IPv6 » Historique » Version 38
« Précédent -
Version 38/318
(diff) -
Suivant » -
Version actuelle
Laurent GUERBY, 03/12/2011 23:02
IPv6¶
Déploiement a tetaneutral.net : #35
Liens¶
General
- http://en.wikipedia.org/wiki/ICMPv6
- http://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol
- http://en.wikipedia.org/wiki/Radvd
- http://en.wikipedia.org/wiki/DHCPv6
Linux
- http://madduck.net/docs/ipv6/
- http://tldp.org/HOWTO/Linux+IPv6-HOWTO/
- http://linux.die.net/man/8/rdisc6
- bind IPv4+IPv6 /proc/sys/net/ipv6/bindv6only http://www.kernel.org/doc/man-pages/online/pages/man7/ipv6.7.html
- sileht : comme arpwatch mais en ipv6 http://ndpmon.sourceforge.net/
Tunnels
- http://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers
- http://tunnelbroker.net
- http://sonic.net/features/ipv6/
Misc
- Cool IPv6 stuff http://www.sixxs.net/misc/coolstuff/
- http://interviews.slashdot.org/story/11/10/25/1532213/vint-cerf-answers-your-questions-about-ipv6-and-more
- http://infosecblog.antonaylward.com/2010/08/05/re-opensuse-ipv6-nat-was-113-and-ssh-x-forwarding-not-working/
Opérateurs
- DS-Lite chez FT http://www.ietf.org/mail-archive/web/v6ops/current/msg10652.html
- IPv6 chez comcast http://tech.slashdot.org/story/11/11/09/174217/comcast-begins-native-ipv6-deployment-to-end-users
- DHCP-PD http://ipv6.internode.on.net/
Désactiver la configuration automatique¶
Un serveur aura typiquement une configuration entièrement statique assignée par l'hébergeur, laisser la configuration dynamique activée est un risque de voir un tiers prendre le controle du routage serveur ou l'empécher de fonctionner via l'envoi d'une configuration dynamique erronée. Il est donc préférable de désactiver la configuration dynamique IPv6 sur une VM ou serveur physique hébergé chez tetaneutral.net.
En version rapide executer sur sa VM ou machine en root la ligne suivante :
wget -qO - http://tetaneutral.net/ipv6/ipv6noauto.sh | bash
Le détail de ce que fait ce script ci-après.
Désactiver autoconf et accept_ra pour la session en cours¶
Executer en root la ligne suivante :
for i in /proc/sys/net/ipv6/conf/*; do for j in autoconf accept_ra; do echo 0 > $i/$j; done;done
Le rendre permanent en cas de reboot¶
Editer la section inte6 de /etc/network/interfaces pour ajouter deux "pre-up" entre la ligne "iface" et la ligne "address" :
iface eth0 inet6 static pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf address ...
Créaer un fichier pour sysctl :
cat > /etc/sysctl.d/local-ipv6.conf <<EOF # No IPV6 RA or autoconf net.ipv6.conf.all.autoconf = 0 net.ipv6.conf.all.accept_ra = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.accept_ra = 0 EOF
Référence : source du script ipv6noauto.sh¶
echo deactivating autoconf and accept_ra for i in /proc/sys/net/ipv6/conf/*; do for j in autoconf accept_ra; do echo $i/$j echo 0 > $i/$j done done F=/etc/network/interfaces if ! grep accept_ra $F >& /dev/null; then echo fixing /etc/network/interfaces cp -f $F $F.save sed -e 's,iface eth0 inet6 static,iface eth0 inet6 static\n pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra\n pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf,g' < $F.save > $F fi if [ ! -f /etc/sysctl.d/local-ipv6.conf ]; then echo creating /etc/sysctl.d/local-ipv6.conf cat > /etc/sysctl.d/local-ipv6.conf <<EOF # No IPV6 RA or autoconf net.ipv6.conf.all.autoconf = 0 net.ipv6.conf.all.accept_ra = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.accept_ra = 0 EOF fi echo done
Pièges¶
Attention a bien mettre les zéros en fin de mot :
