IPv6 configuration : Gateway - addr6 - ping6 - scan6 - flow6

Pause Café
#1

Bonjour,

Je viens de relire ce papier (paquet ipv6toolkit) : https://www.bortzmeyer.org/hacking-ipv6.html

Ma configuration ifconfig :

vmbr0     Link encap:Ethernet  HWaddr d4:ae:52:c7:93:f2  
          inet addr:62.210.205.199  Bcast:62.210.205.255  Mask:255.255.255.0
          inet6 addr: fe80::d6ae:52ff:fec7:93f2/64 Scope:Link
          inet6 addr: 2001:bc8:25bb:ff50::1/60 Scope:Global
          inet6 addr: 2001:bc8:25bb:ff51:1ab3::1/61 Scope:Global
          inet6 addr: 2001:bc8:25bb:ff00::1/56 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2287487753 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3520419295 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:712168129196 (663.2 GiB)  TX bytes:2634666488209 (2.3 TiB)

vmbr1     Link encap:Ethernet  HWaddr fe:6b:71:19:86:77  
          inet addr:10.59.199.254  Bcast:10.59.199.255  Mask:255.255.255.0
          inet6 addr: fe80::fc6b:71ff:fe19:8677/64 Scope:Link
          inet6 addr: 2001:bc8:25bb:ff51:0:5000:ff:ff/61 Scope:Global
          inet6 addr: 2001:bc8:25bb:ff51:1ab3:3b::/128 Scope:Global
          inet6 addr: 2001:bc8:25bb:ff51:1ab3:3b:1ac0:0/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1101932802 errors:0 dropped:0 overruns:0 frame:0
          TX packets:414224720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:274844912063 (255.9 GiB)  TX bytes:414685398712 (386.2 GiB)

vmbr2     Link encap:Ethernet  HWaddr 3e:e2:8a:70:a6:d2  
          inet addr:10.194.40.254  Bcast:10.194.40.255  Mask:255.255.255.0
          inet6 addr: fe80::3ce2:8aff:fe70:a6d2/64 Scope:Link
          inet6 addr: 2001:bc8:25bb:ff52:0:5000:ff:ff/61 Scope:Global
          inet6 addr: 2001:bc8:25bb:ff52:1ab3:3b::/128 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1898650378 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1105284410 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2040511155179 (1.8 TiB)  TX bytes:109215700169 (101.7 GiB)

Tout dabord je tiens à préciser que ma passerelle IPv6 est en fe80:: ce qui n’est pas logique puisque je suis chez un Fournisseur D’Accès Internet en data-center (le but est donc d’avoir une DMZ (çà ne se dit pas puisqu’à l’origine de l’IPv6 tout et DMZ à moins d’installer un logiciel pour filtrer nos machines (de type smartphones par ex ^^))). Ou pensez-vous que cela peut-être envisageable ?

Donc je me pose des questions et vous demande si les réponses IPv6 sont normales/correctes :

16:35:02 root@zw3b:~ $ scan6 -i vmbr0 -L -e --print-type global
2001:bc8:36cc:100:123:4567:89ab:cdef @ 00:81:c4:5f:c9:1d
::2 @ 00:81:c4:5f:c9:1d
2001:bc8:2::2:185:1 @ 00:81:c4:5f:c9:1d

Ici je m’apercois que ces 3 IPv6 sont les sur la même adresse MAC (tout à fait possible) : juste le::2 me choque (style IP local comme 127.0.0.1 en IPv4) ?? :confused: puisque que la requête scan6 devrait retourner des types global.

Puis en regardant les voisins de mon interfaces eth0 (vmbr0) ; l’interface qui est connectée au Fournisseur D’Accès Internet online.net

