Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Bonjour,
avez-vous essayé de configurer un 'next hop' dans le premier préfix du freebox server? cela devrai arrêter l'annonce ipv6 sur le reseau.

essayer par exemple avec l'adresse link local de la freebox elle même.

Bonjour
Ce n est pas dhcpv6 sui configure les ipv6 sur votre réseau mais SLAAC :
Stateless Adress Au

SLAAC :
StateLess Adress AutoConfiguration

Dhcpv6 ne sert qu à transmettre les dns.

Les RA sont envoyer sur sollicitation des RS.

Installez radvdump sur une machine linux et vois verrez que le préfixe est transmis sur le lien local par la box sans intervention de dhcpv6.
Dhcpv6 n est la que pour transmettre les dns pour les machines qui n autoconfigurent pas la gateway comme dns en utilisant SLAAC.
Comme précédemment expliquer SLAAC ne transmet pas d info concernant les dns .

Aujourd'hui, pour désactiver l ipv6 sur la box, il faut TARPIT les pkg ipv6 (ajout d un next hop inexistant pour tous les subnets ou mettre l ip lien local de la box comme next hop .

Votre choix est cependant surprenant, il devient aujourd'hui difficile de bypass l ipv6. A terme, ce sera impossible.

Je vous recommande d acheter un firewall et de le mettre en next hop pour tous les subnets et de le configurer pour qu ils route et filtre l ipv6 sur votre réseau pour toutes les machines.

Cordialement
nbanba

David et Nicolas, je vais essayer de ce pas la solution du next hop !

Nicolas, votre remarque est surprenante.
Je ne pense pas qu'IPv4 est destiné à mourir, du moins en LAN.
Tous les réseaux LAN fonctionnent très bien sans IPv6 : cette nouvelle version est apparue suite à la pénurie d'adresses publiques (et non privées), c'est la conséquence directe de l'augmentation du nombre d'objets connectés.
Il existe des paramétrages NAT permettant d'avoir une IPv6 publique et un réseau LAN IPv4...

De plus, je sais que le "best practice" est de ne pas désactiver IPv6.
Cisco a publié un billet là-dessus :
Disable IPv6: Don’t do it!
Some people connecting to dual-stacked sites notice connection delays that will disappear once IPv6 is disabled. This can only happen if the IPv6 path has some kind of problem which causes the IPv6 connection to time out before falling back to IPv4. If this occurs, use a tool like traceroute to check the IPv6 path integrity. Vary the packet size of the traceroute to look for path MTU problems. If the source or destination IPv6 address starts with a “2002:” There may be a malfunctioning functioning 6to4 gateway managed by a third party in your path.

J'estime que c'est donc à Free de comprendre pourquoi les débits sont moins bons sur leurs réseaux, mais en attendant j'ai choisi d'avoir la fibre pour avoir un bon débit UP...

La solution du next hop "factice" marche, d'après ipv6-test.com je reste bien en IPv4.
Merci à vous deux pour vos explications !

Il faut juste configurer un nexthop dans le premier sous-reseau (ex: fe80::2 ), la freebox ne diffuse que ce sous-reseau dans le réseau local quand il n'est pas configuré. Lui mettre un nexthop va arrêter la diffusion du sous reseau ipv6 et de la config DNS v6 sur le réseau local.

Bonjour,

Pas de soucis, c'est toujours avec plaisir !! comme FREE ne répond pas (même JAMAIS), il faut bien que quelqu'un aide les Freenautes

cordialement,
nbanba

Bonjour Paul,

Ce que vous citez parle des adresses 6to4 (plage 2002::/16 ) , une plage d'adresse faite pour la transition d'ipv4 vers IPv6 et l'acheminement d'IPV4 sur IPV6
(encodage de l'adresse v4 dans l'adresse v6 comme montré sur cette image de wikipedia :

Le but d'IPv6 est non seulement de combler le manque d'adresses IPv4 sur internet, mais a terme de pouvoir totalement supplanter IPv4

Pour faire simple :
Les 3 classes d'adresses IPv6 et les processus correspondants ont été mis en place (je passe les adresses loopback et multicast) :
-1) fe80::/10 = link local (non routable) : adresse de communication avec les autres machines du même segment réseau, sert a la configuration et a l'administration (RS / RA ...)

