{"id":1016,"date":"2013-05-18T13:24:11","date_gmt":"2013-05-18T11:24:11","guid":{"rendered":"http:\/\/stephane.weblog.starend.org\/?p=1016"},"modified":"2013-05-18T13:24:11","modified_gmt":"2013-05-18T11:24:11","slug":"sous-reseau-ipv6","status":"publish","type":"post","link":"http:\/\/stephane.weblog.starend.org\/?p=1016","title":{"rendered":"Freebox et les sous-r\u00e9seaux IPv6"},"content":{"rendered":"

Abonn\u00e9 chez Free, je dispose d’une plage d’adresses IP version 6. Fini les translations d’adresses, on va pouvoir joindre directement toutes les machines (moyennant le filtrage), enfin :-)
\nBienvenue dans le futur!<\/strong><\/p>\n

La plage r\u00e9seau disponible est en \/64. Certains blogs parlent d’un \/56 r\u00e9ellement utilisable. Bref c’est bien plus que ce dont on a besoin…<\/p>\n

L\u00e0 o\u00f9 le bas bl\u00e8se, c’est qu’il n’est visiblement pas pr\u00e9vu par Free de pouvoir subdiviser le r\u00e9seau disponible. Toutes les machines doivent \u00eatre dans une m\u00eame plage IP unique.
\nEt si je veux ajouter mon routeur\/pare-feu pour cr\u00e9er un sous-r\u00e9seau de serveurs? Dommage.<\/p>\n

Heureusement, tout n’est pas perdu. Il existe une solution :<\/p>\n

Le proxy\u00c2\u00a0NDP<\/em><\/strong>
\n(proxy Neighbor Discovery Protocol<\/em>, RFC4389).<\/p>\n

Table des mati\u00e8res<\/strong> :
\n– Routeur de sortie
\n– Subneting
\n– Les services de l’Internet en IPv6
\n– Configuration r\u00e9seau du pare-feu interm\u00e9diaire
\n– Configuration d’un serveur
\n– Activation du routage sur le pare-feu
\n– Activation du filtrage
\n– Et apr\u00e8s… les paquets RA
\n– Liens externes<\/p>\n

<\/p>\n

Routeur de sortie<\/h2>\n

D\u00e9j\u00e0, il faut retrouver l’adresse IP de la freebox. Sur les machines, la route par d\u00e9faut en IPv6 est configur\u00e9e avec l’adresse IP de lien local de la freebox (fe80:…). En fait, la freebox dispose aussi de la toute premi\u00e8re adresse IP du r\u00e9seau, c’est \u00e0 dire l’adresse 0. Soit en pratique chez moi :<\/p>\n

2a01:e35:2e22:7e80::<\/code><\/p>\n

Ca fait un peu bizarre quand on est habitu\u00e9 \u00e0 IPv4 et son adresse 0 r\u00e9serv\u00e9e…<\/p>\n

Subneting<\/h2>\n

Nous allons maintenant d\u00e9couper artificiellement le r\u00e9seau. On va cr\u00e9er des sous r\u00e9seaux avec un masque en \/80. Le tout premier est obligatoirement utilis\u00e9 sur le r\u00e9seau qui contient la freebox. Son adresse ip fixe ne nous permet de la mettre dans un autre sous r\u00e9seau.
\nLe sous r\u00e9seau entre la freebox et le pare-feu que l’on installe sera :<\/p>\n

2a01:e35:2e22:7e80::\/80<\/code><\/p>\n

<\/code> La freebox est en 0, le pare-feu a une adresse al\u00e9atoire dans cette plage IP pour sa premi\u00e8re interface (externe).<\/p>\n

Les services de l’Internet en IPv6<\/h2>\n

Les services dont ont besoin les serveurs changent d’adresse IP mais aussi parfois de nom de domaine lorsqu’ils sont en IPv6.<\/p>\n

En basculant en IPv6, la r\u00e9solution de noms (DNS) ne fonctionnera plus avec les valeurs par d\u00e9faut. Il faut changer les serveurs DNS (\/etc\/resolv.conf) et utiliser par exemple ceux de Google :<\/p>\n