Ne pas mettre 2a01:6600:8081:XX:: car c'est 2a01:6600:8081: 00 XX::
Utiliser 2a01:6600:8081: XX00 ::
Comment activer le routage sur son /56 IPv6 ?¶
Chaque IPv4 livrée par tetaneutral.net est associé à un /56 IPv6, avec une équivalence /24 = 256 IPv4 <=> /48 = 256 /56 IPv6
Discussions¶
J'ai fait quelques essais: VM configuré en routeur, openvpn entre la VM
et ma machine, histoire de simuler des interfaces. J'ai essayé radvd
comme des définitions manuelles des adresses IPv6.Bon, ça marche depuis la VM mais pas depuis chez moi (wget
http://ipv6.google.com), même si les paquets IPv6 (vu avec tcpdump)
partent bien de la VM vers l'internet. Mais il n'y a pas de retour.Après quelques cogitations et la lecture de ceci:
http://www.fdn.fr/IPv6-a-la-maison.html j'en arrive à ces
réflexions:1) Dans le blog FDN ci-dessus l'adresse IPv6 affectée au ppp0 n'est pas
dans son /48; ce qui voudrait dire qu'il n'y a pas de raison d'affecter
une IPv6 du /56 au eth0 des VM tetaneutral.2) Pour faire marcher une telle config à FDN, le routeur FDN en amont du
modem/routeur de l'abonné devrait avoir une route du type:
ip -6 route add range/48 dev ppp-abonné via link-local-ppp-abonné
soit chez nous:
ip -6 route add range/56 dev eth0-vm via link-local-eth0-vmdu /56 via une interconnection explicite entre le routeur de
tetaneutral.net et un routeur chez le membre ?Un lien openvpn?
Bonsoir,
On peut rajouter une regle de routage comme tu le suggere,
reste a choisir les details pratiques.
Pour la link-local coté routeur on a choisi fe80::31 en statique il
reste a choisir une regle pour attribuer le link local coté client.
Une regle automatique basée sur l'IPv4 est en place pour
l'attribution du subnet IPv6 :
http://wiki.tetaneutral.net/index.php/Architecture
Une regle similaire pour le routage donnerait par exemple fe80::81:XY
ou XY est le dernier octet de l'IPv4 ecrit en hexadecimal
pour la link local coté client.
L'avantage d'une regle statique vs le SLAAC c'est que c'est un peu plus
flexible coté client sur le choix de l'equipement routeur.
L'avantage du routé est bien sur la flexibilité et la sécurisation
potentielle, l'inconvenient est qu'avec nos equipements actuels peu
puissant on perdra un peu en debit mais ça se corrigera avec
de nouveaux equipements.
Je suis vraiment curieux de savoir comment font les autres hebergeurs
dans le monde IPv6, ceux auxquels j'ai acces ne proposent pas de
routage, simplement ce que propose tetaneutral.net actuellement.
Suggestions ?
Connectivité IPv6 complète depuis chez vous en quelques étapes simples¶
Connectivité complète signifie que toutes vos machines pouvant fonctionner en IPv6 peuvent accéder des sites IPv6 externes mais surtout être joignables de l'extérieur sur une adresse IPv6 propre. Pas de NAT ou autre bidouille de ce genre. Implications en terme d'autohébergement et sécurité laissées en exercice.
Pour bien comprendre ce qui suit, il est recommandé d'avoir un peu potassé les hyperliens plus haut et mieux encore d'avoir joué avec l'IPv6 sur votre réseau local maison en utilisant par exemple des adresses ULA.
Etape 1: obtenir une machine virtuelle Tetaneutral.¶
Celle-ci (on l'appellera VM dans la suite) sera configurée par défaut comme suit dans /etc/network/interfaces du point de vue IPv6:
iface eth0 inet6 static address 2a01:6600:80XX:YY00::1 netmask 56 gateway fe80::31
où XX et YY sont les versions hexadécimales des xx et yy décimaux de votre (unique!) adresse IPv4 de la forme 91.224.xx.yy.
