Bonjour; On 18/07/2021 14:00, frsag-requ...@frsag.org wrote: > Date: Sat, 17 Jul 2021 15:14:02 +0200 > From: Vincent Habchi <vinc...@geomag.fr> > [...] > > Le souci, c?est l?IPv6. > > Soit P mon préfixe (/64, évidemment).
Besoin d'une précision ici. Qu'est-ce que le FAI envoie ou délègue comme préfixe IPv6 exactement ? est-ce juste un /64 ou autre ... /60 ou autre ??? Dans le cas où ça ne serait qu'un /64 alors oui, il faudra faire du NAT66 mais dans le cas où le FAI envoie mieux (ce qui est normalement l'idéal), ça permet de faire des routages appropriés. > > Initialement, avec ipv6_gateway_enable = YES dans /etc/rc.conf, j?avais > configuré re0 en P::ffff/64 (mon routeur tête de pont est en P::1), et ale0 > en P::1:0/112 avec une config DHCP6 correspondante. Pour les clients VPN, > j?avais P::2:0/112 Idéalement, il vaut mieux toujours conserver 64 bits ... https://datatracker.ietf.org/doc/html/rfc7421 > Problème : rien ne passe de re0 vers ale0. Les pings des machines du réseau > local (P::1:XXXX) atteignent leur cible, mais les réponses sont bloquées au > niveau de la tête de pont, le gateway émettant des paquets multicast NS > fff2::1:xxxx:xxxx auquel le serveur ne répond pas. J?ai essayé d?utiliser > ndp(8) pour ?proxifier? certaines v6, mais queude. Le serveur reste > complètement muet, et ne renvoie jamais de réponse aux sollicitations du > gateway, donc les paquets réponse sont perdus. J?ai également tenté > d?utiliser rtadvd pour avertir les équipements amont qu?ils communiquaient > avec un routeur, mais là aussi, zéro effet. Sans entrer dans les détails, je suis sur qu'à grande partie ces problèmes résultent de la taille du préfixe.. > Alors, vous me direz, le mieux est de créer un bridge entre re0 et ale0. OK, > pas de souci : ifconfig bridge0 create addm re0 addm ale0. Fantastique, tout > à coup les machines du réseau local peuvent causer IPv6 avec l?extérieur. Je ne vois pas de problème particulier ici s'il fallait conserver cette config (à part la taille de préfixe mentionnée plus haut) . C'est ici qu'intervient les règles de firewall pour gérer qui peut faire quoi. -- Willy Manga @ongolaboy https://ongola.blogspot.com/
OpenPGP_signature
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
