martyludres (Auteur du topic), Posté le: Mar 06 Déc 2022, 13:01 Sujet du message: Adresses xxx.Freebox OS.fr bien peu utiles depuis l'extérieur
Adresses xxx.Freebox OS.fr bien peu utiles depuis l'extérieur9798091147
Bonjour,
Lorsque je configure un serveur Web sur mon LAN et que je rends accessible ce serveur depuis l'extérieur en faisant une redirection de port (80 WAN -> 80 LAN sur la bonne adresse IP LAN où il y a mon serveur), je peux accéder à mon serveur Web depuis l'extérieur en utilisant une adresse IPv4. Si je considère pour l'exemple que mon adresse publique Internet en IPv4 est 11.22.33.44, je peux ainsi surfer avec succès sur:
La requête arrive techniquement jusqu'à ma box, mais la redirection vers le LAN n'est pas faite et ça échoue.
Plus grave, je ne peux pas non plus accéder à mon serveur Web depuis un nom de domaine configuré depuis l'interface Freebox, un nom de domaine de la forme machintruc.Freebox OS.fr:
En effet, les serveurs de noms enregistrent une adresse Internet publique IPv4 *et* IPv6 avec Free quand on utilise une adresse machintruc.Freebox OS.fr. En conséquence, un navigateur (Chrome ou Edge par exemple que j'utilise):
1) fait un nslookup du domaine machintruc.Freebox OS.fr
2) récupère les adresses fournies par les nameservers : 2222:AAAA:1111:BBBB::1 et 11.22.33.44. Il prend la première adresse, IPv6.
3) fait une requête http vers 2222:AAAA:1111:BBBB::1, ce qui échoue avec une erreur CONNECTION_RESET. Il n'essaie pas de faire une requête IPv4.
La plupart des machines aujourd'hui, sous Windows par exemple, ont IPv6 qui est actif. Et du coup, les requêtes http vers mon serveur Web échoueront toutes.
Y a-t-il un moyen de résoudre ce problème ?
Soit en disant à Free de ne pas diffuser d'adresse IPv6 pour le domaine machintruc.Freebox OS.fr, soit en configurant la Freebox, je n'ai pas trouvé comment, pour faire une redirection de port vers mon LAN en IPv6.
loggoi, Posté le: Mar 06 Déc 2022, 15:28 Sujet du message: Re: Adresses xxx.Freebox OS.fr bien peu utiles depuis l'extér
Re: Adresses xxx.Freebox OS.fr bien peu utiles depuis l'extér34583206
L'adresse en Freebox OS ne sert pas à ça. Elle sert uniquement à adresser la Freebox elle même. En IPv6 il n'y pas de notion de redirection de ports, chaque appareil ayant sa propre adresse IPv6 publique. Pour faire ce que vous voulez, le plus simple est de vous acheter un nom de domaine à vous.
martyludres (Auteur du topic), Posté le: Mar 06 Déc 2022, 15:35 Sujet du message: Re: Adresses xxx.Freebox OS.fr bien peu utiles depuis l'extér
Re: Adresses xxx.Freebox OS.fr bien peu utiles depuis l'extér9798091147
Merci pour votre réponse.
Si mon serveur Web est dans la DMZ, que je peux configurer, va-t-il recevoir tout le trafic IPv6 entrant ?
FreeWave, Posté le: Mar 06 Déc 2022, 15:39 Sujet du message:
232387209725
La redirection de port n'étant pas implémentée en IPv6 comme vous l'avez justement souligné, c'est bien pour cette raison que je recommande à tous DE NE JAMAIS ACTIVER LE PARE-FEU IPv6 DE LA BOX.
C'est une case qu'il faut laisser "décochée" dans Freebox OS, dans ce cas la box ne fait qu'un filtrage IPv4, le filtrage IPv6 est pris en charge par le système d'exploitation du PC ou du serveur, sachant qu'en IPv6, le pare-feu est obligatoire "by design", contrairement à l'IPv4. On se souvient en effet qu'avant Windows XP service pack 2, il n'y avait pas de pare-feu IPv4 sur les postes personnels (mais il y a toujours eu un parefeu sur Windows Server), les postes étant par défaut protégés de l'extérieur par le NAT.
Le flux IPv6 n'étant plus filtré par la box, tout arrive bien à votre serveur SAUF qu'il ne faut pas oublier d'ouvrir le port en IPv6 sur votre serveur qui tourne sans doute sous Linux.
A noter que... par essence l'IPv6 réduit FORTEMENT la nécessité de faire de la rediection de ports, en revanche il faut bien faire un port forwarding au niveau du pare-feu du serveur, c'est à dire autoriser le flux entrant (mais sans changer de port), vu que par défaut tout pare feu bloque les flux entrants.
Il y a en effet une méconnaissance généralisée sur l'IPv6, les gens mélangent tout alors que l'IPv6 et l'IPv4 ont des logiques très différentes.
