IPv6 » Historique » Version 87
« Précédent -
Version 87/318
(diff) -
Suivant » -
Version actuelle
Bernard Urban, 02/02/2013 22:49
- Contenu
- IPv6
- Liens
- RIPE
- Configuration d'un LAN « IPv6 only » sous debian
- Debian
- Discovery
- Désactiver la configuration automatique
- ARP cache limits
- Pièges
- Comment activer le routage sur son /56 IPv6 ?
- Discussions
- Connectivité IPv6 complète depuis chez vous en quelques étapes simples
- Etape 1: obtenir une machine virtuelle Tetaneutral.
- Etape 2: faire router votre plage /56 par Tetaneutral.
- Etape 3: simuler un lien ethernet entre une machine à domicile et cette VM.
- Etape 4: passer la VM en mode routeur et annoncer des routes pour votre réseau à domicile avec radvd.
- Etape 5: bridger les interfaces réseau du client openvpn
- IPv6 sous OpenWRT
- IPv6 sur ADSL et OpenWRT
- ip6tables
- FAQ
- ipv6calc
- Reverse DNS
- CCNA et link-local
- Comment éviter d'utiliser une IPv6 non routée ?
- Comment pinguer une addresse link local ?
- zones reverses ipv6 manquante dans bind (ie: ::1)
- Envoie d'un Router Advertissement avec scapy pour virer une route auto apprise (Attention à n'utiliser que si on sait ce qu'on fait ! )
- PMTU
- IETF IPv6 security
- Protection de la vie privée
IPv6¶
Déploiement a tetaneutral.net : #35
Liens¶
General
- http://en.wikipedia.org/wiki/ICMPv6
- http://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol
- http://en.wikipedia.org/wiki/Radvd
- http://en.wikipedia.org/wiki/DHCPv6
- http://www.iana.org/assignments/icmpv6-parameters
Statistics
- http://bgp.he.net/ipv6-progress-report.cgi
- https://labs.ripe.net/Members/mirjam/content-ipv6-measurement-compilation
- http://www.ripe.net/internet-coordination/ipv4-exhaustion/ipv4-available-pool-graph
- http://www.google.com/ipv6/statistics.html
- http://julien.vaubourg.com/files/lothaire-yarding_ipv6.pdf
- https://www.ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic
Linux
- http://madduck.net/docs/ipv6/
- http://tldp.org/HOWTO/Linux+IPv6-HOWTO/
- http://linux.die.net/man/8/rdisc6
- bind IPv4+IPv6 /proc/sys/net/ipv6/bindv6only http://www.kernel.org/doc/man-pages/online/pages/man7/ipv6.7.html
- sileht : comme arpwatch mais en ipv6 http://ndpmon.sourceforge.net/
- sileht : proxy NDP auto http://www.priv.nu/projects/ndppd/ et https://github.com/Tuhox/ndppd
- dachary : hairpin_mode issue nova https://bugs.launchpad.net/nova/+bug/1011134
- https://wiki.archlinux.org/index.php/IPv6
Tunnels
- http://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers
- http://tunnelbroker.net
- http://sonic.net/features/ipv6/
Misc
- Cool IPv6 stuff http://www.sixxs.net/misc/coolstuff/
- http://interviews.slashdot.org/story/11/10/25/1532213/vint-cerf-answers-your-questions-about-ipv6-and-more
- http://infosecblog.antonaylward.com/2010/08/05/re-opensuse-ipv6-nat-was-113-and-ssh-x-forwarding-not-working/
- conférence JRES 2011 http://stream.ut-capitole.fr/jres2011/57.html
- http://vincent.riquer.fr/blog/archives/2010/04/11/openvpn__ipv6__bind__happiness/index.html
- http://blog.si6networks.com/2012/02/ipv6-nids-evasion-and-improvements-in.html
- https://vador.fdn.fr/wiki/support:faq:ipv6
- http://blog.si6networks.com/2012/02/ipv6-nids-evasion-and-improvements-in.html
- http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-first_hop_security.html#wp1054246
- http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-implementation-01
- http://www.ripe.net/lir-services/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf
Opérateurs
- DS-Lite chez FT http://www.ietf.org/mail-archive/web/v6ops/current/msg10652.html
- IPv6 chez comcast http://tech.slashdot.org/story/11/11/09/174217/comcast-begins-native-ipv6-deployment-to-end-users
- DHCP-PD http://ipv6.internode.on.net/
- Ninux AirOS vs OpenWRT retour d'experience http://blog.ninux.org/2012/06/06/the-ipv6-deployment-in-the-ninux-community-network/
Tests
RIPE¶
- IPv6 Address Allocation and Assignment Policy
- RIPE Routing Working Group Recommendations on IPv6 Route Aggregation
Configuration d'un LAN « IPv6 only » sous debian¶
Debian¶
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=643594
- ebtables: v2.0.10-1 wish for ipv6-icmp and security
- fixé le 5 juin 2012
- voir aussi Spoofing
Discovery¶
RFC4291 https://tools.ietf.org/html/rfc4291
Pinging the multicast address ff02::1 results in all hosts in link-local scope responding. An interface has to be specified. With a ping to the multicast address ff02::2 only routers will respond.
