Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

+1

Belle liste au père noël, mais je complêtement d'accord avec toi ! +1 !

Bonjour

Liste au père noël, je ne sais pas...
En tout cas, c est a minima ce que j attends d un (vrai) firewall ...

Maintenant, je ne demande pas à free de réinventer la roue, le feu et la relativité générale, une petite vm sur la box avec 1 truc comme pfsense dessus m irai meme si j avoue préférer la version VM de fortigate car elle prend en charge les NPU et les asic (mais pour le coup, vu le prix c est plus que du rêve...).

Cordialement
nbanba

Bonjour

Avez vous avancés sur ce problème ??
@Thibault Freebox : pourriez vous nous faire un état des avancements de cette tâche ?

En vous remerciant d avance
Cordialement
nbanba

Bonjour,

Cela n'est pas prioritaire, je peut le comprendre mais la demande est importantes car elle permettrais de disposé d'un vrai firewall et de résoudre certain problème avec l'agrégation 4G.

Pour ma part j’attente avec impatience l’implémentation de cette demande. En totalité ou en partie.

Ca n'est pas prioritaire mais ca le devrait.

Si on n'a pas d'ipv4 full stack, on pourrait se rabattre sur l'ipv6, ... mais on peut pas car les ports qu'on a à notre disposition, on ne peut rien en faire....

Le principal souci avec l'IPv6 est que Free nous laisse le choix entre laisser passer tout le trafic IPv6 entrant sans aucune possibilité de filtrage au niveau de la Freebox, ou bloquer tout le trafic IPv6 entrant.
Il faut alors soit sécuriser chaque appareil du réseau local lorsque c'est possible (compliqué voir impossible avec des objets connectés), ou alors se priver de l'hébergement de services via IPv6.

Vu la liste des options demandées dans le message original, je pense que tout sera refusé ou non implémenté à part le filtrage.
L'agrégation de liens 802.3ad serait tout de même la bienvenue pour ne pas avoir à investir dans un switch SFP+ et bénéficier de 4x1Gbps à moindre coût.
Le plus efficace à l'heure actuelle est d'utiliser son propre routeur/pare-feu derrière la box bridgée.

@Thibaut Freebox : "Cette proposition [...] n'est pas non plus prioritaire."

Quand on voit que la désactivation du pare-feu IPv6 met directement en danger les données des abonnés, ça me paraît être une priorité.
Le minimum est de proposer un filtrage IPv6 du trafic entrant (d'ailleurs, le pare-feu IPv6 ne devrait être désactivable qu'en mode bridge).

Il n'y aura jamais de vrai firewall sous la Freebox.... ou disons d'un firewall totalement paramétrable.
Si vous voulez un firewall totalement paramétrable, il vous appartient de bidouiller votre propre routeur avec une distro linux en activant un forward DMZ

La seule chose URGENTE c'est juste d'intégrer un port Forwarding en IPv6.
Et là en effet je ne suis absolument pas d'accord avec les devs Freebox qui pour le coupe se foute de la gueule du monde.

Le reste des demandes mentionnées sur cette requête n'ont rien à faire pour une box développée pour un usage Grand public et pas un usage professionnel.

Si vous voulez faire les "cake" super connaisseurs... mettez les mains dans le cambouis en montant vous même votre routeur sous Linux ou en achetant un routeur porfessionnel de grade "entreprise" qui coûtera plus ou moins 300 EUR pour une prestation basique.

Il faut arrêter avec vos demandes farfelus qui n'auront aucune chances d'être développés sur une BOX qui n'a pas de vocation à être utilisée dans un milieu entreprise.
Passez 100 000 heures de desv pour juste faire plaisir à un pelé et deux tondus.... non mais les gars réfléchissez un peu.

Si Orange, SFR et Bouygues continuent à faire des Box m... alors aue la Freebox possède déjà bien plus de fonctionnalités, c'est bien la preuve que hors clientèle "geek" la plupart des fonctionnalités de la Freebox (VPN....) ne rencontrent aucun intérêt auprès de la clientèle moyenne, donc la liste du père Noel que vous affichez est juste risible.

En revanche.... le port forwarding en IPv6 CA C'EST URGENT et sur ce point les DEVS DOIVENT NOUS ECOUTER.
En effet les gamers, mais aussi pour des besoins de video surveillance, la redirection de port peut être requise.

