SFR fibre DMZ et IPV6

Author:

Contexte

Suite à un changement de FAI il m’a fallu refaire toute la configuration IPV6 sur le routeur qui tourne sous OpenWrt.

J’avais précédemment opté pour une configuration avec le routeur en DMZ que j’ai conservée. J’avais suivi les indications de ces pages (https://blog.kulakowski.fr/post/openwrt-derriere-une-freebox-ipv6-dmz-et-bridge et https://openwrt.org/fr/docs/guide-user/network/ipv6/freebox). J’ai essayé d’obtenir une délégation de préfixe mais malgré de nombreux essais cela ne fonctionnait pas correctement, ou tout du moins, ça n’était pas fiable dans le temps. Les clients, pc ou smartphone finissaient par perdre leur connexion en IPv6, car la route n’était plus accessible au bout de quelques heures.

Voici ce que j’ai :

  • Box fibre SFR GR140CG ou GR140DG
  • Routeur sous OpenWrt 21.02.7

J’ai donc opté pour l’option serveur DHCPv6 et SLAAC gérés par la box SFR puis relais du routeur en DMZ.

Je ne garantis en aucun cas que cette configuration est optimale ni même qu’elle fonctionnera chez vous. Je la partage car cela pourrait permettre à certains d’avancer plus vite sur leur configuration IPv6 car je n’ai rien trouvé concernant SFR en DMZ avec IPv6 pour m’appuyer dessus lors de mes nombreux essais.

J’ai volontairement choisi de faire cette publication en utilisant uniquement l’interface web Luci pour la configuration sur OpenWrt plutôt que via SSH.

Prérequis

Une configuration fonctionnelle!

  • LAN avec serveur dhcp activé sur OpenWrt
  • Firewall OpenWrt opérationnel pour IPv6 (paquets ICMP entrants acceptés)
  • WAN avec adresse ipv4 statique
  • les accès avec les droits d’administration

Configuration des routeurs

Box SFR

Premières étapes dans l’interface de configuration de la box SFR.

  1. On s’assure que le filtrage ICMP nécessaire au bon fonctionnement de IPv6 est désactivé
  2. On s’assure que le pare-feu IPv6 est désactivé
  3. On active la DMZ
  4. On indique l’adresse IPv4 (statique) du routeur dans le champ DMZ
  5. Concernant la DMZv6 elle est activée sur la capture d’écran, mais elle n’est pas utile dans cette configuration

Dans la même interface on active SLAAC et serveur DHCP

Par acquis de conscience, on redémarre la box SFR.

Routeur Openwrt en DMZ

On passe ensuite à l’interface du routeur sous Openwrt via Luci.

Adresse WAN

On vérifie que l’interface WAN a bien récupérer l’IP configurée dans la box SFR. Sinon on redémarre le routeur Openwrt et on corrige ce point.

Préfixe local

On s’assure qu’un préfixe local est présent. Sinon on en indique un en utilisant un générateur comme https://unique-local-ipv6.com/ et on le renseigne dans le champs IPv6 ULA-Prefix.

Configuration WAN6

Toujours via Luci dans le routeur Openwrt on indique les paramètres suivants au niveau de l’interface WAN6.

  • Protocole: DHCPv6 client
  • Request IPv6-address: try
  • Request IPv6-prefix of length: Automatic

Ensuite dans l’onglet Advanced Settings, on s’assure d’activer les paramètres suivants

  • Use default gateway
  • IPv6 source routing
  • Delegate IPv6 prefixes
  • IPv6-assignment length: disabled

C’est sans effet avec la configuration IPv6, j’ai choisi d’utiliser des serveurs DNS autres que ceux du FAI, voici les adresses IPv6 paramétrés.
DNS Cloudflare

  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

et OpenDNS

  • 2620:119:35::35
  • 2620:119:53::53

Dans l’onglet DHCP, bien évidement le serveur DHCP ipv4 doit être désactivé)

Dans l’onglet IPv6 Settings, on active les paramètres suivants:

  • Designated master
  • RA-Service : relay mode
  • DHCPv6-Service: relay mode
  • NDP-Proxy: relay mode
  • Learn routes: activé

On passe à l’interface LAN avec les paramètres suivants:

  • Force link: activé
  • Use default gateway: activé
  • Use custom DNS servers:
    • adresse ipv4 du serveur local
    • adresse ipv6 du serveur local
  • Delegate IPv6 Prefixes: activé
  • IPv6 assignment hint: 60

Dans l’onglet DHCP Server, sous onglet IPv6 Settings, comme pour WAN6, on active le relais

  • Designated master
  • RA-Service : relay mode
  • DHCPv6-Service: relay mode
  • NDP-Proxy: relay mode
  • Learn routes: activé
  • NDP-Proxy slave

À partir de là, on peut redémarrer la box, le routeur, puis le pc sur lequel on aura vérifié que la configuration IP est automatique (dhcp) pour les ipv4 et ipv6 lorsque c’est faisable, comme sur Ubuntu.

