[QUESTION] Comment gérer son réseau avec l'IPV6 quant on fait de l'auto-hébergement.

[Kazer2.0]

Bonjour à tous 

Actuellement chez Free et suite aux news sur l'impossibilité de désactiver l'IPV6 dans la dernière mise à jour (pas encore faite chez moi), j'aimerais préparer le terrain et mieux comprendre le fonctionnement du bordel. Je n'ai rien contre l'IPV6, bien au contraire, avoir plus d'adresse me permettrait d'héberger plus de service sans le problème de réutilisation des ports.

J'ai cependant besoin d'un peu d'aide / explication car le fonctionnement change un peu.

Actuellement ma configuration est la suivante :

- PC fixe
- PC Portable
- NAS (FreeNAS)
- VM Seedbox sur le NAS
- VM Minecraft sur le NAS
- Point d'accès TP-Link
- RaspberryPi avec DokuWiki
- RaspberryPI avec Pi-Hole

 

Au niveau de la gestion en ipv4 c'est simple, j'ai mon réseau local et le WAN et séparé du LAN, je redirige uniquement les ports dont j'ai besoin. Le VM attaque le pool de stockage du NAS en NFS et moi en SMB, ça me permet de gérer facilement non seulement les fichiers (au lieu de devoir utiliser FileZilla) mais aussi les snapshots avec ZFS (en gros je monte le dossier de travail dans le VM et je snapshot que le dossier, Debian se réinstallant facilement en cas de problème).

Maintenant en IPv6 comment je fais ? Ai-je encore le fonctionnement "réseau local" ? Comment je garde mes chemins réseaux accessible en local uniquement ? Comment je me protège de l'exposition sur le net de mes machines (parce qu'on pourra dire ce qu'on veut, que c'est pas fait pour et compagnie, mais la séparation réseau LAN / WAN, ça fait quand même une première barrière pour le quidam moyen) ?

Sachant que j'ai des connaissances limités en réseau, je suis plutôt un tech enthousiaste et j'apprends sur le tas parce que ça m'intéresse.



Donc avant de sauter le pas (et reboot la freebox), j'aimerais un peu d'aide et d'explication pour que mes services restent accessible, mes partages réseaux locaux aussi et que je n'expose pas trop de chose sur le net  

 

 

Merci d'avance 

[Edtech]

Première chose, sache que ton réseau local est déjà full IPv6. En effet, si tu regardes les adresses attribuées à tes appareils, tu dois avoir pour chacun une IPv6 de boucle local (commençant par fe80) pour chaque.

Par exemple, sur ma machine au boulot (réseau IPv4 seulement) :

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . :
   Adresse IPv6 de liaison locale. . . . .: fe80::ecb4:7c3:960f:9ea8%5
   Adresse IPv4. . . . . . . . . . . . . .: 10.xx.xx.xx
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : 10.xx.xx.xx

Ce qui va changer, c'est que chaque machine va avoir une adresse publique, commençant par 2001.

Mais "publique" ne veut pas dire accessible à tous sans protection ! Pour que tes machines soit accessibles, il faut aussi que le pare-feu de ta box autorise l'accès depuis l'extérieur à tes machines.

Je ne connais pas la Freebox, mais généralement, dans un routeur, on autorise tout le sortant, mais on limite l'entrant à quelques ports spécifiques. Par exemple, si tu a sun serveur web, tu as dû autoriser pour tes IPv4 que l'IPv4 publique de ta box, pour les ports 80 et 443 redirigent vers ton serveur web.

Là, le principe reste le même, mais directement avec l'adresse IPv6 du serveur web et non celle de la box (qui d'ailleurs, peut ne pas en avoir ou que l'accès à ta box en IPv6 soit limité au réseau local).

Dans ton pare-feu de box, tu vas juste dire que les ports 80 et 443 de l'IPv6 de ton serveur est accessible depuis l'extérieur. J'espère juste que par défaut, Free bloque tout l'entrant en IPv6 !

Bref, tout vas se limiter à des réglages de pare-feu dans ta box.

[Kazer2.0]

Salut,

Merci pour le retour, j'ai pas d'IPV6 car je l'avais désactivé sur mes ordis en fait (décoché la case) et le problème c'est que la Freebox n'avait pas de pare-feu au moment où ils ont forcé l'ipv6, c'est un ajout à postériori  (d'ailleurs, à priori faut l'activer soi-même : https://www.universfreebox.com/article/50318/Tuto-Freebox-comment-parametrer-le-nouveau-pare-feu-IPV6-et-pourquoi-il-est-important-de-l-activer )

Donc en gros le concept de réseau "local" est toujours présent ? Mes partages réseaux et compagnie seront toujours accessible uniquement sur le LAN ?

