<> == Usage d'IPv6 == Les développements présentés sur redmine [[https://redmine.auf.org/issues/10473 | #10473 ]] . * Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 . * Sur Ngaoundéré nous allons utiliser 2001:4268:1a1:2000::/52 * la liaison en point en point avec le routeur de CAMTEL * extrait fichier d'interfaces sur la passerelle {{{ auto eth1.2 iface eth1.2 inet static address 195.24.206.210 netmask 255.255.255.252 gateway 195.24.206.209 vlan-raw-device eth1 up ip -6 addr add 2001:4268:620:10::2/64 dev eth1.2 up ip -6 route add default via 2001:4268:620:10::1 dev eth1.2 up ip -6 addr add 2001:4268:1a1:2100::2 dev eth1.2 up ip route replace 10.36.0.0/16 via 195.24.206.210 dev eth1.2 src 10.45.33.254 down ip -6 addr del 2001:4268:620:10::2/64 dev eth1.2 down ip -6 addr del 2001:4268:1a1:2100::2 dev eth1.2 }}} * éviter l'autoconf d'une interface ? Dans `/etc/sysctl.d/local.conf` par exemple {{{ net.ipv6.conf.ethxx.autoconf=0 net.ipv6.conf.ethxx.accept_ra=0 }}} === Répartition === * On prend notre /52 qu'on découpe en plusieurs /56 ||Préfixe générique || Réseau || Usage || ||<|7> 2001:4268:1a1:2X00::/56 ||2001:4268:1a1:2200:/56 || VOIP || || 2001:4268:1a1:2100::/56 ||RPV_SVR , réseau d'administration || || 2001:4268:1a1:2300::/56 || DMZ || || 2001:4268:1a1:2400::/56 ||(Usagers: personnel, prof,étudiants) || || 2001:4268:1a1:2500::/56 || Nomade || || 2001:4268:1a1:2600::/56 || ... || || ... || ... || * {i} A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement. * /!\ Portail captif de pfSense [[https://redmine.pfsense.org/issues/1831 | ne supporte pas (encore) IPv6 ]] <> ==== Réseau Usagers ==== * Dans chaque réseau on prend le premier /64 disponible... * L'adressage via SLAAC (''radvd'') partout . ||Préfixe générique || Réseau || Usage || ||<|5> 2001:4268:1a1:24X0::/60 ||2001:4268:1a1:2410:/60 || Personnel || || 2001:4268:1a1:2420::/60 || formation || || 2001:4268:1a1:2430::/60 || bibliothèque || || 2001:4268:1a1:2440::/60 || foad || === Firewall === * Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales * laisser passer ICMPv6 partout !!(''ou du moins certaines options''<>Lire les RFC [[https://tools.ietf.org/html/rfc4890|4890]] et [[https://tools.ietf.org/html/rfc7084 | 7084]] )>> ) C'est pour cela qu'on a ceci dans le script du parefeu {{{ for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem' do $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT done }}} === Reverse DNS === Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails [[https://redmine.auf.org/issues/10476 | #10476]] * Extrait de `whois -h whois.afrinic.net -d 2001:4268:1a1::/48` {{{ % Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa' domain: 1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa descr: Reverse DNS for AUF Network descr: Yaounde for IPv6 org: ORG-IA6-AFRINIC admin-c: JN1000-AFRINIC admin-c: WM11-AFRINIC tech-c: JN1000-AFRINIC tech-c: WM11-AFRINIC zone-c: WM11-AFRINIC nserver: ns1.cm.auf.org mnt-by: CAMTEL-MNT mnt-lower: CAMTEL-MNT source: AFRINIC # Filtered }}} === Qos === {i} Une piste intéressante communiquée après discussion sur [[http://www.spinics.net/lists/lartc/msg23445.html | lartc AT vger.kernel.org ]] est que je dois revoir un de mes filtres de QoS. Au lieu de `protocol ip prio 1` qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir `all match u32 0 0` ! ----