If you add an option -I <your-global-ipv6>, link-local hosts will respond with their link-global scope addresses.
Désactiver la configuration automatique¶
http://lists.tetaneutral.net/pipermail/technique/2011-November/000086.html
Un serveur aura typiquement une configuration entièrement statique assignée par l'hébergeur, laisser la configuration dynamique activée est un risque de voir un tiers prendre le controle du routage serveur ou l'empécher de fonctionner via l'envoi d'une configuration dynamique erronée. Il est donc préférable de désactiver la configuration dynamique IPv6 sur une VM ou serveur physique hébergé chez tetaneutral.net. Si votre VM est en mode routeur (c'est à dire la commande "more /proc/sys/net/ipv6/conf/all/forwarding" renvoit 1), cette désactivation est implicite, voir dans le source du noyau Linux le fichier "Documentation/networking/ip-sysctl.txt")
En version rapide executer sur sa VM ou machine en root la ligne suivante :
wget -qO - http://tetaneutral.net/ipv6/ipv6noauto.sh | bash
Le détail de ce que fait ce script ci-après.
Désactiver autoconf et accept_ra pour la session en cours¶
Executer en root la ligne suivante :
for i in /proc/sys/net/ipv6/conf/*; do for j in autoconf accept_ra; do echo 0 > $i/$j; done;done
Le rendre permanent en cas de reboot¶
Editer la section inte6 de /etc/network/interfaces pour ajouter deux "pre-up" entre la ligne "iface" et la ligne "address" :
iface eth0 inet6 static pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf address ...
Créer un fichier pour sysctl :
cat > /etc/sysctl.d/local-ipv6.conf <<EOF # No IPV6 RA or autoconf net.ipv6.conf.all.autoconf = 0 net.ipv6.conf.all.accept_ra = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.accept_ra = 0 EOF
Référence : source du script ipv6noauto.sh¶
echo deactivating autoconf and accept_ra for i in /proc/sys/net/ipv6/conf/*; do for j in autoconf accept_ra; do echo $i/$j echo 0 > $i/$j done done F=/etc/network/interfaces if ! grep accept_ra $F >& /dev/null; then echo fixing /etc/network/interfaces cp -f $F $F.save sed -e 's,iface eth0 inet6 static,iface eth0 inet6 static\n pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra\n pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf,g' < $F.save > $F fi if [ ! -f /etc/sysctl.d/local-ipv6.conf ]; then echo creating /etc/sysctl.d/local-ipv6.conf cat > /etc/sysctl.d/local-ipv6.conf <<EOF # No IPV6 RA or autoconf net.ipv6.conf.all.autoconf = 0 net.ipv6.conf.all.accept_ra = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.accept_ra = 0 EOF fi echo done
ARP cache limits¶
TODO via Cyril B.