Si je suis bien, mes machines ont une ipv6 dîtes local et une publique ? Et la publique n'est attaquable que si je choisi de faire une redirection des ports depuis la FreeBox ?

Au final, sur le LAN, je peux toujours attaquer mes machines en IPv4 non ? Les deux fonctionnent de concert ? Parce que attaquer mon serveur en 192.168.x.x est plus facile que en tapant en IPv6 

Par contre du coup je garde toujours mon adresse unique ipv4 de fonctionnel aussi en paralèlle ?

 

[Edtech]

Tu peux utiliser IPv4 et IPv6 en parallèle, aucun problème. Pour bien faire, utilise les noms des machines, ça évite de taper une adresse, quelle soit IPv4 ou IPv6 !

Ce n'est plus une redirection qui est faite, mais juste un accès. Tu indiques que telle port sur telle IPv6 est autorisé. Bref, juste un pare-feu classique.

Free n'avait pas mis de pare-feu sur la box car tu peux très bien utilisé le pare-feu de chaque machine. Windows par exemple, a un pare-feu intégré IPv6 qui par défaut bloque tout l'entrant.

Le problème survient quand tu as du matériel qui n'intègre pas lui-même un pare-feu, comme les objets connectés.

Je ne pense pas que la Freebox le permette, mais avec un vrai routeur, tu peux aussi décider de ne pas attribuer d'IPv6 publiques aux machines de ton LAN, n'en mettre que sur les machines où c'est utile avec des règles statiques et pour les autres, n'utiliser que les adresses de boucle local (donc LAN uniquement).

IPv6 est beaucoup plus malléable qu'IPv4, et plus rapide et plus sûr (couche de sécurité intégrée au protocole contrairement ) IPv4).

[Kazer2.0]

Selon ce que j'ai lu, le pare-feu de la Freebox n'est pas top pour la configuration (limité). Je vais voir si je peux simplement lui dire comme actuellement en IPv4 quel port je veux d'accessible depuis l'extérieur sur quel IPv6.

Donc va falloir que je me documente sur Debian si le pare-feu de base de la Freebox ne permet pas de faire ce que je veux (iptable ?).

Effectivement, ne pas mettre d'IPv6 au machine qui ne sont que dans le LAN parait une bonne solution pour "séparer" ce qui n'a pas forcément besoin d'être attaqué depuis l'extérieur.
Après tu parles de n'utiliser que les adresses de boucle local, ça veut dire que la machine à une adresse IPv6 "local" et donc pas d'adresse "publique" ? Si la machine veut accéder au net, elle apparait pour l'extérieur en IPv4 ?

Je suis peut-être pas clair donc exemple : Mon Pi-Hole qui fait serveur DNS, je veux qu'il soit accessible que dans le LAN, mais il aura besoin de "sortir" pour se mettre à jour, ça se passe comment au niveau paramétrage ? Comment je lui dit "utilise cette IPv6 local" pour y avoir accès uniquement avec mes autres machines en LAN tout en lui laissant la possibilité de "sortir" et se mettre à jour ?

 

J'essaye de bien saisir avant de basculer pour deux choses, ne pas exposer inutilement des machines sur le net et pour continuer à avoir mes services auto-hébergé accessible (voir augmenter le nombre de service vu que j'aurais plus d'IP normalement si je fais les choses correctements ).

[brice.wernet]

Il y a 3 heures, Kazer2.0 a écrit :

Actuellement chez Free et suite aux news sur l'impossibilité de désactiver l'IPV6 dans la dernière mise à jour (pas encore faite chez moi), j'aimerais préparer le terrain et mieux comprendre le fonctionnement du bordel. Je n'ai rien contre l'IPV6, bien au contraire, avoir plus d'adresse me permettrait d'héberger plus de service sans le problème de réutilisation des ports.

Il n'y a pas de changement en local.

Le changement c'est sur l'accès à internet qui se fait par IPv6. Mais ça ne change pas grand-chose: je peux toujours taper une IPv4 pour accéder à mon OVH et ça marche, Free fait le tunnel IPv6 -> IPv4.

Si par contre, tu as des fonctionnalités/règles de proxy/firewall basées sur les adresse IPv4 internet, il est possible que ce soit caduque (le flux peut passer en IPv6 direct et c'est mort).

Enfin si tu as une adresse IPv4 fixe pour ta freebox, je ne sais pas ce que ça donne, mais tu devrais passer en IPv6 pour l'extérieur.

[Edtech]

Évidemment, si tes machines n'ont qu'une IPv6 de boucle locale, elles ne pourront aller sur Internet qu'en IPv4.

Je ne suis pas spécialiste réseau. Chez moi, mon réseau est entièrement IPv6, chaque appareil a son IPv6 publique, mais le pare-feu n'autorise rien en entrée. J'ai manuellement déverrouillé la Xbox par exemple pour jouer en réseau, idem pour ma Switch, mon serveur Plex (qui est sur mon PC pour le moment). La box ne peut être accédée que depuis l'intérieure du réseau malgré son IPv6 publique.

Mais c'est un routeur OPNsense que j'ai monté moi-même (je suis chez Orange sans Livebox), chose qui semble quasiment infaisable chez Free.

C'est le problème de Free qui fait maintenant que de l'IPv6 et encapsule l'IPv4. Chez Orange, les deux sont bien toujours présents. Même si par erreur, j'ai réussi à n'avoir qu'un accès IPv6 et pas d'IPv4 😅

[Kazer2.0]

Il y a 2 minutes, Edtech a écrit :

Évidemment, si tes machines n'ont qu'une IPv6 de boucle locale, elles ne pourront aller sur Internet qu'en IPv4.

Je ne suis pas spécialiste réseau. Chez moi, mon réseau est entièrement IPv6, chaque appareil a son IPv6 publique, mais le pare-feu n'autorise rien en entrée. J'ai manuellement déverrouillé la Xbox par exemple pour jouer en réseau, idem pour ma Switch, mon serveur Plex (qui est sur mon PC pour le moment). La box ne peut être accédée que depuis l'intérieure du réseau malgré son IPv6 publique.

Mais c'est un routeur OPNsense que j'ai monté moi-même (je suis chez Orange sans Livebox), chose qui semble quasiment infaisable chez Free.

Donc si le pare-feu IPv6 de la Freebox est en tout en rien (allow all ou disallow all), il faudra que je configure ça au niveau OS directement pour n'autoriser que ce que je veux vu que je devrais autorisé sur le pare-feu de la Freebox.

Après je peux foutre la freebox en mode pont et faire la tambouille derrière, mais je préfère ne pas rajouter encore un autre routeur derrière.

Je vais voir si je peux activer l'IPv6 sans reboot la Freebox, comme ça je test pour être sûr et je peut faire un retour arrière si besoin avant de faire la MAJ qui empêche la désactivation de l'IPv6.

[Edtech]

En gros, c'est ça. J'espère que Free n'a pas fait ça de manière aussi crade ! Je sais que 99% des gens ne sont pas gêné par ce genre de choses, mais quand même (et encore, tout le monde a une console maintenant !).

[Kazer2.0]

Il y a 5 heures, Edtech a écrit :

En gros, c'est ça. J'espère que Free n'a pas fait ça de manière aussi crade ! Je sais que 99% des gens ne sont pas gêné par ce genre de choses, mais quand même (et encore, tout le monde a une console maintenant !).

Bon ben j'ai fais un test chez moi sans mettre la Freebox à jour (donc j'ai pas encore le firewall IPv6).

Ben mon Pi-Hole est accessible depuis l'extérieur avec son adresse IPv6, ce qui n'est pas top. Et le problème c'est que si je mets à jour, j'ai peur que le firewall de la Freebox me bloque (soit j'autorise tout, soit rien, alors que j'aimerais autorisé le connexion entrante uniquement sur tel port pour tel ipv6 ) et que l'IPv6 reste activé par défaut.

Quelqu'un à déjà configuré la firewall de la freebox ? Qu'est-ce qu'on a comme marge de manœuvre avec ?

Par contre oui, je viens de comprendre (normalement) les IPv6 local (commence par fe80 ?).

[Aloyse57]

On voit bien la que l'idée d'une Box obligatoire, c'est un peu pourri. Rien ne vaut le couple Modem+Routeur.

Le FAI fournit le modem et éventuellement le routeur si le client se fiche du comment et du pourquoi, sinon il choisit se qu'il veut et se dém*rde avec ses problèmes (=solution Canadienne).
J'ai beaucoup de mal avec la dénomination de FAI (Fournisseur d'Accès Internet) quand ce dernier essaie de fourguer quelque chose d'autre avec.

[Kazer2.0]

Il y a 3 heures, Aloyse57 a écrit :

On voit bien la que l'idée d'une Box obligatoire, c'est un peu pourri. Rien ne vaut le couple Modem+Routeur.

Le FAI fournit le modem et éventuellement le routeur si le client se fiche du comment et du pourquoi, sinon il choisit se qu'il veut et se dém*rde avec ses problèmes (=solution Canadienne).
J'ai beaucoup de mal avec la dénomination de FAI (Fournisseur d'Accès Internet) quand ce dernier essaie de fourguer quelque chose d'autre avec.

C'est faisable chez tous sauf Orange, suffit de mettre en mode pont, mais je voulais éviter de me faire chier avec un autre routeur par simplicité (et surtout quel modèle prendre ? Sachant que sur le long terme je vais utiliser la connexion 10 giga de chez Free).

