Passage à l'ipv6

Jackbot · Septembre 17, 2021, 8:42am

Salutations amis internautes

Avant d’exposer mes problèmes et poser mes questions, je vais donner le contexte.

Depuis plusieurs années maintenant, je maintiens un serveur pour mes usages personnels (et pour certains de mes proches). La connexion internet est en ipV4 et le pare-feu ainsi que les redirections sont géré par un routeur avec openWRT. De ce coté là pas de problème. J’ai cependant souscris chez un autre FAI une connexion fibre, mais qui elle sera exclusivement en ipV6 (enfin pour être plus précis, j’aurai encore accès à de l’ipV4, mais clairement pas en fullstack). C’est là que les problèmes commencent, il y a des subtilités que je ne comprends pas avec l’ipV6 et je n’arrive pas à faire en sorte que mon serveur soit accessible avec ce nouvel accès.

Donc voilà la situation actuelle, de manière à pouvoir continuer à recevoir les courriels, échanger via nextcloud etc … je suis obligé de garder mon serveur sur l’ancien accès en ipV4, mais disposant d’une 2ème carte réseau, je l’ai quand même branché sur le nouvel accès histoire de pouvoir effectuer des tests en ipV6. Depuis mon réseau local, mon serveur répond en ipV6, mais vous imaginez bien que ce n’est pas évident de vérifier que tout se passe bien depuis l’extérieur en étant à l’intérieur du réseau …

Voici mes question :

-existe-t-il un moyen de créer des routes de manière à ce que lorsqu’on le contacte en ipv6 il réponde obligatoirement avec l’interface en ipV6 ? Car pour l’instant j’ai une route par défaut vers l’ancien accès, ce qui signifie que dès que je veux tester quelque chose en ipV6, je suis obligé de désactiver l’interface associée à l’ancien accès pour éviter que les paquets ne partent par là.

-Quels outils sont les plus utiles pour voir que tout se passe bien depuis l’extérieur ? J’ai par exemple essayer ce genre d’outil :
http://www.ipv6scanner.com/cgi-bin/main.py
Pour voir les les ports sont bien ouvert, mais je suppose qu’il en existe d’autres bien intéressant.

Merci d’avance, Jack

AnonymousCoward · Septembre 17, 2021, 3:13pm

Bonjour,

Dans des conditions normales, le sous-système IPv4 et le sous-système IPv6 ont chacun un maximum de une seule route par destination (pour une même métrique). Une seule route / passerelle par défaut pour l’ensemble du Linux, donc.
Si l’on veut que l’un ou l’autre dispose de plusieurs routes vers une même destinaiton, il faut utiliser du Policy Routing, avec la commande ip rule .

La seule possibilité que j’envisage et qui expliquerait ton problème est que chacun de tes deux accès propose une route par défaut pour IPv6.
Tu peux vérifier les routes acquises avec ip -6 route ls .

Si c’est bien cela, tu as plusieurs possiblités différentes dont :

désactiver le fait de récupérer une route par défaut sur la patte qui donne sur ton ancien accès à Internet
changer la valeur de la métrique associée à tes accès de manière à ce que la route par défaut fournie par ton nouvel accès à Internet soit prioritaire par rapport à celle de l’autre accès.

Cela se réalise de différentes manières sous Linux, suivant la configuration du système. Il faudra envisager de nous donner un peu plus d’informations.

–
AnonymousCoward

Jackbot · Septembre 18, 2021, 12:45pm

Merci pour ta réponse et elle m’a permis de trouver en quoi j’avais cafouillé … En fait comme j’ai eu des problèmes la première fois pour connecter mon serveur sur mon nouveau FAI en ipV6, je l’ai alors branché également sur l’ancien. Sauf que le routeur de mon nouveau FAI lui aussi indique qu’il existe une route en ipV4 … d’où le cafouillage.

J’ai fais le tri dans les routes, ça à l’air pas mal, sauf que maintenant que je regarde de plus près je vois que mes conteneurs docker ne voient pas l’adresse ipV6 qui les questionne. J’ai suivis la doc (très courte) ici qui permet d’activer l’ipV6 avec docker.

Mais même en indiquant dans la conf, mon préfix, quand je regarde les logs des conteneurs je vois passer des adresses de ce type là : 172.18.0.1

En cherchant je suis tombé là-dessus. Mais je ne comprends pas tout, et surtout le fait de devoir ajouter une règle iptables je trouve ça étrange.

Si quelqu’un utilise docker en ipV6 je veux bien quelques conseils.

Merci

Almtesh · Septembre 19, 2021, 5:36am

Bienvenue sur le forum et que Saint Isidore de Séville veille sur toi !

Si c’est Free, tu peux demander une adresse IPv4 en fullstack, ça se passe dans l’espace client.
Je l’ai fait avant même de recevoir la box.

Si tu as un serveur chez toi, je te conseille le gérer son adressage IP à la main. Il suffit donc de mettre que l’adresse IPv4 sur ta connexion en IPv4 seul, et que l’adresse IPv6 sur ta connexion en IPv6.