Voyons ce qu'implique la prise en compte par le système de ce fragment de /etc/network/interfaces. Il dit que:- l'adresse 2a01:6600:80XX:YY00::1 est affectée à eth0, ce qui signifie que votre VM est accessible à cette adresse depuis l'intérieur de la VM comme depuis l'extérieur par toutes les machines du même segment réseau que eth0
- les paquets passant par votre VM peuvent atteindre les adresses de la plage 2a01:6600:80XX:YY00::/56 en étant envoyés en sortie de l'interface eth0
La plage 2a01:6600:80XX:YY00::/56 a été allouée par tetaneutral à votre VM. Notre problème est d'allouer une partie de ces adresses à des machines de notre domicile en utilisant l'accès que nous avons (en IPv4!) à la VM.
Avec cette configuration, vous pouvez héberger sur la VM des milliards de serveurs avec des adresses IPv6 différentes, il suffit de les ajouter à eth0 par une commande du type:
ip -6 address add une-adresse-ipv6-de votre-plage/56 dev eth0
Le /56 n'est pas absolument nécessaire, il évite juste de rajouter une route plus spécifique pour atteindre votre nouvelle adresse IPv6 depuis votre VM, route qui s'avère redondante. Le lecteur attentif aura noté que cette configuration déclare que toutes les adresses de votre plage sont situées derrière eth0, en dehors de la partie contrôlée par votre VM, et il semble impossible alors d'en distraire une partie. Il y a au moins deux solutions à ce problème:
- S'arranger pour que les segments réseau de votre domicile fassent partie de celui partant de eth0 sur la VM. Celà revient techniquement à bridger ces segments réseaux. Cette solution a cependant des inconvénients en terme de configurabilité et de sécurité.
- Réduire la plage IPv6 allouée derrière l'eth0 de la VM et réallouer le solde à votre réseau local maison, par des techniques de routage. C'est ce qu'on va décrire dans la suite. Mais d'abord, on a besoin d'un peu de collaboration de Tetaneutral.
Etape 2: faire router votre plage /56 par Tetaneutral.¶
Dans la configuration par défaut des VM Tetaneutral, l'hôte des VM crée la route vers l'adresse 2a01:6600:80XX:YY00::1 (et des autres que vous rajoutez éventuellement à la main sur eth0) par l'utilisation de l'équivalent IPv6 d'ARP. Il est donc impossible de router vers une adresse qui n'existe pas sur cet eth0.
Tetaneutral doit donc rajouter une route explicite:
ip -6 route add 2a01:6600:80XX:YY00::/56 via fe80::XX:YY dev votre-eth0-côté-hôte
Celà n'a de sens que si fe80::XX:YY une des adresses de l'eth0 côté VM. Il faut donc l'ajouter et le mieux est de le faire via une directive 'up' dans /etc/network/interfaces:
iface eth0 inet6 static address 2a01:6600:80XX:YY00::1 netmask 64 gateway fe80::31 up ip -6 add add fe80::XX:YY dev eth0
Mon lecteur toujours très attentif n'aura pas manqué de noter que netmask ci-dessus est passé de 56 à 64. Nous n'allouons donc maintenant plus toutes nos adresses IPv6 sur le segment réseau partant d'eth0. En particulier, nous allons voir maintenant comment récupérer la sous-plage 2a01:6600:80XX:YY01::/64 pour notre réseau à domicile.
Remarque: la sous-plage doit être /64, sinon l'adressage automatique des interfaces réseau qu'on verra plus loin ne marchera pas.
Etape 3: simuler un lien ethernet entre une machine à domicile et cette VM.¶
Les technologies VPN/tunnel sont le pendant réseau des machines virtuelles: elles permettent de créer des interfaces réseaux virtuelles (du point de vue hardware, mais bien réelles d'un point de vue logiciel) et de les connecter entre elles.
Tout comme les machines virtuelles nécessitent quand même un minimum de support silicium, un VPN/tunnel va nécessiter de s'appuyer sur une vraie liaison entre deux vraies interfaces réseau, en l'occurence pour nous la liaison internet IPv4 entre autre utilisée pour l'administration de la VM depuis votre domicile. Plus précisément, nous allons utiliser l'outil openvpn.
La première étape va consister à installer openvpn en mode serveur sur la VM. Le fichier suivant est à créer dans /etc/openvpn/myris.conf:
dev tap proto udp local 91.224.xx.yy float ca myris/ca.crt cert myris/myris.crt key myris/myris.key dh myris/dh1024.pem tls-server port 1194 ping 15 ping-restart 45 # car serveur ping-timer-rem persist-tun persist-key ifconfig 10.0.0.2 255.255.255.252 route ipv4-adresse-client-openvpn-domicile 255.255.255.255 10.0.0.1 script-security 3 system route-up "/sbin/ip -6 addr add 2a01:6600:80XX:YY01::1/64 dev tap0"
Remarque: le paramètre route-up contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Cette commande est nécessaire pour créer sur la VM une route vers la bonne interface pour la plage 2a01:6600:80XX:YY01::/64. Pour que le serveur openvpn soit toujours présent, il faut ajouter
AUTOSTART="myris"
à /etc/default/openvpn.
Sur la machine à domicile, il faut une installation en mode client, pourquoi pas le même nom de fichier que le serveur, mais pas le même contenu:
dev tap proto udp local ipv4-adresse-client-openvpn-domicile remote 91.224.xx.yy ca myris/ca.crt cert myris/client.crt key myris/client.key tls-client port 1194 ping 15 ping-restart 45 persist-tun persist-key ifconfig 10.0.0.1 255.255.255.252 route 0.0.0.0 0.0.0.0 10.0.0.2
L'adresse ipv4-adresse-client-openvpn-domicile est toute adresse qui permet d'accéder Internet depuis la machine accueillant l'openvpn client; en général, ce ne sera donc pas votre adresse IP externe allouée par votre FAI, elle sera plutôt du genre 192.168.*.*. ou 10.*.*.*. Il est supposé bien sûr dans l'exemple ci-dessus que vous n'utilisez pas 10.0.0.0/30 chez vous, elle a été réservée au lien openvpn.
Les répertoires /etc/openvpn/myris sur VM et machine cliente contiendront les divers certificats et clés, qu'il faut générer. Voici comment faire:
cd un-répertoire de travail cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ . cd 2.0 # Editez à votre convenance les 5 dernières variables d'environnement de type KEY_* du fichier vars source ./vars ./clean-all ./build-dh ./pkitool --initca ./pkitool --server myris ./pkitool client
et les fichiers recherchés se trouvent dans le sous-répertoire keys. Le seul fichier commun aux 2 extrémités du lien openvpn est ca.crt.
Etape 4: passer la VM en mode routeur et annoncer des routes pour votre réseau à domicile avec radvd.¶
Pour autoriser les paquets à être routés sur la VM entre eth0 et tap0, il faut passer en mode routeur:
echo 1 >/proc/sys/net/ipv6/conf/default/forwarding
Nous allons maintenant mettre en place une configuration automatique d'adresses IPv6 de toutes les machines du segment réseau partant du tap0 de la VM (soit le tap0 du client openvpn, mais après l'étape suivante toutes les interfaces de votre réseau local). Nous utiliserons pour celà l'outil radvd, avec le fichier de configuration /etc/radvd.conf:
interface tap0 { IgnoreIfMissing on; AdvSendAdvert on; AdvLinkMTU 1280; prefix 2a01:6600:80XX:YY01::/64 { AdvOnLink on; AdvAutonomous on; }; };
Remarque: le fichier contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Par ailleurs, il est possible d'interdire à une machine de s'autoconfigurer, mais ce n'est pas le défaut pour Linux et j'ai supposé que vous ne l'avez pas modifié.
Etape 5: bridger les interfaces réseau du client openvpn¶
A ce stade, la machine openvpn cliente peut accéder l'internet IPv6, car radvd aura placé une route par défaut via son tap0. Si vous bridgez maintenant ce tap0 avec son eth0 (normalement relié au reste de votre réseau local), toutes les machines de ce réseau local vont s'assigner au bout de quelques minutes une adresse tirée de la plage 2a01:6600:80XX:YY01::/64, et une route par défaut via le tap0 du client openvpn: c'est ce qu'on voulait obtenir.
Voici les incantations magiques nécessaires:
# on suppose qu'eth0 a l'adresse 192.168.0.1/24 brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0 # à ce stade, le machine hébergeant le client openvpn n'est plus adressable # mais il est dans la plupart des cas utile de lui en redonner une, en général celle d'eth0 ip addr add 192.168.0.1/24 dev br0
Il peut être intéressant de bridger par défaut eth0 et un tap0 prédéfini sur br0 dès le boot par une section de ce type dans /etc/network/interfaces:
auto br0 iface br0 inet static address 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.0.255 gateway 192.168.1.1 bridge_ports eth0 tap0 pre-up tunctl -t tap0
où la section 'iface br0' remplace 'iface eth0'.
Il faut ensuite modifier le configuration cliente /etc/openvpn/myris.conf comme suit:
# on définit explicitement le tap0 dev tap0 proto udp local ipv4-adresse-client-openvpn-domicile remote 91.224.xx.yy ca myris/ca.crt cert myris/client.crt key myris/client.key tls-client port 1194 ping 15 ping-restart 45 persist-tun persist-key # ifconfig et route ont disparus et sont remplacés par ce qui suit, # qui fait la même chose appliqué à br0 et non pas tap0 script-security 3 system up /etc/openvpn/myris-up.sh down /etc/openvpn/myris-down.sh
où /etc/openvpn/myris-up.sh vaut:
#! /bin/sh /sbin/ip addr add 10.0.0.1/30 dev br0
et /etc/openvpn/myris-down.sh vaut:
#! /bin/sh /sbin/ip addr del 10.0.0.1/30 dev br0
Remarque: ne pas oublier de lancer:
chmod 755 /etc/openvpn/myris-down.sh /etc/openvpn/myris-down.sh
Il est à noter que l'apparition des adresses et routes IPv6 peut prendre un dizaine de minutes après l'établissemnt du tunnel openvpn, et de même leur disparation n'est complète qu'au bout de 24h. Tout celà est réglable via /etc/radvd.conf sur la VM.
FAQ¶
Reverse DNS¶
En IPv6 tetaneutral.net peut deleguer le reverse du /56. Il faut configurer bind sur une ou plusieurs de vos machines, nous donner son CNAME, par exemple ns1.chezmoi.net et ns2.chezmoi.net, et mettre les fichiers suivant dans /etc/bind/ :
named.conf.local
zone "1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa" { type master; file "/etc/bind/db.ip6-81"; };
db.ip6-81
; -*- mode: zone; -*- ; ; BIND reverse data file for broadcast zone ; $TTL 3600 @ IN SOA ns1.tetaneutral.net. hostmaster.tetaneutral.net. ( 2011070301 ; serial 7200 ; Refresh 3600 ; Retry 1800000 ; Expire 3600 ) ; Negative Cache TTL @ IN NS ns1.tetaneutral.net. @ IN NS ns2.tetaneutral.net. ; reverse $ORIGIN 0.0.e.c.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR www6.tetaneutral.net. ; delegations /56 1.9.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 86400 IN NS hoersch.kneissel.org. 1.9.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 86400 IN NS serveur.kneissel.org. e.8.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 86400 IN NS dns.kafe-in.net.
CCNA et link-local¶
Merci à Jérôme Nicolle:
Unlike IPv4 static routing, with IPv6 you have the ability to use either the global unicast address or link-local address as the next hop in the static route statement. When working with IPv6 dynamic routing protocols which will be discussed in the next 2 labs, the next hop will be the neighbors link-local IPv6 address and not their global unique assigned ipv6 address. However when configuring a static route with a link-local IPv6 address as the next hop you must specify the egress interface. For all intensive purposes, using either/or will achieve the same desired effect.
Comment pinguer une addresse link local ?¶
ping6 fe80::31%eth0