Souci IPv6

[JKB]

Bonjour à tous,

Je viens de changer de FAI après une série de déboires dus au rachat
de Nerim par Keyyo. Je reconfigure donc mon réseau et j'ai quelques
petits soucis IPv6.

J'ai un /29 IPv4 et trois machines en frontal :
- un Linux Devuan
- un NetBSD-10
- un OpenVMS

Le LAN est derrière le serveur NetBSD, lequel a une interface
spécifique pour attaquer les serveurs Linux et OpenVMS en DMZ.

Schématiquement, ça donne ceci :

WAN
|
+----------------------+--------------------+
| | |
NetBSD Linux OpenVMS
| | | |
| +---------------------------------------+
|
|
LAN

La route par défaut du LAN est au travers du NetBSD (IPv4 et IPv6).
Tout ceci fonctionne parfaitement bien en IPv4.

En IPv6, c'est la misère.

Mon nouvel FAI me fournit un /56 IPv6. On va écrire ce réseau
PREFIX:a00::/56.

Côté Linux, j'ai repris la configuration héritée de Nerim aux
adresses près :

Root rayleigh:[~] > ifconfig wan0
wan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
...
inet6 fe80::5246:5dff:fe72:efa2 prefixlen 64 scopeid 0x20<link>
inet6 PREFIX:a00::2 prefixlen 64 scopeid 0x0<global>
...

J'ai donc utilisé un sous-réseau en /64 (et non/56) côté passerelle.
Les autres /64 sont utilisés côté DMZ/LAN.

Dans le fichier /etc/network/interfaces, j'ai une déclaration IPv6
statique :

iface wan0 inet6 static
address PREFIX:a00::2
netmask 64
gateway PREFIX:a00::1
pre-down /sbin/ip -6 route del unreachable PREFIX:a00::/56
post-up /sbin/ip -6 route add unreachable PREFIX:a00::/56

Ça fonctionne.

Côté NetBSD, j'ai configuré de la même manière un /64 côté
passerelle. Ainsi qu'un autre /64 côté LAN :

wm2: flags=0x8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
...
inet6 fe80::a62:66ff:fe47:6399%wm2/64 flags 0 scopeid 0x3
inet6 PREFIX:a00::3/64 flags 0
...

lagg0: flags=0x8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
...
inet6 fe80::6a05:caff:fe02:b259%lagg0/64 flags 0 scopeid 0x9
inet6 PREFIX:a10::128/64 flags 0
...

La machine Linux peut aller sur Internet IPv6. De même que la
machine NetBSD.

Mais les machines du LAN n'ont pas d'accès. Si je lance un ping sur
par exemple www.google.fr, je vois passer côté WAN de la machine
NetBSD les paquets à destination de www.google.fr. Mais aucun
retour.

Je suppose que le problème est que j'ai un /64 sur le WAN du NetBSD
et un /56 côté passerelle du FAI (ce qui est corrigé côté Linux par
le réseau /56 en unreachable). Comment corriger ce problème ?

Merci de vos lumières,

JKB

--
Si votre demande me parvient en code 29, je vous titiouillerai volontiers
une réponse.

[JKB]

Problème réglé, le problème se situait dans les équipements de
l'opérateur.

[Pascal Hambourg]

Bonjour,

Le 08/09/2023 à 11:30, JKB a écrit :
>
> Je viens de changer de FAI après une série de déboires dus au rachat
> de Nerim par Keyyo.

Lequel, si ce n'est pas indiscret, car je commence aussi à me poser la
question.

> J'ai donc utilisé un sous-réseau en /64 (et non/56) côté passerelle.
> Les autres /64 sont utilisés côté DMZ/LAN.

Toujours utiliser des /64, c'est la seule taille qui marche avec
l'autoconf. Avec une route reject/unreachable pour le préfixe complet
afin de ne pas créer de boucle de routage.

