Projet

Général

Profil

IPv6

Déploiement a tetaneutral.net : #35

Liens

General

Statistics

Linux

Tunnels

Misc

Opérateurs

Tests

RIPE

Configuration d'un LAN « IPv6 only » sous debian

Debian

Discovery

RFC4291 https://tools.ietf.org/html/rfc4291

Pinging the multicast address ff02::1 results in all hosts in link-local scope responding. An interface has to be specified. With a ping to the multicast address ff02::2 only routers will respond.
If you add an option -I <your-global-ipv6>, link-local hosts will respond with their link-global scope addresses.

Désactiver la configuration automatique

http://lists.tetaneutral.net/pipermail/technique/2011-November/000086.html

Un serveur aura typiquement une configuration entièrement statique assignée par l'hébergeur, laisser la configuration dynamique activée est un risque de voir un tiers prendre le controle du routage serveur ou l'empécher de fonctionner via l'envoi d'une configuration dynamique erronée. Il est donc préférable de désactiver la configuration dynamique IPv6 sur une VM ou serveur physique hébergé chez tetaneutral.net. Si votre VM est en mode routeur (c'est à dire la commande "more /proc/sys/net/ipv6/conf/all/forwarding" renvoit 1), cette désactivation est implicite, voir dans le source du noyau Linux le fichier "Documentation/networking/ip-sysctl.txt")

En version rapide executer sur sa VM ou machine en root la ligne suivante :

wget -qO - http://tetaneutral.net/ipv6/ipv6noauto.sh | bash

Le détail de ce que fait ce script ci-après.

Désactiver autoconf et accept_ra pour la session en cours

https://github.com/NLNOG/ring-puppet/blob/master/files/etc/sysctl.d/30-disable-accepting-ipv6-ra.conf

Executer en root la ligne suivante :

for i in /proc/sys/net/ipv6/conf/*; do for j in autoconf accept_ra; do echo 0 > $i/$j; done;done

Le rendre permanent en cas de reboot

Editer la section inte6 de /etc/network/interfaces pour ajouter deux "pre-up" entre la ligne "iface" et la ligne "address" :

iface eth0 inet6 static
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf
   address ...

Créer un fichier pour sysctl :

cat > /etc/sysctl.d/local-ipv6.conf <<EOF

# No IPV6 RA or autoconf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.accept_ra = 0

EOF

Référence : source du script ipv6noauto.sh

echo deactivating autoconf and accept_ra

for i in /proc/sys/net/ipv6/conf/*; do 
 for j in autoconf accept_ra; do 
  echo $i/$j
  echo 0 > $i/$j
 done
done

F=/etc/network/interfaces
if ! grep accept_ra $F >& /dev/null; then
 echo fixing /etc/network/interfaces
 cp -f $F $F.save
 sed -e 's,iface eth0 inet6 static,iface eth0 inet6 static\n   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra\n   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf,g' < $F.save > $F
fi

if [ ! -f /etc/sysctl.d/local-ipv6.conf ]; then
 echo creating /etc/sysctl.d/local-ipv6.conf

 cat > /etc/sysctl.d/local-ipv6.conf <<EOF

# No IPV6 RA or autoconf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.accept_ra = 0

EOF

fi

echo done

ARP cache limits

TODO via Cyril B.

net.ipv6.neigh.default.gc_thresh1 = 1024
net.ipv6.neigh.default.gc_thresh2 = 2048
net.ipv6.neigh.default.gc_thresh3 = 4096

Pièges

Attention a bien mettre les zéros en fin de mot :

Ne pas mettre 2a01:6600:8081:XX:: car c'est 2a01:6600:8081: 00 XX::
Utiliser 2a01:6600:8081: XX00 ::

Comment activer le routage sur son /56 IPv6 ?

Chaque IPv4 livrée par tetaneutral.net est associé à un /56 IPv6, avec une équivalence /24 = 256 IPv4 <=> /48 = 256 /56 IPv6

Discussions

J'ai fait quelques essais: VM configuré en routeur, openvpn entre la VM
et ma machine, histoire de simuler des interfaces. J'ai essayé radvd
comme des définitions manuelles des adresses IPv6.

Bon, ça marche depuis la VM mais pas depuis chez moi (wget
http://ipv6.google.com), même si les paquets IPv6 (vu avec tcpdump)
partent bien de la VM vers l'internet. Mais il n'y a pas de retour.