2001:4860:4860::8888
\n2001:4860:4860::8844<\/code><\/p>\n

Le service de synchronisation du temps ne fonctionnera plus non plus avec la valeur par d\u00e9faut du d\u00e9mon ntpd<\/em>. Celui-ci essaye de se synchroniser sur pool.ntp.org<\/em>. On peut utiliser \u00e0 la place :<\/p>\n

ntp.deuza.net
\nntp.ciril.fr
\nntp.univ-lyon1.fr<\/code><\/p>\n

Les mises \u00e0 jours du syst\u00e8me d’exploitation utilise des d\u00e9p\u00f4ts de paquets logiciels, de ports de logiciels ou des sources de ceux-ci. Ces d\u00e9p\u00f4ts sont r\u00e9f\u00e9renc\u00e9s par leurs noms de domaine. Ceux-ci fonctionnent parfois en IPv4 et IPv6, mais souvent ce n’est pas le cas. Voici quelques d\u00e9p\u00f4ts qui marchent :<\/p>\n

Debian : ftp.fr.debian.org<\/code>, ftp2.fr.debian.org<\/code>
\net security.debian.org<\/code>
\nFreeBSD : ftp.fr.freebsd.org<\/code>
\nOpenBSD : ftp.eu.openbsd.org<\/code><\/p>\n

Configuration r\u00e9seau du pare-feu interm\u00e9diaire<\/h2>\n

Note : Le pare-feu est une (petite) machine sous Debian Linux 7.0.0<\/em> avec deux interfaces r\u00e9seaux.<\/span><\/p>\n

On configure l’adresse de la passerelle par d\u00e9faut en IPv6 sur le pare-feu interm\u00e9diaire. C’est \u00e0 dire :<\/p>\n

2a01:e35:2e22:7e80::<\/code><\/p>\n

A partir de l\u00e0, depuis le pare-feu, on doit pouvoir faire un ping<\/em> vers un serveur connu en IPv6 :<\/p>\n

ping6 xue6.nebule.org
\nPING xue6.nebule.org(2001:41d0:8:ea05::1) 56 data bytes
\n64 bytes from 2001:41d0:8:ea05::1: icmp_seq=1 ttl=57 time=29.0 ms
\n64 bytes from 2001:41d0:8:ea05::1: icmp_seq=2 ttl=57 time=31.0 ms
\n64 bytes from 2001:41d0:8:ea05::1: icmp_seq=3 ttl=57 time=29.7 ms
\n...
\n<\/code><\/p>\n

Comme la machine est maintenant autonome en IPv6, on d\u00e9sactive d\u00e9finitivement IPv4 (\/etc\/network\/interfaces).<\/p>\n

On configure la deuxi\u00e8me interface r\u00e9seau (interne) du pare-feu avec un deuxi\u00e8me r\u00e9seau IPv6 en \/80. Par exemple le r\u00e9seau :<\/p>\n

2a01:e35:2e22:7e80:1:\/80<\/code><\/p>\n

<\/code> Le pare-feu, qui est la passerelle par d\u00e9faut du r\u00e9seau, est \u00e0 la premi\u00e8re adresse, j’ai pr\u00e9f\u00e9r\u00e9 la 1.<\/p>\n

Configuration d’un serveur<\/h2>\n

A partir de maintenant, on peut configurer le ou les serveurs derri\u00e8re le pare-feu avec des adresses du r\u00e9seau\u00c2\u00a02a01:e35:2e22:7e80:1:\/80<\/code> . On peut leur attribuer \u00e0 la main des adresses al\u00e9atoire sans sortir de cette plage IP.<\/p>\n

De la m\u00eame fa\u00e7on que sur le pare-feu, on d\u00e9sactive IPv4. Donc il faut aussi ajuster la r\u00e9solution de noms (DNS) en cons\u00e9quence.<\/p>\n

