Activer IPv6 pour votre réseau bridge avec une Freebox.
L'objectif de ce tuto est de permettre d'activer l'IPv6 sur une FreeBox en mode bridge et d'avoir une stack IPv6 complètement opérationnelle.
Notez les informations IPv6 de votre FreeBox
Tout d'abord connectez-vous sur l'interface de votre Freebox https://mafreebox.freebox.fr/
Saisissez le mot de passe administrateur de votre Freebox si c'est la première fois, suivez les instructions fournies par Free ici : https://www.free.fr/assistance/5056.html
Ensuite accédez à la section "Paramètre de la Freebox" >> "Mode avancé" >> "Configuration IPv6"
correspondant à votre modèle de Freebox.
Vous accédez maintenant à la fenêtre IPv6 de votre FreeBox.
Celle-ci vous présente les 8 sous-réseau /64 que Free met à votre disposition sur votre Freebox.
Il vous suffit ensuite de noter le sous-réseau IPv6 du premier bloc qui vous est attribué.
C'est une IPv6 du type :2a02:e35:ec25:54a2::/64Puis du second bloc :2a02:e35:ec25:54a3::/64
Le premier pourra être utiliser pour le WAN et le second pour le LAN.
Si vous souhaitez déployer plus de sous-réseau, vous pouvez parfaitement le faire et utiliser pour ce faire les 6 subnets restant qui sont à votre disposition !
Le principe de fonctionnement est exactement identique.
Notez aussi l'adresse du lien local qui figure au même endroit :
Du type : fe80::f6ca:e5ff:fe2e:24e8
Les paramètres côté routeur
Assurez-vous qu'IPv6 est bien activé côté routeur.
Rendez-vous dans "Pare feu >> Paramètres >> avancés"
et cochez "Autoriser IPv6"
Le premier paramètre à noter côté Firewall setrouve dans : "Interfaces" >> "Vue d'ensemble"
Cliquez sur votre interface WAN et notez la valeur de : "Lien local IPv6"
qui doit être du type "fe80::10c:b9ff:fe1a:7140 / 64"
Vous avez donc pris note de l'adresse "Lien local IPv6".
Retour sur la FreeBox
Rendez-vous dans les paramètres IPv6 de la Freebox et saisissez pour "Next Hop"
l'IPv6 du "lien local IPv6"
que vous venez de noter précédemment. Dans notre exemple "fe80::10c:b9ff:fe1a:7140 / 64"
Faites de même pour tous les subnets que vous souhaitez router vers votre pare-feu.
Appliquez la configuration avant de fermer la fenêtre.
Déploiement du subnet IPv6 sur OPNsense côté WAN
Rendez-vous sur votre interface WAN activez IPv6 avec l'option "Adresse IPv6 statique"
.
Copiez-coller l'IPv6 du subnet correspondant au WAN et attribuez-lui le premier subnet proposé par votre FreeBox, comme cela : 2a02:e35:ec25:54a2::2
Définissez le masque de sous-réseau à : /64
Créez une passerelle en 2a02:e24:ec25:54a2::1/64
(par exemple).
Attention ! n'utilisez pas "2a02:e35:ec25:54a2::1"
en effet cette adresse est utilisée par la FreeBox.
Tout vos sous-réseau distribués par la FreeBox utilisent la première IP du range comme IP de leur interface.
Configuration des "Publication de routeur" WAN
Rendez-vous sur "Services" >> "Publication de Routeur (RA)" >> "[WAN]"
Pour l'interface WAN sélectionnez les paramètres suivants :
Publication de routeur : Routeur seulement Priorité routeur : Normal Annoncer la passerelle par défaut : cocher Laissez les autres paramètres par défaut
Validez et lancer le service associé.
L'onglet en haut à droite doit être vert.
Rendez-vous sur "Interfaces" >> "Diagnostics" >> "Ping"
"Interfaces" >> "Diagnostics" >> "Ping" ou plus simplement saisissez "ping" dans la fenêtre de recherche.
Sélectionnez "IPv6" puis saisissez l'IPv6 de la première interface de la FreeBox "2a02:e35:ec25:54a2::1"
Lancez votre ping, vous devriez obtenir le résultat suivant :
Vous devriez avoir un résultat similaire à celui-ci :
--- 2a02:e35:ec25:54a2::1 ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.441/0.526/0.608/0.068 ms
Poursuivez suivant le même schéma avec votre IPv6 côté LAN.
Déploiement du subnet IPv6 sur OPNsense côté LAN
L'opération est très similaire à quelques petites différences près.
Rendez-vous sur votre interface "LAN".
Saisissez le type de configuration IPv6 sur "Adresse IPv6 statique"
Saisissez l'IP du second bloc routé du type : "2a02:e35:ec25:54a3::2"
Laissez la passerelle IPv6 à "auto-select"
Sauvegardez la configuration.