Après quelques cogitations et la lecture de ceci:
http://www.fdn.fr/IPv6-a-la-maison.html j'en arrive à ces
réflexions:

1) Dans le blog FDN ci-dessus l'adresse IPv6 affectée au ppp0 n'est pas
dans son /48; ce qui voudrait dire qu'il n'y a pas de raison d'affecter
une IPv6 du /56 au eth0 des VM tetaneutral.

2) Pour faire marcher une telle config à FDN, le routeur FDN en amont du
modem/routeur de l'abonné devrait avoir une route du type:
ip -6 route add range/48 dev ppp-abonné via link-local-ppp-abonné
soit chez nous:
ip -6 route add range/56 dev eth0-vm via link-local-eth0-vm

du /56 via une interconnection explicite entre le routeur de
tetaneutral.net et un routeur chez le membre ?

Un lien openvpn?

Bonsoir,

On peut rajouter une regle de routage comme tu le suggere,
reste a choisir les details pratiques.

Pour la link-local coté routeur on a choisi fe80::31 en statique il
reste a choisir une regle pour attribuer le link local coté client.

Une regle automatique basée sur l'IPv4 est en place pour
l'attribution du subnet IPv6 :

http://wiki.tetaneutral.net/index.php/Architecture

Une regle similaire pour le routage donnerait par exemple fe80::81:XY
ou XY est le dernier octet de l'IPv4 ecrit en hexadecimal
pour la link local coté client.

L'avantage d'une regle statique vs le SLAAC c'est que c'est un peu plus
flexible coté client sur le choix de l'equipement routeur.

L'avantage du routé est bien sur la flexibilité et la sécurisation
potentielle, l'inconvenient est qu'avec nos equipements actuels peu
puissant on perdra un peu en debit mais ça se corrigera avec
de nouveaux equipements.

Je suis vraiment curieux de savoir comment font les autres hebergeurs
dans le monde IPv6, ceux auxquels j'ai acces ne proposent pas de
routage, simplement ce que propose tetaneutral.net actuellement.

Suggestions ?

Connectivité IPv6 complète depuis chez vous en quelques étapes simples

Connectivité complète signifie que toutes vos machines pouvant fonctionner en IPv6 peuvent accéder des sites IPv6 externes mais surtout être joignables de l'extérieur sur une adresse IPv6 propre. Pas de NAT ou autre bidouille de ce genre. Implications en terme d'autohébergement et sécurité laissées en exercice.

Pour bien comprendre ce qui suit, il est recommandé d'avoir un peu potassé les hyperliens plus haut et mieux encore d'avoir joué avec l'IPv6 sur votre réseau local maison en utilisant par exemple des adresses ULA.

Etape 1: obtenir une machine virtuelle Tetaneutral.

Celle-ci (on l'appellera VM dans la suite) sera configurée par défaut comme suit dans /etc/network/interfaces du point de vue IPv6:

iface eth0 inet6 static
   # les 2 lignes qui suivent ne seront pas nécessaires lorsque 
   # plus loin nous passerons en mode routeur
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf
   address 2a01:6600:80XX:YY00::1
   netmask 56
   gateway fe80::31

où XX et YY vous sont donnés par les administrateurs de tetaneutral.net.

Voyons ce qu'implique la prise en compte par le système de ce fragment de /etc/network/interfaces. Il dit que:
  1. l'adresse 2a01:6600:80XX:YY00::1 est affectée à eth0, ce qui signifie que votre VM est accessible à cette adresse depuis l'intérieur de la VM comme depuis l'extérieur par toutes les machines du même segment réseau que eth0
  2. les paquets passant par votre VM peuvent atteindre les adresses de la plage 2a01:6600:80XX:YY00::/56 en étant envoyés en sortie de l'interface eth0

La plage 2a01:6600:80XX:YY00::/56 a été allouée par tetaneutral à votre VM. Notre problème est d'allouer une partie de ces adresses à des machines de notre domicile en utilisant l'accès que nous avons (en IPv4!) à la VM.

Avec cette configuration, vous pouvez héberger sur la VM des milliards de serveurs avec des adresses IPv6 différentes, il suffit de les ajouter à eth0 par une commande du type:

ip -6 address add une-adresse-ipv6-de-votre-plage/56 dev eth0

Le /56 n'est pas absolument nécessaire, il évite juste de rajouter une route plus spécifique pour atteindre votre nouvelle adresse IPv6 depuis votre VM, route qui s'avère redondante.