16:44:47 root@zw3b:~ $ ip -6 n show dev vmbr0
fe80::d6ae:52ff:fec7:7323 dev vmbr0 lladdr d4:ae:52:c7:73:23 STALE
fe80::d6ae:52ff:fec7:9277 dev vmbr0 lladdr d4:ae:52:c7:92:77 STALE
fe80::d6ae:52ff:fec7:7325 dev vmbr0 lladdr d4:ae:52:c7:73:25 STALE
fe80::d6ae:52ff:fec7:9279 dev vmbr0 lladdr d4:ae:52:c7:92:79 STALE
fe80::d6ae:52ff:fec7:56a0 dev vmbr0 lladdr d4:ae:52:c7:56:a0 STALE
fe80::281:c4ff:fe5f:c91d dev vmbr0 lladdr 00:81:c4:5f:c9:1d router REACHABLE
fe80::5054:ff:fe00:a6c2 dev vmbr0 lladdr 52:54:00:00:a6:c2 STALE
fe80::d6ae:52ff:fec7:860a dev vmbr0 lladdr d4:ae:52:c7:86:0a STALE
fe80::d6ae:52ff:fec7:93d9 dev vmbr0 lladdr d4:ae:52:c7:93:d9 STALE
fe80::d6ae:52ff:fec8:563 dev vmbr0 lladdr d4:ae:52:c8:05:63 STALE
fe80::d6ae:52ff:fec8:2b64 dev vmbr0 lladdr d4:ae:52:c8:2b:64 STALE

Je vois le lien vers le routeur fe80::281:c4ff:fe5f:c91d dev vmbr0 lladdr 00:81:c4:5f:c9:1d router REACHABLE mais déjà cela n’est pas normal, je ne suis pas dans leur réseau, c’est mon réseau, mon Organisation et plus le leur (puisque je suis client). Dirais-je !?

J’ai l’impression que je vois les autres machines, les liens locals des autres clients.

Est-ce bien cela !? MAIS ce n’est pas normal.

NdMoi-même 17:26:52 : je viens de réessayer de check les voisins de BR0 çà me ressort :

17:26:52 root@zwb:~ $ ip -6 n show dev vmbr0
fe80::281:c4ff:fe5f:c91d lladdr 00:81:c4:5f:c9:1d router REACHABLE

Louche :confused: Ils m’entendent les admins online.net je crois bien, dirais-je.

Sinon quand je recherche All Nodes Address sur Adresses Link-Local Scope Multicast j’obtiens :

ping6 -I vmbr0 ff02::1

PING ff02::1(ff02::1) from fe80::d6ae:52ff:fec7:93f2 vmbr0: 56 data bytes
64 bytes from fe80::d6ae:52ff:fec7:93f2: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from fe80::281:c4ff:fe5f:c91d: icmp_seq=1 ttl=64 time=0.350 ms (DUP!)
64 bytes from fe80::d6ae:52ff:fec7:93f2: icmp_seq=2 ttl=64 time=0.054 ms
64 bytes from fe80::281:c4ff:fe5f:c91d: icmp_seq=2 ttl=64 time=0.348 ms (DUP!)

Adresses Link-Local Scope Multicast qui veut dire sur mon noeud - Pour mon Organisation et mes sites et mes nodes me semble-t’il.

Sinon quand je recherche All Routers Address sur Adresses Link-Local Scope Multicast j’obtiens :

ping6 -I vmbr0 ff02::2

PING ff02::1(ff02::1) from fe80::d6ae:52ff:fec7:93f2 vmbr0: 56 data bytes
64 bytes from fe80::d6ae:52ff:fec7:93f2: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from fe80::281:c4ff:fe5f:c91d: icmp_seq=1 ttl=64 time=0.350 ms (DUP!)
64 bytes from fe80::d6ae:52ff:fec7:93f2: icmp_seq=2 ttl=64 time=0.054 ms
64 bytes from fe80::281:c4ff:fe5f:c91d: icmp_seq=2 ttl=64 time=0.348 ms (DUP!)

Pour vous expliquez si je vérifie les IPv6 connectées sur mon bridge 1 (des VMs) de type global unicast j’obtient :

16:44:19 root@zw3b:~ $ scan6 -i vmbr1 -L -e --print-type global
2001:bc8:25bb:ff51:1ab3:3b:1ac0:1 @ 72:44:c0:62:3e:e7
2001:bc8:25bb:ff51:1ab3:3b:1ac0:15 @ 86:a0:af:56:40:e7
2001:bc8:25bb:ff51:1ab3:3b:1ac0:101 @ 62:37:64:32:61:34
2001:bc8:25bb:ff51:1ab3:3b:1ac0:251 @ 32:37:30:32:38:66
2001:bc8:25bb:ff51:1ab3:3b:1ac0:11 @ 36:62:39:34:31:33
2001:bc8:25bb:ff51:1ab3:3b:1ac0:10 @ 62:38:34:63:31:65

Je regarde les voisins (neighbors) de vmbr1

17:11:53 root@zw3b:~ $ ip -6 neigh show dev vmbr1

2001:bc8:25bb:ff51:1ab3:3b:1ac0:11 lladdr 36:62:39:34:31:33 STALE
fe80::84a0:afff:fe56:40e7 lladdr 86:a0:af:56:40:e7 STALE
2001:bc8:25bb:ff51:1ab3:3b:1ac0:1 lladdr 72:44:c0:62:3e:e7 STALE
fe80::7044:c0ff:fe62:3ee7 lladdr 72:44:c0:62:3e:e7 STALE
2001:bc8:25bb:ff51:1ab3:3b:1ac0:15 lladdr 86:a0:af:56:40:e7 STALE
2001:bc8:25bb:ff51:1ab3:3b:1ac0:251 lladdr 32:37:30:32:38:66 STALE
fe80::3462:39ff:fe34:3133 lladdr 36:62:39:34:31:33 STALE
2001:bc8:25bb:ff51:1ab3:3b:1ac0:10 lladdr 62:38:34:63:31:65 STALE
fe80::3037:30ff:fe32:3866 lladdr 32:37:30:32:38:66 STALE
fe80::6038:34ff:fe63:3165 lladdr 62:38:34:63:31:65 STALE
2001:bc8:25bb:ff51:1ab3:3b:1ac0:101 lladdr 62:37:64:32:61:34 STALE
fe80::6037:64ff:fe32:6134 lladdr 62:37:64:32:61:34 STALE

Ici c’est comme si j’avis configuer un NDP sur mon bridge 1 qui m’aurait envoyer des liens locals en fe80:: mais ce n’est pas le cas. Ils doivent être récupérer par le FAI (ce n’est pas normal - ce sont MES machines PAS les leurs) - Comment je gagne de l’argent moi hein ??? J’ai eu un retour de EU Business Register qui croyait que j’étais (mon site zw3b.net) online.net ^^ et ils me demandaient 2000 euros par mois :confused:

Pour vous expliquez si je vérifie les IPv6 connectées sur mon bridge 2 (une VM) de type global unicast j’obtient :

17:14:00 root@zw3b:~ $ scan6 -i vmbr2 -L -e --print-type global
2001:bc8:25bb:ff52:1ab3:3b:1ac0:201 @ 32:33:61:62:36:31

Je regarde les voisins (neighbors) de vmbr2

17:15:23 root@zw3b:~ $ ip -6 neigh show dev vmbr2
2001:bc8:25bb:ff52:1ab3:3b:1ac0:201 lladdr 32:33:61:62:36:31 REACHABLE

Sinon sur mes VMs j’ai mes gateway IPv6 sur les adresses UNICAST-GLOBAL. Je n’ai pas de NDP et le réseau fonctionne normalement.

Par ex pour la Virual Machine connectée au bridge 2 :

17:35:14 root@mx1:~ $ ip -6 r show
2001:bc8:25bb:ff52::/64 dev eth0  proto kernel  metric 256 
default via 2001:bc8:25bb:ff52:0:5000:ff:ff dev eth0  metric 1024

Je vous envoie une des pages que j’ai écrite : http://howto.zw3b.net/linux/reseaux/comment-faire-un-reseau-ipv6-address-category

//-----
En clair qu’est ce que vous en dites !? ^^

Cordialement,
Olivier Romain Jaillet-ramey

#2

Bonjour monsieur qui est capable d’imbriquer 3 niveaux de parenthèses dans une phrase !
Je rappelle que les règles du français écrit n’autorisent pas l’imbrication.
Pas de critique, ça me fait juste marrer et toi au moins, tu fermes tes parenthéses.

Sinon en préambule, je précise que je suis assez busesque en ipv6, donc je peux dire des conneries ou approximations.
Il y en a d’autres ici bien meilleurs que moi.
Mais j’ai quand même quemlques notions, alors allons y, si je peux aider.

