IPv6

Mes premières expériences avec IPv6 datent de 1999. Je me souviens d’une nuit où un habitué du canal de l’époque, bedlam si mes souvenirs sont bons, rejoint #GCU avec un netmask en 3ffe::, le prefixe alloué au 6bone, un réseau de test IPv6 arrêté en 2006.

Obsessif que je suis, je m’étais lancé corps et âme dans l’aventure, raccordé via freenet6 (société aujourd’hui appelée gogo6) et muni de mon O’reilly IPv6 théorie et pratique, aujourd’hui consultable en ligne.

J’enquille donc sur le précédent post sur le sujet avec cette fois une configuration qui sied à une passerelle de type GNU/Linux calée en bridge derrière une freebox, voir deux billets plus bas pour l’explication de fond, nous irons à l’essentiel ici. Dans cet exemple, eth0 représente l’interface raccordée à notre réseau privé, et eth1 celle raccordée à la freebox:

• Évidemment, il faudra activer le mode IPv6 sur votre interface free
• On place les sysctl adéquats:

• On renseigne son IPv6, par exemple pour le sous-réseau 2a01:e35:39d7:e3e0::/64:

• On déclare sa passerelle:

• Puis on place une IPv6 qui servira de passerelle à notre réseau privé sur eth0 avec une longueur de préfixe juste suffisante:

• L’astuce, ici encore, consiste à proxyiser les adresses du LAN sur l’interface raccordée à la freebox afin d’apparaître comme un réseau “à plat”:

• Il suffit alors de faire de même pour toute machine de votre LAN que vous souhaitez raccorder à l’IPv6, par exemple, toujours sur la passerelle:

• Sur la machine qui portera l’adresse 2a01:e35:39d7:e3e0:1::2, on ajoute à l’interface son IPv6, et on déclare comme passerelle par défaut 2a01:e35:39d7:e3e0:1::1:

• Il conviendra de rajouter tout ce petit monde dans votre /etc/network/interfaces comme il se doit, encore une fois je vous renvoie 2 posts plus bas. La méthode est fastidieuse et pas forcément élégante, mais tant que l’opérateur free ne se sera pas sorti les ne routera pas plus qu’un /64 dans les foyers, nous devrons nous contenter de cela… ou passer la freebox en mode routeur. Nan j’déconne.

Sans vraiment y croire, je vais sur test-ipv6 avec ma tablette sous Android (une Asus Transformer), et quelle ne fut pas ma surprise de constater:

Pas d’étonnement, mon HTC Desire HD sous Android montre le même résultat:

Et histoire de me gausser, je fais le même test avec l’iPoo du boulot… bah pareil:

Ça commence à sentir bon !

Je précise qu’évidemment, ces tests ont été menés en mode WiFi et non en passant par l’opérateur de téléphonie.

Free et OVH proposent tous deux une connectivité IPv6 depuis un certain temps. Les deux ont ceci de commun que sur le papier, ils fournissent un prefixe /64, il se trouve qu’OVH fournit en réalité un /56, mais cela a peu d’intérêt pour l’astuce qui va suivre.

Les routeurs des deux sociétés s’attendent donc à recevoir du flux IPv6 depuis un réseau “plat”, et ceci pose un réel soucis lorsque vous souhaitez distribuer une connectivité IPv6 à votre réseau possiblement NATté derrière votre passerelle. Plusieurs astuces sont disponibles depuis belle lurette, parmi elles l’utilisation d’un bridge associé à une règle ebtables, mais aussi et surtout la mise en place du proxying NDP. Je me suis basé sur cette dernière méthode, que j’ai adapté à mon éternel setup: dom0 debian GNU/Linux et domU NetBSD.

Voila un week end BIEN productif ! Comme je ne m’étais pas replongé dans IPv6 depuis la glorieuse époque isdnet, je me suis dit qu’il était grand temps de me rafraîchir la mémoire; j’ai donc été au bout de la certification IPv6 de HE qui va de la simple déclaration d’un tunnel v4/v6 à l’enregistrement d’une zone DNS IPv6 parfaitement fonctionnelle en passant par un MX et un desktop double pile aux petits oignons. Et ça fait du bien ! Compte tenu de la situation, je ne saurais trop vous encourager à faire de même, et de ramener ce savoir dans vos boulots, c’est pas comme si le grand mouvement avait lieu demain, mais compte tenu de l’ampleur de la tâche, il est pas trop tot… Allez, jme la pête au laser: .

Ça commence à sentir le vieux sac de lacets sur ma routing box. Pour rappel, j’utilise un domU NetBSD hébergé quelque part pour différencier mon traffic sortant. Ce domU est controllé par un dom0 Debian Squeeze, et a ceci de particulier que sa route par défaut part vers la suède. Seuls quelques services répondent directement sur l’IP publique “réelle”, sur laquelle j’opère du SNAT et du DNAT.

Tout ceci manquait cruellement d’un soupçon d’IPv6. Ainsi, après m’être frotté à SixXs et son système de crédits aussi ingénieux que pénible, j’ai finalement opté pour Hurricane Electric qui a en plus le bon goût de posséder un endpoint à Paris.

Sur un certain reseau ou je n’ai pas la main, j’ai voulu fournir une connectivité IPv6. À l’époque du 6bone je réalisais cette opération sur le routeur (avant d’apprendre l’existence de 6to4) à l’aide de tspc, un client freenet6 disponible entre autres dans pkgsrc. Il est a priori possible, selon ce qu’on peut lire dans le fichier tspc.conf, de réaliser cette opération derrière du NAT, pourtant, si le tunnel s’établit bien, impossible de faire transiter un paquet. J’ai trouvé la réponse au problème dans ce thread. Une vilaine magouille est nécessaire pour obtenir un tunnel opérationnel :

Pour ceux qui ne connaissent pas encore cette methode magique pour accéder au réseau IPv6, je vous invite à jeter un oeil à cette news.

Il semble qu’il y ait un problème de dépendance dans le package kmod-ipv6 de Kamikaze. En effet, ce dernier installe le module sit.ko nécessaire au montage d’un tunnel 6to4, mais pas le module tunnel4.ko dont sit.ko dépend.

On s’execute :

On automatise le chargement de sit.ko