Configurer PfSense pour un serveur en IPv6, Dynv6.net
Résolubrupala Messages postés 110572 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 novembre 2024 - 28 janv. 2024 à 18:21
5 réponses
27 janv. 2024 à 07:58
bonjour,
Le préfixe ("partie publique") de l'adresse IPv6 est assigné par le FAI.
Dynv6 ne peut pas deviner les adresses, il est nécessaire de les lui fournir.
Pourquoi utilises-tu Dynv6? Ne peux-tu pas te connecter de l'extérieur en utilisant l'adresse IPv6?
"la box ne répond pas aux pings sur son adresse IP publique": la box est peut-être configurée pour ne pas répondre aux pings, c'est assez courant, pour des raisons de sécurité
"on peut se connecter à son interface web par une autre adresse IP. publique": es-tu certain que c'est une adresse publique?
Modifié le 27 janv. 2024 à 09:18
Salut,
typiquement un FAI ipv6 fournit une adresse /128 à sa box ainsi qu'un préfixe de taille variable de /48 à /64, souvent /56 .
si on considère qu'un réseau classique en ipv6 est un /64 pour permettre l'adressage automatique SLAAC, un préfixe /56 permet l'administration de 256 sous réseaux /64 si on a une box capable de router ou faire de la délégation de préfixe.
Je ne savais pas qu'il existait des dyndns en ipv6, pour moi ça n'existait qu'en ipv4.
Il vaut mettre une adresse fixe sur le serveur, elle sera toujours routée par le FAI et probablement prendre un vrai nom de domaine chez un registrar et d'administrer les AAAA dans son dns.
une adresse ipv6 peut contenir entre 2 et 7 fois le signe : entre chaque bloc de 16 bits.
on utilise le double :: pour indiquer un ou plusieurs blocs consécutifs de 16 bits à 0.
par exemple localhost s'écrit ::1 quand une adresse se termine par ::/n cela indique un bloc d'adresses, ou un réseau comme en ipv4 (notation cidr).
27 janv. 2024 à 09:12
Bonjour Brupala! De nouveau à la rescousse! Merci. Tu m'avais bien aidé pour mon réseau en fibre optique, que je viens de mettre en marche. D'où cette suite.
J'arrive sur une configuration préexistante.
Si mon FAI fournissait de l'IPv6, ça devrait apparaître quelque part sur la box? Le DHCPv6 était désactivé, et l'activation ne lui donne pas d'IPv6.
Est-il possible que mon FAI ne fournisse pas l'IPv6 et que la configuration précédente soit fondée sur un tunnel IPv4? J'ai vu qu'il existait quelque chose comme ça?
Dans ce cas, ça me semble compliquer les choses pour pas grand chose?
Ça pourrait bloquer l'accès à l'adresse IP publique IPv4?
27 janv. 2024 à 09:25
Beaucoup de FAI sont aujourd'hui en CGNat pour ipv4, ce qui ne permet pas d'adresser un serveur en v4.
l'adresse publique de ta box doit être lisible sur ta box et le préfixe alloué doit être indiqué sur le compte.
27 janv. 2024 à 09:35
Dans ta dernière phrase tu parles du v6?
Merci pour le CGNat, je comprends beaucoup mieux maintenant: l'adresse IPv4 publique ne me renvoie que sur mon FAI. Avec un traceroute, j'étais toujours bloqué à la même IP, qui doit être celle de mon FAI qui ne peut même pas savoir à qui retourner la demande.
Il faut donc que je découvre l'IPv6 en général, et mon IPv6 publique en particulier. Pourtant, l'IPv6 n'était pas activé sur la box et test-ipv6.com ne me reconnait pas d'IPv6.
L'installation précédente a été faite par quelqu'un de très doué, trop pour moi, et qui n'a pas laissé de doc.
27 janv. 2024 à 09:45
Dynv6 permet d'administrer les AAAA dans leur dns, ce qui permet de ne pas prendre un vrai nom de domaine chez un registrar, si on peut se contenter d'un nom de domaine imposé.
27 janv. 2024 à 09:50
Tu confirmes que ça fait de l'IPv6?
Tu as déjà utilisé quelque chose comme ça?
