Projet

Général

Profil

IPv6 » Historique » Version 43

« Précédent - Version 43/318 (diff) - Suivant » - Version actuelle
Laurent GUERBY, 25/12/2011 12:54


IPv6

Déploiement a tetaneutral.net : #35

Liens

General

Linux

Tunnels

Misc

Opérateurs

Désactiver la configuration automatique

Un serveur aura typiquement une configuration entièrement statique assignée par l'hébergeur, laisser la configuration dynamique activée est un risque de voir un tiers prendre le controle du routage serveur ou l'empécher de fonctionner via l'envoi d'une configuration dynamique erronée. Il est donc préférable de désactiver la configuration dynamique IPv6 sur une VM ou serveur physique hébergé chez tetaneutral.net.

En version rapide executer sur sa VM ou machine en root la ligne suivante :

wget -qO - http://tetaneutral.net/ipv6/ipv6noauto.sh | bash

Le détail de ce que fait ce script ci-après.

Désactiver autoconf et accept_ra pour la session en cours

Executer en root la ligne suivante :

for i in /proc/sys/net/ipv6/conf/*; do for j in autoconf accept_ra; do echo 0 > $i/$j; done;done

Le rendre permanent en cas de reboot

Editer la section inte6 de /etc/network/interfaces pour ajouter deux "pre-up" entre la ligne "iface" et la ligne "address" :

iface eth0 inet6 static
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf
   address ...

Créaer un fichier pour sysctl :

cat > /etc/sysctl.d/local-ipv6.conf <<EOF

# No IPV6 RA or autoconf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.accept_ra = 0

EOF

Référence : source du script ipv6noauto.sh

echo deactivating autoconf and accept_ra

for i in /proc/sys/net/ipv6/conf/*; do 
 for j in autoconf accept_ra; do 
  echo $i/$j
  echo 0 > $i/$j
 done
done

F=/etc/network/interfaces
if ! grep accept_ra $F >& /dev/null; then
 echo fixing /etc/network/interfaces
 cp -f $F $F.save
 sed -e 's,iface eth0 inet6 static,iface eth0 inet6 static\n   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra\n   pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf,g' < $F.save > $F
fi

if [ ! -f /etc/sysctl.d/local-ipv6.conf ]; then
 echo creating /etc/sysctl.d/local-ipv6.conf

 cat > /etc/sysctl.d/local-ipv6.conf <<EOF

# No IPV6 RA or autoconf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.accept_ra = 0

EOF

fi

echo done

Pièges

Attention a bien mettre les zéros en fin de mot :

Ne pas mettre 2a01:6600:8081:XX:: car c'est 2a01:6600:8081: 00 XX::
Utiliser 2a01:6600:8081: XX00 ::

Comment activer le routage sur son /56 IPv6 ?

Chaque IPv4 livrée par tetaneutral.net est associé à un /56 IPv6, avec une équivalence /24 = 256 IPv4 <=> /48 = 256 /56 IPv6

Discussions

J'ai fait quelques essais: VM configuré en routeur, openvpn entre la VM
et ma machine, histoire de simuler des interfaces. J'ai essayé radvd
comme des définitions manuelles des adresses IPv6.

Bon, ça marche depuis la VM mais pas depuis chez moi (wget
http://ipv6.google.com), même si les paquets IPv6 (vu avec tcpdump)
partent bien de la VM vers l'internet. Mais il n'y a pas de retour.

Après quelques cogitations et la lecture de ceci:
http://www.fdn.fr/IPv6-a-la-maison.html j'en arrive à ces
réflexions:

1) Dans le blog FDN ci-dessus l'adresse IPv6 affectée au ppp0 n'est pas
dans son /48; ce qui voudrait dire qu'il n'y a pas de raison d'affecter
une IPv6 du /56 au eth0 des VM tetaneutral.

2) Pour faire marcher une telle config à FDN, le routeur FDN en amont du
modem/routeur de l'abonné devrait avoir une route du type:
ip -6 route add range/48 dev ppp-abonné via link-local-ppp-abonné
soit chez nous:
ip -6 route add range/56 dev eth0-vm via link-local-eth0-vm

du /56 via une interconnection explicite entre le routeur de
tetaneutral.net et un routeur chez le membre ?

Un lien openvpn?