Moi ça me semble tout à fait normal, indépendamment de ton adresse internet , d’avoir une adresse “local link”.
Je ne sais pas pourquoi, mais je remarque bien que j’en ai une sur chacune de mes interfaces physiques sur mes machines ipv6 ready.

Je n’en vois pas sur les tun/tap ou lo, mais si je me souviens bien, ce lien local est en relation avec la couche liaison (physique/non routable), alors que les adresses en scope global son liées à la couche supérieure, la couche réseau (routable sauf si privées) et que les dispositifs virtuels sont… virtuels donc n’ont pas de couche physique/liaison (approximation possible dans ce que je dis là).

A ce propos, vmbr, ça ne serait pas des interfaces en bridge sur une architecture virtualisée quelconque ? Ca me rappelle il me semble du proxmox.
En tout cas, tu ne dois pas tourner en “bare metal” il me semble: c’est quoi ton organisation, plus précisément ?

Ca, je n’ai rien compris aux lignes qui précèdent, donc je ne peux pas répondre.

Je dirais même plus, logique, en architecture mutualisée, avec des vmbr qui sont tous en bridge sur la même carte physique réseau.

Vu que je n’arrive pas à lire la sortie du scan6 (je ne sais pas ce qu’est cette commande, je ne la vois sur aucune de mes machines et pas de man), je ne saurais le dire, désolé.

Ben si c’est juste évident que c’est normal d’avoir un lien local (physique donc) avec le dispositif qui t’attribue tes adresses. Ou alors je n’ai rien compris.

Je gère une dizaine de machines (physiques) chez online, et le probléme en ipv6 est plus de trouver une configuration qui fait redescendre l’ipv6 qui est sensée t’être attribuée que de voir des trucs “bizarres” arriver genre par annonces de routeur (qu’il doit falloir désactiver, je crois, mais là encore, c’est flou, je me trompe peut être).

Comprend pas ce que ça veut dire.
Mais ce que je sais, c’est que ton lien physique avec ton routeur, c’est normal qu’il permette d’atteindre les autres machines qui sont sur le même réseau physique avec le même routeur.
Pas obligé qu’elles répondent au ping, elles peuvent refuser, mais ça me semble normal qu’il y ai des voisins qui répondent.

Bon, j’ai encore moins compris que les autres fois de quoi tu parles, mais pareil avec la suite.
Du coup, je ne comprends pas du tout pourquoi tu râles, d’autant plus que pour ce que j’ai vu en 2 minutes, ce “EU business register” est une saleté privée qui essaye de t’arnaquer sous prétexte de t’inscrire dans un “annuaire officiel” (le genre de spam qu’on recevait par fax autrefois).

Ben ça dépend: c’est quoi le probléme, précisément, tu n’as pas dit ?
Un truc qui ne marche pas ?

#3

Merci pour ta réponse @mattotop.

Sur toutes cartes, il y a un lien IPv6 fe80::/64 avant qu’on lui attribue une IPv6 UNICAST-GLOBAL ou PRIVée.
Logiquement les passerelles en fe80:: sont des liens locals pour les adresses non-routables depuis l’internet (qui ne doivent ps être visible).
Ce qui permet d’attribuer grace à un NDP (Neighbors Discory Protocol) des IPv6 ULA (Unique Link Adrress) ; des adresses locales fc00::/7 ou fd00:/8 (ce qui équivaut aux adresses privées en IPv4 10.0.0.0/8 ou 192.168.0.0/16 ou 172.16-32.0.0/32 OU avec un ou DHCPv6 comme RADvd des adresses UNICAST-GLOBAL par exemple.

Ce que je ne trouve pas logique / enviseable c’est ce que je viens d’écrire au dessus, à l’instant.

