Nono69004
Visiteur

@Joel24290 

 

Merci pour les informations, j'ai NB6VAC-MAIN-R4.0.40 en version , mais on ne doit pas avoir la même box ...

 

J'ai regarder mais a la limite je trouve cela moins utile pour la navigation sur pc il faut bien avouer que 100% des sites que je consulte sont en ipv4, c'est avec la console (xbox) que je voulais avoir l'ipv6, je ne sais pas comment ca se fait, mais j'avais un meilleur ping en ipv6 : 9ms,  contre 25-30ms en ipv4.

sPieron
Visiteur

Bonjour Joel24290,

 

Pris par le temps je n'avais pas répondu au message.

 

Effectivement, après vérification, c'est bien du L2TP, pour info depuis quelques jours je n'ai plus d'IPv6 sans raison, mais pas que sur ma box, sur toutes celle du cartier (vérifié chez des voisins...)

J'ai donc pris le temps de vérifier ce que la box faisait du copté wan... elle récupère des fichiers de configuration dans lequel il est indiqué pour l'IPv6 :

<ipv6>
<infra>Native</infra>
<lns>109.6.4.0</lns>
<forcev6 enable="false"/>
<ppp-password>32 caractères hexadécimal</ppp-password>
<AdvValidLifetime>604800</AdvValidLifetime>
<AdvPreferredLifetime>604800</AdvPreferredLifetime>
</ipv6>

Le natif venait donc uniquement de l'information que ma box me retournait dans un fichier xml de la box

Avec ces information j'ai monté sans problème le tunnel L2TP et donc récuperer mon IPv6 en DHCP dans le tunnel.

C'est bien le /56 IPv6 que ma box me fournissait avant de ne plus me le donner !

 

Donc pourquoi la box ne ce connect plus pour monter le tunnel ? car toute les analyse du wan ne montre jamais de tentative de connexion sur l'IP indiqué dans les fichiers de conf.

 

La box essais également de récuperer une IPv6 via DHCPv6 avec les champs spécifique a SFR sans réponse du réseau natif pour le moment.

 

Pour le DMZv6 ... vue qu'il n'y a pas d'IP local en v6, ça resemblait d'avantage a une délégation de prefix qu'a je ne sais pas trop quoi d'autre.

 

Joel24290
Contributeur Loisir

Salut sPieron.

 

>>> Effectivement, après vérification, c'est bien du L2TP, pour info depuis quelques jours je n'ai plus d'IPv6 sans raison, mais pas que sur ma box, sur toutes celle du cartier (vérifié chez des voisins...)

 

Comme chez moi. C'est un problème national qui ne se déclenche pas aux mêmes dates selon les régions.

 

>>> J'ai donc pris le temps de vérifier ce que la box faisait du copté wan... elle récupère des fichiers de configuration dans lequel il est indiqué pour l'IPv6 :

 

Quel est le type de BOX SFR que vous avez ?
Par quel procédé avez-vous extrait ses informations concerant l'IPv6 ?
Ce type d'information m'intéresse au plus au point.

A bien comprendre, votre relais L2TP est l'adresse IP 109.6.4.0.
Si j'avais un routeur sachant gérer le protocole L2TP, il suffirait que je renseigne cette adresse relais pour avoir à nouveau de l'IPv6.
Est-ce bien ce que vous avez fait chez vous ?

 

>>> Le natif venait donc uniquement de l'information que ma box me retournait dans un fichier xml de la box

 

Je ne sais pas pourquoi SFR qualfie l'IPv6 de "NATIVE" alors que l'on sait très bien que c'est du type tunnel L2TP.

 

>>> Avec ces information j'ai monté sans problème le tunnel L2TP et donc récuperer mon IPv6 en DHCP dans le tunnel.

 

Comment avez-vous procédé pour "monter votre tunnel L2TP" ?

 

>>> C'est bien le /56 IPv6 que ma box me fournissait avant de ne plus me le donner !

 

Est-ce cela qui bloque l'accès à l'IPv6 ?

 

>>> Donc pourquoi la box ne ce connect plus pour monter le tunnel ?

 

Je pense que c'est SFR qui l'a fait volontairement. Maintenant pourquoi ? Je ne saurai répondre à leur place.

 

>>> car toute les analyse du wan ne montre jamais de tentative de connexion sur l'IP indiqué dans les fichiers de conf.

 

Vous n'êtes pas clair. Comment avez-vous fait vos analyses ?

 

>>> La box essais également de récuperer une IPv6 via DHCPv6 avec les champs spécifique a SFR sans réponse du réseau natif pour le moment.

 

Parlez-vous de la BOX coté LAN, je suppose ?

 

>>> Pour le DMZv6 ... vue qu'il n'y a pas d'IP local en v6, ça resemblait d'avantage a une délégation de prefix qu'a je ne sais pas trop quoi d'autre.

 

Je ne suis pas trop familiarisé avec le jargon réseau.
Qu'est-ce que vous entendez par "délégation de préfix" ?

 

@+

sPieron
Visiteur

Bonjour Joel24290,

 

Je vais essayer de répondre à vos questions.

 

Effectivement j’ai connecté un petit routeur configurer en bridge entre la box et le terminal optique de la box, et je l’ai configuré pour capturer tout le trafic pour ensuite l’analysé avec Wireshark.

 

La version de ma box est  NB6-MAIN-R3.5.8

Profil d'accès     : FTTH

 

Pour l’analyse j’ai utilisé un gl.inet 300n (c’est un tout petit routeur sous OpenWRT qui ne paye pas de mine mais qui permet beaucoup de bidouillage, un peut comme tout matériel sous linux)

Il permet également de monter des tunnel L2TP ou autre mais c’est pas recommandé car ces ports sont des 100M et non des 1Gb donc un peut lent pour l’utilisé comme routeur sur de la fibre.

Mais pour du tcpdump c’est mieux en 100Mb qu’en 1Gb car le CPU ne drop aucun paquet même quand la saturation du port est au maximum.

 

Pour capturer le trafic il y a plein de solution, mais du coup n’importe quel routeur passé sous OpenWRT fera bien le travail.

Exemple avec le gl.inet et ces deux ports Ethernet

J’ai cependant utilisé un switch entre le ONT et le GL.Inet car le ONT ne gère pas le 100baseT.

 

Si vous avez une machine sous linux avec deux interface Ethernet ou avez un Switch administrable ou un routeur passable sous OpenWRT je peux vous décrire précisément la procédure.

Pour monter le tunnel j’ai utilisé le routeur que je met derrière la box habituellement qui lui aussi est sous OpenWRT, c’est un déjà ancien TP-Link TL-WDR3600.

Rien de très compliquer après avoir récupéré l’IP du serveur et le password.

 

Pour le DHCPv6 c’est du copté WAN que la box essais d’avoir une réponse sans en avoir.

 

Pour la délégation de préfix, quand la box donne accès a l’IPv6 elle n’autorise pas le routage car ne connait aucun autre routeur copté LAN, la délégation de préfix est la possibilité a un autre routeur situer derrière la box copté LAN de distribuer et router une partie du /56 des IP fourni par SFR.

SFR donne un /56 soit 256 sous réseau en /64 et la box de SFR ne donne qu’accès a un seul /64 et l’option DMZ laissait penser qu’un second /64 pouvait être délégué a un routeur, enfin comme l’option DMZ ne fonctionnait pas vraiment et que maintenant la BOX n’a même plus d’IPv6…

 

 

Joel24290
Contributeur Loisir

Salut sPiron.

 

Je reconnais à votre langage que vous êtes un habitué des réseaux.

 

>>> j’ai connecté un petit routeur configurer en bridge entre la box et le terminal optique de la box,

 

Ok. Vous êtes en FTTH et je suis en ADSL. Je ne sais pas trop si, dans mon cas, je peux insérer quoi que ce soit juste avant la box.

 

>>> La version de ma box est NB6-MAIN-R3.5.8

 

Vous avez oublié le "V" devans "NB6" : "NB6V-MAIN-R3.5.8". J'ai la même chose chez moi.

 

>>> Si vous avez une machine sous linux avec deux interface Ethernet ou avez un Switch administrable ou un routeur passable sous OpenWRT je peux vous décrire précisément la procédure.

 

J'ai des raspberry mais pas de switch éthernet. Oui, je suis intéressé par votre procédure, même si je n'ai pas le matériel.

 

>>> Rien de très compliquer après avoir récupéré l’IP du serveur et le password.

 

Oui grâce à votre gl.inet 300n. Mais je crois que l'on peut récupérer cette information en interrogeant la box. Ce n'est pas consultable directement par les menus de la box.

 

Mon problème n'est pas très différent du votre.
En se moment, je suis en ADSL, mais d'ici peut-être 2020, je vais avoir la FTTH.
Je désire acheter un routeur sans modem sachant gérer l'IPv4 & l'IPv6 de la même façon (DNS, DHCP et pare-feu / nat / pat).
Le wifi serait un plus, mais cela ne me dérange pas de me procurer indépendamment un point d'accès wifi qui sera aussi en IPv4 & IPv6.
Il devra pouvoir configurer le "NATIVE", "6in4" et "L2TP".

J'ai regardé ce qui est proposé sur le net, mais je n'ai rien trouvé de satisfaisant.
La plupart des routeurs sans modem ne possède pas l'IPv6. Celui qui se rapproche le plus de ce que je recherche est l'ASUS rt-ac88u.
Sauf qu'il ne possède pas le DNSv6 ni le DHCPv6 et cela me pose un problème.

Qu'est-ce que vous pourriez me conseiller comme routeur sans modem sachant que je met la priorité sur une gestion complète de l'IPv6 ?

 

@+

 

sPieron
Visiteur

Bonjour Joel24290,

 

Il doit bien être possible de faire croire a votre Box que vous êtes en fibre pour qu'elle face les requettes ver un serveur sur votre Raspberry Pi par exemple pour récuperer les infos et les envoyer ensuite ver le bon serveur pour récupérer les infos.

 

Je ne suis pas certain que la box vous donne les infos, enfin j'ai pas trouvé.

 

Pour ma box, c'était bien une NB6 (sans le V) la version V est une version avec un modem VDSL et quelques resources système supperieur.

 

Comme SFR m'a changé ma box a l'instant, j'ai maintrenant la même en V (NB6V...)

 

Ca n'a évidament pas résolu mon problème d'IPv6.

 

Peux de routeur pour la maison propose l'IPv6 d'origine, certain Asus oui, mais qui ne doivent pas être très personalisable sans changer le firmware, les Synology, mais avec une version de linux assez personalisé, et qui peuvent vite poser problème si on modifi des paramètres en CLI lors des mise a jours.

 

Sinon des routeur économique comme le TP-Link Archer C6 qui peut être passé sous OpenWRT (a vérifier la bonne compatibilité avant de l'acheter) ou une version plus haute de gamme comme le Archer C2300 qui gère l'IPv6 nativement mais sans doute mieux encore sous OpenWRT.

 

Les routeur GL.Inet sont sous OpenWRT d'origine et ont un systèm anti brique très simple d'utilisation donc aucun risque pour la bidouille.

 

Le système OpenWRT est un système très personalisable, les minimum sont des routeurs avec 8M de flash et 128Mo de Ram pour que ça tourne correctement, 16M de flash c'est évidament mieux bien que 8M et une clef USB obligatoire pour des personalisation efficace.

 

J'utilise actuellement un TP-Link TL-WDR3600 (8Mo de Flash 128Mo de RAM) + Clef USB 2.0 pour les sauvegardes, les log et pouvoir installer des paquets, mais je crois qu'on ne le trouve plus.le C6 a l'aire d'être le remplacant avec WiFi 5(ac) a un prix correct.

 

OpenWRT gère bien IPv6 et L2TP et bien +

 

Conseiller un routeur n'est pas simple surtout si c'est pour le passer sur OpenWRT car il peut y avoir quelques incompatibilités (driver non opensources par exemple) ou plantage au flash même si en général c'est ratrapable c'est pas toujours simple.

 

Votre NB6V a bien une prise Ethernet WAN non utilisé en ADSL ?

 

 

 

 

Joel24290
Contributeur Loisir

Salut sPiron.

 

Je me rends compte que trouver le bon routeur est extrêmement difficile.
Comme je ne sais pas trop ce qui se fait dans ce domaine, je ne sais pas si je fais le bon choix.
Je n'ai aucun usage d'un VPN et le wifi m'indiffère.
Le wifi peut être utilisé en externe, par un point d'accès wifi (=wap).

 

Je recherche un routeur sans modem IPv4 & IPv6 (dns + dhcp + pare-feu).
En tant que pare-feu, c'est un haut niveau de sécurité que je recherche.
Pas uniquement du NAT ou du PAT, mais un vrai pare-feu comme sous windows, afin de bloquer tout ce qui ne m'intéresse pas.

 

Pour les applications, un serveur fichier, un serveur multimedia, le Qos (quality of service).
Après, je ne sais pas trop ce dont j'ai besoin, car c'est à l'usage que je vais le découvrir.
Dans le cas de mes raspberry, pourvoir télécharger l'OS depuis un serveur fichiers.

 

Quand j'interroge les services clients, j'ai l'impression qu'ils ne connaissent pas le matériel qu'ils vendent.
J'ai déjà eu à faire à Netgear et à Asus et ils sont nuls.
J'ai eu plus d'informations par retour d'expérience de possesseurs de routeur. Le prix est très variable d'un site à l'autre.

 

Actuellement, j'ai un modem d-link dsl-320b qui fonctionne correctement en IPv4.
Je n'aime pas la présentation des menus et il y a des fonctionnalités non opérationnel, entre autre l'IPv6, l'heure d'été (je ne me souviens plus du reste).
Je pensais pouvoir l'utiliser en mode pont (bridge) mais SFR n'autorise plus cette fonctionnalité.
C'est d'ailleurs pourquoi je le nomme plutôt modem que routeur. Il est ancien ! Je l'ai acheté au cas où ma box sfr rendrait l'âme.

 

Je sais configurer l'IPv6 de type "tunnel broker" de chez Hurricane Electric. J'ai passé la certifiation HE sans trop de problème.