Le reste.... ce sont des fonctions avancées quo sortent du champ d'un produit très grand public

Dans tous les cas.... que ce soit sous Linux, Windows, ou BSD.... il y a par défaut un firewall IPv4 / Ipv6, et sous Windows je conseille l'excellent Comodo Internet Security, le meilleur firewall grand public. Donc inutile de lancer des cris horrifiés.... on n'est pas protégé

Windows intègre nativement des capacité de redirection de port en TCP en ligne de commande. Si vous recherchez des capacités de redirection UDP/TCP avec interface graphique il y a le logiciel AUTAPF de networkactiv
Pour Linux.... c'est votre firewall préféré qui peut gérer cela

@WOZZECK:

Ton frigo connecté acheté par Mr Touslemonde et connecté a internet en ipv6 par un ASIC qui fait moins d 1 gramme et moins d 1 cm3, et qui n implémente rien de plus que tcp/ip et une quelconque norme 802.3/802.11, tu penses vraiment que tu pourra installer ton comodo firewall dessus et que Mr Touslemonde saura comment se protéger ??

En suivant tes propos, les appareils IOT de Mr Touslemonde se retrouveront à hacker la banque de France ou à faire des ddos sur dyn, akamaii, Google ou autre Facebook pénalisant des millions d utilisateurs et coûtant des fortunes au grand public au détriment financier et juridique de ce dernier...

On sait bien mettre les mains dans le cambouis et on peut même arriver à débloquer (par passion) des budgets suffisants pour acheter des firewalls ipv6 supportant le 10gb/s fournis par Free (d ailleurs l ordre de grandeur c est plus du 3000 voir 30000 euros plutôt que les 300 dont du parles...!), mais pas monsieur Touslemonde...

Je ne sais pas quelle est ton utilisation de la box ni de l ipv6 (gamer peut etre), mais le développement de fonctions avancées profite à tous et permet une pleine exploitation de la connexion : ça élargit le spectre des possibilités, ouvre de nouveaux horizons pour une connexion privée et BOOST le marché !!
Sans les fonctionnalités avancées des premières Freebox et l agressivité technologique de free, aujourd'hui tu paierai 70e/mois une tres mauvaise ADSL sans tv, tu paierai encore France Télécom pour ta ligne RTC et plus de 100€/mois et par ligne de téléphone de mobile (au minimum)....

Bref, je pense qu il ne faut jamais niveler le marché technologique par le bas ou par le besoin courrant de Mr Touslemonde, mais par le haut et par le potentiel besoin futur.

@FREE: la liste au père noël est toujours d actualité, l ipv6 c est l avenir, investir dans des fonctionnalités avancées c est aller vers l internet de demain...
Merci

Cordialement
nbanba

Bonjour à tous,

Je ne suis pas spécialiste comme vous sur le sujet,
je suis tout de même intéressé car l'agrégation 4G pour moi est inutilisable en cause des redirections de ports utile pour un équipement pro qui ne fonctionne pas avec la 4G.

Je me demander avec un DMZ sur une VM (debian) dans la freebox ne permettrait-il pas de mettre en place son propre pare-feu?
Je pense que le problème est de rediriger toutes les connexions interne (Ethernet, wifi, ...) vers la Vm ? (peut-être que cela serais un moindre job pour les dev free)

Cordialement,

@WOZZECK:

Il n'y a pas de port fowarding en ipv6 car pas de nat. On fait juste de l'ouverture de port via le firewall (enfin techniquement nat peut exister en ipv6 mais ce n'est pas le cas ici).

Sinon, je trouve aussi que ça devrait être une priorité niveau ipv6.

@Jonathan :
Le problème, c est notamment table de routage (en v4 et en v6) .
Il faut qu elle soit partagé entre la vm et la Freebox pour pouvoir d une part exploiter les équipements de la Freebox ( fonctionnalitees, ap wifi, etc...) et d autre part utiliser la vm comme un vrai routeur/firewall.
Un mode pass through sur le hardware de la box (depuis les vms ) type Single Root IO Virtualisation (SRIOV) permettrait de mapper les périphériques réseaux de la box dans la vm et d utiliser la vm comme routeur à la place de la box.

D autre part, la box ne permet pas de gérer les subnets privés (fc00/7) et il manque les champs de réglage des next hop de 8 à f sur le /60 fourni par free .

Et dans tous ces type de mise en place, il faut nécessairement qu on ait accès aux logs de la box et qu on ait la possibilité de faire du tcpdump sur les interfaces.