De plus les liens de type fe80:: ne sont pas configurable manuellement.
En clair je ne peut pas écrire une ligne comme ip -6 route add fe80::281:c4ff:fe5f:c91d dev vmbr0 mais je pourais écrire (vu que c’est à priori la même machine) ip -6 route add 2001:bc8:36cc:100:123:4567:89ab:cdef dev vmbr0 MAIS RESTE le problème que cette machine appartient au FAI est n’est plus dans mon réseau.
Ma passerelle par defaut devrait être mon 2001:FAI:CLIENT:ffff:ffff:ffff:ffff:ffff pour toutes les machines de mon Organisation LAB3W.FR qui correspondont à mon bloc IPv6::/48

L’adresse de la gateway serait donc2001:0bc8:25bb:ffff:ffff:ffff:ffff:ffff/128 -
Dans mon Network range block client IPv6::/48 : 2001:0bc8:25bb:0000:0000:0000:0000:0000 - 2001:0bc8:25bb:ffff:ffff:ffff:ffff:ffff

Cela pour la simple raison de sécurité, le FAI n’a pas à voir/savoir/connaître les machines qui sont dans mon Organisation (lui surveille le traffic qui entre et sort). C’est comme chez nous, après la boxe, le FAI ne doit pas pouvoir lister nos machines (c’est pour cela qu’on met des routeurs connectés aux ports de la boxe du FAI) - Sinon c’est de l’atteinte à la Vie privée et de plus il leur faudrait une autorisation, un mandat de la préfecture de police pour avoir le droit de fouiner dans nos machines.

C’est pour çà que nous louons des machines en data-center ; pour que nous protégions nos données NOUS-MÊME en plus de leur protection incendit, scanneur d’optique pour le personnel y travaillant, protection pour être en haute-disponibilité (comme ils disent UP à 99,8% du temps).

Pour la Machine 2001:0bc8:25bb:ff00::/56
Network range : 2001:0bc8:25bb:ff00:0000:0000:0000:0000 - 2001:0bc8:25bb:ffff:ffff:ffff:ffff:ffff

Autre machine dans mon bloc IPv6::/48 par exemple : 2001:0bc8:25bb:fa00::/56
Network range : 2001:0bc8:25bb:fa00:0000:0000:0000:0000 - 2001:0bc8:25bb:faff:ffff:ffff:ffff:ffff

IPv4/IPv6 subnet calculator : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

La passerelle serait la même pour tout mon compte client (en IPv6 on apppele cela Organisation qui contient plusieurs Sites, qui contiennent plusieurs réseaux) et serait une machine UNICAST-GLOBAL.
A moi après de faire des liens locals fe80:: si j’ai des machines qui ne doivent pas être visible depuis l’internet mais souhaitent naviguer en IPv6.

Sinon je demandais, entre autre, si c’était normal que je vois tous les fe80:: connectés au switch du FAI ^^

Cordialement,
O.Romain.Jaillet-ramey

#4

Le problème c’est que je sors mais ne rentre pas ^^ j’ai menti bOOoo… c’est que, c’est louche ^^ on se croirait sur un réseau IPv6 local …

Exemple : comme sur les boxes SFR , il y a le réseau avec la paserelle fe80:: pour nos PCs et smartphones cachés et sinon dans les options de la boxe on peut activer un 2eme réseau IPv6 DMZ avec un autre bloc IPv6 puis on configure l’adresse IPv6 UNICAST-GLOBAL de la boxe passerelle et HOP on a notre réseau IPv6 public/ouvert !

Ciao bonne journée.

#5

J’ajoute ce lien aussi vers la page de Stéphane Bortzmeyer
IPv6 Router Advertisement Options for DNS Configuration pour nos NDP (Neightbors Discovery Protocol)
Configuration de la variable visible depuis la commande sysctl -a | grep accept_ra

Exemple de création d’un proxy NDP IPv6 (linux-attitude) :
ip -6 neigh add proxy 2001:0bc8:25bb:ff51::1 dev eth0 # à titre d’information ;p

Ajouter des proxy sur les autres interfaces Bridges pour envoyer de requêtes sur le Network Discovery Protocole IPv6 à vos VMs ET faire la liaison/liens entre et vers l’interface connectée au FAI avec vos Virtual Machines et containers.

Les messages ICMPv6 que le routeurs envoie :

  1. Internet Control Message Protocol version 6 (ICMPv6) Parameters
  2. RFC 4443 : Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification

Les classes IPv6 :

  1. IPv6 Multicast Address Space Registry
  2. RFC 7346 : IPv6 Multicast Address Scopes

Et le plus important Firewall ICMPv6 de Stéphane Huc que j’ai posté (à l’instant) sur mon site (récupéré sur mon serveur) ^^

Cordialement,
LAB3W : O.Romain.Jaillet-ramey

#6

Oui, c’est ce que j’ai dit: toutes les cartes ont un lien local.

Euh non.
Pour autant que je sache, NDP est un protocole de découverte en couche 3, qui permet - justement sur la base des adresses link-local stateless que s’auto attribue chaque machine toute seule à la levée de son interface - à la machine d’interpréter le réseau et justement d’ “arpifier” et de pomper quelques éléments de routage sur tout ce qui est physiquement sur le même segment réseau qu’elle.
Tu sembles fusionner ça un peu vite avec le DHCPv6 et RADvd qui sont les protocoles respectivement d’adressage et de routage dynamique.

Ton FAI sait/connait tous les paquets qui passent sur le fil de ta connection d’accés Internet, forcément.
Ce n’est pas une question de vouloir le faire, c’est juste comme ça vu qu’il est chargé de les transporter.
C’est à toi de faire que ce qui transite par lui ne soit pas lisible, mais lui n’a rien à voir avec cette confidentialité qu’il ne peut pas te donner.
Pour autant avec une connection FAI, ça ne veut pas dire (même si à partir du moment ou elles ont une adresse globale v6, elles deviennent accessible depuis l’exterieur sauf filtrage) que ce qui se passe sur ton segment privé fuite chez le FAI (sauf idiotie de config du routeur).

Comprend rien.
Tu es derrière une box FAI (auquel cas je découvre qu’online/scaleway fait de l’accés internet) ou en DC ?
Et tu n’as rien expliqué de ces interfaces en vmbr, ni de ton organisation générale (pas les détails, juste comment s’articule ton infra, si tu parles d’une serie de machines virtuelles dans ton proxmox ou autre chose, si elles ont leur propre bus à l’intérieur du PM pour causer entre elles en toute confidentialité, si tu as ton switch et ton propre brassage dans ta baie, etc).

Sinon, il y a trop de choses qui me paraissent incohérentes et/ou imprécises dans ce que tu dis, donc ça doit être moi vu que c’est ton métier de monter des trucs ipv6, ce qui veut forcément dire que tout ce que tu dis dépasse mes compétences, et que je dois mal comprendre.

Je n’ai pas grand chose à dire de plus que ce que j’ai déjà dit:
à mon niveau de compréhension, rien ne me semble anormal dans l’absolu.

#7

Oui okay :slight_smile:

NDP permet d’ajouter des passerelles fe80:: en plus de nos passerelles UNICAST-GLOBAL que l’on aurait configurer manuellement ou grace à un DHCP (que ce soit RADvd ou DHCPv6 qui joue le même rôle : attribuer une IPv6, une masque, un DNS etc)

Dynamique, mais que l’on a configuré, c’est plutot du routage statique (dirais-je) qui est configuré par rapport à une MAC-Address ou un réseau de connexion ; c’est différent avec le routage dynamique type OLSR ou AODV qui construit le chemin qui est le plus court (routage dynamique).

OUI il connaît se qui transite (simplement).

Lui il sait que TOUT mon bloc 2001:LUI:MOI::/48 et qu’il doit surveiller cela, c’est tout. Et cela que j’ai la machine 1 ou 2 - 2001:LUI:MOI:MAC1::/56 ou 2001:LUI:MOI:MAC2::/56

Oui justement, j’ai sois mes liens UNICAST-GLOBAL soit des liens fe80:: en NDP (comme le multicast IPv4) avec des machines privées/cachées de l’internet (mais qui peuvent sortir/naviguer IPv6).

Oui comme je dis (ci-dessus).

Quand je dis FAI se serait Fournisseurs d’Accès Internet (online/scaleway) en DATA-CENTER ^^ le fournisseur de service :wink:

http://swan.zw3b.net pour savoir mon architecture réseau IPv6

Organisation LAB3W.FR - Bloc IPv6 - Être Provider Independent (PI) IPv6 Assignments for End User Organisations #earnmoney #givemoney #skill #brain :wink:
2001:0bc8:25bb::/48

Server 1 mon Accés Concentrateur d’IPv6 par xL2TP+IPSecurisé
2001:0bc8:25bb:ffXX::/56

Entité :
2001:0bc8:25bb:ffXX::1ab3::/60 (pour ne pas faire comme tout le monde (avoir plusieurs 16 réseaux IPv6::/64 par entité (au lieu de 256 réseaux sur le bloc IPv6::/56)

Site dans le Data-Center :
2001:0bc8:25bb:ffXX:1ab3:003b:0000:0000/96

Site principal :
2001:0bc8:25bb:ffXX:1ab3:003a:0000:0000/96

Entre ci-dessus (::/96) et ci-dessous (::/112) il y a la spécification des blocs multicast IPv6::/104
CF : ff02::1:FF00:0000/104 : Solicited Node utilisé par Neighbor Discovery Protocol.

NDP utilise l’adresse multicast ff02::1:ff00:0/104 pour découvrir l’adresse MAC d’un hôte dont l’adresse IPv6 est connue (solicited node). Les 24 derniers bits de l’adresse sont constitués des 24 derniers bits de l’adresse IPv6. L’utilisation de multicast au lieu d’une adresse broadcast permet d’optimiser la diffusion de ce message.

Réseau des machines dans le Data-Center : 2001:0bc8:25bb:ffXX::1ab3:003b:1ac0:0000/112
Réseau des machines sur le site A (chez moi) : 2001:0bc8:25bb:ffXX::1ab3:003a:c10d:0000/112
Réseau des machines sur le site A (chez moi) : 2001:0bc8:25bb:ffXX::1ab3:003a:faac:0000/112 avec des liens locals fe80:: (pour les cachées) comme passerelle (bientôt) et pas de passerelle UNICAST-GLOBAL

C’est une passion - je fais du développement “durable” - çà marche pour l’IPv6 :slight_smile: arf ^^

fe80:: c’est pour le LAN ^^ c’est tout … que çà à comprendre !

Merci @mattotop :slight_smile:

PS : Les bridges VMBR1 (Virtual Machine Bridge 1) sont des interfaces virtuelles que l’on associe à nos cartes réseau réelle ^^ etc si on souhaite faire plusieurs sous-réseaux vers différentes machines virtuelles :wink:

Cordialement,
Romain

#8

Tout ça, c’est ton infra logique, ça ne dit pas quels segments physiques tu as ni comment ils sont reliés entre eux (switch/hub/routeur).
C’est cette connaissance qui pourrait permettre de juger vraiment si ce que tu dis de ce que tu découvres en sniffant le link local est normal ou non.
Si tes serveurs en baie sont sur leur propre segment physique privé, c’est effectivement bizarre que tu voies des choses en dehors avec le link local. Dans tous les autres cas, si elles sont sur le même segment que les autres machines de l’hébergeur, c’est normal il me semble que ces autres machines soient visibles, et que tes machines soient visibles par elles.

Nan, mais je sais ce qu’est une interface virtuelle en bridge, sinon, je ne parlerais pas de proxmox, mais ma question était, pour compléter la compréhension de la structure physique de ton réseau, de savoir comment tes machines virtuelles sont réparties, si tu es maître de ton/tes hyperviseurs et seul dessus (j’imagine quand même que oui), etc.

Je ne pense pas que ça m’aidera beaucoup à mieux comprendre, mais pour des “bons” qui passeraient par là, je pense toujours que ça peut être utile pour te répondre.
Encore une fois, sans les détails genre ip des switch ou autres, c’est juste une idée du schema physique/virtuel global, qui manque.

#9

Je des-active mon firewall v6 de l’AC (Accès Concentrator) ^^ tu verras les bonds ^^ en faisant un traceroute gate.lab3w.fr par exemple pour arriver chez moi :wink: ou en essayant une des IPv6 notée sur le http://swan.zw3b.net (sinon le traceroute6 bloque sur le firewall)
NdMoi-même : wifi.zw3b.net est DOWN - J’essaie différentes configurations sur l’OpenWRT :wink: sinon il y a un autre saut/bond, plus ceux des client WiFi :wink: à qui je fournirai des block IPv6::/104 pour leur VMs en 128 sur des réseaux 112 et116 :slight_smile: ^^ selon si c’est dans une chambre, un jardin pour une caméra, une lampe etc. #domotique

oui, je suis maître de mes hyperviseurs et je suis seul admin.
Pour comprendre la configuration physique : j’ai UNE machine louée chez online.net et c’est tout. Les bridges on s’en fout là.
Je peut naviguer en IPv6 comme cela : https://documentation.online.net/fr/dedicated-server/network/ipv6/prefix - çà me config une route IPv6 en fe80:: ??? puis je dois configurer manuellement mon adresse IPv6 sur ma carte réseau principale.

Pourquoi ai-je un lien local comme passerelle pour sortir du fournisseur/hébergeur !?

Sinon pour mon réseau “interne” IPv6 (avec des IPv6 de mon block loué chez eux) SANS passerelle en liens locals fe80:: quand je trace une route d’un point à un autre, j’accède à mes machines sans rentrer sur le réseau online.net. je reste sur mon bloc ^^ mais là n’est pas le problème. C’est mon réseau, si je veut mettre des liens locals pour protéger/cacher mes machines à moi de le faire.

Sinon j’ai 3 machines sous proxmox plus un routeur Wi-Fi qui est rélié à une des machines Routeur/passerelle sur lequel je souhaite envoyé des blocs IPv6::/104 à mes potes/clients dans le quartier.

  1. UNE chez online.net (xL2TP Accès Concentrator : LAC)
  2. UNE chez moi sur des IPv4 dynamique un LNS (xL2TP Network Server) + routeur Wi-Fi
  3. UNE autre sur une IPv4 statique un LNS (xL2TP Network Server).

J’ai créé des connexions IPSec + xL2TP par PPP (POINTOPOINT, NOARP, MULTICAST), là où j’ai configuré mes réseaux IPv6::/96 et des bridges pour mes VMs avec des réseaux IPv6::/112

Tout simplement.

//-----------------------
Dans mon 1er post, justement c’est ce que je dis ; que le lien de ma machine IPv6::/56 est relié à une passerelle avec un lien fe80:: - ce que je trouve non conventionnel puisque je suis dans une data-center et que ce n’est pas un réseau privé.

#10

Je viens de relancer la commande pour voir les voisins de ma carte réseau (connecté au Fournisseur/hébergeur) principale.

N’ayant pas activé mon proxy NDP je me demande qui sont ces machines ou qui essaie d’attraper ces IPv6 ?

18:00:21 root@zw3b:~ $ ip -6 n show dev vmbr0
fe80::281:c4ff:fe5f:c91d lladdr 00:81:c4:5f:c9:1d router REACHABLE
2001:bc8:25bb:ff50:1ab3::ffed  INCOMPLETE
2001:bc8:25bb:ff01:1ab3:3a:c10d:8018  INCOMPLETE
2001:bc8:25bb:ff02:1ab3:3b:1ac0:15  FAILED
2001:bc8:25bb:ff50:1ab3::8005  FAILED
2001:bc8:25bb:ff02:1ab3:3b:1ac0:e  FAILED

Whats this !? :frowning:

Mieux (pire çà veut dire) :frowning: qui cherche mes machines ??? BoOOuu !

 18:00:43 root@zw3b:~ $ ip -6 n show dev vmbr0
fe80::d6ae:52ff:fec7:aa32 lladdr d4:ae:52:c7:aa:32 STALE
fe80::d6ae:52ff:fec7:aa34 lladdr d4:ae:52:c7:aa:34 STALE
2001:bc8:25bb:ff02:1ab3:3b:1ac0:8010  FAILED
fe80::281:c4ff:fe5f:c91d lladdr 00:81:c4:5f:c9:1d router REACHABLE
2001:bc8:25bb:ff02:1ab3:3b:1ac0:ffee  FAILED
2001:bc8:25bb:ff50::8017  FAILED
2001:bc8:25bb:ff02:1ab3:3b:1ac0:ffe5  FAILED
2001:bc8:25bb:ff02:1ab3:3b:1ac0:7fff  FAILED
2001:bc8:25bb:ff02:1ab3:3b:1ac0:fffd  FAILED
2001:bc8:25bb:ff02:1ab3:3b:1ac0:8002  FAILED
2001:bc8:25bb:ff02:1ab3:3b:1ac0:fff4  FAILED
2001:bc8:25bb:ff50::8002  FAILED
2001:bc8:25bb:ff50::e  FAILED
#11

Si tu pensais à moi, désolé mais TL;DR.

1 J'aime