-2) fd00::/8 = la moitiée de la classe Unique Local Adress (ULA) fc00::/7 , classe d'IP assignées pour créer des adresses IPv6 locales (à l'instar de 10/8 en v4), mais avec un avantage de taille : si on respecte les RFC pour l'attribution des 40 bits suivant les 8 premiers bits, la probabilité d'unicité de l'adresse local dans le monde est très très forte ce qui est très partique quand on monte des VPN avec des partenaires ou que l'on fusionne des SI après des rachats de boites, cela évite de reprendre l'historique (et le code des appli developpé maison) pour refaire tout ou partie du plan d'adressage etc...
Ces adresses sont routables au sein d'un réseau privé .
Ces adresses ont pour vocation de remplacer les adresses locales d'IPv4 type 10/8 , 172.16/12 et 192.168/16 .
A terme, les réseaux locaux IPv4 seront remplacés par des adresses ULA de la classe fd00::/8

Ces adresses sont déjà en "production" sur votre réseau local derrière la Freebox , car la freebox utilise l'adresse : fd0f:ee:b0::1 comme adresse local

-3) 2000::/3 = Global Unicast Address (GUA) : l'ensemble des adresses routables sur internet dont les blocs /60 que nous assigne Free et commençant par 2a01:e0
Il faut bien noter que contrairement a ce que l'on essaye de nous faire croire, tout n'a pas vocation a avoir une adresse IPv6 de cette classe (donc une ip public accessible sur internet) et IPv6 ne cherche pas a être un seule réseau connectant tous les devices du monde sur internet, et IPv6 ne retire pas les mécanismes de réseau privé / réseau public actuellement en place avec IPv4 . Il faut juste les implémenter en utilisant des adresses de la bonne classe et en se souvenant que chaque interface doit avoir plusieurs IPv6 ( link local + 1 ULA + 1 GUA éventuellement , on peut remplacer 1 par N )

Concernant les performances, il faut être certain que celles-ci ne sont pas liés a vos équipements : La majeur partie des devices n'ont pas étés conçu pour utiliser nativement IPv6 et les ASIC intégrés dans les équipements ne sont pas design pour IPv6 .
Cependant, depuis 2013, les constructeurs d'équipement réseau professionnels se sont mis a rajouter des NPU ou des puces faibles précisions spécialisées dans le routage d'IPv6, mais ce n'est pas encore toujours le cas dans le matériel grand public

Le réseau FREE étant en IPv6 natif, j'ai du mal a croire que le problème de performance vienne de l'architecture du réseau.
Vous devez traverser un équipement qui n'a pas été conçu pour router IPv6 ou vous faite du TEREDO ou du 6to4, etc...
Votre PC / NAS a t'il lui même les mêmes performances en IPv6 qu'en IPv4 ?

Avez vous testés en lançant des téléchargements depuis le gestionnaire de la box vers des adresses IPv6 du réseau FREE ? (le résultat serait intéressante et permettrait de voir si de votre box a un autre point du réseau FREE, les performances sont équivalentes a IPv4

Ensuite, il ne faut pas non plus croire à la magie, router des flux a 10g/s que ce soit en ipv6 ou en ipv4, cela demande des ressources IMPORTANTES , surtout quand on n'utilise du matériel généric et non des NPU / ASIC spécialisés .

Cordialement,
nbanba

Bonjour,

Je repensais a votre problème de performance.
En y réfléchissant de nouveaux, je pense que votre problème de performance en IPv6 n'est pas lié au réseau Free ni a son architecture ipv6 native.
Je m'explique:
Actuellement, le réseau étant en IPv6 natif, le traffic IPv4 est encapsulé dans des paquets IPv6 pour être acheminé au sein du réseau Free, puis a l'extérieur.
Si vous avez de bonnes performances en IPv4, c'est que nécessairement celles en IPv6 au sein du réseau Free sont bonnes également, car en fait ce sont des paquets IPv6 qui circulent sur le réseau Free et qui portent vos paquets IPv4.

Le problème de performance peut provenir soit d'un des équipement que vous traversez hors du réseau Free ou d'un problème de peering en IPv6 entre Free et la destination finale.
Il est cependant plus probable que cela vienne d'un équipement externe a Free (chez un des opérateur de transit) qui aurait de bonnes performances en IPv4, mais pas en IPv6 ou qui modifirait le peering pour le transit IPv6 vers des lignes saturés ou sous dimentionnées.

cordialement,
nbanba

Par ailleurs, après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

Note : Pare-feu IPv6 activé, DHCPv6 désactivé, et DNS IPv6 désactivé.

@neustra..: le firewall n'empeche pas ipv6, c'est le fonctionnement normal.
voir plus haut la bidouille pour stopper la diffusion ipv6 (il faut aussi que dhcpv6 ne soit pas actif) ou voir screencast: https://youtu.be/BcjpMHtU3N8
mais avec le firewall, il n'y a plus de problème de sécurité à activer ipv6.

Avez-vous demandé une IPv6 pour votre ou vos players ou bien d'autres équipements ?
Personne non.
Équipements IPv4/MAC Binding ont toujours une IPv6 comme par magie, pare-feu IPv6 activé, DHCPv6 désactivé et DNS IPv6 désactivé.
C'est donc illogique.

J'avais bien demandé l'activation IPv6 à l'époque de la freebox HD.
Mais depuis IPv6 fait partie de la demande d'accès internet. C'est pas de la magie. Pourquoi voulez-vous désactiver IPv6 maintenant que la freebox dispose du firewall ipv6 ?

Je reviens sur ce ticket pour vous répondre, David : comme dit plus haut, je me retrouve avec des débits Up/Down extrêmement meilleurs sans IPv6.
Je ne connais pas la raison, mais puisque j'ai décidé de faire installer la fibre afin d'avoir les 1Gbits/s UP et 600Mbits/s DOWN prévus par Free, je ne souhaite pas être restreint par cette technologie.
Je passerai volontiers à IPv6 lorsque les architectures Internet (opérateur, backbone et client final) auront la capacité de faire monter les débits au même point qu'IPv4.

Neustradamus, je confirme qu'en effectuant la manipulation expliquée par David et Nicolas, les équipements en LAN ne sont plus connectés en IPv6.

Bonjour

Non ce n est pas illogique :
L ipv6, contrairement à l ipv4 à été conçu avec des mécanismes d autoconfiguration.
Avec le firewall activé, le 1er /64 est annoncé par la box sur le réseau local et la box envoi des "ra" sur le link-local .
Les systèmes récents s autoconfigurent en utilisant SLAAC suite à la réception des "ra" sur leur adresse link-local. Ils prennent donc une ipv6 sur le 1er /64 , car il est annoncé par la box sur le réseau local.
Avec le blocage des flux entrants, je ne vois pas trop pourquoi tenter de désactiver ipv6.
Après, ce que j attends de FREE concernant me firewall ipv6, c est d étoffer l interface en permettant de faire des règles de firewalling en ipv6 .
Il faudrait aussi rajouter les subnets /64 de 8 à f dans la page ou on peut spécifier les next hop.

Cordialement
nbanba

Bonjour,

J'utlise un service de streaming qui n'est pas compatible avec IPv6. J'ai essayé les solutions au-dessus, sans succès (mais je ne suis pas pointu en réseau).
Bilan, j'ai opté pour une solution radicale pour basculer en IPv4 : Site Free>Espace abonné>Ma Freebox>Demander une adresse IP fixe V4 full-stack.

La bascule vers IPv4 se fait en 30 minutes (avec reboot du Freebox Server au bout de 30 minutes). Ne pas oublier de supprimer les paramètres firewall, nexthop, etc...

Bon, maintenant, tout marche. Pas glorieux mais efficace.