Vérifications

Il ne reste plus qu’à vérifier que la configuration est ok en visitant au moins un des sites suivants depuis les différentes machines, et systèmes d’exploitation.

C’est ok sous Windows, Ubuntu, Android, IOS et MacOS! 😀

SFR et fausse DMZ – Attention au piège

La DMZ ne fonctionne pas comment elle devrait. Notre routeur Openwrt ne reçoit pas tous les paquets qui arrivent sur la box SFR.

Le support SFR que j’ai contacté à ce sujet m’a indiqué que le fait que certains ports soient bloqués par la box était le fonctionnement normal de leur DMZ. Le support a refusé de me communiquer la liste des ports concernés. Aussi stupide que cela paraisse, il faut ouvrir les ports dont on a besoin à la fois dans l’interface FGW de la box et sur notre routeur Openwrt.

Je pense n’avoir rien oublié, je mettrait l’article à jour si je me rends compte d’erreurs ou d’oublis, bon courage !

Retex après un peu plus d’un mois de 3 mois

Connexion IPv6 HS de temps en temps

Lorsque la connexion IPv6 tombe, les appareils conservent leur adresse IPv6, mais elle n’est plus utilisable. Il semblerait que la route IPv6 soit perdue.

Solution de contournement

J’ai remarqué qu’en sollicitant directement la box SFR via son adresse IPv6 la connexion redevenait fonctionnelle en quelques secondes. J’ai créé une entrée DNS local de type mabox.lan avec son IPv6, que je sollicite via http depuis le navigateur sous Android ou depuis un PC sous Ubuntu, Windows ou MacOS si besoin en mettant l’adresse http://mabox.lan dans les favoris.

Alternative

Sous Android il suffit la plupart du temps de désactiver/réactiver le Wifi pour que ça refonctionne immédiatement.

Sous Ubuntu, il elle revient en lançant un ping de l’adresse IPv6 de ma box SFR
ping -6 2a02:xxxx:xxxx:fd01:xxxx:xxxx:xxxx:xxxx

One thought on “SFR fibre DMZ et IPV6”

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site n'utilise pas de cookies tiers. Pas de publicité, pas non plus de lien avec le suivi des réseaux sociaux. View more
Cookies settings
Accept
Decline
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active
Ohlala... on laisse des traces quand on navigue sur un site, on laisse un commentaire avec son adresse IP quand on veut réagir à un article. Formidable. Je n'ai que faire de ces données! Je ne suis pas une entreprise avide de data! Bref, vos données? JE N'EN FERAI RIEN. Si vous tenez à supprimer celles qui vous concernent, demandez-moi: wordpress[__a_r_o_b_a_s_e__]uncasapart[__p_o_i_n_t__]fr Sinon pour le côté légal, du texte, continuez la lecture ci dessous:

Qui sommes-nous ?

L’adresse de ce site est : http://weblog.uncasapart.fr/

Commentaires

Quand vous laissez un commentaire sur le site, les données inscrites dans le formulaire de commentaire, ainsi que votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour aider à la détection des commentaires indésirables. Une chaine anonymisée créée à partir de votre adresse e-mail (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous téléversez des images sur le site, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les personnes visitant votre site peuvent télécharger et extraire des données de localisation depuis ces images.

Cookies

Si vous déposez un commentaire sur le site, il vous sera proposé d’enregistrer votre nom, adresse e-mail et site dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous vous rendez sur la page de connexion, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Utilisation et transmission de vos données personnelles

Si vous demandez une réinitialisation de votre mot de passe, votre adresse IP sera incluse dans l’e-mail de réinitialisation.

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les comptes qui s’inscrivent sur notre site (le cas échéant), nous stockons également les données personnelles indiquées dans leur profil. Tous les comptes peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur identifiant). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Où vos données sont envoyées

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.
Save settings
Cookies settings