net.ipv6.neigh.default.gc_thresh1 = 1024 net.ipv6.neigh.default.gc_thresh2 = 2048 net.ipv6.neigh.default.gc_thresh3 = 4096
Pièges¶
Attention a bien mettre les zéros en fin de mot :
Ne pas mettre 2a01:6600:8081:XX:: car c'est 2a01:6600:8081: 00 XX::
Utiliser 2a01:6600:8081: XX00 ::
Comment activer le routage sur son /56 IPv6 ?¶
Chaque IPv4 livrée par tetaneutral.net est associé à un /56 IPv6, avec une équivalence /24 = 256 IPv4 <=> /48 = 256 /56 IPv6
Discussions¶
J'ai fait quelques essais: VM configuré en routeur, openvpn entre la VM
et ma machine, histoire de simuler des interfaces. J'ai essayé radvd
comme des définitions manuelles des adresses IPv6.Bon, ça marche depuis la VM mais pas depuis chez moi (wget
http://ipv6.google.com), même si les paquets IPv6 (vu avec tcpdump)
partent bien de la VM vers l'internet. Mais il n'y a pas de retour.Après quelques cogitations et la lecture de ceci:
http://www.fdn.fr/IPv6-a-la-maison.html j'en arrive à ces
réflexions:1) Dans le blog FDN ci-dessus l'adresse IPv6 affectée au ppp0 n'est pas
dans son /48; ce qui voudrait dire qu'il n'y a pas de raison d'affecter
une IPv6 du /56 au eth0 des VM tetaneutral.2) Pour faire marcher une telle config à FDN, le routeur FDN en amont du
modem/routeur de l'abonné devrait avoir une route du type:
ip -6 route add range/48 dev ppp-abonné via link-local-ppp-abonné
soit chez nous:
ip -6 route add range/56 dev eth0-vm via link-local-eth0-vmdu /56 via une interconnection explicite entre le routeur de
tetaneutral.net et un routeur chez le membre ?Un lien openvpn?
Bonsoir,
On peut rajouter une regle de routage comme tu le suggere,
reste a choisir les details pratiques.
Pour la link-local coté routeur on a choisi fe80::31 en statique il
reste a choisir une regle pour attribuer le link local coté client.
Une regle automatique basée sur l'IPv4 est en place pour
l'attribution du subnet IPv6 :
http://wiki.tetaneutral.net/index.php/Architecture
Une regle similaire pour le routage donnerait par exemple fe80::81:XY
ou XY est le dernier octet de l'IPv4 ecrit en hexadecimal
pour la link local coté client.
L'avantage d'une regle statique vs le SLAAC c'est que c'est un peu plus
flexible coté client sur le choix de l'equipement routeur.
L'avantage du routé est bien sur la flexibilité et la sécurisation
potentielle, l'inconvenient est qu'avec nos equipements actuels peu
puissant on perdra un peu en debit mais ça se corrigera avec
de nouveaux equipements.
Je suis vraiment curieux de savoir comment font les autres hebergeurs
dans le monde IPv6, ceux auxquels j'ai acces ne proposent pas de
routage, simplement ce que propose tetaneutral.net actuellement.
Suggestions ?
Connectivité IPv6 complète depuis chez vous en quelques étapes simples¶
Connectivité complète signifie que toutes vos machines pouvant fonctionner en IPv6 peuvent accéder des sites IPv6 externes mais surtout être joignables de l'extérieur sur une adresse IPv6 propre. Pas de NAT ou autre bidouille de ce genre. Implications en terme d'autohébergement et sécurité laissées en exercice.
Pour bien comprendre ce qui suit, il est recommandé d'avoir un peu potassé les hyperliens plus haut et mieux encore d'avoir joué avec l'IPv6 sur votre réseau local maison en utilisant par exemple des adresses ULA.
Etape 1: obtenir une machine virtuelle Tetaneutral.¶
Celle-ci (on l'appellera VM dans la suite) sera configurée par défaut comme suit dans /etc/network/interfaces du point de vue IPv6:
iface eth0 inet6 static # les 2 lignes qui suivent ne seront pas nécessaires lorsque # plus loin nous passerons en mode routeur pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf address 2a01:6600:80XX:YY00::1 netmask 56 gateway fe80::31
où XX et YY sont les versions hexadécimales des xx et yy décimaux de votre (unique!) adresse IPv4 de la forme 91.224.xx.yy.
Voyons ce qu'implique la prise en compte par le système de ce fragment de /etc/network/interfaces. Il dit que:- l'adresse 2a01:6600:80XX:YY00::1 est affectée à eth0, ce qui signifie que votre VM est accessible à cette adresse depuis l'intérieur de la VM comme depuis l'extérieur par toutes les machines du même segment réseau que eth0
- les paquets passant par votre VM peuvent atteindre les adresses de la plage 2a01:6600:80XX:YY00::/56 en étant envoyés en sortie de l'interface eth0
La plage 2a01:6600:80XX:YY00::/56 a été allouée par tetaneutral à votre VM. Notre problème est d'allouer une partie de ces adresses à des machines de notre domicile en utilisant l'accès que nous avons (en IPv4!) à la VM.
