Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 999-archives:tcp-ip:020tcp6ip:910_bonus_revolution [le 30/05/2025 à 13:47] – supprimée - modification externe (Date inconnue) 127.0.0.1
+++ 999-archives:tcp-ip:020tcp6ip:910_bonus_revolution [le 30/05/2025 à 13:47] (Version actuelle) – ↷ Page déplacée de 040-adresses:001-archives:020tcp6ip:910_bonus_revolution à 999-archives:tcp-ip:020tcp6ip:910_bonus_revolution prof
@@ Ligne 1: / Ligne 1: @@
+====== Il était une fois... ======
+===== La Freebox «Révolution» =====
+{{ 060-ipv6:revolution.png?300| Les 8 sous-réseaux}} Avec ses 2<sup>3</sup> sous-réseaux /64 (Pourquoi pas 2<sup>4</sup> tant qu'on y était ?)...
+Cette page, accessible dans Freebox OS à partir du mode avancé des paramètres de la Freebox, au chapitre «Configuration IPv6» permet de définir un «next hop» pour chaque sous-réseau supplémentaire. L'adresse indiquée est de type lien local et correspond à l'interface du routeur situé dans le sous-réseau de base (le premier de la liste). Il faut naturellement ajouter un ou plusieurs routeurs dans notre structure.
+Nous allons exploiter deux sous-réseaux supplémentaires.
+<html><div style="clear:right"></div></html>
+====== La manip pour les Geeks ======
+Voici ce que nous allons faire:
+{{ 060-ipv6:geek1.png?800 |usine}}
+Pourquoi pour les Geeks ?
+Parce-qu'à priori, un tel montage ne devrait pas vraiment être utile au particulier et que le professionnel disposera probablement d'autre chose qu'une Freebox pour se connecter à l'internet. Donc la seule véritable utilité de ce montage est d'aider à comprendre comment tout ceci fonctionne. Merci tout de même aux concepteurs de la Freebox de nous permettre ce genre d'amusement.
+  * dans le sous-réseau de base, directement servi par la Freebox, nous avons:
+    * un serveur «ns1» qui nous sert de DNS-qui-ne-ment-pas pour nos recherches récursives et qui peut éventuellement gérer des domaines ou sous-domaines intranet. Il a aussi quelques autres fonctions, mais qui ne nous intéressent pas ici;
+    * un «routeur1» qui a un pied dans le sous-réseau de base et un pied dans chaque sous-réseau supplémentaire;
+    * ce qu'il peut y avoir de plus dans ce sous-réseau ne concerne pas cette étude;
+  * dans chaque sous-réseau supplémentaire, nous placerons une machine, surtout pour vérifier que notre routeur interne est bien construit.
+===== Sur la Freebox =====
+Il faut indiquer le routeur suivant (next hop) qui sera utilisé pour chaque sous-réseau que l'on désire exploiter, ici ''2a01:e35:2f35:d1::/64'' et ''2a01:e35:2f35:d2::/64''. Il doit être identifié par l'adresse de lien local dont il dispose dans le sous-réseau servi par la Freebox ''2a01:e35:2f35:d0::/64''.
+Dans notre cas, comme c'est le même routeur qui va se taper le travail, le «next-hop» est le même dans les deux cas.
+Du côté de la Freebox, il n'y a rien de plus à faire.
+===== Sur le routeur =====
+Le routeur est une machine Debian Jessie et là, pour faire quelque chose qui aille bien, il va y avoir un peu de travail. Comme c'est ici IPv6 qui nous intéresse, nous n'aurons pas à nous occuper d'une quelconque configuration IPv4.
+==== Sois un routeur ! ====
+En v6 comme en v4, le kernel ne routera pas par défaut. Il faut agir en dé-commentant dans ''/etc/sysctl.conf'' la ligne:
+<code>net.ipv6.conf.all.forwarding=1</code>
+et rendre actif tout de suite:
+<code>sysctl -p</code>
+==== Les interfaces Ethernet ====
+Nous considérons ceci:
+  * eth0 sur 2a01:e35:2f35:d0::/54 en configuration automatique sans état (auto-configuration);
+  * eth1 sur 2a01:e35:2f35:d1::/64 en configuration manuelle, avec l'adresse 2a01:e35:2f35:d1::1/64;
+  * eth2 sur 2a01:e35:2f35:d2::/64 en configuration manuelle, avec l'adresse 2a01:e35:2f35:d2::1/64.
