieur très aimable et apparemment bien organisé, avait le même routeur, a pris le temps, a mis à jour le firmware du sien etc... et m'a indiqué qu'un firmware venait de sortir le 15 juin.

Marrant, car j'avais installé et mis à jour le mien un peu avant le 15 juin, donc je n'avais pas du tout vu cette mise à jour.

Après avoir appliqué le nouveau firmware, tout roule, dont avec Firefox.

Pour information, l'IPv6 a été ajouté dans ce routeur avec un firmware récent.

En tout cas chapeau pour le support Cisco, j'admets être bien content

[PowerPlus]

Merci pour ton retour, je ferais une liste quand j'aurais plus d'un routeur à mettre dedans.

J'ai enfin terminé le tutoriel ! Je viens de parler du pare-feu Windows et fais que quelques petits ajouts.

[Latios]

Pour l'IPv6, j'aimerais vraiment qu'on ait le choix : des IP en direct, mais aussi du NAT pour éviter d'avoir à blinder / configurer chaque appareil...

La sécurité que le NAT apporte n'est qu'un effet secondaire. Un firewall statefull sur la box qui bloque toute les connexions entrantes et ça aura exactement le même effet, sans tous les inconvénients du NAT

[PowerPlus]

Pour l'IPv6, j'aimerais vraiment qu'on ait le choix : des IP en direct, mais aussi du NAT pour éviter d'avoir à blinder / configurer chaque appareil...

La sécurité que le NAT apporte n'est qu'un effet secondaire. Un firewall statefull sur la box qui bloque toute les connexions entrantes et ça aura exactement le même effet, sans tous les inconvénients du NAT

Alors j'ai une question là dessus : si je fais mon NAT avec iptables, vu qu'iptables est un pare-feu ça fait la même chose qu'un pare-feu ? Et t'aurais quelques chose à redire la configuration présentée dans le premier post chapitre V ? Ca m'intéresserai beaucoup d'avoir des avis sur la sécurité.

[Latios]

Alors j'ai une question là dessus : si je fais mon NAT avec iptables, vu qu'iptables est un pare-feu ça fait la même chose qu'un pare-feu ?

Oui, c'est le fonctionnement normal du NAT44. S'il reçoit un paquet qui ne correspond à aucune connexion déjà ouverte, il le jette puisqu'il ne sait pas à qui l'envoyer (sauf si on lui a donné une règle spécifique du genre "forward à 192.168.x.y tous les paquets tcp à destination du port 1337".

Et t'aurais quelques chose à redire la configuration présentée dans le premier post chapitre V ? Ca m'intéresserai beaucoup d'avoir des avis sur la sécurité.

Pour la partie "1. Des règles pour tous", en fait le commentaire au dessus des commandes peut porter à confusion. On pourrait croire que tu veux dire que le routeur filtrera les connexions entrantes sur le LAN, alors qu'il ne filtrera que les connexions qui lui sont adressées à lui.

Sinon, pour la partie "Autorise les ping", en fait ça autorise pas que le ping, mais tous les messages ICMPv6.

Sinon pour l'histoire de MTU, c'est possible que ça soit dû au fait que le routeur bloque les paquets ICMP (si on a pas activé la règle de la partie V.3). Mais faudrait tester pour vérifier.

[PowerPlus]

Oui, c'est le fonctionnement normal du NAT44. S'il reçoit un paquet qui ne correspond à aucune connexion déjà ouverte, il le jette puisqu'il ne sait pas à qui l'envoyer (sauf si on lui a donné une règle spécifique du genre "forward à 192.168.x.y tous les paquets tcp à destination du port 1337".

OK, donc le NAT est inutile pour sécuriser un LAN en IPv6 (cf. ma config) mais cela est tout de même efficace en IPv6.

Pour la partie "1. Des règles pour tous", en fait le commentaire au dessus des commandes peut porter à confusion. On pourrait croire que tu veux dire que le routeur filtrera les connexions entrantes sur le LAN, alors qu'il ne filtrera que les connexions qui lui sont adressées à lui.

Sinon, pour la partie "Autorise les ping", en fait ça autorise pas que le ping, mais tous les messages ICMPv6.

Sinon pour l'histoire de MTU, c'est possible que ça soit dû au fait que le routeur bloque les paquets ICMP (si on a pas activé la règle de la partie V.3). Mais faudrait tester pour vérifier.