Avec cette configuration, vous pouvez héberger sur la VM des milliards de serveurs avec des adresses IPv6 différentes, il suffit de les ajouter à eth0 par une commande du type:
ip -6 address add une-adresse-ipv6-de-votre-plage/56 dev eth0
Le /56 n'est pas absolument nécessaire, il évite juste de rajouter une route plus spécifique pour atteindre votre nouvelle adresse IPv6 depuis votre VM, route qui s'avère redondante. Le lecteur attentif aura noté que cette configuration déclare que toutes les adresses de votre plage sont situées derrière eth0, en dehors de la partie contrôlée par votre VM, et il semble impossible alors d'en distraire une partie. Il y a au moins deux solutions à ce problème:
- S'arranger pour que les segments réseau de votre domicile fassent partie de celui partant de eth0 sur la VM. Celà revient techniquement à bridger ces segments réseaux. Cette solution a cependant des inconvénients en terme de configurabilité et de sécurité.
- Réduire la plage IPv6 allouée derrière l'eth0 de la VM et réallouer le solde à votre réseau local maison, par des techniques de routage. C'est ce qu'on va décrire dans la suite. Mais d'abord, on a besoin d'un peu de collaboration de Tetaneutral.
Etape 2: faire router votre plage /56 par Tetaneutral.¶
Dans la configuration par défaut des VM Tetaneutral, l'hôte des VM crée la route vers l'adresse 2a01:6600:80XX:YY00::1 (et des autres que vous rajoutez éventuellement à la main sur eth0) par l'utilisation de l'équivalent IPv6 d'ARP. Il est donc impossible de router vers une adresse qui n'existe pas sur cet eth0.
Tetaneutral doit donc rajouter une route explicite:
ip -6 route add 2a01:6600:80XX:YY00::/56 via fe80::XX:YY dev votre-eth0-côté-hôte
Celà n'a de sens que si fe80::XX:YY une des adresses de l'eth0 côté VM. Il faut donc l'ajouter et le mieux est de le faire via une directive 'up' dans /etc/network/interfaces:
iface eth0 inet6 static # les 2 lignes qui suivent ne seront pas nécessaires lorsque # plus loin nous passerons en mode routeur pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf address 2a01:6600:80XX:YY00::1 netmask 64 gateway fe80::31 up ip -6 add add fe80::XX:YY dev eth0
Mon lecteur toujours très attentif n'aura pas manqué de noter que netmask ci-dessus est passé de 56 à 64. Nous n'allouons donc maintenant plus toutes nos adresses IPv6 sur le segment réseau partant d'eth0. En particulier, nous allons voir maintenant comment récupérer la sous-plage 2a01:6600:80XX:YY01::/64 pour notre réseau à domicile.
Remarque: la sous-plage doit être /64, sinon l'adressage automatique des interfaces réseau qu'on verra plus loin ne marchera pas.
Etape 3: simuler un lien ethernet entre une machine à domicile et cette VM.¶
Les technologies VPN/tunnel sont le pendant réseau des machines virtuelles: elles permettent de créer des interfaces réseaux virtuelles (du point de vue hardware, mais bien réelles d'un point de vue logiciel) et de les connecter entre elles.
Tout comme les machines virtuelles nécessitent quand même un minimum de support silicium, un VPN/tunnel va nécessiter de s'appuyer sur une vraie liaison entre deux vraies interfaces réseau, en l'occurence pour nous la liaison internet IPv4 entre autre utilisée pour l'administration de la VM depuis votre domicile. Plus précisément, nous allons utiliser l'outil openvpn.
La première étape va consister à installer openvpn en mode serveur sur la VM. Le fichier suivant est à créer dans /etc/openvpn/myris.conf:
dev tap proto udp local 91.224.xx.yy float ca myris/ca.crt cert myris/myris.crt key myris/myris.key dh myris/dh1024.pem tls-server port 1194 ping 15 ping-restart 45 # car serveur ping-timer-rem persist-tun persist-key ifconfig 10.0.0.2 255.255.255.252 route ipv4-adresse-client-openvpn-domicile 255.255.255.255 10.0.0.1 script-security 3 system route-up "/sbin/ip -6 addr add 2a01:6600:80XX:YY01::1/64 dev tap0"
Remarque: le paramètre route-up contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Cette commande est nécessaire pour créer sur la VM une route vers la bonne interface pour la plage 2a01:6600:80XX:YY01::/64. Pour que le serveur openvpn soit toujours présent, il faut ajouter
AUTOSTART="myris"
à /etc/default/openvpn.