Le lecteur attentif aura noté que cette configuration déclare que toutes les adresses de votre plage sont situées derrière eth0, en dehors de la partie contrôlée par votre VM, et il semble impossible alors d'en distraire une partie. Il y a au moins deux solutions à ce problème:
  1. S'arranger pour que les segments réseau de votre domicile fassent partie de celui partant de eth0 sur la VM. Celà revient techniquement à bridger ces segments réseaux. Cette solution a cependant des inconvénients en terme de configurabilité et de sécurité.
  2. Réduire la plage IPv6 allouée derrière l'eth0 de la VM et réallouer le solde à votre réseau local maison, par des techniques de routage. C'est ce qu'on va décrire dans la suite. Mais d'abord, on a besoin d'un peu de collaboration de Tetaneutral.

Etape 2: faire router votre plage /56 par Tetaneutral.

Dans la configuration par défaut des VM Tetaneutral, l'hôte des VM crée la route vers l'adresse 2a01:6600:80XX:YY00::1 (et des autres que vous rajoutez éventuellement à la main sur eth0) par l'utilisation de l'équivalent IPv6 d'ARP. Il est donc impossible de router vers une adresse qui n'existe pas sur cet eth0.

Tetaneutral doit donc rajouter une route explicite:

ip -6 route add 2a01:6600:80XX:YY00::/56 via fe80::XX:YY dev votre-eth0-côté-hôte

Celà n'a de sens que si fe80::XX:YY une des adresses de l'eth0 côté VM. Il faut donc l'ajouter et le mieux est de le faire via une directive 'up' dans /etc/network/interfaces:

iface eth0 inet6 static
   # les 2 lignes qui suivent ne seront pas nécessaires lorsque 
   # plus loin nous passerons en mode routeur
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf
   address 2a01:6600:80XX:YY00::1
   netmask 64
   gateway fe80::31   
   up ip -6 add add fe80::XX:YY/64 dev eth0

Mon lecteur toujours très attentif n'aura pas manqué de noter que netmask ci-dessus est passé de 56 à 64. Nous n'allouons donc maintenant plus toutes nos adresses IPv6 sur le segment réseau partant d'eth0. En particulier, nous allons voir maintenant comment récupérer la sous-plage 2a01:6600:80XX:YY01::/64 pour notre réseau à domicile.

Remarque: la sous-plage doit être /64, sinon l'adressage automatique des interfaces réseau qu'on verra plus loin ne marchera pas.

Etape 2 (alternative via proxy NDP) : faire router votre plage /56 par Tetaneutral.

L'équivalent IPv6 d'ARP est NDP (Network Discovery Protocol). Il est utilisé pour déterminer quelles sont les adresses IPv6 effectivement joignables parmi toute la plage des adresses disponibles. Pour router vers une adresse qui n'existe pas sur cet eth0, soit on ajoute une route statique fixe (ce qui nécessite l'intervention d'un admin Tetaneutral), soit on faisant suivre les requêtes NDP au niveau de la VM, entre ses différentes interfaces.

L'outil ndppd fait office de proxy pour les requêtes NDP entre les interfaces. Il est disponible en source et en paquet Debian sur le site officiel http://priv.nu/projects/ndppd/. Créer ensuite le fichier /etc/ndppd.conf:

proxy eth0 {
   router no
   timeout 500   
   ttl 30000
   rule 2a01:6600:80XX:YY00::/56 {
      static
   }
}

Ici le logiciel écoute sur l'interface eth0 de la VM les requêtes NDP. Celles qui demande une IP de votre plage /56 seront transmisses (l'interface utilisée sera déduite de la table de routage de la VM) par ndppd qui répondra alors immédiatement au routeur s'il a lui même reçu une réponse.
Le flag router est à no car on n'est pas un routeur (vers l'Internet) pour le réseau Tetaneutral.

Il est bien sûr possible d'utiliser une sous-plage telle que 2a01:6600:80XX:YY01::/64 à la place du 2a01:6600:80XX:YY00::/56 complet.

Etape 3: simuler un lien ethernet entre une machine à domicile et cette VM.

Les technologies VPN/tunnel sont le pendant réseau des machines virtuelles: elles permettent de créer des interfaces réseaux virtuelles (du point de vue hardware, mais bien réelles d'un point de vue logiciel) et de les connecter entre elles.

Tout comme les machines virtuelles nécessitent quand même un minimum de support silicium, un VPN/tunnel va nécessiter de s'appuyer sur une vraie liaison entre deux vraies interfaces réseau, en l'occurence pour nous la liaison internet IPv4 entre autre utilisée pour l'administration de la VM depuis votre domicile. Plus précisément, nous allons utiliser l'outil openvpn.