Comment ça se passe: la box donne l'IPv6 publique au routeur, le routeur la donne au serveur, le serveur fabrique une IPv6 complète et actualise le DynDNS?
27 janv. 2024 à 16:46
1. Je fais une nouvelle réponse pour récapituler et repartir de ce que je sais, ou pas...
Ça marchait en IPv6.
Sans que la box soit configurée pour de l'IPv6.
Quelqu'un a-t-il une idée pour ce point là?
2. Ensuite, il faudra que je fasse descendre cette adresse sur mon routeur puis sur mon serveur.
Une fois que mon serveur a une adresse complète et correcte, que dois-je taper dans la barre d'adresse? Ceci: http://[2a01:5cc0:1:2::4]?
3. Alors il me restera à configurer mon serveur pour qu'il fasse les maj de Dynv6.net.
4. Mais avant tout, j'ai une question sûrement bête: même sans avoir d'adresse IPv6 ne puis-je pas pinguer en IPv6? J'ai essayé avec l'adresse de google, et ça ne marche pas.
27 janv. 2024 à 17:11
1) qu'est-ce qui marchait, qu'est-ce qui a changé?
2) oui
3) Si l'adresse est statique, tu peux configurer dynv6 "à la main".
4) c'est quoi "je" dans ta phrase? Un ordi doit avoir une adresse ipv6 pour envoyer un "ping" vers une adresse ipv6.
Modifié le 27 janv. 2024 à 17:41
1) L'accès au serveur en IPv6 au travers de la box fonctionnait avec l'ancien routeur.
Ce qui a changé, c'est le routeur: j'ai mis un PfSense (que je pratique depuis plusieurs années) à la place d'un NixOS (pas vraiment user-friendly). Cela non pas pour m'amuser, mais parce que j'ai dû nettement modifier le réseau.
2) Question résolue. Merci!
3) Idem. Super!
4) Le routeur, depuis lequel je peux exécuter des ping, ne parvient pas à pinger google. Mais ta réponse m'éclaire: tant que je n'ai pas les bonnes adresses IPv6, je ne peux pas même pinguer (ce qui est logique).
.
RESTE:
1. La question de la box: comment cette box qui n'affiche aucune IPv6 pouvait bien fournir de l'IPv6?
Il existe des service de tunnel d'IPv6 dans de l'IPv4? Ça serait quelque chose comme ça?
5. Sur Dynv6, il reste une adresse avec 4 fois quatre points: quelque chose comme ça: 1:2:3:4:5
Ça correspond bien à une partie publique?
Le routeur dois ajouter un groupe pour le sous-réseau (fixé par moi),
et deux groupe pour la machine (en DHCP par exemple)?
6. En fait je commence à y voir un peu plus clair, grâce à toutes ces discussions. Enfin, détrompe-moi si je raconte n'importe quoi...
Je vais utiliser ce qui ressemble à mon IPv6 publique pour au moins essayer de pinguer mes machines en interne.
Disons que cette adresse est 2001:db8:0:0
Je vais donner à mon WAN l'adresse 2001:db8:0:0:5
Et à mon LAN 2001:db8:0:0:10
Puis au DHCP de mon LAN la plage 2001:db8:0:10:0000:0000 2001:db8:0:10:0000:ffff
Mais qu'est-ce que je dois mettre comme /64 /128 etc?
27 janv. 2024 à 17:43
5) "sur dynv6", c'est flou, tu vois cela où précisément? c'est ce qui reste de l'ancienne configuration? Ce n'est pas important pour le moment.
Si j'ai compris, tu veux uniquement associer au nom de serveur (bazartruc.dynv6.net) l'adresse ipv6 du serveur. Tu voudras donc avoir dans dynv6, pour ta zone, dans l'onglet "records", une ligne de type AAAA, avec le nom de domaine et l'adresse ipv6.
Obtiens une adresse ipv6 fonctionnelle pour ton serveur, le reste viendra facilement.
27 janv. 2024 à 17:47
C'est parfaitement ça.
L'IPv6 fonctionnelle pour mon serveur, c'est mon combat du moment...
J'ai configuré une IPv6 statique sur le LAN: 2001:db8:0:0:10/64
Je tente de mettre sur le WAN: 2001:db8:0:0:5/64
Mais PfSense me dit: adresse déjà utilisée, ou bien conflit.
