Problème config routeur OpenWRT (Barrier Breaker) pour IPv6

dClauzel · Nouveau **Hors-ligne**

J’ai un problème de config de routeur sous OpenWRT (Barrier Breaker) : le routeur n’a pas de problème pour communiquer en IPv6 avec le WAN et le LAN, mais pas moyen de le traverser.

Ma situation est :

La Freebox v5 est en mode passerelle (non-routeur) avec l’IPv6 d’activé. Le routeur est derrière la Freebox, et alimente derrière un switch sur lequel sont les machines
Le wifi du routeur est activé et fonctionne correctement, avec le même problème d’IPv6 que pour l’ethernet
Les machines du LAN ont bien une adresse IPv6, l’annonce est donc faite correctement
L’IPv4 n’a aucun problème nul part

En ssh sur le routeur, l’IPv6 est OK :

le routeur récupère les paramètres envoyés par la Freebox
ping6 ipv6.google.com est OK
ping6 sur les machines du LAN est OK

Sur les machines du LAN, impossible de sortir ou d’entrer du LAN

ping6 du routeur est OK
ping6 ipv6.google.com est PAS OK
ping6 sur les autres machines du LAN est OK

Mon impression est que pour l’IPv6, les parties LAN et WAN ne communiquent pas. En étant sur le routeur, je peux taper des deux côtés. Mais les paquets venant d’un côté ne peuvent pas passer de l’autre. Si le routeur relai bien au LAN les info du segment IPv6 annoncées par la Freebox (ce qui permet au LAN d’avoir ses adresses IPv6 globalement routables), il doit manquer un réglage pour relier LAN et WAN pour l’IPv6.

J’avais avant un routeur sous dd-wrt, avec ce réglage pour l’IPv6, et tout fonctionnait correctement. Pas moyen de refaire la même chose avec OpenWRT.

J’ai épluché les docs d’OpenWRT pour l’IPv6 (network6, odhcpd) mais rien n’y fait. Donc… à l’aide ?

Config réseau du routeur

Kugar · Habitué **Hors-ligne**

Pas de règle ip6table qui bloquerai le trafic par défaut entre 2 interfaces ?

dClauzel · Nouveau **Hors-ligne**

Invité

Bonjour,

As-tu mis en place un bridge pour l'IPv6 avec ebtables ? Si oui, cela devrait marcher.

Cependant, la meilleure solution est à mon avis de configurer un proxy NDP : http://x0r.fr/blog/12 (voir la partie "installation de ndppd").

dClauzel · Nouveau **Hors-ligne**

Invité

Je ne comprends pas ce qui empêche la solution utilisant de démon ndppd de fonctionner.

Je comprendrai peut-être dans une semaine ou deux quand je passerai mon routeur sous Barrier, mais actuellement, il faudrait décrire ce qui coince sur cette solution.

Edit: je crois que j'ai compris, Barrier ferait déjà office de proxy NDP avec les "option ndp relay". Donc je n'ai pas de meilleure idée.

Calico · Intéressé **Hors-ligne**

Je rencontre exactement le même souci que vous.. Une vraie galère depuis Barrier Breaker alors que ça fonctionnait quasiment du premier coup sous Attitude Adjustement.

Vous avez pu avancer sur ce problème de votre côté ?

dClauzel · Nouveau **Hors-ligne**

Calico · Intéressé **Hors-ligne**

Pour info mes tests ont été réalisés sur Chaos Calmer (r43341)

Fuli10 · Nouveau **Hors-ligne**

Bonjour,
J'ai le même souçi de configuration pour l'IPv6 avec Barrier Breaker.
Tout est en relay, je récupère bien une ipv6 mais je n'arrive pas à faire des ping sur ipv6.google.com depuis le réseau local.
Après avoir dumpé l'icmp6 sur le réseau WAN, je vois que le ping passe bien à travers le routeur et arrive chez google. La réponse semble arriver également, mais la Freebox n'arrive pas à répondre: elle n’arrête pas d'envoyer des trame 'neighbour discover' avec l'adresse ipv6 du PC côté LAN.
De ce que j'ai compris du protocole ipv6, cette trame est une remplaçante de l'ARP version IPv6.

A mon avis cela devrait être le routeur qui doit répondre avec son adresse MAC via le service ndp (en relay). Malheureusement le routeur ne répond rien. Soit c'est un bug dans le routeur (service ndp qui ne fonctionne pas bien), soit on a manqué un truc dans la configuration.

Autrement, je soupçonne aussi un bug dans la gestion du champ Hlimit par odchp et mis à 255 par la Freebox. Si dans le code de odhcp (le serveur censé tout faire) il considère que le Hlimit tiens sur un octet, il se peut que l'incrémenter le fasse repasser à zero, et hop une trame disparait sans laisser de trace.

Edit:
C'était rapide. Je viens de voir dans le code de odhcp d'openWRT (disponible ici: https://github.com/sbyx/odhcpd) cette "petite coquille":

dClauzel · Nouveau **Hors-ligne**

Bien bien bien.

Ce qui me rassure est que 1/ je ne suis pas le seul à avoir ce problème, et que 2/ des personnes ont des débuts de solution.

Le réseau n’est pas ma spécialité; je peux sans problème identifier les problèmes, mais j’ai beaucoup de mal à les résoudre quand ça-ne-marche-pas-alors-que-logiquement-ça-devrait.

Je peux très volontiers tester des solutions, mais je ne serais malheureusement pas d’une grande aide pour les trouver.

Courage !

(et merci 😬)

Fuli10 · Nouveau **Hors-ligne**

Bonjour,

Bon, moi aussi j'ai un peu galéré avec la configuration de barrier breaker.

Alors pour information, j'ai abandonné l'utilisation du mode relay. Ce que j'ai vu sur mon routeur (c'est peut-être lié à ma configuration) c'est que les requêtes DHCP du client ne passaient pas du LAN au WAN. Pourtant j'avais déjà réussi à utiliser le mode relay. Peut-être la mise à jour du module odhcpd ne fonctionne pas bien.
En instrumentalisant le code d'odhcpd, j'ai remarqué que le relay recevait bien les données, mais au moment d'envoyer la requête de l'autre côté (côté WAN), le sendmsg foire avec comme erreur 'invalid argument'. A priori il n'aime pas le message de contrôle envoyé pour demander l'envoi sur la bonne interface (je l'ai enlevé, je vois que la requête est forwardé côté LAN). Bref j'ai laché le truc.

Sinon, j'ai trouvé une configuration qui fonctionne si on a la server (v6 revolution ou mini 4k).
Tout d'abord j'ai mis une IP fixe côté WAN6:
2a01:xxxx:xxxx:xxd0::2/64 (par exemple).
Et 2a01:xxxx:xxxx:xxd0::1 en gateway
Première information: Free envoi une IP en /64 à une machine réseau, mais en fait Free fournit un réseau en /61. Donc une IP comme ça:
2a01:xxxx:xxxx:xxd0::/61
C'est ce que j'ai mis en "IPv6 routed prefix".
Côté LAN, dans la configuration DHCP6 j'ai mis
RA: serve
DHCPv6: server
NDP: disabled
Always announce default router: mis
Important, j'ai aussi mis:
IPv6 assignment length: 64
IPv6 assignment hint: une valeur entre 1 et 7 (surtout pas 0 - j'utilise 3 ici).

Résultat:
Côté WAN j'ai bien une IP 2a01:xxxx:xxxx:xxd0::2/64
Côté LAN, j'ai une IP étendue à 2a01:xxxx:xxxx:xxd3 Mad

x:xx/64

Quand un client se connecte sur le routeur, il récupère une IP 2a01:xxxx:xxxx:xxd3 Mad

x:xx/64

Après, ce qui est nouveau avec le server c'est qu'il est possible dans la configuration IPv6 du serveur de configurer le routage du réseau:
Chez moi, dans le champs "next-hop" à côté de 2a01:xxxx:xxxx:xxd3::/64, j'ai mis l'IP lien (celui en fe80::xxx) du routeur côté WAN6.

Une fois fait, tout fonctionne très bien.
J'ai juste gardé les règles suivantes côté firewall->traffic rules:
Allow-DHCPv6 (même si je pense que ça ne me sert plus, ça doit être pour le relay)
Allow-ICMPv6-Input
Et j'ai désactivé "Allow-ICMPv6-Forward" pour eviter le ping sur mes machines (mais ça c'est chacun qui fait comme il veut).

Dans le cas d'un relay qui fonctionne pour la v5, je ne sais pas ce qu'il manque. Quand ça fonctionnait chez moi le tcpdump montrait que le retour n'arrivait pas jusqu'à la machine cible. En gros la Freebox demandait 'qui est derrière cette IP ?', et le routeur ne répondait pas par 'c'est moi qui m'occupe de cette machine'... Depuis je n'ai plus réussi à reproduire un relay fonctionnel. Quoi qu'il en soit je pense que ça doit être le proxy NDP de répondre à ça, et j'ignore pourquoi il ne le fait pas. Il faut peut-être que le client apparaisse dans la liste des IPv6 affectés (network -> DHCP -> Active DHCPv6 Leases), ce qui est vrai que si le client a bien refait des requêtes après la modification de la configuration du DHCP (il faut débrancher/rebrancher le client je pense).

dClauzel · Nouveau **Hors-ligne**

Hummmmmmm, intéressant ! Je garde ta solution sous le coude, pour quand je passerais à la mini 4k (mais n’ayant pas de télévision… bof).

Fuli10 · Nouveau **Hors-ligne**

Ce qui serait intéressant, c'est de voir si le ping passe bien le routeur, arrive jusqu'au serveur, et que seul le retour ne fonctionne pas.

A mon avis, avec la commande tcpdump -i eth0.2 icmp6, il devrait être possible de voir la commande 'ICMP request' partir du client, et de voir un 'ICMP neighbor' venir de la Freebox, et qui demande "qui a l'IP du client", et de voir le routeur ne rien répondre...

Si c'est le cas, essaye de voir si en forçant la reconfiguration du client (débrancher/rebrancher, ipconfig /renew6, redémarrer, etc.) jusqu'à ce que le client apparaisse bien dans Network->DHCPv6 lease.
Si c'est le cas, retente le ping et voit s'il n'y a toujours pas de réponse au 'ICMP neighbor'.
Si le client n'apparait pas, et bien je ne sais pas...

Autre cas, essaye une configuration statique de l'IPv6 du client.

dClauzel · Nouveau **Hors-ligne**

OK, je vais essayer ça quand j’aurais un peu de temps.