Passer au contenu principalPasser à la recherchePasser au pied de page
Box & décodeur TV
Bienvenue

Bienvenue sur le Forum RED. Pour bien commencer et tout savoir sur ce Forum, vous trouverez toute l'info dans ce sujet

Les chiffres du forum
170 216 Membres
2 335 Sujets

IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

Répondre
C
Rhodium
Posts : 14
Badges :
Post 1 +19
26 mai 2024 (edité)
Solution approuvée

IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

[ modifié ]

Hello,

Ce n'est pas une question que je soumets, mais une solution Smiley clignant de l'œil
Voici plusieurs semaines que je galérais pour obtenir des IPV6 sur mon LAN derrière un routeur ASUS qui fonctionnait très bien avec une FreeBox.
Je vais la faire courte, car si personne n'est intéressé, pas la peine d'en mettre des tartines. Mais je répondrai à toutes les questions.

A tous ceux qui mettent leur routeur en "point d’accès" pour contourner le souci, je réponds que c'est bien dommage d’acquérir un routeur performant pour faire ça.
Je réponds également que la raison d'être du routeur est de soulager la Box SFR, qui sature assez vite en DHCP pour attribuer les IPV4 et IPV6 au LAN.
A partir de 10 ou 15 connexions, la box n'est plus vraiment capable de bien gérer l'ensemble. Donc le routeur personnel devient indispensable à mon avis.
Enfin, le rollback en IPV4 n'est qu'une solution temporaire, l'IPV6 étant clairement l'avenir (et le présent : la réponse du réseau WAN est plus rapide).

 

3 solutions pour utiliser votre routeur :

- Point d'accès. Vous soulagez le WIFI de votre box, car vous allez couper le WIFI sur la box et laisser faire votre routeur. Ok pour une dizaines d'appareils.
C'est super simple et vous avez du wifi6 pour moins de 100 euro. Mais ce n'est pas satisfaisant à mon avis (déjà dit plus haut)
- Mode routeur et paramétrage en Passthrough IPV6. C'est déjà mieux. L'IPV4 est totalement géré par le routeur et la Box SFR gère de son coté les IPV6.
Comme c'est bien le mode routeur qui est activé, vous bénéficiez des services de votre matériel : contrôle parental, anti-virus réseau, Qos adaptatif, pare feu performant, partage d'une clé USB branchée au dos du routeur... Pas mal, mais la Box SFR galère quand même dans la gestion des IPV6, d'autant plus qu'elle en distribue souvent 2 : une slaac et une DHCP IPV6 car votre routeur devient totalement invisible pour la partie IPV6. C'est pour cela que le Passthrough est également appelé Pont IPV6 (Bridge).

Problème : impossible d'avoir un réseau IPV6 fonctionnelle avec mon routeur Asus AX4200 et le paramétrage en Passthrough.  Une adresse IPV6 est bien attribuée au LAN, mais elle ne fait pas le lien avec l'IPV6 de la Box SFR. Il n'y avait pas de souci avec la FreeBox, mais depuis le passage chez SFR, l'IPV6 ne traverse plus mon routeur.
C'est facile à contrôler avec https://test-ipv6.com/
A noter que le mode Passthrough fonctionne très bien avec le matériel TP Link, dans le cas présent un Archer AX50, plus ancien que l'Asus AX4200.
Mais je voulais mettre mon Asus plus performant !

 

La solution : Le mode "native" avec un peu de paramétrage tant sur le routeur Asus que sur la Box SFR car le mode "native" en automatique ne fonctionne pas.

Sur la Box SFR : il faut mettre le routeur en IPV6 fixe (c'est mieux), puis mettre l'adresse IPV6 du routeur en DMZv6 et enfin mettre l'adresse IPV6 du routeur en Gateway Next Hop.
Sur le routeur Asus, il faut désactiver le DHCP-*** EDIT MODÉRATION : Vous êtes ici sur un forum d’entraide merci de rester poli et courtois ***, et renseigner dans "Réseau local adresse IPv6" le sous réseau donné par la Box SFR lors de la création de la DMZv6
Et là, c'est magique. L'IPV6 devient pleinement fonctionnel sur le LAN derrière l'Asus.

