Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Anomalie
  • Catégorie LAN
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 3.1.7
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#19192 - Désactiver les "router advertisement" si Next Hop pour le premier subnet (IPv6)

Bonjour,

En cas d’utilisation d’IPv6 avec un routeur derrière la Freebox, on peut définir un Next Hop vers ce routeur.
Comme indiqué dans les paramètres de la Freebox, si l’on définit un Next Hop pour le 1er subnet, cela désactive son annonce :

Attention si vous configurez un Next Hop pour le premier subnet, il ne sera plus annoncé par la Freebox sur votre réseau

Néanmoins cela ne désactive pas les router advertisement ; voici un exemple de trames envoyées par la Freebox :

14:43:50.425321 IP6 fe80::f6ca:e5ff:fe40:XXXX > ip6-allnodes: ICMP6, router advertisement, length 32
        0x0000:  3333 0000 0001 f4ca e540 XXXX 86dd 6000
        0x0010:  0000 0020 3aff fe80 0000 0000 0000 f6ca
        0x0020:  e5ff fe40 7b61 ff02 0000 0000 0000 0000
        0x0030:  0000 0000 0001 8600 7d73 4000 0708 0000
        0x0040:  0000 0000 0000 0501 0000 0000 05c8 0101
        0x0050:  f4ca e540 7b61

Pourriez-vous désactiver également les router advertisement lorsque l’on configure un Next Hop sur le 1er subnet ?

Cette tache ne dépend pas d'autre tache

Nicolas Limage (nlimage)
Wednesday 9 December, 2015 22:21:20

J'avais le même problème, et je l'ai résolu en rajoutant l'option "AdvDefaultPreference high;" dans l'interface dans radvd.conf

Ca permet de prendre le pas sur l'annonce de la freebox

Fanfwe (Fanfwe)
Sunday 27 December, 2015 21:00:48

Ce problème semble toujours exister.
Par contre, j'ai enlevé le nexthop, cliqué sur appliquer, puis je l'ai remis, et ca a réglé le probleme (la freebox n'envoie plus de RA).
Mais cela va-t-il durer ?
Je suis curieux de voir si ca revient au prochain reboot... ou a la prochaine mise a jour...

Personnellement, je considère ce bug particulièrement critique, car quand c'est la Freebox qui annonce le préfixe, du coup il n'y a aucun filtrage possible. D'ou le fait que j'utilise un routeur/firewall externe, mais si on ne peut pas compter sur le fait que la Freebox cesse d'envoyer des RA quand on lui configure un nexthop pour le premier préfixe, c'est difficile de se sentir en sécurité...

thomas (tom_tom)
Friday 11 August, 2017 08:08:45

Bonjour,

Le problème est toujours présent et persiste même en passant la priorité des ra du next hop à high

user@pc ~ $ rdisc6 eth0
Solicitation de ff02::2 (ff02::2) sur eth0...

Limite de saut (TTL) : 64 ( 0x40)
Conf. d’adresse par DHCP : Non
Autres réglages par DHCP : Non
Préférence du routeur : élevé
Durée de vie du routeur : 1800 (0x00000708) secondes
Temps d’atteinte : non indiqué (0x00000000)
Temps de retransmission : non indiqué (0x00000000)
Préfixe : 2a01:e34:ec88:4430::/64

Durée de validité       :        86400 (0x00015180) secondes
Durée de préférence     :        14400 (0x00003840) secondes

Adresse source de lien : DE:AD:BE:EF:00:01
de fe80::dead:beaf

Limite de saut (TTL) : 64 ( 0x40)
Conf. d’adresse par DHCP : Non
Autres réglages par DHCP : Non
Préférence du routeur : moyen
Durée de vie du routeur : 1800 (0x00000708) secondes
Temps d’atteinte : non indiqué (0x00000000)
Temps de retransmission : non indiqué (0x00000000)
MTU : 1480 octets (valide)
Adresse source de lien : 00:24:D4:AE:AB:CD
de fe80::224:d4ff:feae:abcd

Une correction peut elle être envisagée lors d'une prochaine mise à jour du freebox server ?

Fanfwe (Fanfwe)
Tuesday 15 August, 2017 18:39:57

En l'absence d'un Firewall configurable dans la box, ce bug est *franchement* problématique pour qui veut utiliser IPv6 tout en étant en sécurité.
On attend que quelqu'un scanne les prefixes IPv6 d'Iliad, récupere des choses personnelles d'abonnés Freebox et s'amuse a publier le resultat de ses recherches dans la presse pour régler le problème ?
Une solution rapide serait appréciable, ca fait deja longtemps que ça traine :-(

thomas (tom_tom)
Wednesday 31 January, 2018 20:04:21

Bonjour,
Très bien le nouveau firmware 3.5.1 pour la freebox server, de nouvelles fonctionnalité intéressantes, etc... mais pas de correction du bug en question... :-( Est il au moins prévu de le résoudre un jour ? Si ce n'est pas le cas autant retirer tout simplement la possibilité d'ajouter des next hop sur le routage IPv6..