+En ce qui concerne les adresses de lien local, il n'y a pas de mystère, elle seront auto-configurées dans fe80::/64 avec un jeton calculé en mode EUI-64.
+Ceci nous donne le fichier ''/etc/network/interfaces'' suivant:
+<code>
+auto lo
+iface lo inet loopback
+iface eth0 inet6 auto
+auto eth1
+iface eth1 inet6 static
+	address 2a01:e35:2f35:d1::1/64
+auto eth2
+iface eth2 inet6 static
+        address 2a01:e35:2f35:d2::1/64
+</code>
+Après démarrage du routeur nous devons avoir sur les interfaces:
+<html>
+<pre class="code">
+<b>ifconfig</b>
+eth0      Link encap:Ethernet  HWaddr 00:16:3e:0d:fd:42
+          <span class="hly">adr inet6: fe80::216:3eff:fe0d:fd42/64 Scope:Lien</span>
+          <span class="hlg">adr inet6: 2a01:e35:2f35:d0:216:3eff:fe0d:fd42/64 Scope:Global</span>
+          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
+          RX packets:2510 errors:0 dropped:0 overruns:0 frame:0
+          TX packets:157 errors:0 dropped:0 overruns:0 carrier:0
+          collisions:0 lg file transmission:1000
+          RX bytes:285413 (278.7 KiB)  TX bytes:12180 (11.8 KiB)
+eth1      Link encap:Ethernet  HWaddr 00:16:3e:0d:fd:41
+          <span class="hly">adr inet6: fe80::216:3eff:fe0d:fd41/64 Scope:Lien</span>
+          <span class="hlg">adr inet6: 2a01:e35:2f35:d1::1/64 Scope:Global</span>
+          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
+          RX packets:73 errors:0 dropped:0 overruns:0 frame:0
+          TX packets:266 errors:0 dropped:0 overruns:0 carrier:0
+          collisions:0 lg file transmission:1000
+          RX bytes:10893 (10.6 KiB)  TX bytes:45488 (44.4 KiB)
+eth2      Link encap:Ethernet  HWaddr 00:16:3e:0d:fd:40
+          <span class="hly">adr inet6: fe80::216:3eff:fe0d:fd40/64 Scope:Lien</span>
+          <span class="hlg">adr inet6: 2a01:e35:2f35:d2::1/64 Scope:Global</span>
+          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
+          RX packets:79 errors:0 dropped:0 overruns:0 frame:0
+          TX packets:266 errors:0 dropped:0 overruns:0 carrier:0
+          collisions:0 lg file transmission:1000
+          RX bytes:11361 (11.0 KiB)  TX bytes:45676 (44.6 KiB)
+lo        Link encap:Boucle locale
+          inet adr:127.0.0.1  Masque:255.0.0.0
+          adr inet6: ::1/128 Scope:Hôte
+          UP LOOPBACK RUNNING  MTU:65536  Metric:1
+          RX packets:56 errors:0 dropped:0 overruns:0 frame:0
+          TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
+          collisions:0 lg file transmission:0
+          RX bytes:3582 (3.4 KiB)  TX bytes:3582 (3.4 KiB)
+</pre></html>
+et si l'on recherche les routes:
+<html><pre class="code">
+<b>ip -6 route ls</b>
+a01:e35:2f35:d0::/64 dev eth0  proto kernel  metric 256  expires 86091sec mtu 1480
+a01:e35:2f35:d1::/64 dev eth1  proto kernel  metric 256
+a01:e35:2f35:d2::/64 dev eth2  proto kernel  metric 256
+fe80::/64 dev eth0  proto kernel  metric 256  mtu 1480
+fe80::/64 dev eth1  proto kernel  metric 256
+fe80::/64 dev eth2  proto kernel  metric 256
+<span class="hly">default via fe80::1e7e:e5ff:fe26:5451 dev eth0  proto ra  metric 1024  expires 1491sec hoplimit 64</span>
+</pre></html>
+La route par défaut pointe sur l'adresse de lien local de la Freebox. C'est normal, nous savons que ce sont ICMP6 et NDP les responsables et la Freebox qui envoie les bonnes réponses.
+Le problème c'est qu'il faudra s'arranger pour que tout ceci fonctionne aussi sur les deux autres sous-réseaux. De ce côté là c'est notre routeur qui va devoir fournir les bonnes réponses.
+==== Un proxy DNS ====
+C'est certes du luxe, puisque nous avons déjà un serveur DNS qui nous donne entière satisfaction, mais tout de même, sa présence nous rendra la vie un peu plus simple, surtout si nous désirons installer par la suite un pare-feu sur notre routeur.
+''dnsmasq'' fera l'affaire et nous allons lui dire d'interroger notre serveur ''ns1''. Dans un tel cas, le fichier ''/etc/dnsmasq.conf'' sera d'une extrême simplicité, ne contenant qu'une seule ligne:
+  server=2a01:e35:2f35:d0:22cf:30ff:feb5:efe9
+Après avoir relancé le service, il devrait être opérationnel.
+==== Le «Router ADVertisement Daemon» ====
+Il s'agit de la pièce principale, celle qui va permettre à notre routeur d’envoyer les bonnes répondes aux requêtes ICMP6 des futurs clients. Il faut installer le paquet «radvd» dont la description est tout-à-fait explicite:
+//Description : //
+//Démon d'information de routeur
+ IPv6 a beaucoup plus de capacité pour l'auto-configuration que IPv4. Mais pour que cette auto-configuration fonctionne sur les hôtes
+ d'un réseau, les routeurs du réseau local doivent exécuter un programme qui répond aux requêtes d'auto-configuration émises par les
+ hôtes. //
+// Sur Linux, ce programme est appelé radvd, qui signifie « Router ADVertisement Daemon », démon d'information de routeur. Ce démon
+ écoute les sollicitations de routeurs (RS, « router solicitations ») et répond par des informations de routeur (RA, « routeur
+ advertisement »). De plus, des RA non sollicitées sont émises de temps en temps.//
+L'installer, c'est facile ; le configurer est un peu plus complexe. Voici le fichier une fois mis au point:
+<html><pre class="code">
+<span class="hly">interface eth1</span> {
+       AdvSendAdvert on;
+       MaxRtrAdvInterval 60;
+       prefix 2a01:e35:2f35:d1::/64
+       {
+               AdvAutonomous on;
+       };
+       	RDNSS 2a01:e35:2f35:d1::1 2a01:e35:2f35:d0:22cf:30ff:feb5:efe9
+       	{
+               	AdvRDNSSLifetime 120;
+       	};
+       	DNSSL mondomaine.local
+       	{
+               	AdvDNSSLLifetime 120;
+       	};
+};
+<span class="hlg">interface eth2</span> {
+       AdvSendAdvert on;
+       MaxRtrAdvInterval 60;
+       prefix 2a01:e35:2f35:d2::/64
+       {
+               AdvAutonomous on;
+       };
+        RDNSS 2a01:e35:2f35:d2::1 2a01:e35:2f35:d0:22cf:30ff:feb5:efe9
+        {
+                AdvRDNSSLifetime 120;
+        };
+        DNSSL mondomaine.local
+        {
+                AdvDNSSLLifetime 120;
+        };
+};
+</pre></html>
+La première chose à constater, c'est que les paragraphes concernant les deux interfaces ''eth1'' et ''eth2'' sont structurellement identiques. Reste à en déchiffrer la syntaxe:
+  * ''AdvSendAdvert'' indique si oui ou non le routeur doit envoyer des annonces et répondre aux sollicitations;
+  * ''MaxRtrAdvInterval'' indique la durée maximale entre deux annonces multicast non sollicitées;
+  * ''prefix'' là c'est facile: c'est le préfixe annoncé pour le sous-réseau concerné;
+    * ''AdvAutonomous'' indique si l'auto-configuration est autorisée ou pas (utile dans le cas où l'on utiliserait des configurations «stateful» manuelles ou par DHCP);
+  * ''RDNSS'' annonce d'une ou plusieurs adresses de serveurs DNS récursifs;
+    * ''AdvRDNSSLifetime'' indique la durée pendant laquelle on peut utiliser le ou les serveurs annoncés;
+  * DNSSL annonce le ou les noms de domaines à utiliser par défaut dans les recherches DNS, si le domaine n'est pas indiqué dans la requête;
+    * ''AdvDNSSLLifetime'' indique la durée pendant laquelle on peut utiliser le ou les noms de domaine annoncés.