Le résultat est exactement ce que je cherchais : la Box SFR ne voit qu'un seul client (le routeur). Elle ne gère qu'une IPV4 et une IPV6 sur un port LAN. Le wifi est éteint.
Il n'y a aucune raison que la Box SFR sature, elle ne fait que gérer un flux filaire.
De son coté, le routeur Asus gère tout : la distribution des IPV4, des IPV6, l'équilibrage des flux... Vous avez un réseau IPV6 de bout en bout et le CGNAT n'est donc plus un souci !

 

Voila. Si vous êtes dans mon cas et que j'ai été trop rapide sur le paramétrage, n'hésitez pas à demander davantage de précisons. J'ai tellement galéré sans rien trouver sur le net que je serais ravi de vous faire gagner du temps.

 

Pour ceux qui se demandent si cela vaut le coup d’acquérir un routeur : si vous avez des ados à la maison (donc beaucoup de connexions) et des objets connectés en plus des PC : OUI.
Par exemple, un Tp Link AX50 (wifi6, c'est du bon matos) coute 100 euro. Un Asus AX4200 (super complet) coute 150 euro.
Vous pouvez les garder au moins 4 ou 5 ans et vous avez du Wifi6, une portée WIFI incomparable et un fonctionnent infiniment plus stable que la box du FAI.
Quand on voit que la SFR 8 (pour le wifi6) coute 7 euro de plus par mois que la SFR 7, le retour sur investissement est rapide.
Et si vous changer de FAI, vous ne touchez à rien sur votre réseau. Simplement mettre la nouvelle Box devant votre routeur.


Questions résolues
Solution validée
R
Turquoise
Posts : 383
Badges :
Réponses 50 +36
Solution validée
27 mai 2024

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

Hello  @Ctk 

 

Merci beaucoup pour ce partage qui, je l'espère, aidera de nombreux utilisateurs.


Solution validée
R
Turquoise
Posts : 383
Badges :
Réponses 50 +36
Solution validée
27 mai 2024

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

Hello  @Ctk 

 

Merci beaucoup pour ce partage qui, je l'espère, aidera de nombreux utilisateurs.

g
Bronze
Posts : 7
Badges :
Upload photo x1 +10
21 juin 2024

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

salut

voila un soucis que j'essai de résoudre depuis des mois !

même après avoir poser la question sur divers forums , et après avoir lu des réponses

du genre pourquoi faire ça ?ou ceci? ou pourquoi acheter un routeur ?...bref !

 

mon soucis est presque comme le tient que semble t'il tu a résolu ?

si tu veux bien t'intéresser a mon cas ,je veux bien te poser le problème en détail

(car j'en suis incapable)

NB6 avec ONT et fibre + routeur tplink actuellement en double NAT (réaliser a "par pur chance et hasard" )

d'après plusieurs avis , ils ne savent même pas comment ça fait pour fonctionner

mais ça fonctionne pour l'instant , ça ne me plait pas , mais ça fonctionne.

 

merci pour ton aide éventuelle , je mettrait schéma et explications si ok.

C
Rhodium
Posts : 14
Badges :
Post 1 +19
22 juin 2024

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

Hello !

Pas de souci pour partager. De mon coté, c'est résolu et ça fonctionne exactement comme je le souhaite.
Quel est le modèle de ton routeur TP LINK ?

J'ai eu un TP link durant 3 ans (AX50), très bon matos et assez simple.
Je suis passé sur ASUS et un peu plus complexe.


Pour comprendre un peu les principes généraux, je te conseille de lire ci-dessus, piqué sur un forum d'univers freebox.

Il faut lui reconnaitre son copyright Smiley heureux Sans rire, il explique très bien.

 

Dis moi ou tu en es avec ton routeur, ce que tu souhaites faire...

 

 

 

SiliconBox, Posté le: 20 Juin 2024 16:08   Sujet du message: partager sur twitterCréer un article sur Freezone à partir de ce posteRépondre en citantSignaler un message

Il faut sortir de la période boutonneuse "Kéké" je bridge pour montrer que je maitrise... et en fait je ne maitrise pas grand chose.