Un serveur sur le r\u00e9seau doit avoir des r\u00e9ponses aux ping<\/em> envoy\u00e9s au pare-feu :<\/p>\n

ping6 -n 2a01:e35:2e22:7e80:1::1
\nPING 2a01:e35:2e22:7e80:1::1(2a01:e35:2e22:7e80:1::1) 56 data bytes
\n64 bytes from 2a01:e35:2e22:7e80:1::1<\/code>: icmp_seq=1 ttl=64 time=1.371 ms
\n64 bytes from 2a01:e35:2e22:7e80:1::1<\/code>: icmp_seq=2 ttl=64 time=1.365 ms
\n64 bytes from 2a01:e35:2e22:7e80:1::1<\/code>: icmp_seq=3 ttl=64 time=1.402 ms
\n...<\/code><\/p>\n

Activation du routage sur le pare-feu<\/h2>\n

On active le forward<\/em> en IPv6 ainsi que le proxy NDP<\/em> sur eth0<\/em> :<\/p>\n

sysctl -w net.ipv6.conf.default.forwarding=1
\nsysctl -w net.ipv6.conf.all.forwarding=1
\nsysctl -w net.ipv6.conf.default.proxy_ndp=0
\nsysctl -w net.ipv6.conf.all.proxy_ndp=0
\nsysctl -w net.ipv6.conf.eth0.proxy_ndp=1
\nip neigh add proxy\u00c2\u00a02a01:e35:2e22:7e80:: dev eth1
\nip neigh add proxy\u00c2\u00a02a01:e35:2e22:7e80:1:1234:5678:90ab dev eth0
\nifconfig eth0 promisc<\/code><\/p>\n

Note : La derni\u00e8re ligne permet \u00e0 l’interface eth0<\/em> de recevoir des paquets r\u00e9seaux qui ne lui sont pas explicitement adress\u00e9s. Ces paquets pourront ensuite \u00eatre renvoy\u00e9s vers les serveurs derri\u00e8re le pare-feu.<\/span>
\n De l’autre c\u00f4t\u00e9, les serveurs s’adressent naturellement au pare-feu parce que c’est leur passerelle par d\u00e9faut.<\/span><\/p>\n

Depuis un serveur derri\u00e8re le pare-feu, on doit pouvoir faire un ping<\/em> vers un serveur connu en IPv6 :<\/p>\n

ping6 xue6.nebule.org
\nPING xue6.nebule.org(2001:41d0:8:ea05::1) 56 data bytes
\n64 bytes from 2001:41d0:8:ea05::1: icmp_seq=1 ttl=57 time=29.0 ms
\n64 bytes from 2001:41d0:8:ea05::1: icmp_seq=2 ttl=57 time=31.0 ms
\n64 bytes from 2001:41d0:8:ea05::1: icmp_seq=3 ttl=57 time=29.7 ms
\n...<\/code><\/p>\n

On active cette configuration par d\u00e9faut, c’est \u00e0 dire d\u00e8s le d\u00e9marrage, dans \/etc\/sysctl.conf<\/em> :<\/p>\n

net.ipv6.conf.default.forwarding=1
\nnet.ipv6.conf.all.forwarding=1
\nnet.ipv6.conf.default.proxy_ndp=0
\nnet.ipv6.conf.all.proxy_ndp=0
\nnet.ipv6.conf.eth0.proxy_ndp=1<\/code><\/p>\n

On peut en profiter pour d\u00e9sactiver le forward<\/em> en IPv4 en m\u00eame temps :<\/p>\n

net.ipv4.ip_forward=0<\/code><\/p>\n

Les autres lignes de commandes sont plac\u00e9es dans le fichier \/etc\/rc.local<\/em> avant la derni\u00e8re ligne exit 0<\/em> :<\/p>\n

ip neigh add proxy\u00c2\u00a02a01:e35:2e22:7e80:: dev eth1
\nip neigh add proxy 2a01:e35:2e22:7e80:1:1234:5678:90ab dev eth0
\nifconfig eth0 promisc<\/code><\/p>\n

Activation du filtrage<\/h2>\n

Pour le filtrage, on fait les choses assez classiquement pour commencer. On supprime les paquets INVALID. On laisse passer les paquets ESTABLISHED et RELATED. On d\u00e9finit en DROP le comportement par d\u00e9faut.<\/p>\n