Je l'utilise sur ma rapsberry que j'ai transformer en routeur (hostapd + dnsmasq).

 

Votre routeur sans modem "GL.iNet GL-MT300N-V2 Mini Travel Router" ne me correspond pas.
Je cherche bien un routeur destiné à un usage permanent.

 

>>> Je ne suis pas certain que la box vous donne les infos, enfin j'ai pas trouvé.

 

J'ai utilisé la documentation apirest_4.0.pdf !

 

>>> Votre NB6V a bien une prise Ethernet WAN non utilisé en ADSL ?

 

A coté de la prise jaune pour l'ADSL, c'est une prise pour la fibre.
Les quatre prise ethernet suivantes sont des prises LAN.
Donc non, je n'ai pas de prise WAN comme sur un routeur sans modem.

 

@+

sPieron
Visiteur

Les routeur sous OpenWRT ou passé sous OpenWRT possède tout ça :

Firewall avec iptables et ip6tables pour un filtrage très très complet

DNS et Dhcp sont fait avec dnsmasq et pour IPv6 aussi si installation de la version full.

Dnsmasq peut gerer DNSSec et/ou avec DoT ou DoH (DNS over TLS ou HTTPS).

 

Un raspberry peut faire la même chause (regarde iptables ou ip6tables) tu peux installé Dnsmasq pour DNS DHTP etc.

Le seul inconveignant du RPi c'est d'avoir qu'un seul port Ethernet pour servir de routeur

Avec un switch administrable et des VLANs c'est jouable quand même.

 

Le D-Link fonctionne sur les connexions ADSL de SFR ?

 

Je vais regarder la doc que vous proposez, je ne connais pas.

 

Donc la prise a copté de l'ADSL c'est bien une prise WAN qui envoi une demmande DHCP particulière, ou plutot attend une réponse DHCP particulière.

Mais c'est bien du WAN en fibre on relie cette prise a un pONT qui transforme les trames Ethernet en trame optique.

 

Joel24290
Contributeur Loisir

Salut sPiron.

 

>>> Firewall avec iptables et ip6tables pour un filtrage très très complet

 

J'ai fait un exercice sur iptables & ip6tables sur ma raspberry.

 

>>> DNS et Dhcp sont fait avec dnsmasq et pour IPv6 aussi si installation de la version full.

 

Je connais aussi car j'utilise hostapd + dnsmasq + resolvconf pour gérer mon routeur sur ma raspberry.

 

>>> Dnsmasq peut gerer DNSSec et/ou avec DoT ou DoH (DNS over TLS ou HTTPS).

 

Par contre, je ne connais pas ça.

 

>>> Le seul inconvénient du RPi est d'avoir un seul port Ethernet pour servir de routeur

 

Dans le cas de mon routeur, la prise éthernet est destiné au WAN. Le wifi sert pour le LAN.
Je possède aussi un adaptateur usb 2.0 / RJ45.

 

>>> Le D-Link fonctionne sur les connexions ADSL de SFR ?

 

Oui, le D-LINK DSL-320B fonctionne correctement sur un connexion ADSL de chez SFR.

 

>>> Je vais regarder la doc que vous proposez, je ne connais pas.

 

Cette documentation permet d'interroger une box sfr depuis un ordinateur et de récupérer un peu plus d'informations que par les menus.

 

>>> Mais c'est bien du WAN en fibre on relie cette prise a un pONT qui transforme les trames Ethernet en trame optique.

 

La fibre (FTTH, Fiber To The Home) arrive chez vous et est accessible par un ONT (Optical Network Termination).
Il transforme le flux optique en flux électrique et est accessible par un prise RJ45 WAN.
Vous branchez un routeur et non un modem derrière. Est-ce bien cela ?

 

Je comprends mieux pourquoi vous avez la possibilité d'y insérer votre gl.inet.
C'est un cable fillaire (deux fils) de type téléphonique, qui se présente comme un câble éthernet, à l'entré de ma box.
Ce n'est pas une entrée éthernet (RJ45) de type WAN.

 

Pour ce qui est de l'entré fibre de ma box, je n'ai jamais essayé de voir si cela produisait un accès éthernet.

Ne doit-on pas l'activer d'une manière ou d'une autre ?

 

@+

sPieron
Visiteur

Le DNSSec évitera d'avoir des DNS Menteur si les domaines sont bien en DNSSec en ne résolvant pas les requettes mal signé.

Le DoH ou DoT crypte les demmande DNS entre votre routeur et le fournisseur de DNS que vous avez choisis, votre FAI ou tout autre intermédiaire ne vera que des connexions sans en voire le contenue.

 

Pour le ONT c'est bien ça, je peux utilisé la box de SFR ou y connecter un routeur, avec un paramètre DHCP specifique a SFR a précisé.

 

 

Comment gagner des badges

Badges En savoir plus