OK, je referais surement les commentaires. Pour le "1. Des règles pour tous", les règles fonctionnent de la même manière pour les routeurs que pour les clients donc ça filtre seulement ce qui rentre dans la machine. C'est la partie "2." qui gère les connexions au LAN.

Pour le MTU, c'est ce que j'me suis dis aussi, je referais des tests sans modifier le MTU. Mais généralement, quand je fais mes configurations, je ne met aucune sécurité et j'avais le même problème.

Sinon, je relance un appel : qui utilise un routeur compatible IPv6 ? Soyez pas timide c'est pour faire ma petite liste.

[Latios]

OK, je referais surement les commentaires. Pour le "1. Des règles pour tous", les règles fonctionnent de la même manière pour les routeurs que pour les clients donc ça filtre seulement ce qui rentre dans la machine. C'est la partie "2." qui gère les connexions au LAN.

Tout à fait, mais le commentaire de la partie 1 porte à confusion je trouve

Pour le MTU, c'est ce que j'me suis dis aussi, je referais des tests sans modifier le MTU. Mais généralement, quand je fais mes configurations, je ne met aucune sécurité et j'avais le même problème.

Ça doit pas être ça alors

Sinon, je relance un appel : qui utilise un routeur compatible IPv6 ? Soyez pas timide c'est pour faire ma petite liste.

En fait, moi aussi je serais bien content d'en trouver des routeurs IPv6

[PowerPlus]

J'ai modifié les commentaires, je pense que ça devrait te convenir Je suis tout à fait d'accord, les routeurs compatibles IPv6 (grand publique) ça court pas les rues.

[Latios]

En fait je crois que t'as pas modifié le seul qui posait problème

Ces règles peuvent être configurées sur les routeurs si vous voulez qu'ils filtrent les connexions entrantes.

On peut penser que tu parles des connexions entrantes sur le réseau, alors que ce n'est pas le cas

Désolé si je me suis mal exprimé.

[PowerPlus]

Merci, j'ai modifié. En fait, quand tu parles de "commentaire" j'ai tout de suite penser aux commentaires dans les bloc de code.

[EstevanTH]

Bonjour !

J'ai quelques précisions à apporter au tutoriel.

IPv6 sous Windows 2000

L'IPv6 sous Windows 2000 est possible. Microsoft propose en téléchargement un pilote IPv6 "bêta" pour Windows 2000. Je n'ai jamais pu tester son fonctionnement en réalité, car je n'ai pas de connectivité IPv6.

IPv6 Technology Preview for Windows 2000

Tunnel 6to4 avec Windows

J'ai déjà trouvé un tunnel 6to4 qui fonctionne sous Windows.

Il s'agit d'AICCU, qui utilise une interface virtuelle nommée "TAP-Win32 Adapter V8".

AICCU - Automatic IPv6 Connectivity Client Utility

Voilà !

À bon entendeur.

[Edtech]

Pour les tunnels, il y a aussi gogo6.net, qui fourni un logiciel qui gère tout depuis Windows. Sinon, via le site he.com, la configuration à faire est donnée en ligne de commande pour chaque OS (bien remplacer l'IPv4 publique par celle locale si on est derrière un NAT).

Sinon, je viens de passer en full IPv6 native via OVH et un modem/routeur compatible (voir https://forum.nextinpact.com/topic/162965-ipv6-sur-un-modemrouteur-compatible-chez-ovh/ et mon blog http://www.nekomi.eu/jupiter/activer-lipv6-chez-soi/ ). Le BiPAC 7800N (ou son petit frère 7800NL) peuvent donc être ajoutés à la liste du premier post. A noter que c'est un modem/routeur, donc pas besoin d'un second routeur à placer derrière un modem/routeur en bridge.

Vu que tout se fait via l'interface du modem/routeur, c'est un plus aisé même si j'ai eu quelques difficultés (mais finalement, les problèmes étaient chez OVH). Actuellement, certains sites ne sont toujours pas accessibles. Je soupçonne le cache DNS IPv6 d'OVH, mais je dois encore vérifier.

Au passage, pour ceux qui se poseraient la question, Windows 8 (mais je suppose le 7 aussi) utilise par défaut une IPv6 publique temporaire qui n'est donc pas votre véritable IPv6 et change fréquemment.