IPv6 n\u00e9cessite que l’on s’attarde sur d’autres choses :
\n1. Penser \u00e0 bloquer tous les paquets IPv4 par d\u00e9faut si on ne l’utilise pas.
\n2. Il faut autoriser les paquets ICMPv6 qui concernent les Neighbour Solicitation<\/em> et Neighbour<\/em> Advertisement<\/em>. Sans \u00e7a, rien ne marche.<\/p>\n

Exemple de script, \u00e0 ajouter \u00e0 \/etc\/rc.local<\/em> :<\/p>\n

FREEBOX=\"2a01:e35:2e22:7e80::\"\nPAREFEU0=\"2a01:e35:2e22:7e80::1234:5678:90ab\"\nPAREFEU1=\"2a01:e35:2e22:7e80:1::1\"\nSERVEUR=\"2a01:e35:2e22:7e80:1::2\"\n\niptables -P INPUT DROP\niptables -P OUTPUT DROP\niptables -P FORWARD DROP\niptables -F\niptables -X\nip6tables -P INPUT DROP\nip6tables -P OUTPUT DROP\nip6tables -P FORWARD DROP\nip6tables -F\nip6tables -X\n\nip6tables -A INPUT -m state --state INVALID -j DROP\nip6tables -A OUTPUT -m state --state INVALID -j DROP\nip6tables -A FORWARD -m state --state INVALID -j DROP\nip6tables -A INPUT -m state --state ESTABLISHED -j ACCEPT\nip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT\nip6tables -A FORWARD -m state --state ESTABLISHED -j ACCEPT\n\nip6tables -A INPUT -i eth0 -s fe80::\/16 -d fe80::\/16 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\nip6tables -A INPUT -i eth0 -s fe80::\/16 -d fe80::\/16 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT\nip6tables -A INPUT -i eth0 -s fe80::\/16 -d FREEBOX\u00c2\u00a0\u00c2\u00a0 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT\nip6tables -A INPUT -i eth0 -s fe80::\/16 -d ff02::\/16 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\nip6tables -A INPUT -i eth1 -s $SERVEUR\u00c2\u00a0 -d $PAREFEU1 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\nip6tables -A INPUT -i eth1 -s $SERVEUR\u00c2\u00a0 -d ff02::\/16 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\n\nip6tables -A OUTPUT -o eth1 -s $PAREFEU1 -d $SERVEUR\u00c2\u00a0 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s fe80::\/16 -d ff02::\/16 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s fe80::\/16 -d fe80::\/16 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s fe80::\/16 -d $FREEBOX\u00c2\u00a0 -p icmpv6 --icmpv6-type neighbour-solicitation\u00c2\u00a0 -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s fe80::\/16 -d fe80::\/16 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d fe80::\/16 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT\n\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d $GOOGLEDNS4 -p icmpv6 --icmpv6-type echo-request -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d $GOOGLEDNS8 -p icmpv6 --icmpv6-type echo-request -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d $GOOGLEDNS4 -p udp --dport 53\u00c2\u00a0 -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d $GOOGLEDNS8 -p udp --dport 53\u00c2\u00a0 -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d $NTP1\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0 -p udp --dport 123 -j ACCEPT\nip6tables -A OUTPUT -o eth0 -s $PAREFEU0 -d $SecurityDebianOrg -p tcp --dport 80 -j ACCEPT\n\nip6tables -A FORWARD -i eth1 -o eth0 -s $PAREFEU0 -d $GOOGLEDNS4 -p icmpv6 --icmpv6-type echo-request -j ACCEPT\nip6tables -A FORWARD -i eth1 -o eth0 -s $PAREFEU0 -d $GOOGLEDNS8 -p icmpv6 --icmpv6-type echo-request -j ACCEPT\nip6tables -A FORWARD -i eth1 -o eth0 -s $PAREFEU0 -d $GOOGLEDNS4 -p udp --dport 53\u00c2\u00a0 -j ACCEPT\nip6tables -A FORWARD -i eth1 -o eth0 -s $PAREFEU0 -d $GOOGLEDNS8 -p udp --dport 53\u00c2\u00a0 -j ACCEPT\nip6tables -A FORWARD -i eth1 -o eth0 -s $PAREFEU0 -d $NTP1\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\u00a0 -p udp --dport 123 -j ACCEPT\nip6tables -A FORWARD -i eth1 -o eth0 -s $PAREFEU0 -d $SecurityDebianOrg -p tcp --dport 80 -j ACCEPT<\/pre>\n