Bonsoir,

On peut rajouter une regle de routage comme tu le suggere,
reste a choisir les details pratiques.

Pour la link-local coté routeur on a choisi fe80::31 en statique il
reste a choisir une regle pour attribuer le link local coté client.

Une regle automatique basée sur l'IPv4 est en place pour
l'attribution du subnet IPv6 :

http://wiki.tetaneutral.net/index.php/Architecture

Une regle similaire pour le routage donnerait par exemple fe80::81:XY
ou XY est le dernier octet de l'IPv4 ecrit en hexadecimal
pour la link local coté client.

L'avantage d'une regle statique vs le SLAAC c'est que c'est un peu plus
flexible coté client sur le choix de l'equipement routeur.

L'avantage du routé est bien sur la flexibilité et la sécurisation
potentielle, l'inconvenient est qu'avec nos equipements actuels peu
puissant on perdra un peu en debit mais ça se corrigera avec
de nouveaux equipements.

Je suis vraiment curieux de savoir comment font les autres hebergeurs
dans le monde IPv6, ceux auxquels j'ai acces ne proposent pas de
routage, simplement ce que propose tetaneutral.net actuellement.

Suggestions ?

Connectivité IPv6 complète depuis chez vous en quelques étapes simples

Connectivité complète signifie que toutes vos machines pouvant fonctionner en IPv6 peuvent accéder des sites IPv6 externes mais surtout être joignables de l'extérieur sur une adresse IPv6 propre. Pas de NAT ou autre bidouille de ce genre. Implications en terme d'autohébergement et sécurité laissées en exercice.

Pour bien comprendre ce qui suit, il est recommandé d'avoir un peu potassé les hyperliens plus haut et mieux encore d'avoir joué avec l'IPv6 sur votre réseau local maison en utilisant par exemple des adresses ULA.

Etape 1: obtenir une machine virtuelle Tetaneutral.

Celle-ci (on l'appellera VM dans la suite) sera configurée par défaut comme suit dans /etc/network/interfaces du point de vue IPv6:

iface eth0 inet6 static
   address 2a01:6600:80XX:YY00::1
   netmask 56
   gateway fe80::31

où XX et YY sont les versions hexadécimales des xx et yy décimaux de votre (unique!) adresse IPv4 de la forme 91.224.xx.yy.

Voyons ce qu'implique la prise en compte par le système de ce fragment de /etc/network/interfaces. Il dit que:
  1. l'adresse 2a01:6600:80XX:YY00::1 est affectée à eth0, ce qui signifie que votre VM est accessible à cette adresse depuis l'intérieur de la VM comme depuis l'extérieur par toutes les machines du même segment réseau que eth0
  2. les paquets passant par votre VM peuvent atteindre les adresses de la plage 2a01:6600:80XX:YY00::/56 en étant envoyés en sortie de l'interface eth0

La plage 2a01:6600:80XX:YY00::/56 a été allouée par tetaneutral à votre VM. Notre problème est d'allouer une partie de ces adresses à des machines de notre domicile en utilisant l'accès que nous avons (en IPv4!) à la VM.

Avec cette configuration, vous pouvez héberger sur la VM des milliards de serveurs avec des adresses IPv6 différentes, il suffit de les ajouter à eth0 par une commande du type:

ip -6 address add une-adresse-ipv6-de votre-plage/56 dev eth0

Le /56 n'est pas absolument nécessaire, il évite juste de rajouter une route plus spécifique pour atteindre votre nouvelle adresse IPv6 depuis votre VM, route qui s'avère redondante.

Le lecteur attentif aura noté que cette configuration déclare que toutes les adresses de votre plage sont situées derrière eth0, en dehors de la partie contrôlée par votre VM, et il semble impossible alors d'en distraire une partie. Il y a au moins deux solutions à ce problème:
  1. S'arranger pour que les segments réseau de votre domicile fassent partie de celui partant de eth0 sur la VM. Celà revient techniquement à bridger ces segments réseaux. Cette solution a cependant des inconvénients en terme de configurabilité et de sécurité.
  2. Réduire la plage IPv6 allouée derrière l'eth0 de la VM et réallouer le solde à votre réseau local maison, par des techniques de routage. C'est ce qu'on va décrire dans la suite. Mais d'abord, on a besoin d'un peu de collaboration de Tetaneutral.