+Nous aurions en réalité pu écrire un fichier plus simple, ''AdvAutonomous'' étant à ''on'' par défaut, ''MaxRtrAdvInterval'' étant initialisé par défaut à 600 secondes (ce qui est peut-être beaucoup), ''AdvRDNSSLifetime'' et ''AdvDNSSLLifetime'' étant par défaut initialisés à 2 x ''MaxRtrAdvInterval''.
+Du côté du routeur, tout est normalement en ordre. Il faut juste s'assurer que le service radvd est bien actif et en fonctionnement:
+  service radvd status
+===== Les clients =====
+pour tester le tout, nous ajoutons deux nouveaux nœuds comme ceci:
+{{ 060-ipv6:geek2.png?800 |Montage final}}
+Les nœuds ''host1'' et ''host2'' sont des machines Debian Jessie, sans configuration particulière, leur fichier ''/etc/network/interfaces'' contient ceci:
+<code>
+auto lo
+iface lo inet loopback
+auto eth0
+iface eth0 inet6 auto
+</code>
+==== Divination ====
+Nous connaissons:
+  * l'adresse MAC de chacun de ces nœuds;
+  * le préfixe IPv6 normalement attribué à chacun d'eux.
+Nous allons deviner leurs adresses IPv6.
+=== Pour host1 ===
+Dispose de l'adresse MAC ''00:16:3e:28:5c:d2'' que nous allons convertir au format EUI-64:
+<html><pre class="code">
+ipv6calc --action geneui64 --in mac  --out eui64 00:16:3e:28:5c:d2
+<span class="hly">216:3eff:fe28:5cd2</span>
+</pre></html>
+Le préfixe de sons sous-réseau étant ''2a01:e35:2f35:d1::/64'', bous pouvons en conclure que:
+  * son adresse de «scope link» sera ''fe80::216:3eff:fe28:5cd2'';
+  * son adresse de «scope global» auto-configurée sera ''2a01:e35:2f35:d1:216:3eff:fe28:5cd2''.
+=== Pour host2 ===
+  * adresse MAC : ''00:16:3e:f4:67:75'';
+  * convertie EUI-64 : ''216:3eff:fef4:6775'';
+  * préfixe : ''2a01:e35:2f35:d2::/64''.
+Donc:
+  * adresse «link» : ''fe80::216:3eff:fef4:6775'';
+  * adresse globale : ''2a01:e35:2f35:d2:216:3eff:fef4:6775''.
+==== Vérifications ====
+=== Sur host1 ===
+Pour les adresses:
+<html><pre class="code">
+<b>ifconfig eth0</b>
+eth0      Link encap:Ethernet  HWaddr 00:16:3e:28:5c:d2
+          adr inet6: <span class="hly">2a01:e35:2f35:d1:216:3eff:fe28:5cd2/64 Scope:Global</span>
+          adr inet6: <span class="hlg">fe80::216:3eff:fe28:5cd2/64 Scope:Lien</span>
+          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
+          RX packets:103 errors:0 dropped:0 overruns:0 frame:0
+          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
+          collisions:0 lg file transmission:1000
+          RX bytes:17433 (17.0 KiB)  TX bytes:806 (806.0 B)
+</pre></html>
+Pour les routes:
+<html><pre class="code">
+<b>ip -6 route ls</b>
+a01:e35:2f35:d1::/64 dev eth0  proto kernel  metric 256  expires 86379sec
+fe80::/64 dev eth0  proto kernel  metric 256
+<span class="hlb">default via fe80::216:3eff:fe0d:fd41 dev eth0  proto ra  metric 1024  expires 159sec hoplimit 64</span>
+</pre></html>
+Comme d'habitude, la route par défaut est indiquée par une adresse de scope «link».
+Et tout ceci est obtenu par la découverte du voisinage qui est automatiquement menée au démarrage du nœud, mais que l'on peut forcer manuellement:
+<html><pre class="code">
+<b>rdisc6 eth0</b>
+Solicitation de ff02::2 (ff02::2) sur eth0...
+Limite de saut (TTL)      :           64 (      0x40)
+Conf. d’adresse par DHCP  :          Non
+Autres réglages par DHCP  :          Non
+Préférence du routeur     :        moyen
+Durée de vie du routeur   :          180 (0x000000b4) secondes
+Temps d’atteinte          :  non indiqué (0x00000000)
+Temps de retransmission   :  non indiqué (0x00000000)
+<span class="hly"> Préfixe                  : 2a01:e35:2f35:d1::/64</span>
+  Durée de validité       :        86400 (0x00015180) secondes
+  Durée de préférence     :        14400 (0x00003840) secondes
+<span class="hlg"> Serveur DNS récursif     : 2a01:e35:2f35:d1::1
+ Serveur DNS récursif     : 2a01:e35:2f35:d0:22cf:30ff:feb5:efe9
+  Validité des serveurs   :          120 (0x00000078) secondes</span>
+ Adresse source de lien   : 00:16:3E:0D:FD:41
+ de fe80::216:3eff:fe0d:fd41
+</pre></html>
+=== Sur host2 ===
+Pas la peine de tout détailler, si ça fonctionne pour host1, ça fonctionne aussi pour host2. Il va tout de même apparaître comme un défaut dans les recherches DNS:
+<html><pre class="code">
+<b>host irp.nain-t.net</b>
+<span class="bhln">;; connection timed out; no servers could be reached</span>
+</pre></html>
+La résolution ne se fait pas, aucun serveur ne peut-être atteint ! Pourtant nous savons que NBD fait son travail et annonce deux serveurs DNS...
+Sachant que sur Debian, les serveurs DNS sont référencés dans le fichier ''/etc/resolv.conf'', nous pouvons constater que son contenu est vide ou inadapté. Quelque chose quelque-part ne fait pas son travail sur ''host2'' puisque l'on sait que ''routeur1'' annonce bien les DNS.
+En réalité, il manque probablement le service spécialisé qui doit récupérer l'annonce DNS et la consigner dans ''/etc/resolv.conf''.
+==== Le service "rdnssd" ====
+<html><pre class="code">
+<b>aptitude show rdnssd</b>
+Paquet : rdnssd
+<span class="hly">État: non installé</span>
+Version : 1.0.1-1+b1
+Priorité : optionnel
+Section : net
+Responsable : Rémi Denis-Courmont <remi@remlab.net>
+Architecture : amd64
+Taille décompressée : 111 k
+Dépend: libc6 (>= 2.4)
+Pré-dépend: adduser
+Recommande: resolvconf
+Suggère: ndisc6
+<span class="bhly">Description : IPv6 recursive DNS server discovery daemon
+ rdnssd autoconfigures recursive DNS servers on IPv6 networks using ICMPv6 Neighbor Discovery (RFC 5006), and can update the DNS
+ resolvers configuration (/etc/resolv.conf) accordingly.</span>
+</pre></html>
+C'est exactement ce qu'il nous faut et ce n'est pas installé. Ce paquet recommande ''resolvconf'' qui n'est pas forcément utile. Pour montrer ici qu'il ne l'est pas :
+  aptitude install -R rdnssd
+Bien entendu, il faut s'arranger pour joindre le dépôt Debian indiqué dans ''/etc/apt/sources.list'' sans disposer d'une résolution de nom facilement fonctionnelle. Cette page s'adressant à des geeks, je ne vais pas leur faire l'injure de leur dire comment faire.
