Usage d'IPv6
Les développements présentés sur redmine #10473 .
- Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
- Sur Ngaoundéré nous allons utiliser 2001:4268:1a1:2000::/52
- la liaison en point en point avec le routeur de CAMTEL
- extrait fichier d'interfaces sur la passerelle
auto eth1.2
iface eth1.2 inet static
address 195.24.206.210
netmask 255.255.255.252
gateway 195.24.206.209
vlan-raw-device eth1
up ip -6 addr add 2001:4268:620:10::2/64 dev eth1.2
up ip -6 route add default via 2001:4268:620:10::1 dev eth1.2
up ip -6 addr add 2001:4268:1a1:2100::2 dev eth1.2
up ip route replace 10.36.0.0/16 via 195.24.206.210 dev eth1.2 src 10.45.33.254
down ip -6 addr del 2001:4268:620:10::2/64 dev eth1.2
down ip -6 addr del 2001:4268:1a1:2100::2 dev eth1.2éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple
net.ipv6.conf.ethxx.autoconf=0 net.ipv6.conf.ethxx.accept_ra=0
Répartition
- On prend notre /52 qu'on découpe en plusieurs /56
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:2X00::/56 |
2001:4268:1a1:2200:/56 |
VOIP |
2001:4268:1a1:2100::/56 |
RPV_SVR , réseau d'administration |
|
2001:4268:1a1:2300::/56 |
DMZ |
|
2001:4268:1a1:2400::/56 |
(Usagers: personnel, prof,étudiants) |
|
2001:4268:1a1:2500::/56 |
Nomade |
|
2001:4268:1a1:2600::/56 |
... |
|
... |
... |
A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement. ![/!\](/static/gugiel/img/alert.png "/!\")
Portail captif de pfSense ne supporte pas (encore) IPv6 1
Réseau Usagers
- Dans chaque réseau on prend le premier /64 disponible...
L'adressage via SLAAC (radvd) partout .
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:24X0::/60 |
2001:4268:1a1:2410:/60 |
Personnel |
2001:4268:1a1:2420::/60 |
formation |
|
2001:4268:1a1:2430::/60 |
bibliothèque |
|
2001:4268:1a1:2440::/60 |
foad |
Firewall
- Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options2 ) C'est pour cela qu'on a ceci dans le script du parefeu
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
$IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
$IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done
Reverse DNS
Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails #10476
Extrait de whois -h whois.afrinic.net -d 2001:4268:1a1::/48
% Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa' domain: 1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa descr: Reverse DNS for AUF Network descr: Yaounde for IPv6 org: ORG-IA6-AFRINIC admin-c: JN1000-AFRINIC admin-c: WM11-AFRINIC tech-c: JN1000-AFRINIC tech-c: WM11-AFRINIC zone-c: WM11-AFRINIC nserver: ns1.cm.auf.org mnt-by: CAMTEL-MNT mnt-lower: CAMTEL-MNT source: AFRINIC # Filtered
Qos
Une piste intéressante communiquée après discussion sur lartc AT vger.kernel.org est que je dois revoir un de mes filtres de QoS. Au lieu de protocol ip prio 1 qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir all match u32 0 0 !
(