ipv6 sur interface bridge
-
Bonjour,
J'ai déployé depuis plusieurs années et avec succès un router pfsense sur mon réseau. Il n'utilise que l'ipv4. Aujourd'hui, j'aimerais faire évoluer la configuration pour déployer l'ipv6 sur l'ensemble de mon réseau.
Jusque hier, toutes mes interfaces étaient des bridge et la configuration (ip/DHCPv4...) se faisait sur les bridge.
Suite à une réinstallation, je me suis rendu compte que les interfaces bridge n'arrivaient pas à obtenir une adresse ipv6 de la box, mais qu'une interface seule y arrive. J'ai reconfiguré l'interface WAN sur une seule interface et non un bridge, et elle récupère très bien l'ipv6, mais je ne peux pas faire pareil pour les autres interfaces (LAN/DMZ...) de mon réseau (ne serait-ce que parce que j'ai du wifi).J'ai testé plusieurs façons de faire et j'ai testé mes résultats par un ping6 (Diagnostics>Ping) en choisissant la source sur LAN mais sans succès :
- configuration manuelle (statique) de l'adresses ipv6 du LAN, en restant dans la fourchette allouée par mon FAI > ping 100% loss
- configuration par interface de suivi en selectionnant l'interface WAN > aucune adresse ipv6 attribuée à l'interface
J'ai tenté de configurer le DHCPv6 pour distribuer l'ipv6 sur le réseau et ça marche pour l'attribution des ip mais aucune connectivité possible
Je suis intimement convaincu que c'est lié à l'utilisation du bridge, mais je ne sais pas comment faire.
Merci de votre aide !
-
Contexte sans doute mal décrit !
Que savez vous d'ipv6 ? En particulier, réalise-t-on un NAT avec ipv6 ?Que signifie 'toutes mes interfaces sont des bridges' ?
J'ai un peu peur que votre firewall est virtualisé et que vous croyez que cela n'aurait aucun impact (ce qui est évidemment faux). -
Bonjour,
En effet, pfsense est virtualisé dans Proxmox. Plusieurs vlan sont configurés : INTERNE, SERVEUR, MANAGEMENT, DOMOTIQUE
La machine physique possède 4 ports que j'attribue à un vlan particulier selon ce qui est connecté au port. Parfois, plusieurs vlan transitent sur un seul port. J'ai donc plusieurs ports physiques contenant plusieurs vlan et certaines de ces vlan doivent être configurées de la même manière, indépendament du port de sortie, d'où la création de bridge.
Sérieusement, je ne suis pas sûr que j'aurai fait une architecture différente si le matériel avait été dédié.Concernant la question sur mes connaissances en ipv6, elles sont récentes et sans doutes incomplètes, mais j'ai bien compris que le NAT ipv6 était inutile (impossible ?) au vue du nombre d'adresses disponibles. J'ai aussi compris qu'on pouvait segmenter la délégation /56 que l'on a reçu du FAI pour créer plusieurs réseau /64 (ce que j'ai tenté de faire sans succès).
Je m'y prend peut-être mal et je ne demande qu'à m'améliorer, tout conseil me sera utile
-
C'est bien ce que je pensais.
Pour un firewall, le fait qu'il soit virtualisé est essentiel : est ce que, sous Proxmox, le bridge est fonctionnel pour ipv4 et ipv6 ? Pas sûr ! Il ne suffit pas que ipv6 soit actif sur le Debian interne de Proxmox pour que le bridge fonctionne pour les paquets ipv4 et ipv6. C'est possible, mais je n'en ai aucune certitude.
Pour la connaissance de IPv6, je vois que vous comprenez déjà un certain nombre de choses, c'est bien.
- Le FAI va fournir un (seul) 'préfixe', c"est à dire un réseau (assez large) d'adresses ip
- Il n'y a pas de NAT à réaliser, juste du routage, donc il faudra découper le 'préfixe' fourni selon les réseaux internes voulus
Je suggère de d'abord vérifier que Proxmox permet ipv6. (Cela m'intéressera).
-
Pour le coup, je me fais assez peu de soucis au sujet de l'ipv6 sur proxmox. Et voici pourquoi :
Sous Proxmox, les ports ethernet s'appellent "enp1s0", "enp2s0", "enp3s0", "enp4s0". Sur ces ports, j'ai construit les bridges "vmbr1"->"vmbr4" ne contenant qu'un seul port à chaque fois, afin de gérer la multitude d'équipements potentiels qui seront connectés aux ports (et non pas 1 seul par port) et aussi parce que Proxmox le requiert pour l'attribution des interfaces réseaux aux VM.
Pour la VM pfSense, j'ai donc attribué les 4 bridges comme interfaces réseau. Ils sont vus par pfSense comme "vtnet0" -> "vtnet3". Et dans la configuration de pfSense, j'arrive à obtenir une ipv6 fonctionnelle pour WAN quand WAN est une interface simple (vtnet0 ou vtnet0.2 qui est le vlan relié à ma box) mais pas quand WAN est un bridge créé dans pfSense et contenant vtnet0.2 et une autre interface. Je n'ai pas essayé avec un bridge contenant uniquement vtnet0.2 mais ça ne sert à rien de compléxifier plus encore les choses.
Donc d'après moi, Proxmox n'est pas le soucis et permet bien ipv6. Et de fait, Proxmox récupère sa configuration ip par pfSense, et je compte bien lui attribuer une ipv6 à travers pfSense, quand j'aurai réussi à faire fonctionner tout ça...
-
J'ai essayé avec un matériel dédié, en connectant 2 ports ethernet, et aucun moyen d'obtenir une ipv6 pour l'interface lan.
Pour cette fois ci, je suis resté dans la configuration la plus basique : 2 cartes réseau, une pour WAN (dhcp, dhcpv6) et une pour LAN (static ip, track interface).Je suis preneur pour une aide sur la configuration
-
Du coup, pour vous permettre de m'aider, voici les seules informations que j'ai de mon FAI :
Adresse IPv6 de la box: 2a01:XXXX:XXXX:9c00:a63e:51ff:fecb:b8d6
Le préfixe IPv6 est : 2a01:XXXX:XXXX:9c00::/56Qu'est-ce que je dois en faire pour configurer correctement les différentes interfaces ?