Etape 2: faire router votre plage /56 par Tetaneutral.

Dans la configuration par défaut des VM Tetaneutral, l'hôte des VM crée la route vers l'adresse 2a01:6600:80XX:YY00::1 (et des autres que vous rajoutez éventuellement à la main sur eth0) par l'utilisation de l'équivalent IPv6 d'ARP. Il est donc impossible de router vers une adresse qui n'existe pas sur cet eth0.

Tetaneutral doit donc rajouter une route explicite:

ip -6 route add 2a01:6600:80XX:YY00::/56 via fe80::XX:YY dev votre-eth0-côté-hôte

Celà n'a de sens que si fe80::XX:YY une des adresses de l'eth0 côté VM. Il faut donc l'ajouter et le mieux est de le faire via une directive 'up' dans /etc/network/interfaces:

iface eth0 inet6 static
   address 2a01:6600:80XX:YY00::1
   netmask 64
   gateway fe80::31   
   up ip -6 add add fe80::XX:YY dev eth0

Mon lecteur toujours très attentif n'aura pas manqué de noter que netmask ci-dessus est passé de 56 à 64. Nous n'allouons donc maintenant plus toutes nos adresses IPv6 sur le segment réseau partant d'eth0. En particulier, nous allons voir maintenant comment récupérer la sous-plage 2a01:6600:80XX:YY01::/64 pour notre réseau à domicile.

Remarque: la sous-plage doit être /64, sinon l'adressage automatique des interfaces réseau qu'on verra plus loin ne marchera pas.

Etape 3: simuler un lien ethernet entre une machine à domicile et cette VM.

Les technologies VPN/tunnel sont le pendant réseau des machines virtuelles: elles permettent de créer des interfaces réseaux virtuelles (du point de vue hardware, mais bien réelles d'un point de vue logiciel) et de les connecter entre elles.

Tout comme les machines virtuelles nécessitent quand même un minimum de support silicium, un VPN/tunnel va nécessiter de s'appuyer sur une vraie liaison entre deux vraies interfaces réseau, en l'occurence pour nous la liaison internet IPv4 entre autre utilisée pour l'administration de la VM depuis votre domicile. Plus précisément, nous allons utiliser l'outil openvpn.

La première étape va consister à installer openvpn en mode serveur sur la VM. Le fichier suivant est à créer dans /etc/openvpn/myris.conf:

dev tap
proto udp
local 91.224.xx.yy
float
ca myris/ca.crt
cert myris/myris.crt
key myris/myris.key
dh myris/dh1024.pem
tls-server
port 1194
ping 15
ping-restart 45
# car serveur
ping-timer-rem
persist-tun
persist-key
ifconfig 10.0.0.2 255.255.255.252
route ipv4-adresse-client-openvpn-domicile 255.255.255.255 10.0.0.1
script-security 3 system
route-up "/sbin/ip -6 addr add 2a01:6600:80XX:YY01::1/64 dev tap0" 

Remarque: le paramètre route-up contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Cette commande est nécessaire pour créer sur la VM une route vers la bonne interface pour la plage 2a01:6600:80XX:YY01::/64. Pour que le serveur openvpn soit toujours présent, il faut ajouter

AUTOSTART="myris" 

à /etc/default/openvpn.

Sur la machine à domicile, il faut une installation en mode client, pourquoi pas le même nom de fichier que le serveur, mais pas le même contenu:

dev tap
proto udp
local ipv4-adresse-client-openvpn-domicile
remote 91.224.xx.yy
ca myris/ca.crt
cert myris/client.crt
key myris/client.key
tls-client
port 1194
ping 15
ping-restart 45
persist-tun
persist-key
ifconfig 10.0.0.1 255.255.255.252
route 0.0.0.0 0.0.0.0 10.0.0.2

L'adresse ipv4-adresse-client-openvpn-domicile est toute adresse qui permet d'accéder Internet depuis la machine accueillant l'openvpn client; en général, ce ne sera donc pas votre adresse IP externe allouée par votre FAI, elle sera plutôt du genre 192.168.*.*. ou 10.*.*.*. Il est supposé bien sûr dans l'exemple ci-dessus que vous n'utilisez pas 10.0.0.0/30 chez vous, elle a été réservée au lien openvpn.