> Dans le fichier /etc/network/interfaces, j'ai une déclaration IPv6
> statique :
>
> iface wan0 inet6 static
> address PREFIX:a00::2
> netmask 64

Note : la notation moderne "address PREFIX:a00::2/64" est supportée.

> Mais les machines du LAN n'ont pas d'accès. Si je lance un ping sur
> par exemple www.google.fr, je vois passer côté WAN de la machine
> NetBSD les paquets à destination de www.google.fr. Mais aucun
> retour.
>
> Je suppose que le problème est que j'ai un /64 sur le WAN du NetBSD
> et un /56 côté passerelle du FAI (ce qui est corrigé côté Linux par
> le réseau /56 en unreachable). Comment corriger ce problème ?

J'arrive après la bataille, mais faire une capture de trafic côté WAN
pour vérifier s'il y a des requêtes ICMPv6 "Neighbor Solicitation"
(équivalentes des requêtes ARP) pour les adresses IPv6 du LAN. Dans ce
cas le routeur amont est mal configuré, il devrait router le préfixe du
LAN via l'adresse WAN du NetBSD.

Contournement possible (hack) : mettre en place un proxy-ND sur le
NetBSD qui va répondre à la place des machines du LAN. Ou bien faire du
NAT IPv6, mais si c'est pour en arriver là, on se demande à quoi l'IPv6
a servi...

[JKB]

Le 17-09-2023, Pascal Hambourg <pas...@plouf.fr.eu.org> a écrit :
> Bonjour,
>
> Le 08/09/2023 à 11:30, JKB a écrit :
>>
>> Je viens de changer de FAI après une série de déboires dus au rachat
>> de Nerim par Keyyo.
>
> Lequel, si ce n'est pas indiscret, car je commence aussi à me poser la
> question.

Le_s_quels_s_.

Liste non exhaustive :
- coupure de mon compte partenaire en quatre (l'un pour les accès
avec TVA, l'autre pour les accès sans TVA, le troisième pour la
téléphonie et le quatrième à la suite d'une erreur interne).
Problème : j'avais donc quatre numéros de client et je ne
recevais que les factures pour un seul. Comme ces types ont
extirpé des archives Nerim un compte d'une entreprise _fermée
depuis 1996_ mais que je gardais ouvert en raison d'une erreur de
ma banque (un NNE), je virais sur ce compte le montant des
factures qui ne correspondait _jamais_ à ce qui était prélevé ;
- liens résiliés par erreur (parce que sur le lot, j'ai eu deux
liens payés durant six mois par des tiers). Le premier ne s'en est
pas rendu compte, le second a demandé une résiliation que personne
n'a voulu arrêter. J'ai donc perdu au passage l'IPv6 parce que si
Nerim fournissait l'IPv6, Keyyo s'en tamponne ;
- techniquement : depuis le rachat, je n'ai eu que des merdes. La
téléphonie échouait en appel entrant à peu près une fois sur dix.
Les dégroupages (dans mon cas, FT et Nerim) sont passés sur du
Bouygues sans me demander mon accord. J'ai eu des instabilités
délirantes en ADSL (Paris intra-muros) mais je devais être content
puisque le débit est passé en IP de 18 à 19 Mbps (sic le service
technique !). À l'autre bout de la France, je suis passé de 9 Mbps
à 3,5 Mbps à la suite d'un dégroupage sauvage de FT à Bouygues. Et
encore, avec des problèmes de pertes de paquets (20% en moyenne).

J'ai résilié tous les accès le 30 juin dernier par courrier
recommandé (rupture unilatérale des contrats par manque de leur
obligation de moyens, il y a un article du code civil). Ils n'en ont
rien eu à faire et j'ai eu des nouvelles du service recouvrement (le seul
truc qui fonctionne à peu près chez eux). Parmi ce qu'ils me
demandaient figuraient des factures des trois autres numéros de
clients que je leur ai demandé par LRAR depuis mars 2023 sans
obtenir de réponse. Eh oui, parce que malgré mes relances, je n'ai
_jamais_ eu ces factures.

Chose exceptionnelle, le recouvrement s'adressait à ma société
actuelle (alors que les factures émises l'étaient à une autre société,
fermée depuis 7 ans). J'ai donc appelé le N°2 de la boîte pour lui
demander s'il par hasard Keyyo ne me prendrait pas pour une bille.
Je lui ai indiqué qu'on était assez proche de ce qu'on pourrait
appeler en étant malveillant une fausse facture (puisque le tiers
mis en demeure n'était pas le destinataire des factures et que seul
le fisc a ce pouvoir en France).

J'ai eu un retour écrit comme quoi le recouvrement a été annulé et le
compte soldé.

Bref, depuis la disparition de Nerim, techniquement, tout est la
ramasse (dans mon cas), le service s'est dégradé (puisque le service
technique est ouvert de 9h00 à 18h00 du lundi au vendredi contre
24h/24 chez Nerim même pour l'ADSL de base) tant techniquement que
commercialement.

Les emmerdes ont commencées trois mois après le rachat. J'ai mis du
temps à les quitter parce que j'avais une infra complète et que ça
m'obligeait à tout revoir (y compris déménager une salle serveur).

Je dois rajouter que parmi tous les dinosaures Nerim, je fus l'un
des derniers à quitter le navire.

>> J'ai donc utilisé un sous-réseau en /64 (et non/56) côté passerelle.
>> Les autres /64 sont utilisés côté DMZ/LAN.
>
> Toujours utiliser des /64, c'est la seule taille qui marche avec
> l'autoconf. Avec une route reject/unreachable pour le préfixe complet
> afin de ne pas créer de boucle de routage.

La question est de savoir comment on met en place cette route sous
NetBSD. Je n'ai pas trouvé dans la doc.

>> Dans le fichier /etc/network/interfaces, j'ai une déclaration IPv6
>> statique :
>>
>> iface wan0 inet6 static
>> address PREFIX:a00::2
>> netmask 64
>
> Note : la notation moderne "address PREFIX:a00::2/64" est supportée.
>
>> Mais les machines du LAN n'ont pas d'accès. Si je lance un ping sur
>> par exemple www.google.fr, je vois passer côté WAN de la machine
>> NetBSD les paquets à destination de www.google.fr. Mais aucun
>> retour.
>>
>> Je suppose que le problème est que j'ai un /64 sur le WAN du NetBSD
>> et un /56 côté passerelle du FAI (ce qui est corrigé côté Linux par
>> le réseau /56 en unreachable). Comment corriger ce problème ?
>
> J'arrive après la bataille, mais faire une capture de trafic côté WAN
> pour vérifier s'il y a des requêtes ICMPv6 "Neighbor Solicitation"
> (équivalentes des requêtes ARP) pour les adresses IPv6 du LAN. Dans ce
> cas le routeur amont est mal configuré, il devrait router le préfixe du
> LAN via l'adresse WAN du NetBSD.
>
> Contournement possible (hack) : mettre en place un proxy-ND sur le
> NetBSD qui va répondre à la place des machines du LAN. Ou bien faire du
> NAT IPv6, mais si c'est pour en arriver là, on se demande à quoi l'IPv6
> a servi...

Le problème a été résolu, c'était un souci côté fournisseur d'accès.

[Damien Wyart]

> > > Je viens de changer de FAI après une série de déboires dus au rachat
> > > de Nerim par Keyyo.

> > Lequel, si ce n'est pas indiscret, car je commence aussi à me poser la
> > question.

* JKB <J...@hilbert.invalid> in fr.comp.reseaux.ip:
> Le_s_quels_s_.

> Liste non exhaustive : [...]

