Interface multiple avec IPv6 desactivé sur certaines interfaces

Bonjour,

j’ai une machine qui fait office de BOX sur un lien fibre. jer voudrais que l’interface publique (WAN) soit en IPv4 et IPv6, mais que toutes les autres interfaces (Interne, LAN) n’aient aucune IPv6.
C’est à dire ipv6.disable =1 pour tout le LAN et pas pour le WAN. Que ce soit en DHCP comme en STATIC.

Merci d’avance

L’IPv6 doit se déployer, je ne vois pas pourquoi tu le bloquerais dans le LAN.
Sinon, pour répondre à ta question, tu peux désactiver l’IPv6 sur certaines interfaces seulement. Par exemple, pour désactiver l’IPv6 sur l’interface lan, tu peux changer la valeur net.ipv6.conf.lan.disable_ipv6 à 1 dans le fichier /etc/sysctl.conf. Tu redémarres ou tu lances sysctl -p et c’est réglé.

Ou dans un fichier /etc/sysctl.d/*.conf. Mais cette méthode a des défauts.

  • Elle n’est efficace qu’aux interfaces réseau existantes lors de l’application du fichier. Or le chargement des pilotes est asynchrone, donc il peut arriver qu’une interface n’existe pas encore au moment où le service qui applique ces fichiers est lancé au démarrage.

  • Elle peut être annulée par le gestionnaire de réseau qui va appliquer ses propres paramètres. C’est vrai au moins pour NetworkManager dont les paramètres par défaut activent IPv6 en mode automatique, à vérifier pour ifupdown (/etc/network/interfaces).

Mais pourquoi vouloir désactiver IPv6 sur les interfaces internes ?

Par ce que l’ipv6 ne m’est d’aucune utilité sur un réseau interne et que certaines fonctions chez Windows par exemple, ou même parfois sur Linux vont utiliser l’IPv6 plutôt que l’ipv4 et que je n’en veux pas (oui je sais il y a moyen de préciser la priorité ipv4 car par défaut c’est l’ipv6, mais sous windows ca ne marche pas toujours à 100% et cela peut sauter n’importe quand avec une mise à jour.

Aucune de mes machines ,'est configurée en IPv6. la seule machine qui a une interface en IPv6 c’est mon OPNsense qui remplace ma livebox., d’où ma question (je voudrais remplacer l’OPNsense par une debian.

IPv6 n’apporte rien de vraiment utile sur un réseau local (LAN, pas MAN ou WAN).

Qui plus est n’étant pas utilisé, je n’ai donc pas de configuration de firewall à faire spécifiquement.

Quelles fonctions ? Dans quel cas l’IPv6 est problématique par rapport à l’IPv4 ?

Heu, mais tes machines du réseau local n’ont pas accès à Internet ? Et, dans le LAN, l’IPv6 a le même usage que l’IPv4, ce n’est que la couche réseau qui change, les couches du dessous et celles du dessus ne sont pas impactées du tout.

Tu veux dire que tu ne comprends pas ce que cela apporte. C’est tout à fait utile ne serait-ce que pour l’attribution automatique des adresses de lien local.

AMHA, il n’y a aucun motif rationnel pour désactiver l’IPV6, au contraire…

Les pare-feux modernes sont aisément configurés en même temps pour IPv4 et IPv6.

Le lien local n’a pas de raison d’être généralisé dans le cas d’un régime stabilisé.
Sauf peut être pour des routeurs et encore, il y a d’autres protocoles de découvertes dans ce cas bien plus efficaces que le lien local ipv6.
Quand à l’utiliser sur un serveur c’est sans intérêt notable.
Comme j’utilise un proxy, les clients interne n’ont pas besoin de l’ipv6 pour joindre des sites web. C’est le proxy qui s’en charge;

Et il joignent comment celui-ci par exemple :
https://dnslabs.nl/

C’est le proxy qui fait le job pas le client interne. proxy qui est sur l’UTM qui lui a son interface WAN en IPV6

Euh, à quoi servent les adresses IPv6 link local si on n’utilise pas l’IPv6 ?

Que signifie cette phrase qui est pour moi du charabia (et pourtant j’utilise IPv6 depuis 15 ans) ?

L’internet, ce n’est pas seulement le web.

1 J'aime

Évidemment si IPv6 est totalement désactivé ces adresses n’existent pas :slight_smile:
Si elles existent, elles permettent par exemple de joindre une machine du réseau local qui n’aurait pas d’autre connectivité (problème d’attribution d’adresse ou de configuration réseau).

J’ai écrit inutilisé, pas désactivé.

Admettons, en supposant qu’on connaisse l’adresse IPv6 link local (ou l’adresse MAC sur laquelle elle est basée).

ip -6 neigh

sur une machine du réseau local ou sur le routeur. Mais évidemment cela ne fonctionne que si c’est dans le cache, c’est analogue à ARP pour IPv4. Cela m’a déjà servi pour reprendre la main sur une machine qui avait perdu sa connectivité suite à une mauvaise manipulation dans la configuration réseau.
Sinon oui effectivement il faudrait la connaître et il me semble que ces adresses ne sont pas toujours obtenues en se basant sur la MAC.

Et si on sait identifier l’adresse en question parmi toutes les autres qui sont dans le cache.

Je ne comprends pas l’intérêt d’appliquer la méthode décrite dans RFC 7217 recommandée par RFC 8064 aux adresses link local puisque l’adresse MAC est présente de toute façon dans l’en-tête de la couche de liaison des paquets et fait partie des informations stockées dans le cache NDP.

Que le link local ne va être utile que s’il y a eu mauvaise configuration du réseau. En régime nominal il ne sert plus à rien.

Certes, c’est exact. Mais aujourd’hui cela concerne principalement le web. Je log toutes les requêtes DNS d’accès réseaux internet, et pour le moment seuls les sites web sont concernés.

https://tools.ietf.org/html/rfc4291#section-2.5.6

Link-Local addresses are designed to be used for addressing on a
single link for purposes such as automatic address configuration,
neighbor discovery, or when no routers are present.

En « régime nominal » (c.-à-d. le mode de fonctionnement pour lequel un appareil a été prévu) les systèmes d’exploitation et les équipements réseau modernes utilisent IPv6.
En n’utilisant que IPv4 tu n’es pas en régime nominal mais dans un régime dégradé.

En IOT le fonctionnement ne semble pas être en IPV6 de façon nominal … mais ça reste un cas particulier j’en convient.

Je n’ai rien qui n’utilise l’IPV6 à par l’interface WAN pour le proxy. sinon en interne je n’ai rien qui n’ai besoin de l’IPV6. et qui plus est les switchs de niveau L2-L3 que j’ai n’ont pas besoin de l’ipv6 pour le peu de discovery à faire. je n’ai pas non plus 50 machines chez moi, seulement une petite demi-douzaine à une dizaine suivant les périodes