Donc dans l état, Oui on peut mettre 1 vm et la configurer comme firewall, mais ce sera très limité (comme avec le mode bridge et 1 vm qui fait routeur derrière la box) .

Peut être faut il effectivement plus pousser le pass through des composants de la box vers une vm que le dev d un vrai firewall en ipv6 ?

Je ne sais pas, les 2 sont interressznt et complètementaires...

Cordialement
nbanba

Bonjour,

Merci nicola nba pour test détails technique sur le sujet.

Je pense que le mode pass through sur le hardware de la box (depuis les vms ) serais très intéressant. Il permettrais également de disposé des antennes domotique de la box sur les Vms si je comprend bien.
Mais cela n'arriveras jamais car free mettra en avant l'argument de sécurité. Si une personne met en place un tel mode dans une Vm pas sécurisé alors il créer une grande porte ouverte au piratage.

L'avancement a-t-il évolué pour le pare-feu (firewall) IPv4 et IPv6?

Punaise on a pas tout ca, mais maintenant il y a netflix sur la revolution, ouf je suis rassuré

@WOZZECK: t'es le champion du monde toi!

Récemment (hier), il y a eu un problème général, plus de connectivité avec l'IPv4 virtuelle, seule la connectivité IPv6 était en fonctionnement.

Cela me fait penser s'il y a des nouvelles à ce propos, l'IPv6 et Freebox OS.

Mème problème du coup free cite par exemple yunohost sur vm@freeboxdelta pour de l'auto hébergement mais finalement cette solution n est possible qu en ipv4
je confirme que le "firewall" ipv6 n en est pas un.
grosse déception d autant que cela commence a dater

Il y a ici un ticket pour un vrai pare-feu IPv4/IPv6 :
- https://dev.freebox.fr/bugs/task/29348

Hello,
Sans nécessairement avoir la totalité des fonctionnalités dès le début, il faudrait au moins pouvoir laisser entrer du trafic ipv6 spécifique - par exemple, ouvrir un port (ou liste de ports) vers une adresse ipv6.
D'avance merci & cordialement,

"Sans nécessairement avoir la totalité des fonctionnalités dès le début, il faudrait au moins pouvoir laisser entrer du trafic ipv6 spécifique - par exemple, ouvrir un port (ou liste de ports) vers une adresse ipv6."
+1

Je suis d'accord avec Wozzeck : les demandes de fonctionnalités "professionnelles" sur une freebox sont risibles. Quand on veut sortir des fonctionnalités basiques d'un routeur domestique, on met sa freebox en bridge pour l'ipv4, on configure le "next hop" pour l'ipv6, et on colle derrière un vrai routeur (ce que j'ai fait).
Par contre, pouvoir retrouver en ipv6 ce qu'il est possible de faire en ipv4, c'est à dire héberger un service accessible de l'extérieur en v6 sans ouvrir tout l'intranet, me semble tout à fait légitime. Dans ce sens j'approuve complètement Romain Dolbeau et dahug.
Hélas, quand je vois le laisser-aller du coté de la prise en charge des reverse-dns en ipv4, fonctionnalité importante mais dont la page de configuration n'est qu'une façade non fonctionnelle, je doute que la moindre fonctionnalité ipv6 qui irait plus loin que le "robinet à flux entrant" actuellement proposé soit implémentée dans un futur proche. Et imaginer obtenir une délégation d'autorité pour gérer correctement les adresses inverses en ipv6 va certainement rester pendant longtemps de la pure science-fiction.

PS : Pour les reverses DNS ipv4 après un long passé bordélique, les résolutions directes et inverses sont à présent cohérentes, c'est toujours cela...

Quel routeur ? (marque modele) pour faire du port forwarding ipv6 et autohébergement.

Bonjour

Perso, j ai acheté un fortigate 101F car c est le premier modèle de la gamme double alimenté avec 2 ports sfp+ supportant les débits de la Freebox delta (8g/s reels chez moi) et que le nouvel asic SPU des gammes F de Fortigate est capable de gérer ces débits en ipv6 (en + des fonctionnalités NGFW).

Pour le wifi, j ai pris un FortiAP U431F alimenté en PoE+ par deux GPI130 et capable de gérer le wifi 6 en multigigabit (4x4 MU-MIMO tri radio à 4800Mb/s par radio et 10 antennes )

Par contre avec la maintenance FortiCare + FortiGuard sur 3 ans et le pack UTM/UTP, ça représente quand même un certain budget.