Thomas Quinot (quinot)
Saturday 24 March, 2018 18:57:44

Problème toujours présent à ce jour, ce qui fait qu'en pratique on ne peut pas utiliser l'IPv6 avec le WiFi du Freebox Server si le next hop du subnet par défaut est redirigé vers un firewall – ce qui est indispensable dans la mesure où le Freebox server ne fournit par lui-même aucune possibilité de filtrer le trafic IPv6 entrant.

Neustradamus (Neustradamus)
Monday 8 April, 2019 04:00:45

Avez-vous du neuf en 2019 ?

thomas (tom_tom)
Monday 8 April, 2019 20:35:40

il faut malheureusement croire que non... tout du moins pour l'instant..
Quelqu'un peu indiquer si ce bug est également présent sur la Delta ? cela serait intéressant..

Neustradamus (Neustradamus)
Tuesday 9 April, 2019 14:46:47

Par ailleurs, il faut noter que l'ensemble des Freebox Server n'ont pas de pare-feu (firewall) pour l'IPv6, donc aucune sécurité, je vous invite à voter ce bug également en urgence le bug de 2011 (le temps passe vite) : https://dev.freebox.fr/bugs/task/4110.

Fanfwe (Fanfwe)
Tuesday 9 April, 2019 14:57:14

Et il faut aussi noter que selon les dernières informations, il ne sera bientôt plus possible de désactiver l'IPv6.
Autrement dit, sans solution de filtrage interne a la Freebox, et sans possibilité de désactiver les RA correctement, il va devenir compliqué de se protéger correctement...

thomas (tom_tom)
Friday 19 April, 2019 14:13:10

j'ai l'impression que le problème a été corrigé avec le firmware 4.0.5 fraîchement sortit et qui rend impossible la désactivation d'ipv6.
Quelqu'un pour confirmer la résolution de ce bug vieux de presque 4 ans ? \o/

en ce qui concerne la possibilité de filtrer l'ipv6 en entrée sur la freebox c'est une autre affaire....

Neustradamus (Neustradamus)
Friday 19 April, 2019 16:52:13

Attention, il n'y a pas de pare-feu (firewall) en IPv6.

A vous de voter urgemment pour ce bug historique: https://dev.freebox.fr/bugs/task/4110.

Neustradamus (Neustradamus)
Friday 3 May, 2019 14:48:10

Des nouvelles à propos de ce ticket (Désactiver les "router advertisement" si Next Hop pour le premier subnet (IPv6)) ?

Demande de pare-feu manquant en IPv6 : https://dev.freebox.fr/bugs/task/4110

Demande de reverse DNS en IPv6 : https://dev.freebox.fr/bugs/task/12749

16 avril 2019 à 12:57, le changement : IPv6 par défaut.
https://dev.freebox.fr/blog/?p=5382

"Note additionnelle:

L'IPv6 est délivré aujourd'hui sous forme de tunnel (6RD) au dessus l'IPv4 (dit natif). En raison des évolutions internes de notre réseau, le système va progressivement être inversé, et c'est désormais l'IPv6 qui sera natif, et l'IPv4 délivré sous forme de tunnel.

Pour cette raison, désactiver l'IPv6 complètement sur une Freebox revient à potentiellement diminuer les performances réseaux, donc nous enlevons la possibilité de désactiver celui-ci globalement. Cette fonction avait été introduite il y a plus de 10 ans au même moment que la fonction IPv6 de la Freebox, afin d'éviter les problèmes d'interopérabilité avec les systèmes d'exploitation de l'époque.

Notez qu'il est toujours possible de désactiver l'IPv6 sur le périphérique lui-même."

Neustradamus (Neustradamus)
Wednesday 5 June, 2019 16:08:16

Pour info : Attention : Pare-feu (firewall) pas complet du tout lorsqu'il est activé.
"Cochez cette case si vous souhaitez que votre Freebox filtre le traffic entrant inconnu."
Aucun paramétrage de réglages.

4 juin 2019 à 11:05 : Arrivée d'un firewall IPv6
https://dev.freebox.fr/blog/?p=5416

"Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration)."

Chargement...