Freebox V5 ADSL

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Évolution
  • Category Routeur
  • Assigned To No-one
  • Operating System Tous
  • Severity Critical
  • Priority Very Low
  • Reported Version 1.2.4
  • Due in Version Undecided
  • Due Date Undecided
  • Votes
  • Private
Attached to Project: Freebox V5 ADSL
Opened by gderenne - 12/12/2007

FS#2596 - Configuration Routeur en IPv6

Firmware 1.3.0

Il serait interessant de pouvoir configurer le mode routeur de la freebox avec de l’IPv6.

Dans quel but ?

Admin

Configurer quoi ?

Bonjour a tous,
Je pense qu’il veut dire: faire du routage en IPv6...
rajouter des regles en IPv6 donc... (meme si on est d’accord, en interne la freebox gere deja une table ipv6...)

bon... de mon cote, Gil, je vois pas trop l’interet de gerer du routage en ipv6 avec l’interface de la freebox ?

cordialement.
seb

En fait, en ce moment, on configure le routeur avec de l’IPv4 (192.168.x.x).
Je voulais dire : pouvoir affecter des IPs au format IPv6 dans la configuration du routeur.
L’interet : IPv6 de bout en bout (je sais, il n’y a que Free et Nerim qui font de l’IPv6 en ce moment...).
Donc, ma DMZ en IPv6, DHCP début en IPv6, etc...

Ca parrait si idiot ?

D’accord ok... :-) vu sous cet angle... cela parait logique...mais pas tres accessible pour tout le monde !
il faudrait donc un choix: IPV4 ou IPV6 par exemple...

donc non finalement... ta proposition n’est pas si bete ;-) Qu’en pense Maxime?

“ma DMZ en IPv6”

C’est à dire, concrètement?

“il faudrait donc un choix: IPV4 ou IPV6 par exemple...”

Est-il urgent de supprimer IPv4? En dehors du coté esthétique/snob, quel intérêt?

Euh l’ipv6 permet justement de se passer du NAT. Chaque équipement local à une ipv6 publique sur internet. Configurer des routages n’a pas de sens.

Par contre, il serait intéressant de pouvoir établir des baux DHCP pour attribuer des ipv6 fixées à certains équipements. (Je crois néanmoins que les ipv6 attribuées dépendent de l’adresse MAC du matériel, auquel cas ma demande n’a pas de sens)

“Euh l’ipv6 permet justement de se passer du NAT. Chaque équipement local à une ipv6 publique sur internet. Configurer des routages n’a pas de sens.”

Bien sûr que si. On parle de *routage*, pas de NAT!

“Par contre, il serait intéressant de pouvoir établir des baux DHCP pour attribuer des ipv6 fixées à certains équipements. "

Il n’y actuellement pas de serveur DHCP du tout (donc pas de bauds fixes).

Pour avoir les ordinateurs en IP fixe, c’est une question de configuration.

Alors pour te reprendre sur le routage, je ne saisi toujours pas le sens tu peux trouver à “configurer le routage en ipv6”.

Parce que dans l’état, en ipv6, la box se comporte comme un simple routeur Internet sur lequel on n’a aucun contrôle, et les adresse routées sont visibles depuis l’extérieur. Ce n’est pas du NAT, ni du bridge, juste un routeur comme les dizaines par lesquels on passe pour contacter un hôte. Le principe d’Internet.

Alors :
- Configurer les ports ? Ils sont tous accessibles en ipv6 vu qu’il n’y a pas de NAT.
- Configurer les routes ? Je ne pense pas que Free nous laisse choisir un chemin sur proxad.net
- Configurer les IP ? Pas besoin de régler ça dans la box, il suffit de choisir une des 2^64 adresses mises à notre disposition.
- Mettre en place des tables NAT ? C’est stupide de faire ceci, ipv6 est justement fait pour s’en passer.

Donc de mon point de vue, pour avoir fait un peu de réseau et en comprendre un minimum, cet ticket n’a strictement aucun sens.

“Alors pour te reprendre sur le routage, je ne saisi toujours pas le sens tu peux trouver à “configurer le routage en ipv6”.”

Ajouter des routes, probablement.
Peut-être aussi désactiver le routage.

“Parce que dans l’état, en ipv6, la box se comporte comme un simple routeur Internet sur lequel on n’a aucun contrôle, et les adresse routées sont visibles depuis l’extérieur. Ce n’est pas du NAT, ni du bridge, juste un routeur comme les dizaines par lesquels on passe pour contacter un hôte. Le principe d’Internet.”

Le principe d’Internet n’est certainement pas d’avoir des routeurs non configurables.

“- Mettre en place des tables NAT ? "

Il n’est pas question de NAT, comme je l’ai dis.

“Donc de mon point de vue, pour avoir fait un peu de réseau et en comprendre un minimum, cet ticket n’a strictement aucun sens.”

La demande est très mal spécifiée; et même, elle n’est pas spécifiée du tout. Et je crois qu’elle est redondante, il existe des demandes plus claires qui couvrent tout ça.