+Après résolution de la résolution des noms et installation du paquet, un:
+  rdisc6 eth0
+devrait permettre à ''rdnssd'' de mettre à jour le ''resolv.conf''
+===== Et ça marche ? =====
+Ping depuis ''host1'' sur ''host2'':
+<html><pre class="code">
+<b>ping6 -c2 2a01:e35:2f35:d2:216:3eff:fef4:6775</b>
+PING 2a01:e35:2f35:d2:216:3eff:fef4:6775(2a01:e35:2f35:d2:216:3eff:fef4:6775) 56 data bytes
+bytes from 2a01:e35:2f35:d1:216:3eff:fef4:6775: icmp_seq=1 ttl=63 time=0.272 ms
+bytes from 2a01:e35:2f35:d1:216:3eff:fef4:6775: icmp_seq=2 ttl=63 time=0.057 ms
+--- 2a01:e35:2f35:d2:216:3eff:fef4:6775 ping statistics ---
+packets transmitted, 2 received, 0% packet loss, time 1000ms
+rtt min/avg/max/mdev = 0.057/0.164/0.272/0.108 ms
+</pre></html>
+Résolution d'un nom:
+<html><pre class="code">
+<b>host orange.kame.net</b>
+orange.kame.net has address 203.178.141.194
+orange.kame.net has IPv6 address 2001:200:dff:fff1:216:3eff:feb1:44d7
+</pre></html>
+Itinéraire:
+<html><pre class="code">
+<b>tcptraceroute6 orange.kame.net</b>
+traceroute vers orange.kame.net (2001:200:dff:fff1:216:3eff:feb1:44d7) de 2a01:e35:2f35:d1:216:3eff:fe28:5cd2, port 80, du port 64543, 30 sauts max, 60 octets/paquet
+  <span class="hly">2a01:e35:2f35:d1::1</span> (2a01:e35:2f35:d1::1)  0.004 ms  0.025 ms  0.041 ms
+  <span class="hlg">2a01:e35:2f35:d0::1</span> (2a01:e35:2f35:d0::1)  0.288 ms  0.164 ms  0.172 ms
+  2a01:e00:18::1d (2a01:e00:18::1d)  37.031 ms  37.057 ms  36.868 ms
+  2a01:e00:18::e (2a01:e00:18::e)  36.112 ms  35.897 ms  36.726 ms
+  be4204.ccr21.par04.atlas.cogentco.com (2001:978:2:1b::49:1)  37.531 ms  36.080 ms  35.438 ms
+  2001:978:3::42 (2001:978:3::42)  37.024 ms  36.371 ms  34.800 ms
+  ae-5.r02.parsfr02.fr.bb.gin.ntt.net (2001:728:0:2000::32)  37.324 ms  35.706 ms  35.623 ms
+  ae-5.r22.amstnl02.nl.bb.gin.ntt.net (2001:728:0:2000::1e5)  47.771 ms  46.928 ms  47.206 ms
+  ae-3.r25.tokyjp05.jp.bb.gin.ntt.net (2001:728:0:2000::85)  297.523 ms  297.033 ms  296.494 ms
+  ae-2.r01.tokyjp01.jp.bb.gin.ntt.net (2001:218:0:2000::206)  302.882 ms  301.637 ms  300.998 ms
+  ge-0-7-0-18.r01.tokyjp01.jp.ce.gin.ntt.net (2001:218:2000:5000::82)  294.050 ms  293.501 ms  293.277 ms
+  ve44.foundry6.otemachi.wide.ad.jp (2001:200:0:10::141)  285.159 ms  285.239 ms  284.193 ms
+  2001:200:dff:fff1:216:3eff:feb1:44d7 (2001:200:dff:fff1:216:3eff:feb1:44d7)  287.541 ms [ouvert]  286.328 ms  285.843 ms
+</pre></html>
+  - c'est notre routeur;
+  - c'est la Freebox.
+Tout est en ordre.
+====== Conclusion ======
+Tous laisse penser que l'utilisateur «résidentiel» disposera dans un avenir plus ou moins proche d'un nombre d'adresses IP **publiques** pouvant aller jusqu'à 2<sup>68</sup> réparties dans jusqu'à 16 sous réseaux de 2<sup>64</sup> adresses chacun.
+En attendant, il faut continuer à maintenir les configurations IPv4 et leur parfois multiples translations d'adresses.
+Le filtrage de paquets IPv6 n'a pas été abordé, mais il est bien sûr fonctionnel et se manipule avec la commande ''ip6tables'' qui est incluse dans le paquet ''iptables''.