La première étape va consister à installer openvpn en mode serveur sur la VM. Le fichier suivant est à créer dans /etc/openvpn/myris.conf:

dev tap
proto udp
local 91.224.xx.yy
float
ca myris/ca.crt
cert myris/myris.crt
key myris/myris.key
dh myris/dh1024.pem
tls-server
port 1194
ping 15
ping-restart 45
# car serveur
ping-timer-rem
persist-tun
persist-key
ifconfig 10.0.0.2 255.255.255.252
route ipv4-adresse-client-openvpn-domicile 255.255.255.255 10.0.0.1
script-security 3 system
route-up "/sbin/ip -6 addr add 2a01:6600:80XX:YY01::1/64 dev tap0" 

Remarque: le paramètre route-up contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Cette commande est nécessaire pour créer sur la VM une route vers la bonne interface pour la plage 2a01:6600:80XX:YY01::/64. Pour que le serveur openvpn soit toujours présent, il faut ajouter

AUTOSTART="myris" 

à /etc/default/openvpn.

Sur la machine à domicile, il faut une installation en mode client, pourquoi pas le même nom de fichier que le serveur, mais pas le même contenu:

dev tap
proto udp
local ipv4-adresse-client-openvpn-domicile
remote 91.224.xx.yy
ca myris/ca.crt
cert myris/client.crt
key myris/client.key
tls-client
port 1194
ping 15
ping-restart 45
persist-tun
persist-key
ifconfig 10.0.0.1 255.255.255.252
route 0.0.0.0 0.0.0.0 10.0.0.2

L'adresse ipv4-adresse-client-openvpn-domicile est toute adresse qui permet d'accéder Internet depuis la machine accueillant l'openvpn client; en général, ce ne sera donc pas votre adresse IP externe allouée par votre FAI, elle sera plutôt du genre 192.168.*.*. ou 10.*.*.*. Il est supposé bien sûr dans l'exemple ci-dessus que vous n'utilisez pas 10.0.0.0/30 chez vous, elle a été réservée au lien openvpn.

Les répertoires /etc/openvpn/myris sur VM et machine cliente contiendront les divers certificats et clés, qu'il faut générer. Voici comment faire:

cd un-répertoire de travail
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ .
cd 2.0
# Editez à votre convenance les 5 dernières variables d'environnement de type KEY_* du fichier vars
source ./vars
./clean-all
./build-dh
./pkitool --initca
./pkitool --server myris
./pkitool client

et les fichiers recherchés se trouvent dans le sous-répertoire keys. Le seul fichier commun aux 2 extrémités du lien openvpn est ca.crt.

Etape 4: passer la VM en mode routeur et annoncer des routes pour votre réseau à domicile avec radvd.

Pour autoriser les paquets à être routés sur la VM entre eth0 et tap0, il faut passer en mode routeur:

echo 1 >/proc/sys/net/ipv6/conf/all/forwarding

Il est encore mieux de conserver ce mode au reboot en rajoutant la ligne:

net.ipv6.conf.all.forwarding=1

dans le fichier "/etc/sysctl.conf"

Cette option entraine aussi que votre VM ne s'autoconfigure plus en IPv6 (i.e. les lignes "pre-up" vues plus haut dans "/etc/network/interfaces" ne sont plus nécessaires).

Nous allons maintenant mettre en place une configuration automatique d'adresses IPv6 de toutes les machines du segment réseau partant du tap0 de la VM (soit le tap0 du client openvpn, mais après l'étape suivante toutes les interfaces de votre réseau local). Nous utiliserons pour celà l'outil radvd, avec le fichier de configuration /etc/radvd.conf:

interface tap0
{
  IgnoreIfMissing on;
  AdvSendAdvert on;
  AdvLinkMTU 1280;
  prefix 2a01:6600:80XX:YY01::/64
  {
    AdvOnLink on;
    AdvAutonomous on;
  };
};

Remarque: le fichier contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Par ailleurs, il est possible d'interdire à une machine de s'autoconfigurer, mais ce n'est pas le défaut pour Linux et j'ai supposé que vous ne l'avez pas modifié.

Etape 5: bridger les interfaces réseau du client openvpn

A ce stade, la machine openvpn cliente peut accéder l'internet IPv6, car radvd aura placé une route par défaut via son tap0. Si vous bridgez maintenant ce tap0 avec son eth0 (normalement relié au reste de votre réseau local), toutes les machines de ce réseau local vont s'assigner au bout de quelques minutes une adresse tirée de la plage 2a01:6600:80XX:YY01::/64, et une route par défaut via le tap0 du client openvpn: c'est ce qu'on voulait obtenir.