Le mode bridge a eu un intérêt sur le Freebox v5 pour court-circuiter un pare feu qui n'était pas totalement neutre, mais depuis la Révolution le mode bridge N'A PLUS AUCUN INTERET !!!! sauf auprès des kékés qui veulent soit crâner, soit pensent gagner en performance... le gain en performance étant de 1 milliardième de milliardième de seconde.


I - IPv4

Il suffit donc de cascader les routeurs. En mode "cascade" le port WAN du routeur Asus va prendre une adresse privée dans le réseau IPv4 Freebox, au lieu de l'adresse publique de Free, ça ne pose aucun souci.

Il est préférable d'assigner dans le réseau Freebox une adresse fixe pour le routeur Asus en fonction de son adresse MAC. Au niveau du routeur secondaire Asus, soit on paramètre le port WAN afin qu'il acquiert une adresse automatique via le DHCP de la Freebox, soit on code une adresse privée en dur en veillant à ce qu'un bail statique soit bien déclaré à l'identique sur la Freebox.

Sur Freebox OS, on renseigne en DMZ cette même adresse IPv4 afin que la Freebox duplique tous les flux externes vers le routeur secondaire, ensuite au niveau du routeur Asus on paramètre le réseau privée IPv4, avec DHCP

Les réseaux privés Freebox et Asus SERONT PARFAITEMENT étanches !!!! Et il ne peut pas en être autrement

Un appareil connecté sur le routeur Asus n'obtiendra qu'une adresse du routeur Asus et pas de la Freebox
Un appareil connecté sur la Freebox n'obtiendra qu'une adresse de la Freebox, pas du routeur Asus

Encore une fois, dans ce schéma le port WAN du routeur secondaire prend une adresse privée pas publique, donc adresse privée IPv4 signifie NAT, NAT signifie que c'est étanche, les deux routeurs ont leurs propres réseaux privés.

Afin d'éviter les embrouilles on veillera toutefois à ce que la Freebox et le routeur Asus ne soient pas paramétrés sur le même réseau privé car si le client swappe d'un routeur à un autre, c'est là où il peut y avoir des problèmes avec des conflits de baux et ajoutons que cela reviendrait à créer un téléscopage au niveau du routeur Asus puisque WAN et LAN seraient sur les mêmes réseaux.

II - IPv6

Il semble y avoir une différence très importante entre Free et SFR

D'après ce que je comprends du dernier message, SFR assigne à ses abonnés une seule adresse IPv6 et recrée un schéma un peu similaire au NAT IPv4 pour partager cette adresse IPv6 avec tous les clients réseau, d'où la présence d'une DMZ IPv6. Bref, ce n'est pas du SLAAC.

C'est une info que je recherchais, j'ai indirectement la réponse, je n'irai pas chez SFR, la gestion de leur IPv6 ne m'intéresse absolument pas, je préfère Free et son système précieux de multi préfixes IPv6

Donc ce qui est indiqué dans le dernier message n'est pas du tout applicable à la Freebox
Notamment, la notion de DMZ IPv6 n'existe pas sur les Freebox car ça n'a aucun sens ici.

En effet Free assigne à ses abonnés 7 blocs d'adresses IPv6 sur 64 bit, on appelle ça préfixes, et c'est là où le SLAAC intervient

Quel est l'intérêt du SLAAC ?

La gestion des adresses est décentralisée (d'où le terme 'staleless'), ce sont les clients qui s'auto-assignent les adresses IPv6, mais toujours confinées au sein d'un bloc 64 bit prédéfini.

On voit ici que les clients réseau ONT TOUS UNE ADRESSE IPv6 DISTINCTE situé dans le bloc prefix, il ne s'agit pas d'une adresse IPv6 unique et partagée comme décrit précédemment, à partir de là le NAT n'a aucun sens, pas plus que la DMZ IPv6

Il va s'en dire que SLAAC et DHCP6 sont totalement antinomiques, DHCP6 étant un système centralisé.

En SLAAC il y a une rotation régulière des adresses IPv6 initiée par le client réseau lui-même.... donc ça revient à recréer une IPv6 variable afin de réduire les attaques.

Sur une adresse IPv4 on n'a qu'une seule adresse publique, et chez Free cette adresse publique est fixe, ce qui est en réalité un très gros inconvénient car les pirates peuvent attaquer facilement cette adresse. Non l'IPv4 fixe ce n'est pas la panacée contrairement à ce que pensent beaucoup de Freenautes, et c'est bien pour cette raison que je suis très prudent quant à l'hébergement d'un serveur public en IPv4... car quand votre serveur est attaqué, c'est toute votre connexion qui peut être "Down"

En IPv6 on a une adresse publique qui va fluctuer dans un bloc de 64 bit, donc l'attaquant devra déployer de très très très très très gros moyens pour attaquer au hasard sur le spectre de ce préfixe.

Vous avez tous compris l'intérêt du SLAAC maintenant ainsi que ces précieux préfixes IPv6 ?

Si l'objectif est d'héberger des serveurs, ces serveurs on les paramètre en SLAAC, puis on utilise le service de DNS dynamique "dynv6.net', le seul service de son genre gérant l'IPv6 et à ce jour gratuit, et le tour est joué, votre serveur est protégé derrière une adresse IPv6 flottante et du coup on a tout intérêt à désactiver l'IPv4 qui va constituer le point faible, car point d'entrée d'attaques massives et ... vive l'IPv6, mort à l'IPv4, beaucoup trop de gens se méprennent totalement sur l'IPv6 en se pensant plus "secure" derrière leur IPv4 unique et fixe... ces gens n'ont rien compris, ou disons n'ont jamais voulu faire l'effort de comprendre l'IPv6.

SLAAC est extrêmement bien foutu. Lors d'une rotation d'adresse, l'adresse dépréciée va temporairement continuer à accepter les flux entrants mais ne sera plus utilisée pour les flux sortants, ultérieurement l'adresse sera totalement dépréciée mais entre temps les clients auront eu le temps de s'adapter à la nouvelle adresse IPv6 active.


Je ne connais pas du tout cet Asus

Hypothèse 1 : il s'agit d'un routeur compatible IPv6 mais ne "manageant" que l'IPv4 comme la plupart des routeurs grand public, dans ce cas c'est la Freebox qui doit continuer à gérer l'IPv6, on ne touche absolument rien.

Hypothèse 2 : le routeur manage bien l'IPv4 et l'IPv6, et possède bien un mode 'stateless' (par opposition à 'statefull' qui désigne le dhcp6). Dans ce cas, au niveau de la Freebox, on active le NEXT HOP sur le second bloc, on laisse le premier bloc à la Freebox, on ne fait surtout pas l'erreur de basculer le segment par défaut sur le routeur secondaire.

Au niveau du NEXT HOP on renseigne l'adresse de lien local du routeur Asus, une adresse qui est impérativement en "fe80...."

Au niveau du routeur Asus il faut activer le mode IPv6 'stateless', donc désactiver le cas échéant le DHCP6

En revanche on active bien le DHCP4, il ne faut en effet pas confondre l'IPv4 et l'IPv6, ce sont deux couches totalement indépendantes.

Et... voilà, et surtout NE PAS S'EMBROUILLER avec la DMZ IPv6 qui n'a pas lieu d'être dans le schéma Freebox

NOTE
- sous Linux le fameux mode 'stateless' revient à lancer au niveau du routeur le "daemon" radvd paramétré sur le bon préfixe... rien de plus
- pour définitivement tordre le coup à des idées reçues, il existe bien en IPv6 un bloc d'adresse privé équivalent aux adresses privée IPv4, ce sont les adresses dans le segment "fc:Cry7" (emoticon parasite qui cache la séquence ": : /") ou plus usuellement "fd:Cry8" MAIS attention, ce n'est pas un NAT, cette notion n'existe pas vraiment en IPv6 (à part le cas spécifique de mécanismes de transition 6to4)

g
Bronze
Posts : 7
Badges :
Upload photo x1 +10
22 juin 2024 (edité)

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

[ modifié ]

salut,

ok, merci d'avance car ça fait un moment que l'ont "m'explique" ce que je ne veux pas et ne comprend pas ! désolé

comme précisé je débute dans la configuration "réseau"

 

après avoir lu et relu ce que tu as posté , SLAAC et ipv6 m'ont fortement intéressé , mais de la a "bricoler" ma configuration

désolé, mais je n'en suis pas capable sans aide.