Donc j'essaye de voir comment faire déjà avec la Freebox avant de chercher à faire avec un autre routeur.

[L33thium]

avec l'ipv6, en théorie, plus besoin de NAT.

Mais pour ça il faut que l'opérateur t'alloue une plage d'adresses et que la box les distribue sur le LAN (donc plus de fe80:: sur le réseau mais le même préfixe publique pour tous les appareils qui par conséquent sont tous explosés à internet et doivent se protéger eux-même, le firewall du routeur ne sers plus à grand chose).

Free fait partie des bons élèves mais je ne sais pas s'ils vont jusque là.

[Edtech]

@L33thium Deux corrections à ce que tu dis : les adresses fe80:: restent même si tu as une adresse IPv6 publique (2001::), le nombre d'IPv6 par interface réseau n'est pas limité. D'ailleurs, tu peux même avoir des adresses IPv6 temporaires qui sont généré à chaque nouvelle connexion. Par exemple, tu vas sur Google avec l'IP publique A et sur bing avec l'adresse IP publique B (même si elles restent dans la même plage).

Le pare-feu du routeur a toujours autant d'importance, il verrouille la porte d'entrée. Les appareils peuvent ne pas se protéger eux-mêmes (même si c'est recommandé) si le routeur est correctement paramétré.

[L33thium]

J'avoue que j'ai pas pu beaucoup jouer avec. Chez Orange avec la livebox qui ne supporte pas la délégation pour le routeur qui se trouve derrière, donc bloqué en ipv4

[Edtech]

L'avantage d'Orange, c'est qu'on peut se passer de la Livebox. Sinon, niveau réglages c'est une des pire !

[L33thium]

c'est pas toujours vrai.

à la maison j'ai l'ipv6 mais sur adsl et j'ai besoin de la téléphonie et TV

à ma boutique je suis fibré et besoin de la téléphonie. Je pourrais mettre mon routeur en frontal avec la livebox derrière si ils avaient pas recyclés les vieilles ip/infra wanadoo... je suis en ppp, ipv4 only.

dans les deux cas il y a un routeur sous openwrt derrière.

[Edtech]

Forfait pro à ta boutique ? C'est assez galère d'être pro chez Orange : pas le même matos, pas les mêmes fonctionnalités, pas le même système de connexion, etc.

[Kazer2.0]

Bon, j'ai fais des petits test pour voir en continuant à étudier un peu le bousin.

 

Déjà une issue ouverte chez Free pour améliorer le pare-feu, mais ce n'est pas "prioritaire" pour l'instant (https://dev.freebox.fr/bugs/task/27613) 

Pour mon usage me faudrait juste par défaut les ports fermés et manuellement ouvrir un port pour telle ipv6

 

J'ai aussi regardé rapidement sur le net les histoires de délégation :

https://utux.fr/index.php?article13/free-bridge-ipv6
https://www.goudal.net/?p=6

Ce qui me semble une solution exploitable pour mon cas. Pouvoir déléguer des adresses en dehors de la Freebox pour faire la configuration et n'ouvrir que les ports que j'ai besoin (genre 443 pour tel ipv6 pour un service et à nouveau 443 pour un autre ipv6 pour un autre service web). 

J'ai regardé en travers les tutos pour l'instant dont je ne sais pas ce que ça vaut (ou même si quelqu'un à un meilleur tuto ?). Même si c'est "ardu" de trouver une ipv6, le fait d'avoir mon Pi-Hole accessible sans problème depuis l'extérieur quand j'active l'ipv6 sur la Freebox, ça pique un peu.


Donc en attendant que Free se bouge pour offrir un "vrai" firewall, faire une déléguation et gérer ça en dehors peut être une solution.

[crocodudule]

Perso je suis devenu dingue lorsque j'ai voulu paramétrer iptable à la mano pour l'ipv6.

Si je comprends parfaitement la nécessité de passer à l'ipv6, en revanche, je ne comprends pas l'intérêt de le faire 1/2 comme chez free: le firewall est pas paramétrable sinon pour lui dire de tout bloquer en entrée ou à l'inverse de tout ouvrir.

Du coup à quoi bon sachant que par définition on va avoir des appareils (télévision, vieux chromecast, difficulé à adapter iptable à l'ipv6 etc..) sans le moindre firewall et que l'on ne peut donc exposer, imposant d'être en mode "tout bloquer en entrée"?

En fait, ça n'a d'intérêt que pour free lui-même qui anticipe le manque d'ipv4 publiques disponibles, mais pour l’abonné ça n'apporte rien  (sans parler du bref moment où on pouvait même pas activer de firewall ipv6 sur la box).