Mais bon comme Free n avance pas sur ces points, il a bien fallu que je fasse quelque chose.

Cordialement
nbanba

avec les fonctions incroyablement avancées qu’offre la freebox (VM linux, IPv6 natif, VPN dual stack, Aggregation 4G sur ipv4…) l’unique réponse il y a 2 ans est décevante.

l’ipv6 natif est gâché en inbound

+1

+1

Autre proposition dans le but de laisser entrer du trafic IPv6 sélectivement: activer le filtrage par NextHop.

a) soit en ne filtrant que le premier subnet (utilisé par la majorité des utilisateurs), et les utilisateurs avancés devront rendre leur services accessibles dans un des autres subnets.
b) soit en proposant de filtrer unitairement chaque subnet (mais cela demande de modifier l’interface contrairement à la proposition ‘a’)

J’en conviens qu’avoir un routeur qui fait ce travail aurait plus de sens, mais dans mon cas j’essaye de diminuer les équipements (facture, fiabilité & écologie).

Le plus important serait pour moi de désactiver le filtrage pour certaines IPs.

Mon serveur est en DMZ IPv4, mais j’ai le choix entre activer le pare-feu IPv6 globalement, ou pouvoir répondre aux flux IPv6 entrants en laissant les autres équipements contactables depuis le WAN.

Derrière une IPv6 non filtrée, on peut ajouter un autre pare-feu. Ces IPs pourraient également être des next hop, ou faire partie d’un autre préfixe.
Bien sûr, une granularité plus fine serait la bienvenue (au niveau du port+IP), ou la totalité de la liste au père noël ci-dessus. Mais ouvrir le pare-feu pour un hôte débloquerait déjà beaucoup d’utilisations.

Merci

Bonjour

@Mayeul : À moindre coût (un peu de ressource réseau), vous pouvez faire le design suivant qui répondrait à votre besoin :

- vous décochez la case bloque tout ipv6
- vous utilisez votre serveur comme next-hop (donc comme router IPv6) pour 1 des 8 subnet /64 du /61 alloué par Free, mais qui ne soit pas le premier subnet (pas celui qui termine par 0::)
- vous envoyez tous les /64 du /61 que vous n’utilisez pas vers un next-hop qui n’existe pas (en général fe80:ffff::ffff n’existe pas), ne pas oublier le premier subnet (celui qui termine par 0::)
- sur votre serveur qui fera router IPv6, installer ‘radvd’ + ‘nftables’ et configurez le router (dans /etc/radvd.conf) de telle sorte que l’autoconfiguration SLAAC ne soit pas possible sur le subnet /64 dont le serveur est devenu le router (désactiver les autonomous-flag dans les RS (Router Sollicitation))
- il faudra donc configurer sur une patte de votre serveur : le link-local (destination du next-hop saisi dans la freebox), le prefixe du subnet routé et 1 ipv6 publique sur le subnet + les annonces radvd
- vous ne configurez pas de dhcpv6 sur ce subnet
- vous configurez une nouvelle interface (ou sous interface) sur votre serveur distincte de la pate de routage, avec une IPv6 fixe sur le subnet publique routé et avec comme gateway le routeur IPv6 que vous avez configurer (donc le serveur lui-même mais avec une autre IPv6 sur le même subnet)
- vous configurez le routeur IPv6 de votre serveur pour n’autoriser le traffic en provenance et à destination de l’IPv6 publique attribuée à la nouvelle interface portée par votre serveur (ça se fait facilement avec nftables sous linux)

Normalement ainsi, vous aurez votre serveur qui répond sur une IPv6 publique, vos devices qui ont de l’IPv6 sur les segments locaux fc00/7 (donc une compatibilité avec les sites uniquement en IPv6) et aucun devices avec une IPv6 publique directement sur internet (si ce n’est votre serveur)

Remarques :
Ce n’est pas la solution la plus propre mais elle coûte 0€, et j’avoue que si vous avez 2 machines (un veux PC qui traîne) ou 1 machine avec 2 VM (1 pour le routeur, 1 pour le serveur), c’est mieux.
Au lieu de mettre un next-hop qui n’existe pas pour les 7 subnets /64 non utilisés, il est plus propre de mettre comme next-hop le router que vous configurez, de lui faire porter tous les prefixes et de désactiver sur ce router les annonces RS pour les 7 subnets non utilisés puis de les interdire sur le firewall local avec nftables (https://wiki.nftables.org/wiki-nftables/index.php), c’est plus de conf mais c’est plus propre que la solution exposée.