 

venons s'y , en clair je veux profiter au max de mon routeur A73 qui est bien plus performant en options et en wifi !

(pour preuve , avec la NB6 ,plus de wifi dans le jardin , avec le tplink aucun soucis ! bref. )

 

ma configuration ci dessous , que faut t'il modifier ou changer sur NB6 ou A73 pour avoir une installation "sécurisé et propre"

sur le tplink actuellement ,en LAN ,imprimante ,caméra extérieur, pc, et wifi dispo

 

Box sfr NB6 fibre avec ONT.

LAN1 pc de bureau et téléphone fixe
LAN2 vers WAN routeur tplink Archer 73

 

configuration box Smiley très heureuxHCP "activé"
UPnp ipv6 "on"
DMZ pour Ipv6 "off"
Wifi "off"

 

Routeur A73 tplink

NAT "activé"
DHCP "activé"
DMZ "off"
Wifi "on"

 

merci

C
Rhodium
Posts : 14
Badges :
Post 1 +19
22 juin 2024 (edité)

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

[ modifié ]

Ok, c'est bien tout ça, l'A73 est un très bon routeur WIFI6 à un prix raisonnable.
Il est certain qu'il faut passer par lui pour tout ton réseau, pour bénéficier de la wifi 6, d'une bonne stabilité et de Home Shield (même en version gratuite).

 

On va commencer par simple.
Sur la Box, tu ne touches à rien, c'est bien comme tu as mis pour l'instant.

 

Sur le TP LINK, c'est bien aussi.

Je ne pense pas que l'IPV6 soit activé sur le LAN du TP link. Fais le test avec https://test-ipv6.com/ sur le PC branché sur le TP link.
En revanche, celui branché sur la Box devrait réussir le test IPV6

Tu devrais alors mettre dans un premier temps l'option IPV6 en "passthrough" sur le TP link

Pour cela, il faut aller dans les paramètres du TP link, passer en mode "avancé" ou "expert" puis rubrique IPV6 "Passthrough".
Cela permettra d'obtenir un lien IPV6 entre tes appareils et le WAN de façon très simple.

Dans un premier temps, c'est déjà bien.

Fais le tour des paramètres de la Box et du TP link. Le pare-feu IPV6 doit être sur ON sur les deux pour l'instant.

 

On est bien d'accord :

- ton TP like est branché sur un LAN de la box et le cable RJ45 rentre dans le WAN du TP link ?
Dans cette configuration, le TP link est donc connecté sur la Box avec une adresse de type 192.168.1.x
Puis tous tes appareils sont sur des adresses de type 192.168.0.x ?
C'est la configuration classique du double LAN. Les deux réseaux sont différents. Pas forcement en 192.168.1.x et 192.168.0.x, mais différents.

 

Pourquoi branches-tu ton PC sur la Box et pas sur le TP link ? Par exemple, dans ta config, il ne peut pas imprimer (à moins de passer par de l'IPV6, mais on en reparlera...)
Il est plus efficace d'avoir tout ton réseau sur le même LAN, sinon ton PC ne pourra pas communiquer avec les autres appareils.

Simplement, pour accéder à la console du TP link depuis ton PC, tu dois désormais taper l'IP du LAN du TP link (style 192.168.0.1) et non celle donnée par la Box.

Tu pourras toujours te connecter à la BOX, même branché sur le TP Link, car la box va intercepter le DNS et tu auras accès à la console de gestion de la box quand même.

Bref : tout le monde derrière le TP link. Depuis la Box, il ne doit sortir que le téléphone et le lien RJ45 vers le TP link.