[PowerPlus]

@EstevanTH : j'avais déjà entendu parlé de Sixxs mais je n'avais pas voulu m'inscrire. Je vais peut-être faire une liste d'opérateur 6to4.

@Edtech : gogo6 (ou freenet6) je l'utilisais pour mon NAS Synology. Pour tes problèmes avec certains sites, ça peut venir d'un problème de MTU, perso j'avais des problème pour accéder à mon site en IPv6 mais Google fonctionnait. Ca se passait sur un tunnel, mais j'ai eu pas mal d'écho de problèmes de MTU avec OVH (en IPv4), c'est peut-être une piste à approfondir. [sinon, ça se passe bien chez OVH ? t'es sur leurs DSLAM ?]

Pour l'OS, je l'avais déjà précisé dans la FAQ.

Merci à vous deux pour vos commentaires, je mettrai à jour le tuto/guide prochainement.

[Edtech]

Le MTU s'est réglé tout seul lors de l'auto-configuration du routeur. Je peux essayer de le changer. Sa valeur actuelle est 1492, tu me conseilles quoi ?

Sinon, j'ai contacté l'Afnic puisque leur site est un de ceux qui ne répondent pas. Je ne sais pas ce qu'ils ont fait, mais maintenant, je ping sans problème, mais n'arrive toujours pas à surfer.

SixxS, j'y étais il y a longtemps, mais leur pilote ne fonctionnait pas sous Vista x64 et j'ai laissé tombé pour gogo6.net (qui avait un autre nom à l'époque).

[PowerPlus]

Tu peux regarder sur le post 17 pour savoir si le problème peut venir de la MTU. En tout cas, moi je pouvais pinguer mais pas me connecter au serveur web.

Il n'y a pas de règle précise pour le MTU, si je pouvais voir l'allure d'une de tes trames vers le réseau ça serai faisable mais sans ça c'est difficile. Le plus simple serait que tu diminues le MTU jusqu'à ce que ça marche et que t'essaies de trouver la valeur juste comme ça.

(J'ai ajouté les informations que vous m'avez donné )

[Latios]

Sinon, j'ai contacté l'Afnic puisque leur site est un de ceux qui ne répondent pas. Je ne sais pas ce qu'ils ont fait, mais maintenant, je ping sans problème, mais n'arrive toujours pas à surfer.

Ça confirme le problème de MTU (un ping c'est petit, alors qu'une page web c'est gros). Normalement il doit pas y'avoir de problème, un paquet ICMP Packet Too Big doit être envoyé par le routeur qui drop le paquet en indiquant la bonne MTU, et ta machine doit ensuite renvoyer les données avec la bonne MTU (Path MTU discovery ça s'appelle). Tu dois avoir un truc qui bloque l'ICMP quelque part, regarde du côté de ton firewall et de ton routeur.

[Edtech]

En fait, OVH est à la ramasse. L'auto-configuration n'est opérationnelle que depuis le début du mois. Les DNS IPv6 renvoyés sont erronés et ne répondent pas au ping. D'après le support, ça fonctionnera "en fin d'année" car ça demande "une interruption de service"...

Bref, il est urgent d'attendre...

[Edtech]

J'ai eu plus d'informations par OVH :

Bonjour,

Pour surfer en IPv6 il faut que tous les sites Internet ai une adresse IPv6 hors ce n'est pas le cas actuellement.

Nous faisons évoluer nos équipements progressivement car la navigation en IPv6 sera de toute façon progressive, d'où la cohabitation entre l'IPv4 et l'IPv6 actuellement.

Pour l'instant les DNS étant en IPv4 à chaque requête il envoie les informations en IPv4.

Le 6 juin (date prévisionnelle) les DNS feront une requete en IPv6, si le site n'a pas d'adresse en IPv6, il fera une requete en IPv4 et indiquera l'information au navigateur.

Les adresses IP que vous avez en auto configuration sont justes c'est effectivement en cours de déploiement.

En espérant avoir répondu à vos attentes.

Cordialement

Thomas

Support xdsl OVH

http://www.ovh.com

Donc normalement, le 6 juin, lors de l'IPv6 launch Day, ça sera activé.

J'ai détaillé sur mon blog : http://www.nekomi.eu/jupiter/ovh-et-lipv6/