Délégation préfixe IPv6 /56
-
Bonjour,
j'utilise pfSense 2.4.4-p3 derrière un modem en mode bridge (réseau Orange avec dhcp6c modifié) qui me permet de récupérer le préfix /56 qui m'est attribué.
Je n'ai pas attribué de subnet à mon interface WAN (em0), a priori ça n'a aucune utilité et ce serait même une bonne pratique (dont il faudrait que je retrouve la source). Cette dernière est paramétrée en DHCP6.
Mon interface LAN (em1) est configuré en "track interface WAN IPv6 Prefix ID 0" et obtient bien le subnet x:y:z:0:a:bb:c:d/64 tel qu'attendu, jusque là tout est fonctionnel.
J'ai paramétré un vLAN (em1.50) lui aussi en "track interface WAN" mais avec "IPv6 Prefix ID 1". Je m'attends donc à ce qu'il lui soit attribué le subnet x:y:z:1:a:bb:c:d/64 sauf que rien n'y fait...
J'ai l'impression d'être pas loin du but mais c'est un milieu qui reste encore assez complexe et compliqué en investigations pour se documenter.
Voici la configuration de mes interfaces (j'ai supprimé ce qui concerne IPv4 pour simplifier) :
- WAN :
- LAN :
- vLAN :
J'ai testé pas mal de choses du côté de la configuration de l'interface WAN mais sans grand succès... peut-être qu'il y a un paramètre que je ne maîtrise pas et qui sautera à vos yeux !
En tout cas merci de m'avoir lu !
-
Hello !
Bon j'ai continué à investiguer sur le sujet et je pense être parvenu à quelque chose qui fonctionne
Concrètement j'ai décoché "Advanced Configuration" pour cocher à la place "Configuration Override" et créé le fichier "/usr/local/etc/dhcp6c_wan_new.conf" comme suit :
interface em0 { send ia-pd 0; send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33; send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d; send raw-option 6 00:0b:00:11:00:17:00:18; send raw-option 11 <OPTION 11 à calculer sur https://wiki.virtit.fr/doku.php/kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense>; script "/var/etc/dhcp6c_wan_script.sh"; }; id-assoc pd 0 { prefix-interface em1 { sla-id 1; sla-len 8; }; prefix-interface em1.50 { sla-id 2; sla-len 8; }; prefix-interface em1.29 { sla-id 41; sla-len 8; }; prefix-interface em0.200 { sla-id 153; sla-len 8; }; };Attention les sla-id sont en décimal ici (41 = préfixe hexa 29 par exemple).
Avec ça je peux désormais profiter du préfixe /56 ! Mais il faut éditer le fichier à la mano...
A priori l'interface de configuration avancée pfSense est encore un peu limitée sur ce type de configuration, ou alors c'est moi qui n'ait pas encore tout découvert !
Là concrètement le préfixe renseigné sur les autres interfaces ne sert à rien car c'est celui déclaré dans le fichier qui prends le dessus.
-
sujet très intéressant. Merci
Je n'ai pas encore suffisamment creusé IPV6 mais il va falloir que je m'y mette.
Je plante un drapeau pour garder ton post dans un coin -
@chris4916 au début c'est assez perturbant mais à la longue on s'y fait bien et au final c'est plus simple que v4. Après c'est clairement impactant sur énormément de choses comme le pare-feu, l'exposition des services, ... et les outils tels que pfSense qui doivent prendre aussi le pli !
Là mes clients peuvent tourner en IPv6 only sans soucis, j'ai un serveur Tayga qui fait NAT64 (avec les DNS64 de 1.1.1.1) pour les aider. Le soucis c'est que ce n'est pas encore compatible avec tout (Steam entre autre).
Je me demande vraiment si un jour on pourra éteindre réellement IPv4
-
Salut ici !
J'ai un peu revu ma copie concernant l'utilisation du /56 fournis par Orange.
Je n'utilise plus le fichier de configuration /usr/local/etc/dhcp6c_wan_new.conf, je suis revenu à une configuration tel que décrite ici : https://wiki.virtit.fr/doku.php/kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense
Au niveau de l'interface WAN j'ai juste ajouté DHCPv6 Prefix Delegation size = 56, voici la configuration de l'interface (seulement pour l'IPv6):
Le fait de déterminer le préfixe côté WAN permet d'avoir côté LAN (ou autres interfaces) la possibilité d'utiliser l'option Track Interface:
Mais en l'état rien ne fonctionne, les clients n'obtiennent pas d'adresse IPv6
Du coup côté LAN je me suis résigné à détermine l'adresse IPv6 de façon statique:
Quelqu'un a déjà eu l'expérience d'utiliser l'option Track interface avec succès ?
J'imagine qu'on n'est vraiment pas loin du tout en terme de configuration mais j'ai beau tout retourner je n'y parviens pas.
Certes le fonctionnement actuel est correct, mais j'aurai souhaité atteindre la perfection en n'ayant pas à écrire le préfixe en dur dans les interfaces...