En IPv6 votre serveur Web, contrairement à l'IPv4, n'est pas caché derrière un NAT, la notion de NAT n'existe pas en IPv6, mais en contrepartie votre serveur Web a sa propre adresse IPv6, distincte de l'adresse IPv6 de la Freebox.... donc dans la plupart des cas il n'est pas nécessaire de faire une redirection de port, il suffit simplement de faire un port forwarding (au niveau du pare-feu Linux de votre serveur Web)
Pour rappelle, Free attribue UNE adresse IPv4 fixe à chaque utilisateur (avec éventuellement une restriction si ports partagés avec un autre usager).
En IPv6, Free n'attribue pas une adresse mais UN PREFIX de 61 bits, ce qui en nombre d'adresses est juste démentiel.
Ce préfix se divise en 8 sous préfix de 64 bits, la longueur standard.
NOTE :
Ce préfix qui peut paraitre inutile de Prime abord pour un particulier qui configurera rarement un serveur, est en fait lié au concept de configuration IPv6 "stateless"
En IPv6 stateless, le mode par défaut, il y a un système d'adresse dynamique. Tous les "x" temps, votre adresse IPv6 change tout en restant bien sûr dans le prefix. L'ancienne adresse avant d'être totalement décommissionnée par le système va rester encore valide pour récevoir des données uniquement durant un certain délai, ce qui laisse le temps au client de prendre connaissance de la nouvelle adresse puisqu'elle sera obligatoirement utlilisée pour tous les flux sortants.
Ainsi avec l'IPv6 stateless on retrouve les avantages liés à l'IPv4 dynamique sans certains inconvénients (grâce au mécanisme de transition en douceur lorsqu'une nouvelle adresse est générée) car le fait de changer régulièrement d'adresse va rendre plus difficile les attaques qui doivent alors cibler potentiellement la totalité du préfix, elle est là l'explication de l'attribution d'office à un particulier d'un prefix IPv6 large, et pas seulement d'une adresse.
L'IPv6 stateless configure aussi par défaut un adresse statique pour paramétrer facilement un serveur.
Cette addresse statique ne sera jamais utilisée par défaut par le système. Le système utlise par défaut l'adresse dynamique pour les flux sortants sauf si on modifie la politique IPv6 du système, donc cette adresse statique reste masquée.
Dernière édition par FreeWave le Mer 07 Déc 2022, 18:59; édité 3 fois
martyludres (Auteur du topic), Posté le: Mar 06 Déc 2022, 15:48 Sujet du message:
9798091147
FreeWave a écrit:
La redirection de port n'étant pas implémentée comme vous l'avez justement souligné, c'est bien pour cette raison que je recommande à tous DE NE PAS ACTIVER LE PAREFEU IPv6 DE LA BOX.
C'est une case qu'il faut laisser "décochée", dans ce cas la box ne fait qu'un filtrage de l'IPv4
Le flux IPv6 n'étant plus filtré par la box, tout arrive bien à votre serveur SAUF qu'il ne faut pas oublier d'ouvrir le port en IPv6 sur votre serveur qui tourne sans doute sous Linux.
A noter que... par essence l'IPv6 réduit FORTEMENT la nécessité de faire de la rediection de ports, en revanche il faut bien faire un port forwarding c'est à dire autoriser le flux entrant, vu que par défaut tout pare feu bloque les flux entrant..
Il y a en effet une méconnaissance généralisé sur l'IPv6, les gens mélange tout alors que l'IPv6 et l'IPv4 ont des logiques très différentes. En IPv6 votre serveur Web, contrairement à l'IPv4, n'est pas caché derrière un NAT, la notion de NAT n'existe pas en IPv6, mais en contrepartie votre serveur Web a sa propre adresse IPv6, distincte de l'adresse IPv6 de la Freebox.... donc dans la plupart des cas il n'est pa:s nécessaire de faire une redirection de port, il suffit simplement de faire un port forwarding (au niveau du pare feu Linux de votre serveur Web)
Merci pour les infos ! Mon pare-feu IPv6 n'est pas activé dans la Freebox. Les fonctionnalités Freebox me permettent seulement d'attacher l'adresse IP *de la box* (IPv4, et IPv6) à une adresse xxx.Freebox OS.fr. Je ne peux pas attacher le domaine à une adresse IPv6, fixe, que j'aurais définie en interne dans mon LAN. Du coup, ma seule possibilité est de jouer avec la fonctionnalité de redirection de la Freebox, qui absorbe le trafic elle-même (le prend en charge), mais re-route en interne vers une IP du LAN.
Sauf disposer d'un mécanisme de redirection en IPv6, je ne vois pas comment je peux m'en sortir... ? J'espère que j'ai bien compris votre message.
Je comprends que les adresses IPv6 sont uniques, y compris celles au sein de mon LAN, mais encore faut-il pouvoir régler le domaine pour qu'il pointe précisément vers cette adresse.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