 

Fais tous les tests (speed-test, IPV6 et autres).  Pour accéder à tes caméras depuis l’extérieur, passes-tu par un site web ou bien par un logiciel qui oblige à ouvrir les ports (transfert de NAT) ? Sais tu si tu es en CGNAT (IP en 10.xx.xx.xx) ou non ?

As-tu une box TV ?

 

L'étape suivante, si tout fonctionne bien, sera de passer en IPV6 natif sur le TP-LINK et donc de soulager la Box du DHCP IPV 6.
Mais ce n'est pas obligatoire. D'après mon expérience, les TP link gèrent bien le mode "Passthrough".
Donc si la box tient le choc, pas de souci et même si ce n'est pas "parfait" car il vaut mieux paramétrer le Next Hop pour laisser la main au TP link pour les puristes.
Mais step by step. L'essentiel est que cela fonctionne et que ce soit sécurisé, pas que ce soit un modèle de geek !

Le menu du routeur TP link et très bien fait, avec des explications relativement claires sur chaque paramètre en cliquant sur "?".
Tu peux te balader partout, tant que tu ne valides pas, tu ne peux rien dérégler. Tu vas ainsi mieux comprendre toutes ses fonctions.

Ainsi, tu pourras exploiter au mieux ses possibilités (sécurité, filtre, utilisation du partage de l'USB).

Mais rien que pour la vitesse, la portée et la stabilité du WIFI, c'est déjà beaucoup mieux que la Box seule.

 

g
Bronze
Posts : 7
Badges :
Upload photo x1 +10
22 juin 2024 (edité)

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

[ modifié ]

salut,

désolé pour le retard je viens juste de rentrer.

 

pour éviter de faire des erreurs ou mal t'informer ,je te poste un max de captures pour que tu puisse avoir

un visuel plus "juste".

 

déja l'ipv6 de la box je ne la trouve pas , mais un truc qui y ressemble.

 

autre choses ,je ne sait pas pourquoi la box donne une ip au tplink "farfelue" ?? pourquoi "49" ,?

j'ai essayé de changer ça pour que ce soit plus logique ,genre 192.168.2.0  ? mais je ne trouve pas ?

 

je te mets des captures (désolé si elles sont dans le désordre) avec tout ça tu va sans doute mieux comprendre, merci

 

https://www.zupimages.net/up/24/25/ed81.jpg 

 

C
Rhodium
Posts : 14
Badges :
Post 1 +19
22 juin 2024 (edité)

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

[ modifié ]

Il n'y a aucun souci.
On s'en fout que le TP link soit en "49" dans le Lan de la box. Le DHCP de la box a choisi "49", mais cela n'a aucune importance.

Depuis un PC branché derrière le TP link, tu peux donc atteindre les configs :

- de la box en tapant 192.168.1.1
- du tp link en tapant 192.168.0.1

C'est très bien comme ça.

 

Essaie de mette le PassThrouht comme dans ton screenshot pour l'IPV6 (le bas des configs ne devraient plus être accessibles en PassThrough) et refais le test IPV6.

 

Ne touche pas au reste.

 

C
Rhodium
Posts : 14
Badges :
Post 1 +19
22 juin 2024

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

Depuis le Wan (extérieur), ta box a une IPV4 (inexploitable en CGNAT) et une IPV6

Ensuite, tu es en double lan :

192.168.1.X c'est le Lan de ta box. Il y a deux appareils : la box (192.168.1.1) et ton TP link

192.168.0.X c'est le Lan du TP link. Le TP link est en 192.168.0.1 et tous tes appareils en 192.168.0.X

Aucun souci.

Pour la forme, il faudrait mettre le TP link en IP fixe dans le 192.168.1.x, mais ce n'est pas urgent pour l'instant.

On verra après.

Il faut déjà valider l'IPV6 sur tes appareils.

g
Bronze
Posts : 7
Badges :
Upload photo x1 +10
23 juin 2024

Re: IPV6 avec Routeur et SFR 7 Fibre (ou SFR 8) en zone CGNAT

salut,

 

franchement je suis impressionné ! avec toi tout semble simple !

 

voici les premières manipulations demandé ça semble OK ! (vivement demain pour la suite) encore merci.

 

Image 009.jpg