Configuration IPV6
-
Bonjour,
Contexte : Pro, Étudiant novice en IPV6, pfSense installé sur un serveur DELL, environnement de test
Besoin : Être vue de l'extérieur avec une IP autre que celle du pare-feu (IPV6)
Schéma : Mon FAI me fournit une plage en /56- WAN : 2001:920:7090:200::/64
- LAN : 2001:920:7090:201::/64
Configuration : De base avec des règles de filtrages en *
Petit aparté en IPV4 pour vous expliquer ce que je recherche.
Actuellement, en IPV4, nous utilisions le NAT 1:1 pour mapper une IP publique avec une IP privée de notre LAN. Ensuite, lorsque l'on passe sur monip.org sur un serveur Windows, on obtient l'adresse IP publique de ce dernier et non celui du firewall. Ceci permet ensuite à nos applications de fonctionner correctement.Maintenant j'aimerais obtenir le même résultat avec l'IPV6 en sachant que le NAT n'est pas possible.
Piste imaginée : Mettre en place un pont filtrant. Malheureusement, après la configuration de celui-ci je rencontre une instabilité du réseau. Mes machines Windows ping aujourd'hui à 10h et ne plus ping à 16h par exemple.
Question : Sans passer par un pont filtrant, est-ce possible de mettre en place une configuration similaire à l'ipv4?
-
D'abord, bravo pour l'utilisation du formulaire : grâce à cela, la situation est clairement posée !
En IPV4, les réseaux internes doivent utiliser une adresse 'privée' (RFC1918), et donc, nécessairement, le trafic sortant doit être NATé (ip WAN du firewall) et, en cas de trafic entrant, il faut des règles NAT.
Pour le trafic entrant en IPV4, on peut multiplier les règles NAT Port forward : le port 25/tcp ira vers le relais SMTP, le port 80/tcp et 443/tcp ira vers le serveur Web. En cas de double flux (exemple, 2 flux 443/tcp), le NAT 1:1 permet, avec plusieurs ip publiques disponibles, de s'assurer que le flux sortant est 'correspondant' = ip sortante=ip entrante (mais on peut faire à peu près la même chose avec le NAT Outbound).
Avec IPV6, tout cela explose : on ne doit plus faire de NAT. : il n'y a plus d'adresses privées !!! = chaque machine a une seule adresse et elle est publique, = aucun NAT, ni sur flux sortant ni sur flux entrant, juste du routage (et des règles de flux entrants).
De facto, les réseaux en LAN sont des sous-réseaux du réseau fourni par le FAI ... ce qui n'est pas votre organisation : votre LAN est un réseau qui appartient à votre FAI et est sans doute attribuée à un autre client du FAI: A CHANGER !
Un flux entrant, en IPV4, se décomposait en 2 parties :
- accepter un flux sur l'ip publique WAN sur le port prévu, (règle créé sur interface WAN)
- une translation d'adresse destination : l'ip publique est remplacée par l'ip privée du serveur cible.
Un flux entrant, en IPV6, est maintenant élémentaire :
- le trafic vers l'ip cible, sur le port donné, est autorisé,
- le firewall sait par sa table de routage, que l'ip cible est dans un réseau interne, et route, simplement, le trafic.
Je parle d'or, car je n'ai plus de pfSense pour mettre en situation ...
-
Bonjour @jdh
Merci pour votre réponse très constructive.
Si je comprends bien, je dois gérer ce problème avec des règles de flux entrants ?
Je vais me renseigner au prêt de mon FAI pour savoir si notre plage est partagée avec un autre client.
-
Merci de prendre mes propos avec prudence : je ne suis pas certain d'avoir écrit avec la plus grande justesse, et je ne suis pas complet. Par exemple, je n'ai pas mentionné que chaque FAI a sa méthode de fourniture d'adresse IPV6.
J'encourage ceux qui veulent s'y mettre de regarder :
- la doc de pfSense : https://docs.netgate.com/pfsense/en/latest/network/ipv6/index.html
- une video youtube des bases (de 2015) : https://docs.netgate.com/pfsense/en/latest/network/ipv6/index.html