Configuration des "Publication de routeur" LAN
Retournez sur l'onglet "Services" >> "Publication de routeurs (RA)"
choisissez votre interface LAN
Publication de routeur (RA) : Assisté* Priorité routeur : Normal Annoncer la passerelle par défaut : cocher Annoncer les routes : 2a02:e35:ec25:54a3::/64 Laissez les autres paramètres par défaut
*: pour la partie publication de routeur "RA", vous pouvez utiliser d'autres modes tels que "sans états" ou "unmannaged" si vous utilisez DHCPv6 utilisez "Managed" et configurez DHCPv6 de façon adéquat.
Sauvegardez votre configuration.
Vous devriez maintenant être en mesure de pinger non seulement votre routeur, mais aussi l'IPv6 des DNS Google (par exemple).
Retournez donc sur "ping" et saisissez l'IPv6 de Google : 2001:4860:4860::8888
ou 2001:4860:4860::8844
Vous devriez obtenir :
--- 2001:4860:4860::8888 ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.651/1.774/1.941/0.122 ms
Dernière étape : les DNS v6
Tout est presque "ok"… il ne reste plus que les DNS v6.
Il y a plusieurs façon de les configurer.
La plus simple est de configurer cela à partir de Système >> Paramètres >> Général
Saisissez ici les DNS v6 de votre choix (cela peut-être ceux de Google, les votre ou tout autre DNS v6 public)
Une liste de DNS v6 public se trouve ici : https://public-dns.info/ où là https://www.lifewire.com/free-and-public-dns-servers-2626062
Vous pouvez aussi préciser les DNS dans la partie "publication de routeur (RA)" ou via "DHCPv6".
Attention, si vous utilisez une dual stack IPv6 et IPv4, il y a un bug qui fait que si la stack IPv6 ne répond pas à une requête (par exemple dans le cas d'un DNS local), il n'y aura pas de réponses… même si votre DNS v4 répond correctement.
Chaque subnet pourra contenir une quasi infinité de devices… pas de limite de ce côté là.
Enfin presque : 1,844674407370955e19
Test de votre configuration
Une dernière étape est recommandé : il s'agit de tester votre configuration IPv6 à partir d'un outil en ligne.
Vous pouvez utiliser soit : https://test-ipv6.com/ ou https://ipv6test.google.com/
Le résultat obtenu devrait avoir 10/10 !
Comments
There are 13 comments on this post
GreyXor (non vérifié)
- répondre
Oct 25, 2019Merci Gregober
saucisse666 (non vérifié)
- répondre
Nov 07, 2019Merci pour ce tuto !!
Si je peux formuler quelques (petites critiques)...d'un noob en IPv6:
- Pour le next hop de la freebox, il faut saisir juste le préfixe (sans le "/64") et mettre l'adresse local link du WAN dans les 2 premiers nexthop (si on a juste un WAN et un LAN)
- Là où j'ai eu du mal c'est dans la partie " Déploiement du subnet IPv6 sur OPNsense côté WAN "
Surtout ces 2 lignes:
Créez une passerelle en 2a02:e24:ec25:54a2::1/64
2a02:e24:ec25:54a2::1/64
2a02:e24:ec25:54a2::1/64
2a02:e24:ec25:54a2::1/64
(par exemple).Attention ! n'utilisez pas "2a02:e35:ec25:54a2::1" en effet cette adresse est utilisée par la FreeBox.
Alors....la première addresse (avec "e24") j'ai pas compris d'où elle sort...et c'est pas vraiment une adresse (avec le /64).
Et pour la passerelle..il faut justement rentrer l'adresse en ::1 non (pour qu'opnsense trouve la freebox).
J'imagine que ce commentaire "attention!" porte sur l'adresse statique juste au dessus ?
Un petite screenshot sur ce paragraphe aurait été bienvenu! :-)
Pour terminer: je comprend les floutages, mais ca m'aurait énormément rassuré/simplifié d'avoir les valeurs données en example lisible sur les screenshots (pour les nexthop par exemple, ca pouvait se modifier sans sauvegarder).
Bon enfin, j'ai quand meme réussi à faire tourner l'ipv6, et c'est déjà pas mal :-)
Encore merci !!
gregober
- répondre
Mar 11, 2020Bon, je dois l'avouer, j'ai un peu bidouillé les IPv6 de l'exemple !!
Désolé… On fait beaucoup de tests sur nos équipements et avec IPv6 encore plus qu'avec IPv4 c'est indispensable de pouvoir bloquer ses IPs.
Donc le premier blocage et le plus simple à réaliser est simplement de ne pas montrer ses IPv6 réelle.
Ceci étant dit, j'espère qu'il n'y a pas trop d'erreur… Normalement je l'ai quand même relu ;-)
user (non vérifié)
- répondre
Nov 30, 2019Il manque une grosse étape, entre les deux interface quelles soit bridgé, routé ou naté ou peut import pour que ca fonctionne.
gregober
- répondre
Mar 11, 2020Euh… non pas trop de bridge en IPv6 et encore moins du NAT !
IPv6 a été inventé pour justement ne pas Nater.
saucisson (non vérifié)
- répondre
Dec 01, 2019Bonjour! J'ai suivi le tuto et ca fonctionne.
Une question me taraude: est que l'adresse IPv6 attribuée à un PC est fixe ou dynamique ?
Par exemple pour IPv4, je met certains IP en statique dans le DHCP, comme ca je peux mettre des rules firewall facilement.
Mais si l'IPv6 change tout seul de temps en temps (comme un DHCP ipv4 dynamique), ca va etre coton...
gregober
- répondre
Mar 11, 2020Normalement tu as plusieurs modes disponibles qui vont permettre la "construction" d'une IPv6 finale pour ton poste client.
En règle général si tu choisis une attribution avec "Assisted" dans le mode d'attribution, cela va générer des adresses avec SLAAC / RFC 4862 : IPv6 Stateless Address Autoconfiguration
C'est un mix entre la partie WAN de ton adresse IPv6 et un mix avec ton ID ARP (adresse Ethernet).
Si tu veux adresser une machine qui doit avoir une IP fixe, c'est possible, mais à ce moment là SLAAC n'est peut être pas le meilleur identifiant à choisir, mieux vaut prendre une IPv6 fixe.
Comme tu as la possibilité de faire jusqu'à 8 subnets, il faut créer un subnet dédié ou tu mets des IPv6 statiques (pour les services qui sont accessibles depuis l'extérieur par exemple).
Cornichon (non vérifié)
- répondre
Apr 16, 2020Bonjour ! Il a quelques cas qui me taraudent
Ipv6 fixe pour un serveur, ok
Ipv6 "dynamique" si on n'a pas besoin de règles firewall particulières, ok.
Maintenant, prenons le cas d'un wifi invité ou enfants.
Si je veux mettre des règles firewall (bloquer l'accès au lan pour les invités, bloquer le net à certaines heures etc...), c'est compliqué sans ipv6 fixe.
D'un autre côté mettre une ipv6 internet fixe sur un pc ou smartphone c'est moyen pour la gestion de la vie privée non ? C'est pas comme en ipv4 où c'est derrière le NAT, Là une ipv6 fixe identifie clairement une machine précise sur l'internet. :-/
Auriez vous des idées ?
Bon peut-être en utilisant un des 8 subnets pour chaque usage ? 1 subnet par enfants et 1 subnet invité ? :-)
gregober
- répondre
May 04, 2020Vous avez le choix entre plusieurs modes d'attribution d'IPv6.
Chaque mode à son propre format d'IPv6. Certains modes IPv6 créent une IPv6 qui intègre l'adresse MAC dans le format de l'adresse distribuée.
Reportez-vous à la documentation associée aux IPv6 pour plus d'information sur le sujet.
Vous pouvez aussi bloquer tout le subnet de façon simple… En IPv6 il ne faut pas hésiter à utilisr un subnet par cas d'utilisation et bloquer cela de façon adéquat.
Vous avez 8 subnet à votre disposition : adaptez votre politique de filtrage en fonction de vos besoins (ca fait 8 cas distinct d'utilisation), C'est probablement la façon la plus simple de traiter le problème.
Rodolphe (non vérifié)
- répondre
Dec 29, 2019Bonjour,
L'adresse de passerelle que vous choisisez pour le WAN m'interpelle, si je met une adresse non dispo sur mon réseau WAN, j'ai l'erreur:
The following input errors were detected:
Alors qu'avec " ****:e0a :***:****::1" comme Gateway cela fonctionne (@ comprise dans mon réseau)
=> Je ne comprend pas votre commentaire du coup.
Au delà de ça, pour le WAN cela fonctionne avec ma conf, du moins j'arrive à pinger depuis l'opnsense une ipv6 publique.
Cependant et peut-être est-ce lié, pour le LAN, cela ne fonctionne pas, j'ai pourtant suivit les instructions. Je doit avoir un soucis de routage: (igb1 = LAN)
ping6 -I igb1 2620:119:53::53
PING6(56=40+8+8 bytes) 2a01:e0a:1ee:40e7::2 --> 2620:119:53::53
ping6: sendmsg: No route to host
Je ne comprend pas comment se fait le routage jusqu'à la Freebox et le lien avec les adresses locals IPV6...?
Merci par avance pour votre aide.
Cordialement
Rodolphe - OPNsense 19.7.8-amd64
Pages
Leave a comment.