Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Évolution
  • Category Freebox OS → Interface Web
  • Assigned To No-one
  • Operating System Freebox Server V7 (Delta)
  • Severity Medium
  • Priority Very Low
  • Reported Version 4.7.6
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 2
  • Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by Nyxtorm - 09/06/2023
Last edited by Nyxtorm - 10/06/2023

FS#38438 - Filtrage firewall IPv6 et délégation /64

Bonjour,

Le firewall IPv6 de Freebox OS est beaucoup trop limitant.

Il est très bien de pouvoir l’activer ou le désactiver. En revanche, si je l’active, il est aussi actif pour toutes les délégations de préfixes utilisées ce qui n’est pas logique puisque ces préfixes sont censés êtres gérés par un autre pare-feu en aval.

Mon but est d’avoir le pare-feu v6 actif pour les éléments branchés directement au réseau de la Freebox (PiKVM par exemple), et inactif sur certaines de mes délégations utilisées.

Il faudrait pouvoir :

- Avoir le choix d’exclure les délégations quand le pare-feu v6 est actif. Soit automatiquement en vérifiant si le champs “Next hop” contient une valeur, ou encore mieux, manuellement en mettant à disposition une case à cocher “Activer le firewall v6 sur cette délégation” pour permettre le cas par cas.
- Pouvoir créer des règles claires sur le pare-feu v6, mais cela implique plus de développement alors que le premier point est plus simple sur le papier.

Vous pouvez être sûr que celui-là sera enterré avec les préfix /60 lors de votre prochaine évolution de connectivité.

Lors du passage au 10GPON, non seulement je suis passé par la case IPv4 avec 2^14 portes seulement (avant de récupérer l'ensemble des portes en demandant IPv4 fullstack), mais aussi, je suis passé du préfix /60 vers un préfix /64. La délégation reste possible, mais avec une seule délégation du préfix entier. Sous ces conditions, effectivement, on peut configurer un routeur Ipv6 avec une pare-feu digne de ce nom ou bien le filtrage complet (donc pas de services pour l'extérieur) ou pire encore tout ouvert.

Après tous les autres ratés, j'estime que la vrai utilité des VM sur la freebox Delta sera d'y mettre un routeur mieux configurable.

Bonjour pn13008,

Je bénéficie déjà du 10G-EPON, la délégation IPv6 focntionne très bien, ainsi que mon IP v4 full stack. Freebox OS permet d'utiliser un /61 avec 8 délégations /64, même si techniquement, on bénéficierait en réalité d'un /60 sur la ligne.

Deux de ces délégations sont redirigés vers une machine VyOS, mais je ne souhaite pas que le pare-feu v6 de lea Freebox soit effectif sur celles-ci, mais bien sur le préfixe annoncé par la Freebox (le premier dans le cas où il n'est pas délégué à une autre machine).

Hello Nyxroem, la chance d'avoir basculé vers 10G-EPON avant que la politique d'attribution d'addresses a changé (il me semble). J'avais un préfix /60, j'ai maintenant un préfix /64. La délégation de préfix reste toujours possible dans cette situation, mais pour le seul préfix /64. Je n'ai pas essayé, mais je suppose que dans ce cas, la freebox arrête le router advertisement et que le nexthop doit s'en charger. Je trouve radin cette limitation à un seul préfix 64, mais il faut reconnaître que le routage IPv6 est problématique:

- Une véritable délégation (automatique, pas manuelle avec édition de nexthop) de préfix est possible sur le principe avec dhcp6, mais dhcp6 pose des problèmes à des appareils Windows et Androïd.
- Même comme ça, la freebox n'a jamais implémenté cette délégation automatique.

Dernier point,

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing