IPV6 pfSense

Discussions sur le fournisseur Proximus

Modérateurs : Diamond, Barbapapa

IPV6 pfSense

Message par Ech » 30 Déc 2017 23:03

Bonsoir,

Je tente depuis un moment de faire fonctionner mon pfsense derrière la bbox3 en IPV6.
J'ai configuré "du mieux que je peux"
WAN: IPV6: DHCPV6
DHCP6Client:
Sont cochés:
  • Use IPV4 connectivity as parent interface
  • Sent IPV6 prefix Hint
DHCPV6 prefix delegation size: 56
Le reste est par défaut

Pour les interfaces:
IPV6: Track interface
Dans Track ipv6 interface
  • IPV6 Interface: WAN
  • IPV6 prefix id ( un n° de 1 à 5 pour mes interfaces ( LAN, DMZ,...)

dans DHCPv6 server et RA
  • DHCPV6 server: Coché
  • Range: ::1000 à ::2000
  • Prefix delegation size: 56
Ra: Router mode: assisted

Maintenant le soucis:

  • test-ipv6.com me donne 10/10
  • http://ipv6-test.com/ ne répond pas
  • plein de sites ne répondent pas ( le browser pédale et n'affiche pas la page) lesoir.be par exemple...

Quelqu'un a-t-il une idée ?

Un grand merci d'avance
Etienne
Ech
Habitué
Habitué
 
Message(s) : 251
Inscription : 12 Fév 2005 13:47

Re: IPV6 pfSense

Message par starter » 02 Jan 2018 12:28

Une requête NS lookup te donne quoi comme résultat?

1 : Non-authoritative answer:
Name: google.com
Addresses: 172.217.17.78

ou

2: Non-authoritative answer:
Name: google.com
Addresses: 2a00:1450:400e:805::200e
172.217.17.78

Si tu as une réponse comme le "1" , ne cherche pas plus loin , ton serveur DNS ne résout pas en IPv6
Ex Proximus G.Fast tester 500mbps (down) / 50mbps (up)
Avatar de l’utilisateur
starter
Acharné
Acharné
 
Message(s) : 1649
Inscription : 27 Déc 2001 01:00
Localisation : Bruxelles

Re: IPV6 pfSense

Message par Ech » 22 Avr 2018 12:54

Je me réponds à moi-même...

J'ai ajouté les paramètres suivants:

Dans les paramètres de l'interface WAN ( PPPOE)

* MTU: 1480
* MSS:1420

... et ça roule ma poule ! test-ip-v6 10/10 et je surfe bien sur les sites IPV6

Comment j'ai trouvé :

J'ai parcouru plein de site test-ipv6 ( via l'onglet mirrors http://test-ipv6.com/mirrors.html.en_US)

et là j'ai eu certains qui râlaient à cause de

Test IPv6 large packet ok (0.680s) using ipv6

regoogle de ça et je suis tombé sur quelques sites qui parlaient tu MTU [1]... En relisant le post on dirait que le MSS n'est pas nécessaire... je vais investiguer...


[1] https://forum.pfsense.org/index.php?topic=131254.0
Ech
Habitué
Habitué
 
Message(s) : 251
Inscription : 12 Fév 2005 13:47

Re: IPV6 pfSense

Message par Frater » 08 Mars 2019 23:48

Merci pour ce retour d'expérience...

pour ma part, j'ai ajouté les DNS qui me conviennent:

Code : Tout sélectionner
1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001


source:
https://developers.cloudflare.com/1.1.1 ... p-1.1.1.1/

j'ai un petit faible pour ce fournisseur plutot que les serveurs de google, allez savoir pourquoi
Je mets les pieds où je veux... et c'est souvent dans la gueule...
Avatar de l’utilisateur
Frater
Membre
Membre
 
Message(s) : 101
Inscription : 09 Déc 2010 12:22

Re: IPV6 pfSense

Message par shadowking001 » 07 Déc 2019 01:27

Je me permets de remonter ce sujet, j'ai tenté de configurer l'IPv6 sur le WAN et pense y être arrivé :

Image
Image

Par contre comme on peut le voir sur la deuxième image, je n'arrive pas à faire en sorte que mon interface LAN reçoive d'adresse IPv6. Ci-après la configuration de mon interface LAN et DHCPv6 Server :

Image
Image
Image
Image

Pour info j'utilise un préfixe de /52 dans l'interface WAN, j'avais testé 56 et sur un autre sujet on m'a dit de tester avec cette valeur. Pour info dans la BBOX, dans Connectivité Réseau, c'est un préfixe de /56 qui est précisé. Dans les deux cas en tout cas, mon interface LAN n'obtient aucune adresse IPv6.
Avatar de l’utilisateur
shadowking001
Membre
Membre
 
Message(s) : 83
Inscription : 02 Déc 2018 20:13

Re: IPV6 pfSense

Message par shadowking001 » 07 Déc 2019 14:01

Entre temps j'ai réussi à obtenir une IPv6 sur le WAN et le LAN, ça fonctionne cependant à moitié car j'ai des timeout sur de nombreux sites, mais le plus fur est fait, il ne me reste plus qu'à chipoter :)
Avatar de l’utilisateur
shadowking001
Membre
Membre
 
Message(s) : 83
Inscription : 02 Déc 2018 20:13

Re: IPV6 pfSense

Message par titi70 » 07 Déc 2019 14:41

J’ai ai eu exactement le même problème hier en reconfigurant mon MikroTik pour IPv6 (ayant laissé tomber il y a quelques années à cause des préfixes dynamiques et du fait que je suis en double WAN (Proximus + VOO)

J’ ai finalement résolu le problème en ajoutant une règle qui modifie le MSS à 1280 pour IPv6....
titi70
Habitué
Habitué
 
Message(s) : 475
Inscription : 21 Juil 2017 23:30

Re: IPV6 pfSense

Message par mackguil » 07 Déc 2019 16:34

titi70 a écrit : et du fait que je suis en double WAN (Proximus + VOO)


Agrégation via le mikrotik ?
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: IPV6 pfSense

Message par titi70 » 07 Déc 2019 16:58

Load balancing ou routage sélectif en fonction de la source.
titi70
Habitué
Habitué
 
Message(s) : 475
Inscription : 21 Juil 2017 23:30

Re: IPV6 pfSense

Message par shadowking001 » 15 Déc 2020 10:14

Quelques mois après (sans avoir recherché plus que ça), j'ai enfin réussir à avoir une infra IPv6 fonctionnelle derrière pfSense.
Ce qu'il me manquait, par rapport à ce que qu'évoque Ech : Passer la MTU du LAN à 1492, pour s'aligner avec la MTU du WAN en PPPoE qui est à 1492 (8 pour le header PPPoE).

IPv6 utilise le principe du Path MTU Discovery. En gros les routeurs d'un point A à un point B ne fragmentent plus les paquets, mais en amont de l'échange de données, source et destination vérifient la MTU minimale dont ils ont besoin pour communiquer, en vérifiant ce qui se trouve aussi sur le trajet. Puis s'alignent sur la même valeur. Ainsi le travail de fragmentation n'est plus fait par les routeurs mais directement par source et destination.
J'imagine pour réduire la charge des intermédiaires, et probablement dans un but écologique aussi.

En tout cas, visiblement le LAN et le WAN n'arrivaient pas à se mettre d'accord sur mon pare-feu, depuis que j'ai fait ces réglages, je n'ai plus aucun timeout (mon internet est même beaucoup plus fluide qu'avec IPv4 seulement, pour une raison que je ne m'explique pas..) et j'obtiens entre 17 et 19/20 sur ipv6-test.com
Et pas besoin de réduire la MTU et toucher à la MSS, on trouve des articles assez complets sur l'importance de cette valeur, et qu'il vaut mieux, à moins de savoir exactement ce qu'on fait avec, laisser le système la déterminer.

J'ai dû en revanche créer une règle dans le pare-feu qui autorise depuis l'interface WAN les requêtes ICMPv6, vu que l'ICMP fait partie intégrante du bon fonctionnement d'IPv6.
Et sur mon PC WIN10, autoriser dans les règles entrantes du pare-feu, ce qui a trait à ICMPv6 entrant.
Y a sûrement moyen d'améliorer certaines choses, comme restreindre les types d'ICMPv6 autorisés (actuellement j'ai echorep, echoreq, paramprob, timex, toobig et unreach) ou vérifier quelles sont exactement les règles qu'on doit activer sur Windows pour autoriser l'ICMPv6, mais ça donne déjà une base.
Avatar de l’utilisateur
shadowking001
Membre
Membre
 
Message(s) : 83
Inscription : 02 Déc 2018 20:13

Re: IPV6 pfSense

Message par Ech » 21 Déc 2020 21:24

Encore un truc,

Par pure routine j'ai relancé un "test-ipv6.com" ... et paf, 0/10

je vous passe les détails, l'ipv6 ne passait pas au delà de mon pfsense
J'ai du cocher

Do not wait for a RARequired by some ISPs, especially those not using PPPoE

Dans les paramètres DHCPv6 client de mon interface wan pppoe...
Et ça re va..

ça dit qcq chose à qcqun ?
Ech
Habitué
Habitué
 
Message(s) : 251
Inscription : 12 Fév 2005 13:47

Re: IPV6 pfSense

Message par shadowking001 » 26 Déc 2020 16:04

Je ne vois pas pourquoi tu aurais besoin d'utiliser cette option, ce que Proximus te fournit c'est un préfixe de /56.

Pour ma part, j'ai dans la partie DHCP6 de mon interface WAN :

  1. Request a IPv6 prefix/information through the IPv4 connectivity link
  2. Only request an IPv6 prefix, do not request an IPv6 address
  3. Send an IPv6 prefix hint to indicate the desired prefix size for delegation
J'ai une MTU (par défaut, je n'ai rien stipulé dans le champ MTU) de 1500 - 8 pour l'entête PPPoE donc 1492.

Dans mes interface LAN, j'ai :

  1. Track Interface
  2. MTU : 1492
  3. IpV6 Prefix ID : 0,1,2 ... un différent pour chaque interface LAN
On voit bien sur l'exemple le préfixe de /56 (3 x 16 + 8 ) qui termine par da, suivi de 01,02,03, qui correspond aux ID définis dans chaque interface LAN.

Je n'utilise pas le serveur DHCPv6, car les périphériques mobiles pour la plupart ne le prennent pas en compte, ils se configurent par contre correctement par Router Advertisement.

Mon interface WAN récupère une IPv6 que la BBox 3 lui fournit via Router Advertisement, il ne s'agit pas du même préfixe que pfSense va récupérer pour tes réseaux LAN :

Image
Avatar de l’utilisateur
shadowking001
Membre
Membre
 
Message(s) : 83
Inscription : 02 Déc 2018 20:13

Re: IPV6 pfSense

Message par Frater » 27 Nov 2022 00:52

Bonjour/Bonsoir à tous,

je déterre ce sujet, car j'aimerais "évoluer" un peu; tout fonctionne a merveilles et je peux même avoir de l'IPv6 sur différents VLAN/Interfaces.

sur un de mes vlans, j'ai des serveurs (locaux), ils sont accessible en IPv4 sans soucis (IP Statiques) MAIS, ils reçoivent une IPv6 "dynamique" qui change parfois... du coup c'est un peu compliquer quand une application préfère l'IPv6 et a une ancienne IPv6...
j'enregistre mes IP (v4 & v6) dans un serveur DNS local, mais bon... vous voyez le topo.

bref ma question est "comment configurez vous vos serveurs locaux pour qu'ils bénéficient de l'IPv6 (en statique) et pour ensuite enregistrer cette ip dans un DNS local???

j'avoue que je suis un peu perdu avec l'IPv6 et le /56 de Proximus.

d'avance merci
Je mets les pieds où je veux... et c'est souvent dans la gueule...
Avatar de l’utilisateur
Frater
Membre
Membre
 
Message(s) : 101
Inscription : 09 Déc 2010 12:22

Re: IPV6 pfSense

Message par shadowking001 » 13 Déc 2022 13:24

Salut,

En SLAAC, un périphérique bénéficiant d'une connectivité IPv6 a normalement une IPv6 "fixe" puis des temporaires, qu'il utilise pour naviguer sur Internet, ces IPv6 temporaires changeant tous les X.
Tu peux normalement utiliser l'IPv6 fixe.
Sinon tu passes en DHCPv6 au lieu de SLAAC, et tu choisis toi-même l'IP des périphériques, mais attention car Android ne fonctionne pas avec DHCPv6, uniquement SLAAC.
Avatar de l’utilisateur
shadowking001
Membre
Membre
 
Message(s) : 83
Inscription : 02 Déc 2018 20:13

Re: IPV6 pfSense

Message par nickieemp » 09 Mars 2024 11:48

J'ai tout fait. SLAAC partout (WAN et LAN), DHCP comme vous avez dit ave c Track WAN inerface, avec et sans "IPv6 will use the IPv4 connectivity link (PPPoE)". Par contre, pas de RA (j'utilise pi-hole) et pas de DHCP serveur (pi-hole et mon serveur).

Est-ce que qqun pourrait m'envoyer des photos comment faire svp?
Moi je suis toujours comme ça
Image
nickieemp
Nouveau
Nouveau
 
Message(s) : 2
Inscription : 09 Mars 2024 11:35

Re: IPV6 pfSense

Message par max » 09 Mars 2024 14:14

nickieemp a écrit :J'ai tout fait. SLAAC partout (WAN et LAN), DHCP comme vous avez dit ave c Track WAN inerface, avec et sans "IPv6 will use the IPv4 connectivity link (PPPoE)". Par contre, pas de RA (j'utilise pi-hole) et pas de DHCP serveur (pi-hole et mon serveur).



Dans la configuration de l'interface LAN, j'ai ceci:

General Configuration
...
IPv6 Configuration Type: Track Interface
...

Ce qui fait apparaître une sous section plus bas dans la page:

Track IPv6 Interface
...
IPv6 Interface: WAN
...


J'ai déposé un screenshot de la page ici: https://imgur.com/a/bDydMGD
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8847
Inscription : 10 Juin 2001 00:58
Localisation : fr_BE.UTF8@euro

Re: IPV6 pfSense

Message par nickieemp » 09 Mars 2024 17:16

Merci @max,

j'ai la même chose:
https://i.ibb.co/Qr2nYbt/temp0.png

Edit:

Mar 9 19:16:06 dhcp6c 54305 dhcp6c Received REQUEST
Mar 9 19:16:06 dhcp6c 54305 invalid prefix length 64 + 8 + 64


Edit #2:
Solution trouvée
Sur https://192.168.0.1/status_logs.php?logfile=dhcpd on peut trouver les logs de dhcp.
Bah, Avec DHCPv6 Prefix Delegation size 56 sur WAN ça ne marchait pas. Avec 60 non plus. Avec 64... et voilà, ça marche.

Mar 9 18:21:33 dhclient 47604 DHCPDISCOVER on vtnet0 to 255.255.255.255 port 67 interval 16
Mar 9 19:21:34 dhcp6c 35659 Sending Request
Mar 9 19:21:34 dhcp6c 35659 dhcp6c Received REQUEST
Mar 9 19:21:34 dhcp6c 35659 add an address 2a02:578:blah::blah:blah:blah/64 on vtnet1

Je pensait que edpnet donnait des subnets de 56. Pour vous, c'est pareil?

L'idée est venu par ici: https://list.pfsense.narkive.com/icgqkB ... d-mismatch

Pour que ça marche aussi avec pihole, il faut opter pour un RA server en mode Assisted
nickieemp
Nouveau
Nouveau
 
Message(s) : 2
Inscription : 09 Mars 2024 11:35


Retour vers Proximus (Internet)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit