En ces temps o\u00f9 toutes \u00e9conomies sont bonnes \u00e0 prendre, je me suis attel\u00e9 \u00e0 mettre en place chez moi un \u00ab\u00a0vrai\u00a0\u00bb acc\u00e8s IPv6. Par vrai, je n’entends pas un acc\u00e8s natif (ce serait trop beau, aucun op\u00e9rateur grand public fran\u00e7ais ne le propose \u00e0 l’heure actuelle hormis Nerim dont l’offre est tout de m\u00eame plus orient\u00e9e vers les TPE), mais un acc\u00e8s offrant un espace d’adressage correct, ie. un \/48.<\/p>\n
M\u00eame Free qui propose de l’IPv6 \u00e0 ses clients ne propose qu’un semblant d’acc\u00e8s natif, avec du 6rd<\/a> mais il se limite \u00e0 donner un \/64.<\/p>\n Dans ce billet, je vais donc m’attacher \u00e0 pr\u00e9senter les grandes lignes pour mettre en place \u00e0 la maison (et m\u00eame ailleurs) un acc\u00e8s IPv6 avec diff\u00e9rents sous-r\u00e9seaux, en utilisant un tunnel broker. Pour y arriver je pr\u00e9senterai des exemples de configuration pour une passerelle OpenBSD, ainsi que des astuces.<\/p>\n Tout d’abord, revenons sur quelques bases. Avec IPv4 il se pratique depuis de nombreuse ann\u00e9es un routage ne se basant plus sur les classes avec CIDR (Classless Inter Domain Routing). Ceci est rendu possible par l’utilisation de masques r\u00e9seau \u00e0 taille variable (VLSM, Variable Length Subnet Masking). Avec IPv6, les masques disparaissent au profit de pr\u00e9fixes. Un pr\u00e9fixe IPv6 est l’\u00e9quivalent d’un masque, qui permet de router un sous-r\u00e9seau \u00e0 travers internet. D’un point de vue routage, un pr\u00e9fixe a une taille maximale de 64 bits (une adresse IPv6 ayant une taille de 128 bits). Les op\u00e9rateurs peuvent localement d\u00e9couper plus finement cet espace d’adressage, mais sur internet, les r\u00e8gles de routage seront communes au \/64.<\/p>\n Ainsi, Free qui propose un \/64 \u00e0 ses clients, ne donne la possibilit\u00e9 d’adresser qu’un seul sous-r\u00e9seau. Si vous souhaitez vous amuser avec les joies de l’IPv6 qui vous permet de poss\u00e9der pour chaque machine une adresse publique routable, alors la solution de Free montre vite ses limites.\u00a0Il vous sera en effet impossible (comme c’est \u00e9galement le cas de tous les autres FAIs grand public fran\u00e7ais) de segmenter votre r\u00e9seau pour s\u00e9parer vos clients de vos serveurs en mettant par exemple en place un LAN local, une DMZ, un acc\u00e8s Wifi, etc. le tout sur un espace d’adressage IPv6 public.<\/p>\n Mais comme sur internet on trouve de tout, il existe des \u00ab\u00a0tunnel brokers\u00a0\u00bb qui fournissent des points d’acc\u00e8s IPv6 un peu partout dans le monde. La technique est simple : depuis votre acc\u00e8s IPv4 natif, on va encapsuler jusqu’au point de pr\u00e9sence du tunnel broker l’int\u00e9gralit\u00e9 du trafic IPv6 sur de l’IPv4. Il y a quelques ann\u00e9es, les points de pr\u00e9sence \u00e9taient bien souvent situ\u00e9s aux \u00c9tats Unis ou assez loin g\u00e9ographiquement de l’Europe. Mais d\u00e9sormais, de nombreux tunnel brokers ont fait leur apparition proposant des services tr\u00e8s int\u00e9ressants comme :<\/p>\n M\u00eame si toutes ces fonctionnalit\u00e9s sont loin d’\u00eatre indispensables pour un acc\u00e8s personnel… (c’est le moins que l’on puisse dire \ud83d\ude09 ), les deux premi\u00e8res sont tr\u00e8s all\u00e9chantes. Chez moi, j’ai choisi d’utiliser Hurricane Electric<\/a> (HE). Il propose l’ensemble des services ci-dessus, pour la tr\u00e8s modique somme de 0 euros…<\/p>\n La premi\u00e8re \u00e9tape est bien \u00e9videmment de s’inscrire sur le site, puis de cr\u00e9er un tunnel (en choisissant le point d’acc\u00e8s le plus proche de chez sois). Ce tunnel, comme je le disais pr\u00e9c\u00e9demment consiste \u00e0 encapsuler sur votre passerelle, tout le trafic IPv6 dans de l’IPv4. Pour cela, il faudra donc \u00e9tablir une lisaison point \u00e0 point IPv4 entre votre passerelle et l’autre bout du tunnel chez HE. Une fois celui-ci cr\u00e9\u00e9 depuis l’interface web du site, HE vous indique alors les diff\u00e9rents param\u00e8tres d’acc\u00e8s.<\/p>\n Ces param\u00e8tres, vous l’aurez compris, vont vous permettre de monter le tunnel vers le point d’acc\u00e8s HE. Sous OpenBSD, ce tunnel se concr\u00e9tisera par une interface virtuelle gif(4)<\/a>. Elle se configure tr\u00e8s simplement en ligne de commande (remplacez \u00e9videmment les adresses par celles fournies par HE) : Ce \/48 se pr\u00e9sente sous la forme xxxx:yyyy:zzzz::\/48. C’est ce sous-r\u00e9seau que nous allons fractionner. Ainsi on peut imaginer :<\/p>\n Une adresse de ces sous-r\u00e9seaux est \u00e0 assigner \u00e0 chaque interface de la passerelle, dans un fichier \u00ab\u00a0\/etc\/hostname.if\u00a0\u00bb appropri\u00e9. Si vous souhaitez b\u00e9n\u00e9ficier de l’autoconfiguration \u00ab\u00a0stateless\u00a0\u00bb, rtadvd(8)<\/a> est fait pour vous. Par exemple, si vous souhaitez configurer vos machines du LAN local, ajoutez cette ligne au fichier \u00ab\u00a0\/etc\/rtadvd.conf\u00a0\u00bb (remplacer \u00ab\u00a0if\u00a0\u00bb par l’interface sur laquelle vous souhaitez activer l’autoconfiguration) : Ensuite vous pouvez activer d\u00e9finitivement rtadvd en ajoutant cette ligne dans le fichier \u00ab\u00a0\/etc\/rc.conf.local\u00a0\u00bb (remplacer \u00ab\u00a0if\u00a0\u00bb par l’interface sur laquelle vous souhaitez activer l’autoconfiguration) : Selon le trafic que vous souhaitez autoriser sur votre passerelle avec PF, il faut noter qu’IPv6 n’utilise pas le protocole ARP d’IPv4 pour faire la r\u00e9solution entre adresse MAC et adresse IP sur un segment r\u00e9seau. Il utilise au contraire une nouvelle fonctionnalit\u00e9 apport\u00e9e par ICMPv6 (version d’ICMP pour IPv6) qui est la d\u00e9couverte du voisinage (ND, Neighbor Discovery). Ce m\u00e9canisme repose sur deux types de paquets :<\/p>\n Il faudra donc absolument autoriser ces paquets pour que les machines puissent communiquer. Des r\u00e8gles PF peuvent ainsi \u00eatre : Ici on autorise juste le paquet neighbrsol : le paquet neighbradv retourn\u00e9 par l’autre machine sera autoris\u00e9 par l’\u00e9tat cr\u00e9\u00e9 par le premier paquet.