Voici les incantations magiques nécessaires:

# on suppose qu'eth0 a l'adresse 192.168.0.1/24
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 tap0
# à ce stade, le machine hébergeant le client openvpn n'est plus adressable
# mais il est dans la plupart des cas utile de lui en redonner une, en général celle d'eth0  
ip addr add 192.168.0.1/24 dev br0

Il peut être intéressant de bridger par défaut eth0 et un tap0 prédéfini sur br0 dès le boot par une section de ce type dans /etc/network/interfaces:

auto br0
iface br0 inet static
    address 192.168.1.10
    netmask 255.255.255.0
    broadcast 192.168.0.255
    gateway 192.168.1.1
    bridge_ports eth0 tap0
    pre-up tunctl -t tap0

où la section 'iface br0' remplace 'iface eth0'.

Il faut ensuite modifier le configuration cliente /etc/openvpn/myris.conf comme suit:

# on définit explicitement le tap0
dev tap0
proto udp
local ipv4-adresse-client-openvpn-domicile
remote 91.224.xx.yy
ca myris/ca.crt
cert myris/client.crt
key myris/client.key
tls-client
port 1194
ping 15
ping-restart 45
persist-tun
persist-key
# ifconfig et route ont disparus et sont remplacés par ce qui suit, 
# qui fait la même chose appliqué à br0 et non pas tap0
script-security 3 system
up /etc/openvpn/myris-up.sh
down /etc/openvpn/myris-down.sh

où /etc/openvpn/myris-up.sh vaut:

#! /bin/sh
/sbin/ip addr add 10.0.0.1/30 dev br0

et /etc/openvpn/myris-down.sh vaut:
#! /bin/sh
/sbin/ip addr del 10.0.0.1/30 dev br0

Remarque: ne pas oublier de lancer:

chmod 755 /etc/openvpn/myris-up.sh /etc/openvpn/myris-down.sh

Il est à noter que l'apparition des adresses et routes IPv6 peut prendre un dizaine de minutes après l'établissemnt du tunnel openvpn, et de même leur disparation n'est complète qu'au bout de 24h. Tout celà est réglable via /etc/radvd.conf sur la VM.

Etape 6: vie privée

Voir la section à ce sujet: IPv6

IPv6 sous OpenWRT

Exemple pour un routeur OpenWRT connecté au réseau L2 de Tetaneutral (radio ou autre)

Demander le routage du /56.

Il vous sera donné une IP link-locale sous la forme fe80::xx:yy .

/etc/config/network

La définition du fichier network d'OpenWRT

config 'interface' 'loopback'
        option 'ifname' 'lo'
        option 'proto' 'static'
        option 'ipaddr' '127.0.0.1'
        option 'netmask' '255.0.0.0'

config 'interface' 'wan_ttn'
        option 'ifname'    'eth0.10'
        option 'proto'     'static'
        option 'ipaddr'    '91.224.149.ZZ'    # IPv4 publique
        option 'netmask'   '255.255.255.0'
        option 'gateway'   '91.224.149.254'
        option 'dns'       '91.224.149.254'   # Le DNS ipv4 de TTN

        option 'send_rs'   '0'                # Evite d'envoyer des annonces sur le réseau TTN
        option 'accept_ra  ' '0'              # Refuse les routes diffusées par le réseau TTN
        option 'ip6addr'   'fe80::XX:YY/64'   # L'IP link-locale pour le routage
        option 'ip6gw'     'fe80::31'         # La gw IPv6 de TTN

config 'alias'                                # Alias pour l'IPv6 publique du routeur
        option 'interface' 'wan_ttn'
        option 'proto'     'static'
        option 'ip6addr'   '2a01:6600:8081:YY00::1/64'

config 'interface' 'lan'                      # Interface coté LAN
        option 'proto'     'static'
        option 'ifname'    'eth0.2'
        option 'ipaddr'    '192.168.1.254'
        option 'netmask'   '255.255.255.0'
        option 'broadcast' '192.168.1.255'
        option 'send_rs'   '0'
        option 'ip6addr'   '2a01:6600:8081:YY02::1/64' # IP publique coté LAN

/etc/config/radvd

Ce fichier est très simple car OpenWRT calcule automatiquement les bonnes valeurs
à partir de la section "network" ci-dessus.

config 'interface'
        option 'AdvSendAdvert' '1'
        option 'ignore' '0'
        option 'interface' 'lan'

config 'prefix'
        option 'ignore' '0'
        option 'interface' 'lan'

config 'rdnss'
        option 'interface' 'lan'

À partir de là, le routeur diffuse des "Router Advertisement" sur son interface LAN et effectuera le routage.
Toute machine sur le réseau interne récupère ainsi une IP publique, addressable en direct.

IPv6 sur ADSL et OpenWRT

ip6tables

Via Philippe Latu du projet http://www.inetdoc.net/

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# C H A I N E   I N P U T
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# suivi de communication
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# ICMPv6
-A INPUT -p icmpv6 -m state --state NEW -m limit --limit 5/sec -j ACCEPT
-A INPUT ! -i sixxs -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT ! -i sixxs -p icmpv6 --icmpv6-type neighbour-advertisement -j 
ACCEPT
# Filtrage paquets avec en-tête de routage de type 0
-A INPUT -m rt --rt-type 0 -j DROP
# Autorisation trafic multicast
-A INPUT -d ff00::/8 -j ACCEPT
# communication loopback
-A INPUT -i lo -m state --state NEW -j ACCEPT
# communication instances virtuelles
-A INPUT -i tap+ -m state --state NEW -j ACCEPT
# communication interne
-A INPUT -i bond0.+ -m state --state NEW -j ACCEPT
# SSH port 2222
-A INPUT -p tcp --syn --dport 2222 -m state --state NEW -j ACCEPT
# poubelle
-A INPUT -j LOG --log-prefix "INPUT/rejected.ip6tables: " 
-A INPUT -m state --state INVALID -m limit --limit 5/min -j LOG --log-prefix "INPUT/invalid.ip6tables: " 
-A INPUT -m state --state INVALID -j DROP
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# C H A I N E   F O R W A R D
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# suivi de communication
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# ICMPv6
-A FORWARD -p ipv6-icmp -m state --state NEW -m limit --limit 5/sec -j  ACCEPT
# Filtrage paquets avec en-tête de routage de type 0
-A FORWARD -m rt --rt-type 0 -j DROP
# Autorisation trafic multicast
-A FORWARD -d ff00::/8 -j ACCEPT
# communication loopback
-A FORWARD -i lo -m state --state NEW -j ACCEPT
# communication instances virtuelles
-A FORWARD -i tap+ -m state --state NEW -j ACCEPT
# communication réseaux de TP
-A FORWARD -i bond0.+ -m state --state NEW -j ACCEPT
# poubelle
-A FORWARD -m state --state INVALID -m limit --limit 5/min -j LOG  --log-prefix "INPUT/invalid.ip6tables: " 
-A FORWARD -m state --state INVALID -j DROP
COMMIT

FAQ

ipv6calc

$ ipv6calc --in ipv6addr --out revnibbles.arpa 2a01:6600:8081:cf00::1    
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.c.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa.
$ ipv6calc --action geneui64 --in mac 00:22:4d:56:43:4e --out eui64
222:4dff:fe56:434e

Reverse DNS

En IPv6 tetaneutral.net peut deleguer le reverse du /56. Il faut configurer bind sur une ou plusieurs de vos machines, nous donner son CNAME, par exemple ns1.chezmoi.net et ns2.chezmoi.net, et mettre les fichiers suivant dans /etc/bind/ :

named.conf.local

zone "1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa" {
    type master;
    file "/etc/bind/db.ip6-81";
};

db.ip6-81

; -*- mode: zone; -*-
;
; BIND reverse data file for broadcast zone
;
$TTL    3600
@       IN      SOA     ns1.tetaneutral.net. hostmaster.tetaneutral.net. (
                        2011070301      ; serial
                         7200         ; Refresh
                          3600         ; Retry
                        1800000         ; Expire
                         3600 )       ; Negative Cache TTL
@       IN      NS      ns1.tetaneutral.net.
@       IN      NS      ns2.tetaneutral.net.

; reverse
$ORIGIN 0.0.e.c.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0         IN      PTR     www6.tetaneutral.net.

; delegations /56
$ORIGIN 1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa.
1.9 86400 IN NS   hoersch.kneissel.org.
1.9 86400 IN NS   serveur.kneissel.org.
e.8 86400 IN NS   dns.kafe-in.net.

Merci a Matthieu Herrb pour la délégation de reverse /56.