Avec l’asymétrie de design IPv4 / IPv6 des freebox, au niveau sécurité si on veut avoir la même exposition des devices en IPv4 et en IPv6 sur un segment niveau 2 donné, on est obligé de traiter le subnet IPv4 interne de la box (192.168.XXX.0/24 = rfc1918) comme un subnet publique exposé à internet ou alors de traiter le /61 alloué comme un subnet privé (non recommandé !)
C’est du au fait que la box ne gère pas les IPv6 privée sur la classe fc00/7 (sauf sur le link-local ou la box à une ipv6 en fe80xxxx) et la box ne peut allouer / annoncer que des subnets IPv6 publiques sur le réseau interne.
Un peu touchy à gérer pour un clientèle majoritairement grand publique, j’avoue avoir du mal à comprendre.

Après, honnêtement si vous avez un vrai besoin de gérer et d’exploiter correctement les IPv6 de la box, je ne peut que vous recommander d’utiliser un ou plusieurs VRAI router/firewall.
Ça à un coût, certes mais je pense que sur un an, ce coût sera inférieur au prix d’une ligne 100Mb/s symétrique pro fournie avec le routeur et souscrite chez n’importe quel opérateur pro.

Et avec un vrai router/firewall on peut commencer à faire des trucs franchement sympa en utilisant la freebox delta en mode routeur comme un mini chassis (avec les 4 disques, les VM et l’API pour gérer les VM). Il est par exemple possible de faire tourner des VM dans la freebox sans que ces VM ne soient dans le subnet ip4 privé de la box en 192.168.xxx.0/24 mais qu’elles soient dans d’autres subnets gérés et protégés par le firewall.
Si ça vous intéresse, je pourrais expliquer comment avec un switch administrable et un vrai router/firewall on réalise ce type de design ou les VM de la freebox sont derrière un firewall qui lui-même est derrière la freebox et où les VM ont 2 interfaces réseaux : 1 en DMZ interne exposée au lan, l’autre en DMZ externe exposée à internet, mais sans que les VM n’aient d’ip sur le subnet interne de la freebox (192.168.xxx.0/24)

Cordialement
nbanba

Bonjour Nicolas, merci pour la réponse détaillée.

Je chercherai peut-être effectivement à faire quelque chose comme cela dans quelques semaines si la situation n’évolue toujours pas (je manque cruellement de temps libre en ce moment). Par le passé, j’avais eu assez peu de succès avec les next-hop, j’avais donc abandonné cette piste (je n’avais peut-être pas désactivé le pare-feu? C’est possible.).

J’ai également un “vrai” routeur (un petit, edgerouter x) que je pourrais utiliser, mais je ne l’ai pas fait non plus, faute de temps.

L’un des avantages de le faire sur la freebox est de réduire la probabilité de pannes, car en mettant plusieurs appareils en série, si l’un tombe; tout tombe.

La proposition de VM sur la freebox est intéressante, je ne pense pas que cela soit possible sur la mini 4k dont je dispose, mais je préfère également rester indépendant vis-à-vis du FAI. Cela m’a permis d’en changer plusieurs fois ces dernières années (plus de 5 déménagements en 4 ans…) sans trop de souci (pas d’IPv6 chez bouygues, et blocage smtp chez orange).

Par contre je ne comprends pas vraiment votre insistance sur les adresses ULA (fc00/7)?
Cela n’apporte rien en termes de sécurité, les seuls avantages sont la possibilité de les utiliser dans des LAN séparés d’Internet (je les utilise sur des liens VPN, par exemple), et avoir une configuration de site indépendante du préfixe assigné par l’opérateur. Cela complexifie également l’utilisation de certains protocoles qui encapsulent l’IP.
Seul le préfixe est ensuite changé au niveau du routeur, le plan d’adressage est transparent, il n’y a aucune protection supplémentaire par rapport à un pare-feu. Et même si l’on faisait du NAT66, cela n’apporterait pas grand chose (le hole punching reste possible, par exemple).

Je n’ai pas non plus compris si vous proposiez de faire du DHCPv6 sur l’une des interfaces du serveur? Personnellement, le SLAAC me convient parfaitement, qui plus est avec les privacy extensions.

Merci encore pour la réponse. J’y reviendrai certainement si j’explore cette solution.

Bonne journée,