Les répertoires /etc/openvpn/myris sur VM et machine cliente contiendront les divers certificats et clés, qu'il faut générer. Voici comment faire:

cd un-répertoire de travail
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ .
cd 2.0
# Editez à votre convenance les 5 dernières variables d'environnement de type KEY_* du fichier vars
source ./vars
./clean-all
./build-dh
./pkitool --initca
./pkitool --server myris
./pkitool client

et les fichiers recherchés se trouvent dans le sous-répertoire keys. Le seul fichier commun aux 2 extrémités du lien openvpn est ca.crt.

Etape 4: passer la VM en mode routeur et annoncer des routes pour votre réseau à domicile avec radvd.

Pour autoriser les paquets à être routés sur la VM entre eth0 et tap0, il faut passer en mode routeur:

echo 1 >/proc/sys/net/ipv6/conf/default/forwarding

Nous allons maintenant mettre en place une configuration automatique d'adresses IPv6 de toutes les machines du segment réseau partant du tap0 de la VM (soit le tap0 du client openvpn, mais après l'étape suivante toutes les interfaces de votre réseau local). Nous utiliserons pour celà l'outil radvd, avec le fichier de configuration /etc/radvd.conf:

interface tap0
{
  IgnoreIfMissing on;
  AdvSendAdvert on;
  AdvLinkMTU 1280;
  prefix 2a01:6600:80XX:YY01::/64
  {
    AdvOnLink on;
    AdvAutonomous on;
  };
};

Remarque: le fichier contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Par ailleurs, il est possible d'interdire à une machine de s'autoconfigurer, mais ce n'est pas le défaut pour Linux et j'ai supposé que vous ne l'avez pas modifié.

Etape 5: bridger les interfaces réseau du client openvpn

A ce stade, la machine openvpn cliente peut accéder l'internet IPv6, car radvd aura placé une route par défaut via son tap0. Si vous bridgez maintenant ce tap0 avec son eth0 (normalement relié au reste de votre réseau local), toutes les machines de ce réseau local vont s'assigner au bout de quelques minutes une adresse tirée de la plage 2a01:6600:80XX:YY01::/64, et une route par défaut via le tap0 du client openvpn: c'est ce qu'on voulait obtenir.

Voici les incantations magiques nécessaires:

# on suppose qu'eth0 a l'adresse 192.168.0.1/24
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 tap0
# à ce stade, le machine hébergeant le client openvpn n'est plus adressable
# mais il est dans la plupart des cas utile de lui en redonner une, en général celle d'eth0  
ip addr add 192.168.0.1/24 dev br0

Il peut être intéressant de bridger par défaut eth0 et un tap0 prédéfini sur br0 dès le boot par une section de ce type dans /etc/network/interfaces:

auto br0
iface br0 inet static
    address 192.168.1.10
    netmask 255.255.255.0
    broadcast 192.168.0.255
    gateway 192.168.1.1
    bridge_ports eth0 tap0
    pre-up tunctl -t tap0

où la section 'iface br0' remplace 'iface eth0'.

Il faut ensuite modifier le configuration cliente /etc/openvpn/myris.conf comme suit:

# on définit explicitement le tap0
dev tap0
proto udp
local ipv4-adresse-client-openvpn-domicile
remote 91.224.xx.yy
ca myris/ca.crt
cert myris/client.crt
key myris/client.key
tls-client
port 1194
ping 15
ping-restart 45
persist-tun
persist-key
# ifconfig et route ont disparus et sont remplacés par ce qui suit, 
# qui fait la même chose appliqué à br0 et non pas tap0
script-security 3 system
up /etc/openvpn/myris-up.sh
down /etc/openvpn/myris-down.sh

où /etc/openvpn/myris-up.sh vaut:

#! /bin/sh
/sbin/ip addr add 10.0.0.1/30 dev br0

et /etc/openvpn/myris-down.sh vaut:
#! /bin/sh
/sbin/ip addr del 10.0.0.1/30 dev br0

Remarque: ne pas oublier de lancer:

chmod 755 /etc/openvpn/myris-down.sh /etc/openvpn/myris-down.sh

Il est à noter que l'apparition des adresses et routes IPv6 peut prendre un dizaine de minutes après l'établissemnt du tunnel openvpn, et de même leur disparation n'est complète qu'au bout de 24h. Tout celà est réglable via /etc/radvd.conf sur la VM.

FAQ

Reverse DNS

En IPv6 tetaneutral.net peut deleguer le reverse du /56. Il faut configurer bind sur une ou plusieurs de vos machines, nous donner son CNAME, par exemple ns1.chezmoi.net et ns2.chezmoi.net, et mettre les fichiers suivant dans /etc/bind/ :

named.conf.local

zone "1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa" {
    type master;
    file "/etc/bind/db.ip6-81";
};

db.ip6-81

; -*- mode: zone; -*-
;
; BIND reverse data file for broadcast zone
;
$TTL    3600
@       IN      SOA     ns1.tetaneutral.net. hostmaster.tetaneutral.net. (
                        2011070301      ; serial
                         7200         ; Refresh
                          3600         ; Retry
                        1800000         ; Expire
                         3600 )       ; Negative Cache TTL
@       IN      NS      ns1.tetaneutral.net.
@       IN      NS      ns2.tetaneutral.net.

; reverse
$ORIGIN 0.0.e.c.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0         IN      PTR     www6.tetaneutral.net.

; delegations /56
1.9.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 86400 IN NS   hoersch.kneissel.org.
1.9.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 86400 IN NS   serveur.kneissel.org.
e.8.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 86400 IN NS   dns.kafe-in.net.

CCNA et link-local

Merci à Jérôme Nicolle:

http://www.freeccnaworkbook.com/labs/section-12-configuring-ipv6/lab-12-3-configuring-ipv6-static-routing/

Unlike IPv4 static routing, with IPv6 you have the ability to use either the global unicast address or link-local address as the next hop in the static route statement. When working with IPv6 dynamic routing protocols which will be discussed in the next 2 labs, the next hop will be the neighbors link-local IPv6 address and not their global unique assigned ipv6 address. However when configuring a static route with a link-local IPv6 address as the next hop you must specify the egress interface. For all intensive purposes, using either/or will achieve the same desired effect.

Comment pinguer une addresse link local ?

ping6 fe80::31%eth0

zones reverses ipv6 manquante dans bind (ie: ::1)

Dans bind par défaut les zones pour ::1 sont vide pour les ajouter:

# cat /etc/bind/db.local-::.arpa
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              8         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
1       IN      PTR     localhost.
# cat /etc/bind/db.local-::1.arpa
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              8         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
@       IN      PTR     localhost.
# cat /etc/bind/named.conf.default-zones.v6

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
        type master;
        file "/etc/bind/db.local-::.arpa";
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
        type master;
        file "/etc/bind/db.local-::1.arpa";
};

Et on ajoute ca dans /etc/bind/named.conf:

include "/etc/bind/named.conf.default-zones.v6";

Envoie d'un Router Advertissement avec scapy pour virer une route auto apprise (Attention à n'utiliser que si on sait ce qu'on fait ! )

Création de trame ipv6, ipv6 src est celle du router à spoffer

a = IPv6()
a.src = "fe80::dcad:4dff:fe0b:8a5" 
a.dst = "ff02::1" 

La trame sera un RA avec un lifetime de 0, comme indiquer dans la rfc2461:
"Lifetime of 0 indicates that the router is not a default router and SHOULD NOT appear on the default router list."

b = ICMPv6ND_RA() 
b.routerlifetime = 0

Ensuite on fixe la adresse MAC à spoofer, celle du router original qui a envoyer le RA.

c = ICMPv6NDOptSrcLLAddr() 
c.lladdr = "00:50:56:24:3b:c0" 

Ensuite on construire le contenu du RA, avec le prefix à annoncer (toujours celui à spoofer)
Avec le validlifetime et preferredlifetime à l'infinie, comme indiquer dans la rfc2461:
"A value of all one bits (0xffffffff) represents infinity"

d = ICMPv6NDOptMTU() 
e = ICMPv6NDOptPrefixInfo() 
e.prefixlen = 64
e.prefix = "2a01:6600:8081:4300::" 
e.validlifetime = 0xffffffff
e.preferredlifetime = 0xffffffff

On envoie le tout:

send(a/b/c/d/e)