27 janv. 2024 à 17:59
Je pense qu'il ne faut pas configurer d'adresse ipv6 statique, il faut plutôt que les adresses ipv6 soient diffusées automatiquement par le FAI, la box et le routeur.
Le routeur est configuré comment en ce qui concerne la réception d'une adresse ipv6 du WAN?
Il faudra ensuite configurer le routeur pour qu'il délègue le préfixe ipv6 reçu, et qu'il diffuse des adresses en utilisant une méthode supportée par les appareils sur le LAN. Tu 'as pas précisé les OS de ces appareils.
Moi j'ai configuré mon "routeur" (rien à voir avec le tien), pour utiliser SLAAC + RDNSS afin d'assigner des adresses ipv6 sur le lan. Cela semble satisfaire Android, Windows, et mon imprimante.
27 janv. 2024 à 20:02
En fait, je pense qu'un dyndns ipv6 ne peut gérer que des /128, je ne vois pas ce qu'il pourrait faire d'autre chose, un enregistrement AAAA doit être un /128.
Après, ta box, d'après ce que tu dis, elle serait transparente à ipv6, donc un simple pont, ça peut exister aussi, bien que ce soit très rare, on ne sait pas ce que vend ton FAI,
Pour ton problème, il faut savoir que ton routeur pfsense doit avoir au moins 2 réseaux IP publics, un sur chaque interface, si ce sont des /64, ta configuration avec les adresses documentation (2001:db8::/32) n'est pas correcte car tu mets au routeur 2 adresses dans le même réseau sur 2 interfaces routées.
En pratique ton routeur doit avoir 2 réseaux différents à configurer de manière statique ou par DHCP-PD suivant les possibilités de la box et du routeur.
Modifié le 27 janv. 2024 à 20:34
Ça m'intéresse vraiment ce que tu dis, mais je n'ai pas assez de connaissances pour bien comprendre.
Je vais appeler mon FAI lundi. Mais pour l'instant leur serveur ne reconnaît pas mon numéro de client.
J'ai compris l'idée d'une box transparente. Bridge, quoi. C'est vrai que c'est surprenant et je n'avais même pas imaginé que ce soit possible. Mais ça correspondrait bien au fait que mon interface attrape une IP sortie de nulle part. IP à 6 groupes. Ce qui m'étonne, c'est qu'elle commence par fe80.
Ce qui me surprend énormément, mais qui va peut-être t'éclairer, c'est que mon PC a aussi attrapé une adresse en fe80, tout le reste étant différent. En 6 groupes aussi.
Et une autre pour la carte wifi, toujours 6 groupes et commençant par fe80. PS: fe80 indique un lien local. Donc, ça n'est pas une IP publique.
6 groupes serait-ce /64? Et serait-ce les sous-réseaux? PS: meuh non... c'est 4 groupes.
Pour le Dyndns ipv6, si je comprends bien, tu me dis que le serveur doit envoyer une adresse complète à 8 groupes (c'est comme ça que je traduis le /128).
Je poserai des questions sur les interfaces après celles-ci.
Merci!
PS: Je viens de saisir la description précise d'une adresse IPv6:
2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b
Cet exemple illustre les 128 bits d'une adresse IPv6. Les premiers 48 bits, 2001:0db8:3c4d, contiennent le préfixe de site, représentant la topologie publique. Les 16 bits suivants, 0015, contiennent l'ID de sous-réseau. Ils représentent la topologie privée du site. Les 64 bits situés complètement à droite, 0000:0000:1a2f:1a2b, contiennent l'ID d'interface.
27 janv. 2024 à 20:33
Ces adresses en fe80:: ne sont pas des adresses publiques. Ce sont des adresses utilisables uniquement sur le WAN. Cela te permet de communiquer en ipv6 sur le LAN, pas sur Internet.
Tu ne progresses donc pas dans la récupération d'une adresse ipv6 venant du FAI.
27 janv. 2024 à 20:37
Je ne progresse pas... c'est triste mais c'est vrai!
Enfin, on apprend de ses échecs.