... Il serait surtout bon de pouvoir établir des règles de filtrages. Bloquer le trafic entrant, n’autoriser que *certains* ports vers *certaines* adresses...

Parce que là, c’est le retour du “tout à poil sur internet”, sans firewall, qu’on avait plus ou moins éradiqué avec le “tout NAT”.

Idéalement, l’ouverture des ports/hôtes reste manipulable par UPnP comme en IPV4 sur la freebox.

Parce que là, il y a la possibilité de mettre un boîtier routeur/firewall IPV6 derrière la freebox, mais on perd le réseau wifi de la box du coup !

@chep68
> ... Il serait surtout bon de pouvoir établir des règles de filtrages

Oui, surtout en sortie.

Bloquer le trafic entrant

Tu peux le faire sur chaque PC.

Parce que là, c’est le retour du “tout à poil sur internet”, sans firewall,

Voilà une excellente chose!

Idéalement, l’ouverture des ports/hôtes reste manipulable par UPnP comme en IPV4 sur la freebox.

De l’IGD en IPv6 : tu nous donnes la référence?

Parce que là, il y a la possibilité de mettre un boîtier routeur/firewall IPV6 derrière la freebox

Non, il n’est pas possible de mettre un routeur derrière la box. C’est une vieille demande d’évolution de pouvoir le faire.

@corrector

oui, surtout en sortie
» bloquer le trafic entrant
> oui, “sur chaque PC”
Tout à poil sur Internet
> Excellente chose
1. Tout périphérique IP (à plus forte raison IPV6) n’est pas un PC, et 2) il est souhaitable de pouvoir établir une ligne de défense périmétrique “tout fermé par défaut”, et ce même si les engins savent se défendre. La massification du NAT derrière les box a eu pour effet de bord désirable et bienvenu de bloquer à l’entrée de chaque LAN terminal les difficultés... Et ce alors qu’il était déjà largement possible de “bloquer sur chaque PC”. Défense en profondeur !
2. Non, “tout à poil sur Internet” n’est pas une excellente chose (cf. #1 et citons également le fait que nombres d’entreprises, particulièrement les PME, ne peuvent pas prendre ce risque. La défense périmétrique offerte par un petit “firewall de box” (ex-NAT-qu’on lui a pas donné de règles DNAT) est une bonne chose “par défaut”. Pouvoir lever cette défense si on le veut est une autre excellente chose *si on le veut* (j’arguerais, 1% des cas. Et même moi, j’ai passé l’âge de faire partie de ces 1% des cas, à l’exception d’une ou deux de mes machines, et encore).
De l’IGD en IPv6, tu nous donnes la référence

You’re welcome: http://upnp.org/specs/gw/UPnP-gw-InternetGatewayDevice-v2-Device.pdf pp 18-19. Note l’origine du dernier auteur de ce document.

J’argumenterais que la politque du “tout fermé sauf si l’utilisateur autorise explicitement OU si une commande IGD::AddPinhole() a été émise” est probablement la plus saine pour l’usage de Monsieur-tout-le-monde.

Non, il n’est pas possible de mettre un routeur derrière la box.
Tu peux tout à fait le faire. Ce routeur doit être placé en interposition sur le LAN. Le WLAN est sacrifié et inutilisable (car pas interposable).
Le routeur doit servir sur son dedans du RADV et du DHCPv6 pour bien expliquer “dedans” que c’est lui le point de sortie (le tout sur un sous-ensemble du /Z (/48 ?) donné par Free). Sur son extérieur, il doit “mentir” à la Freebox pour absorber tout le trafic descendant (et le redistribuer en-dedans).
Bref, c’est hyper moche, ça ajoute des latences et ça sacrifie les trois quarts de la freebox, le tout pour un gain proche du nul. Vu les coûts et les emmerdements, bof ...

Depuis le temps, il y a eu des améliorations non ?

Qu'est-ce qui cloche encore ?

Des nouvelles à propos de ce ticket ?

Demande de pare-feu manquant en IPv6 : https://dev.freebox.fr/bugs/task/4110

Demande de reverse DNS en IPv6 : https://dev.freebox.fr/bugs/task/12749

16 avril 2019 à 12:57, le changement : IPv6 par défaut.
https://dev.freebox.fr/blog/?p=5382

"Note additionnelle:

L'IPv6 est délivré aujourd'hui sous forme de tunnel (6RD) au dessus l'IPv4 (dit natif). En raison des évolutions internes de notre réseau, le système va progressivement être inversé, et c'est désormais l'IPv6 qui sera natif, et l'IPv4 délivré sous forme de tunnel.

Pour cette raison, désactiver l'IPv6 complètement sur une Freebox revient à potentiellement diminuer les performances réseaux, donc nous enlevons la possibilité de désactiver celui-ci globalement. Cette fonction avait été introduite il y a plus de 10 ans au même moment que la fonction IPv6 de la Freebox, afin d'éviter les problèmes d'interopérabilité avec les systèmes d'exploitation de l'époque.

Notez qu'il est toujours possible de désactiver l'IPv6 sur le périphérique lui-même."

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing