Re: plus de NAT dans menu réseau V4

@Jonathan_jihzed 

Bonjour, 

Avez-vous réussi à faire fonctionner votre accès externe iPV6 et maîtriser le arcanes du pare-feu IPV6 de la box?

Si oui, je suis preneur.

Merci

---

@chc99  a écrit :

@shokohsc  @Schtronck 

Bonjour, 

Avez-vous finalement réussi à mettre en place, en IPV6, un accès externe à une machine locale?

Je galère comme un sauvage avec le Firewall IPV6 de la console.

 

 

---

Bonsoir @chc99 ,

J'avoue que j'ai cherché un peu tant que je n'avais pas eu gain ce cause auprès du support, malheureusement en vain, et que j'ai abandonné quand je suis revenu en IPV4.

J'ai trouvé quelques articles théoriques sur l'IPV6, mais je n'ai pas avancé dans la compréhension de ce qui est nécessaire dans notre cas.

J'ai cru comprendre, qu'en IPV6, on dispose, non pas d'une IPV6, mais d'une plage d'adresse...

Du coup, est-ce qu'il y a encore du NAT (translation d'adresses), ou est-ce qu'on fait juste du routage ? Dans ce cas, si c'était juste du routage, on se retrouverait carrément avec une adresse IP publique pour chaque appareil interne ! Je n'ose pas imaginer que ce soit ça, il ne resterait que le firewall de la box pour protéger toutes les IP internes (enfin, plus si internes que ça, du coup).

Ça reste confus...

@Schtronck 

A priori, quand FREE a déployé l'IPV6, chaque IPV6 interne était joignable depuis l'extérieur. Ce n'est qu'après qu'ils avaient déployé le Firewall.

Chez SFR, à priori, par défaut rien ne passe, mais même en configurant des règles, rien ne s'ouvre.

Si un Sysadmin passe par là et peut expliquer le paramétrage à mettre en place, qu'il n'hésite pas.

Si je lis la section FireWall IPV6 ici : 

https://assistance.sfr.fr/internet-tel-fixe/box-nb6/activer-protocole-ipv6-box-sfr.html

Cà semble simplissime comme sur de l'IPV4, mais je ne vois pas d'effet.

Bonjour, 

Je n'ai toujours pas réussi de mon côté à voir mes caméras ip de l extérieur de mon réseau et à contrôler mon rpi pi de l'extérieur depuis mon passage en ipv6 cgnat de vendredi dernier 3h du matin. 

Donc 1 semaine sans pouvoir gérer mon chauffage.... Grrrrr

Par contre, j ai une caméra YI qui a été configuré avec un QR code et non une ouverture de port. Cette caméra fonctionne à partir de l application YI Home en 4g de l extérieur de mon réseau ipv6!!! 

Cela est peut être un indice pour pouvoir travailler sur le reste de mes équipements ? Mais je n ai pas assez de compétences en la matière

Si les admin sys ont des infos, partagez les en public au lieu de le faire en privé afin d aider le maximum de gens ! 

Merci d avance pour votre aide. 

Ta caméra YI fonctionne car elle se connecte à un serveur externe.

Le problème du CG-Nat c’est de se connecter depuis l’extérieur

Hello  @chc99 j'ai abandonné l'hébergement de mes services pour le moment.

J'attend (sans trop d'espoir) un contact avec un Technicien N2 pour m'indiquer comment ouvrir vers l'extérieur les services dont j'ai besoin.

Je vais d'abord approfondir mes connaissances sur l'ipv6 avant de faire quoi que ce soit d'autre.

Je pense que passer une adresse passerelle ipv6 en DMZ en plus du filtrage ipv6 serait nécessaire mais je spécule.

Edit:

Encore pire: un problème depuis déjà bien longtemps, impossible de définir depuis l'interface de la box red un serveur dns personnalisé, donc je passai par un routeur perso, maintenant, j'ai par défaut sans que je puisse changer quoique ce soit un serveur DNS en IPV6 en plus de mon serveur dns perso (pihole) qui pointe sur la box sfr qui elle ne connait mes domaines locaux...

Donc pour résumer: on a rien demandé, on nous a coupé les fonctionnalités qu'on utilisait & on nous a modifié celles qui sont encore présentes, j'ai oublié un truc ?

bonjour,

Confronté au meme probleme et le connaissant un peu ( FREE m'a fait le meme coup il y a 2 ans environ ) , voila ce que je viens de faire :

- appeler le service client
- les aider a identifier le soucis pour qu'ils puissent transmettre, je leur ai expliqué que aujourd'hui la connectivité est en ipv6 & ipv4 CGNAT et que je souhaite avoir l'ipv4 full stack ( ou service similaire ) pour disposer des 65 535 ports.
- il m'ont redirigé vers le service expertise.
- le délai de résolution donné est de 48 heures , a voir.

Ils essaient de vous dire que la bascule IPV6 sera bientot définitive ce qui n'est pas le cas tant que les personnes ne pourront pas palier a ce soucis.
pour ce faire , il faudrait que SFR effectue des changements pour que les ports soient gérables depuis la box , ce qui n'est pas le cas alors que FREE sait le faire.

Si RED ne modifie par sont infrastructure et son interface de gestion pour pouvoir gerer se probleme , lors de leur soit disant bascule définitive , une vague de désabonnement se fera sentir.

Concrètement , les IP publiques sont partagées en 4 :

ip publique 80.65.42.10 par exemple ( découpage approximatif !) :
=> 80.65.42.10: port 1-16300 pour le client 1
=> 80.65.42.10: port 16301 - 32600 pour le client 2
=> 80.65.42.10: port 32601 - 48000 pour le client 3
=> 80.65.42.10: port 48001 - 65535 pour le client 4

les ports sont gérés en amont chez SFR sans aucun accès depuis notre box.

A part le client 1 , les autres l'ont dans l'os pour gérer un serveur web par exemple , et cela ne concerne qu'un serveur html , y'en a bien d'autres.

---

@0live  a écrit :

bonjour,

Confronté au meme probleme et le connaissant un peu ( FREE m'a fait le meme coup il y a 2 ans environ ) , voila ce que je viens de faire :

- appeler le service client
- les aider a identifier le soucis pour qu'ils puissent transmettre, je leur ai expliqué que aujourd'hui la connectivité est en ipv6 & ipv4 CGNAT et que je souhaite avoir l'ipv4 full stack ( ou service similaire ) pour disposer des 65 535 ports.
- il m'ont redirigé vers le service expertise.
- le délai de résolution donné est de 48 heures , a voir.

Ils essaient de vous dire que la bascule IPV6 sera bientot définitive ce qui n'est pas le cas tant que les personnes ne pourront pas palier a ce soucis.
pour ce faire , il faudrait que SFR effectue des changements pour que les ports soient gérables depuis la box , ce qui n'est pas le cas alors que FREE sait le faire.

Si RED ne modifie par sont infrastructure et son interface de gestion pour pouvoir gerer se probleme , lors de leur soit disant bascule définitive , une vague de désabonnement se fera sentir.

Concrètement , les IP publiques sont partagées en 4 :

ip publique 80.65.42.10 par exemple ( découpage approximatif !) :
=> 80.65.42.10: port 1-16300 pour le client 1
=> 80.65.42.10: port 16301 - 32600 pour le client 2
=> 80.65.42.10: port 32601 - 48000 pour le client 3
=> 80.65.42.10: port 48001 - 65535 pour le client 4

les ports sont gérés en amont chez SFR sans aucun accès depuis notre box.

A part le client 1 , les autres l'ont dans l'os pour gérer un serveur web par exemple , et cela ne concerne qu'un serveur html , y'en a bien d'autres.

---

Il me manquait juste le nombre de client partageant l'ip publique... pour le reste j'avais cette compréhension du CGNAT...

Apres même si RED nous autorisait a configurer le NAT à leur niveau (i.e. rediriger port 480022 de 80.65.42.10 (ip publique) vers port 22 de 192.168.1.2 (ip privé du serveur sur le réseau interne) ca reviendarit à faire du double NAT (voir du triple NAT si l'utilisateur à un routeur perso au milieux) ce qui n'est pas interdit, mais pas recommandé...

Rendre ses services "interne (i.e. perso)" accessibles en ipv6 est encore plus simple qu'en ipv4

imagine que tu as un serveur http sur le port 80 de ta machine locale

* En ipv4 il faut paramétrer le firewall et le NAT (tout se fait par une unique interface)

   i.e. quand dans l'interface tu rediriges le port 8080 entrant sur le wan de la box (dont l'ipv4 est 80.65.42.10) vers le port 80 de la machine locale 192.168.1.5, la box entre 2 configurations dans iptables qui font 2 choses dans cet ordre:

    1) le NAT : prerouter tout se qui rentre a destination de 80.65.42.10:8080 en tcp pour l'envoyer vers 192.168.1.5:80 en tcp

        "iptable -S -t nat | grep 80.65.42.10:8080" te renvoie "-A PREROUTING -d 80.65.42.10:8080 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.5:80

   2) l'ouverture destination/port via firewall : expliciter que la box autorise de forwarder vers le port 80 de 192.168.1.2

        "iptables -S | grep " renvoie "-A FORWARD -d 192.168.2.5/32 -p tcp -m tcp --dport 22 -j ACCEPT"

* En ipv6 il suffit de paramétrer le firewall pour la box laisser forwarder vers la machineort de destination (selon le protocole choisi [tcp et/ou udp])

         L'interface de configuration dans la box est la même qu'en ipv4 sauf qu'il n'y a plus de port de redirection (il inutile car ta machine est visible via sa propre ipv6 publique)

        si ta machine a l'ipv6 publique 2a02:8428:67a:1234:aaaa:bbbb:cccc:dddd (pas qu'une ipv6 link locale ou Unique Local Address)

        "ip6tables -S | grep " renvoie "-A FORWARD -d2a02:8428:67a:1234:aaaa:bbbb:cccc:dddd/128 -p tcp -m tcp --dport 22 -j ACCEPT"