Je vais orienter mon travail fermement vers mon IP publique et je reviendrai sûrement vers vous pour la suite. Mais je suis déjà drôlement éclairé.
27 janv. 2024 à 20:39
Tes adresses ont bien 8 groupes, le :: permet de simplifier l'écriture et remplace des groupes 0000 adjacents.
27 janv. 2024 à 20:29
En effet, dynv6 ne publie des entrées AAAA que pour des adresses complètes, /128.
Il propose une manière simple de changer (via l'interface web ou via api) en une fois le préfixe d'un ensemble d'adresses, ce qui permet, en une fois, de modifier plusieurs entrées AAAA en communiquant uniquement le nouveau préfixe.
On peut donc dire qu'il gère des préfixes afin de publier des entrées AAAA /128.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionModifié le 27 janv. 2024 à 20:51
L'exemple de ce que je dois obtenir m'aiderait bien. Est-ce ça?
Partie publique en /32 (3 champs). Obtenue sur la box.
Obtenue par ma passerelle (je ne vois pas encore comment).
L'interface WAN aura une adresse (fixe) commençant par ces 3 champs, auxquels j'ajouterai l'ID d'interface. Ce qui fait du /64.
L'interface LAN aura une adresse (fixe) commençant par ces 3 champs, auxquels j'ajouterai l'ID d'interface. Ce qui fait du /64.
Un DHCPv6 accordera aux membres du LAN une adresse en /128.
28 janv. 2024 à 05:44
Pas du tout. "Tu" n'as rien à ajouter dans les adresses, tout se fera automatiquement quand tu auras configuré correctement les options adéquates.
Il me semble que tu supposes que ipv6 fonctionne comme ipv4.
Je pense que le DHCPv6 pourrait être utilisé du côté du WAN, tandis que, du côté du LAN, les adresses seront assignées via SLAAC et RDNSS.
Tu ne réponds pas à nos questions et tu partages peu d'information, cela ne nous aide pas à t'aider.
28 janv. 2024 à 17:59
Pardonne-moi, je me doute que je ne dois pas être facile à aider, étant moi-même dans le brouillard.
J'ai pu reprendre contact avec mon prédécesseur, mais il ne se rappelle pas lui-même de ce qu'il avait fait... Il pense que le FAI ne donne pas d'IPv6 et qu'il l'avait mis en place dans un tunnel IPv4.
Bref, je cesse de vous embêter quelques temps, le temps que je travaille avec mon prédécesseur. Merci encore pour votre aide à tout deux: j'ai pu m'initier à l'IPv6 et cela ne manquera pas de me servir.
28 janv. 2024 à 18:21
Bonne exploration,
mais j'ai du mal à comprendre ce qu'est un FAI qui ne fournit ni ipv6 ni ipv4 publiques.
Tu as fourni une occasion de parler IPV6 sur ce forum, ce qui n'est pas fréquent malgré un besoin d'usage de plus en plus important.
27 janv. 2024 à 08:43
Merci pour ta réponse rapide!
J'utilise Dynv6 pour avoir une adresse qui ressemble à quelque chose, pour les utilisateurs. Dans mon installation en IPv4, j'utilisais ainsi freeDNS.
Mais j'aimerais déjà, en effet, que mon système réponde sur une adresse IP. En IPv6, j'ai cru voir qu'il fallait mettre des crochets?
J'ai configuré la box pour qu'elle réponde aux pings, remote et local (deux coches l'une à côté de l'autre), et elle y répond bien en local.
L'autre adresse IP ipv4 n'a rien à voir avec l'adresse interne et est attribuée par la box, dans la section remote management, après celle du local management. Je ne peux pas la changer. Mais ta question me fait voir la chose autrement: c'est peut-être une fonctionnalité de TPlink?
Je résume bien l'idée de l'IPv6 en disant: première partie publique, fournie par le FAI, deuxième partie le sous-réseau, choisie par moi sur le routeur, troisième partie le serveur, défini par moi sur le routeur (DHCP ou fixe)?
Dès lors, si les bons ports sont ouverts, il suffit d'entrer l'adresse ipv6 pour accéder à la machine, sans redirection de port?
Mais comment ma box sait-elle ou est telle adresse IP?
Tu vois que je n'y vois pas clair du tout...