<\/p>\n De m\u00eame que si vous utilisez rtadvd et que vous souhaitez effectuer un filtrage fin, il faudra autoriser les paquets du m\u00e9canisme de d\u00e9couverte de routeur. Le principe :<\/p>\n Les r\u00e8gles peuvent ainsi \u00eatre : De la m\u00eame fa\u00e7on que pour le m\u00e9canisme de ND pr\u00e9sent\u00e9 pr\u00e9c\u00e9demment, la r\u00e9ponse routeradv est automatiquement accept\u00e9e par PF, un \u00e9tat \u00e9tant cr\u00e9\u00e9 par le premier paquet.<\/p>\n Il faut \u00e9galement noter qu’avec IPv6, filtrer l’ICMP est tr\u00e8s d\u00e9licat. La bonne pratique avec IPv4 est de ne pas le bloquer. Mais pour IPv6, plus qu’une bonne pratique c’est \u00e9galement une r\u00e8gle pour \u00e9viter d’aller vers de gros probl\u00e8mes. Le meilleur exemple est le \u00ab\u00a0Path MTU Discovery\u00a0\u00bb (PMTU)<\/a> qui se base sur les paquets ICMP \u00ab\u00a0Packet too big\u00a0\u00bb.<\/p>\n\n
\n
\n
\n$ sudo ifconfig gif0 tunnel <client_ipv4> <server_ipv4>
\n$ sudo ifconfig gif0 inet6 alias <client_ipv6> <server_ipv6> prefixlen 128
\n$ sudo route -n add -inet6 default <server_ipv6>
\n<\/code>
\nEt pour automatiquement monter le tunnel au d\u00e9marrage, par un fichier \u00ab\u00a0\/etc\/hostname.gif0\u00a0\u00bb :
\n
\ntunnel <client_ipv4> <server_ipv4>
\ninet6 <client_ipv6> 128 <server_ipv6>
\n! \/sbin\/route add -inet6 default <server_ipv6>
\n<\/code>
\nLorsque le tunnel est mont\u00e9 sur votre passerelle, cela signifie qu’il est fonctionnel et que la passerelle dispose maintenant d’un acc\u00e8s public IPv6. A noter que si vous souhaitez filtrer finement les flux du tunnel avec PF (ce qui est plus que recommand\u00e9), des lignes similaires (\u00e0 adapter en fonction de votre config) permettront d’autoriser le tunnel sur votre interface physique en IPv4 (l’interface gif0 verra le trafic IPv6 non encapsul\u00e9, comme s’il venait d’une connexion native) :
\n
\npass in on $ext_if proto ipv6 from $server_ipv4 to $ext_if
\npass out on $ext_if proto ipv6 from $ext_if to $server_ipv4
\n<\/code>
\nPour le moment, nous disposons simplement d’un acc\u00e8s IPv6 sur la passerelle. Pour votre r\u00e9seau interne, par d\u00e9faut, HE vous propose un sous-r\u00e9seau \/64 rout\u00e9. Mais comme je l’expliquais en d\u00e9but de l’article, c’est insuffisant dans notre cas car nous souhaitons un \/48 pour pouvoir le fractionner et le router sur internet. Il sera donc n\u00e9cessaire de demander l’assignation d’un \/48 rout\u00e9. Cette op\u00e9ration ne prend que quelques secondes et s’effectue en un clique sur l’interface de gestion de votre compte HE.<\/p>\n\n
\n
\nif:\\
\n:addr=\"xxxx:yyyy:zzzz:1::\":prefixlen#64:<\/code><\/p>\n
\n
\nrtadvd_flags=\"if\"<\/code><\/p>\n\n
\n
\npass in on gif0 inet6 proto icmp6 icmp6-type neighbrsol
\n<\/code><\/p>\n\n
\n
\npass in on $int_if inet6 proto icmp6 icmp6-type routersol<\/code><\/p>\n