Je pense que la question de Pascal était "par quel fournisseur as-tu remplacé Keyyo/Nerim" :-)

--
DW

[JKB]

Pardon, je pensais qu'il parlait des déboires...

J'habite dans une campagne reculée et je n'ai pas le choix des
opérateurs (il faut un opérateur avec un contrat visé par le
département qui a apporté la fibre partout). J'ai donc appelé tous
les opérateurs présents dans les papiers du département avec comme
prérequis :
- IPv4 (/29) et IPv6 (/48) ;
- backup radio (les arbres qui tombent sur la fibre, je connais)
avec routage MPLS

Je n'ai donc pas une connaissance exhaustive de tous les opérateurs.
Certains travaillent à deux dans une cave (je les ai rencontrés).

L'immense majorité ne fournit pas IPv6 ou pas de bloc IPv4. Quant au
MPLS, faut pas déconner, beaucoup ne savent pas ce que c'est.
D'autres encore facturent au Mo ou proposent des configurations
délirantes (obligation de prendre une machine dans leur datacenter
pour avoir accès IPv6...). D'autres encore ne fournissent pas de
fibre à un tarif correct (on parle de plusieurs centaines d'euros
HT/mois pour du FTT_H_ à 10 Mbps garantis, oui, vous avez bien lu).

Vers la fin de la liste, je suis tombé sur Linkt qui ne fournit pas
directement mais m'a renvoyé à une boîte d'Agen qui commercialise
les accès en marque blanche. Je n'ai aucune action chez eux, je ne
connaissais pas. Je ne pratique que depuis deux mois et demi.

Pour 89 euros HT/mois, j'ai une fibre 1 Gbps/300 Mbps (vérifiés) en
FTTH avec backup radio réel, deux routeurs Cisco (location), l'un
pour la fibre, l'autre pour la radio (illimitée). J'ai rajouté la
téléphonie (trunk SIP à deux canaux et deux SDA) pour 36 euros
HT/mois en illimité. Dans le prix, j'ai un /29 IPv4 (je suis
propriétaire des IP tant que je ne change pas d'opérateur) et un /56
IPv6. Je me suis aperçu que le SIP provient de Sewan. Les SDA sont
géographiques.

Le service technique n'est pas tout à fait au point sur les IPv6,
mais il est de bonne volonté et on y arrive. Point légèrement
négatif, il n'y a pas de reverse DNS avec délégation, il faut passer
par un ticket pour les positionner. Pas trop gênant, on le fait une
fois pour toute normalement.

Le seul truc un peu gênant, c'est la coupure de 2 minutes pour
basculer de la fibre vers la radio. Dans l'autre sens, c'est
immédiat.

La configuration MPLS consomme trois IP sur les 6 du /29. Mais c'est
la garantie d'avoir mes serveurs accessibles même si la fibre tombe.
Je ne sais en revanche si IPv6 est routé sur la radio, ça reste un
sujet chez Linkt.

Je suis donc passé de Keyyo/Nerim de 3*25 (accès + /29) + 2*12 (SIP)
+ 25 (broker IPv6 depuis la suppression d'IPv6 chez Keyyo) soit 124
euros/mois (HT) à 125 euros HT/mois, mais avec MPLS et forfait
incluant les communications vers les mobiles. Cerise sur le gâteau,
il y a un service technique qui parle ma langue.

Bien cordialement,

[Eric Masson]

Damien Wyart <damien...@free.fr> writes:

'Lut,

> Je pense que la question de Pascal était "par quel fournisseur as-tu
> remplacé Keyyo/Nerim" :-)

Probablement, oui.
Ici, Milkywan via une collecte Orange Bitstream sur le RIP Vendée
Numérique.
Vraiment très bien.

--
MA QUESTION EST LA SUIVANTE:
quelqu'un aurait-il un login et mot de passe a me preter
en attendant que j'obtienne les miens Lundi.
-+- FM in GNU : avis aux cyber crédules -+-