Et apr\u00e8s… Les paquets RA<\/h2>\n
Plut\u00f4t que de configurer \u00e0 la main la passerelle par d\u00e9faut sur les serveurs, on peut configurer le pare-feu pour qu’il se d\u00e9clare comme routeur du r\u00e9seau. Ainsi, il \u00e9mette des paquets de type Router Advertisement<\/em> (RA) pour pr\u00e9venir les diff\u00e9rents serveurs de sa pr\u00e9sence.
\nDe m\u00eame on peut configurer le pare-feu pour qu’il accepte les RA envoy\u00e9s par la Freebox.
\nBon, \u00e0 la maison, \u00e7a ne change pas grand chose. Mais en r\u00eagle g\u00e9n\u00e9rale ce n’est pas une bonne id\u00e9e. Ca facilite le travail d’un intrus sur le r\u00e9seau pour la d\u00e9couverte de la topologie et le d\u00e9tournement de flux r\u00e9seaux.<\/p>\n
J’ai eu le cas sur mon pare-feu de test, celui-ci disposait de deux route pour le r\u00e9seau 2a01:e35:2e22:7e80::<\/code> . Une en \/80 et une en \/64.
\nIl peut y avoir des probl\u00e8mes de latence et de pertes de paquets lors de la travers\u00e9e du pare-feu vers Internet. Il faut modifier le comportement du pare-feu vis-\u00e0-vis des annonces de routeurs :
\nnet.ipv6.conf.default.accept_ra=0
\nnet.ipv6.conf.all.accept_ra=0
\nnet.ipv6.conf.eth0.accept_ra=0
\nnet.ipv6.conf.eth1.accept_ra=0<\/code><\/p>\n
Liens externes<\/h2>\n
http:\/\/fr.wikipedia.org\/wiki\/Neighbor_Discovery_Protocol<\/a>
\n– http:\/\/tools.ietf.org\/html\/rfc4389<\/a>
\n– http:\/\/linux-attitude.fr\/post\/proxy-ndp-ipv6<\/a>
\n– http:\/\/kurt.seifried.org\/2010\/04\/26\/ipv6-and-openbsd-part-1\/<\/a>
\n– http:\/\/lists.debian.org\/debian-ipv6\/2009\/03\/msg00002.html<\/a>
\n– http:\/\/lionel.parmentier.free.fr\/?p=317<\/a>
\n– http:\/\/rene.margar.fr\/2010\/08\/regles-de-firewall-pour-un-pont-ipv6\/<\/a>
\n– http:\/\/en.gentoo-wiki.com\/wiki\/IPV6_And_Freebox<\/a>
\n– http:\/\/cv.arpalert.org\/free_ipv6.html<\/a>
\n– http:\/\/forums.freebsd.org\/showthread.php?t=21804<\/a>
\n– http:\/\/medi-inf.org\/~kurbel\/blog\/blog\/2012\/08\/03\/ipv6-on-freebsd-rootserver-hosted-by-ovh\/<\/a>
\n– http:\/\/forum.kimsufi.co.uk\/showthread.php?t=721<\/a>
\n– http:\/\/blog.bashy.eu\/2011\/03\/paquet-router-advertisement\/<\/a>
\n– https:\/\/www.cru.fr\/services\/ntp\/serveurs_francais<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Abonn\u00e9 chez Free, je dispose d’une plage d’adresses IP version 6. Fini les translations d’adresses, on va pouvoir joindre directement toutes les machines (moyennant le filtrage), enfin :-) Bienvenue dans le futur! La plage r\u00e9seau disponible est en \/64. Certains blogs parlent d’un \/56 r\u00e9ellement utilisable. Bref c’est bien plus que ce dont on a … Continuer la lecture de Freebox et les sous-r\u00e9seaux IPv6<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[43,10,11],"tags":[267,270,357,368],"_links":{"self":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/1016"}],"collection":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1016"}],"version-history":[{"count":0,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/1016\/revisions"}],"wp:attachment":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1016"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}