Coté utilisateur dans son bind :

Dans /etc/bind/named.conf.local

zone "X.Y.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa" {
    type master;
    file "/etc/bind/db.ip6-XY";
};

/etc/bind/db.ip6-XY

; -*- mode: zone; -*-
;
; BIND reverse data file for broadcast zone
;
$TTL    3600
@       IN      SOA     ns1.tetaneutral.net. hostmaster.tetaneutral.net. (
                        2011120700      ; serial
                         7200         ; Refresh
                          3600         ; Retry
                        1800000         ; Expire
                         3600 )       ; Negative Cache TTL
@       IN      NS      ns1.tetaneutral.net.
@       IN      NS      ns2.tetaneutral.net.

$ORIGIN 0.0.X.Y.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa.

1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0         IN      PTR     a1.tetaneutral.net.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0         IN      PTR     a2.tetaneutral.net.
3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0         IN      PTR     a3.tetaneutral.net.

CCNA et link-local

Merci à Jérôme Nicolle:

http://www.freeccnaworkbook.com/labs/section-12-configuring-ipv6/lab-12-3-configuring-ipv6-static-routing/

Unlike IPv4 static routing, with IPv6 you have the ability to use either the global unicast address or link-local address as the next hop in the static route statement. When working with IPv6 dynamic routing protocols which will be discussed in the next 2 labs, the next hop will be the neighbors link-local IPv6 address and not their global unique assigned ipv6 address. However when configuring a static route with a link-local IPv6 address as the next hop you must specify the egress interface. For all intensive purposes, using either/or will achieve the same desired effect.

Comment éviter d'utiliser une IPv6 non routée ?

Sur un IX en général les adresses sont non routées donc il faut éviter de les utiliser, pour cela on utilise "preferred_lft 0" :

http://www.davidc.net/networking/ipv6-source-address-selection-linux

ip -6 a add 2001:7f8:59:0:75::15/96 dev eth0.502 preferred_lft 0

Comment linux choisi une adresse IPv6 source https://www.kafe-in.net/articles/IPv6Source/

Comment pinguer une addresse link local ?

ping6 fe80::31%eth0

zones reverses ipv6 manquante dans bind (ie: ::1)

Dans bind par défaut les zones pour ::1 sont vide pour les ajouter:

# cat /etc/bind/db.local-::.arpa
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              8         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
1       IN      PTR     localhost.
# cat /etc/bind/db.local-::1.arpa
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              8         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
@       IN      PTR     localhost.
# cat /etc/bind/named.conf.default-zones.v6

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
        type master;
        file "/etc/bind/db.local-::.arpa";
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
        type master;
        file "/etc/bind/db.local-::1.arpa";
};

Et on ajoute ca dans /etc/bind/named.conf:

include "/etc/bind/named.conf.default-zones.v6";

Envoie d'un Router Advertissement avec scapy pour virer une route auto apprise (Attention à n'utiliser que si on sait ce qu'on fait ! )

Création de trame ipv6, ipv6 src est celle du router à spoffer

a = IPv6()
a.src = "fe80::dcad:4dff:fe0b:8a5" 
a.dst = "ff02::1" 

La trame sera un RA avec un lifetime de 0, comme indiquer dans la rfc2461:
"Lifetime of 0 indicates that the router is not a default router and SHOULD NOT appear on the default router list."

b = ICMPv6ND_RA() 
b.routerlifetime = 0

Ensuite on fixe la adresse MAC à spoofer, celle du router original qui a envoyer le RA.

c = ICMPv6NDOptSrcLLAddr() 
c.lladdr = "00:50:56:24:3b:c0" 

Ensuite on construire le contenu du RA, avec le prefix à annoncer (toujours celui à spoofer)
Avec le validlifetime et preferredlifetime à l'infinie, comme indiquer dans la rfc2461:
"A value of all one bits (0xffffffff) represents infinity"

d = ICMPv6NDOptMTU() 
e = ICMPv6NDOptPrefixInfo() 
e.prefixlen = 64
e.prefix = "2a01:6600:8081:4300::" 
e.validlifetime = 0xffffffff
e.preferredlifetime = 0xffffffff

On envoie le tout:

send(a/b/c/d/e)

PMTU

Try 'tracepath6' it will show you which hop is not returning a packet
too big for that path if needed. Also one can use a series of "ping6 -s
<size> -M do" to check if packets pass or not (if the destination allows
pings of course).

IETF IPv6 security

From: Fernando Gont <>
To: NANOG <>
Subject: IPv6 security: New IETF I-Ds, slideware and videos of recent presentations, trainings, etc...
Date: Mon, 28 May 2012 22:17:33 -0300

Folks,

Our Twitter: @SI6Networks
ipv6hackers mailing-list:
<http://lists.si6networks.com/listinfo/ipv6hackers/>

Thanks!

Best regards,
--
Fernando Gont
SI6 Networks
e-mail:
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Protection de la vie privée

Le problème

En IPv6 en mode "autoconfiguration" (SLAAC) les derniers 64 bits de
l'adresse sont dérivés de manière réversible de la MAC de votre
interface. Si celle-ci est par exemple 00:0c:29:0c:47:d5, elle est
modifiée comme sur ce schéma:

Si vous êtes chez vous derrière une freebox vous allez apparaître avec
2a01:e34:...:02:0c:29:ff:fe:0c:47:d5 dans les logs des serveurs auxquels
vous vous connectez et si vous allez ensuite à Myrys vous serez en
2a01:6600:8080:505:...::02:0c:29:ff:fe:0c:47:d5.

Donc tous ces serveurs, en regardant la fin de l'adresse IPv6, peuvent
déduire que vous êtes un freenaute qui va à Myrys, avec les heures et
tout, vos visites chez vos amis, hotspot, hôtels, et ce même si vous
avez desactivé les cookies pour la partie web, si vous utilisez https,
etc... C'est un danger pour la vie privée non présent en IPv4.

Solutions

Au niveau du routeur

  • On peut bloquer l'émission des RA pour ne pas avoir d'adresse SLAAC
    sur les machines du réseau concerné (c'est ce qui est fait à Tetaneutral
    il me semble...). Et mettre en place un serveur DHCPv6 qui affecte les
    adresses IPv6 soit dynamiquement à partir d'un pool soit de manière
    statique (mais sans correspondance connue avec une adresse MAC).
  • Selon la puissance d'expression du pare-feu on peut bloquer les
    adresses SLAAC. Elles ont les 2 octets 'ff fe' aux positions 11 et 12
    dans l'adresse IPv6.

Au niveau du client

  • Activer l'extension privacy si ce n'est pas le cas par défaut,
    (RFC3041 remplacé par RFC4941). Une manière de faire sous Linux
    Debian est d'avoir un script /etc/network/if-pre-up.d/ipv6 contenant:
    #! /bin/sh
    echo 2 > /proc/sys/net/ipv6/conf/$IFACE/use_tempaddr
    

    Ne pas oublier de rendre executable:
    chmod 755 /etc/network/if-pre-up.d/ipv6
    

    La commande 'ip -6 a' donnera alors après quelques heures une sortie telle que:
    6: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 
        inet6 2a01:6600:1122:3344:bc01:d69e:cb4d:f3f0/64 scope global temporary dynamic 
           valid_lft 73784sec preferred_lft 1784sec
        inet6 2a01:6600:1122:3344:40d7:48ee:af65:47f1/64 scope global temporary deprecated dynamic 
           valid_lft 59792sec preferred_lft 0sec
        inet6 2a01:6600:1122:3344:d59d:1447:62ab:1f29/64 scope global temporary deprecated dynamic 
           valid_lft 45515sec preferred_lft 0sec
        inet6 2a01:6600:1122:3344:2xx:yyff:fezz:ttww/64 scope global dynamic 
           valid_lft 86313sec preferred_lft 14313sec
        inet6 fe80::2xx:yyff:fezz:ttww/64 scope link 
           valid_lft forever preferred_lft forever
    

    où 00:xx:yy:zz:tt:ww est l'adresse MAC de l'interface (ici un bridge
    qui prend l'adresse MAC de la première interface physique qui lui est
    connectée). Les adresses 'deprecated' ne sont là que pour permettre
    aux connexions démarrées durant leur durée de validité de
    s'achever. Les nouvelles connexions utilisent la première adresse qui
    a encore 1784 secondes de durée de vie restante.
  • Modifier l'adresse MAC a chaque connexion
    (OpenBSD propose 'ifconfig <if> lladdr random' pour cela :-)
  • Bloquer avec le pare-feu local les paquets contenant l'adresse
    SLAAC si possible.

Si les adresses IPv6 sont affectéees par un serveur DHCPv6 elles ne
sont normalement pas liées à l'adresse MAC.

Liens

Mais...

Cela dit, il a été montré qu'il y a plein d'autres moyens pour les
sites web qui veulent traquer leurs utilisateurs de collecter des
informations discriminantes sur ceux-ci (type de navigateur,
extensions installées,...):
http://news.cnet.com/8301-1009_3-20005185-83.html
http://www.scatmania.org/2012/04/24/visitor-tracking-without-cookies/