Sur la machine à domicile, il faut une installation en mode client, pourquoi pas le même nom de fichier que le serveur, mais pas le même contenu:
dev tap proto udp local ipv4-adresse-client-openvpn-domicile remote 91.224.xx.yy ca myris/ca.crt cert myris/client.crt key myris/client.key tls-client port 1194 ping 15 ping-restart 45 persist-tun persist-key ifconfig 10.0.0.1 255.255.255.252 route 0.0.0.0 0.0.0.0 10.0.0.2
L'adresse ipv4-adresse-client-openvpn-domicile est toute adresse qui permet d'accéder Internet depuis la machine accueillant l'openvpn client; en général, ce ne sera donc pas votre adresse IP externe allouée par votre FAI, elle sera plutôt du genre 192.168.*.*. ou 10.*.*.*. Il est supposé bien sûr dans l'exemple ci-dessus que vous n'utilisez pas 10.0.0.0/30 chez vous, elle a été réservée au lien openvpn.
Les répertoires /etc/openvpn/myris sur VM et machine cliente contiendront les divers certificats et clés, qu'il faut générer. Voici comment faire:
cd un-répertoire de travail cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ . cd 2.0 # Editez à votre convenance les 5 dernières variables d'environnement de type KEY_* du fichier vars source ./vars ./clean-all ./build-dh ./pkitool --initca ./pkitool --server myris ./pkitool client
et les fichiers recherchés se trouvent dans le sous-répertoire keys. Le seul fichier commun aux 2 extrémités du lien openvpn est ca.crt.
Etape 4: passer la VM en mode routeur et annoncer des routes pour votre réseau à domicile avec radvd.¶
Pour autoriser les paquets à être routés sur la VM entre eth0 et tap0, il faut passer en mode routeur:
echo 1 >/proc/sys/net/ipv6/conf/all/forwarding
Il est encore mieux de conserver ce mode au reboot en rajoutant la ligne:
net.ipv6.conf.all.forwarding=1
dans le fichier "/etc/sysctl.conf"
Cette option entraine aussi que votre VM ne s'autoconfigure plus en IPv6 (i.e. les lignes "pre-up" vues plus haut dans "/etc/network/interfaces" ne sont plus nécessaires).
Nous allons maintenant mettre en place une configuration automatique d'adresses IPv6 de toutes les machines du segment réseau partant du tap0 de la VM (soit le tap0 du client openvpn, mais après l'étape suivante toutes les interfaces de votre réseau local). Nous utiliserons pour celà l'outil radvd, avec le fichier de configuration /etc/radvd.conf:
interface tap0 { IgnoreIfMissing on; AdvSendAdvert on; AdvLinkMTU 1280; prefix 2a01:6600:80XX:YY01::/64 { AdvOnLink on; AdvAutonomous on; }; };
Remarque: le fichier contient le nom 'tap0' codé en dur, ce qui n'est pas portable. Par ailleurs, il est possible d'interdire à une machine de s'autoconfigurer, mais ce n'est pas le défaut pour Linux et j'ai supposé que vous ne l'avez pas modifié.
Etape 5: bridger les interfaces réseau du client openvpn¶
A ce stade, la machine openvpn cliente peut accéder l'internet IPv6, car radvd aura placé une route par défaut via son tap0. Si vous bridgez maintenant ce tap0 avec son eth0 (normalement relié au reste de votre réseau local), toutes les machines de ce réseau local vont s'assigner au bout de quelques minutes une adresse tirée de la plage 2a01:6600:80XX:YY01::/64, et une route par défaut via le tap0 du client openvpn: c'est ce qu'on voulait obtenir.
Voici les incantations magiques nécessaires:
# on suppose qu'eth0 a l'adresse 192.168.0.1/24 brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0 # à ce stade, le machine hébergeant le client openvpn n'est plus adressable # mais il est dans la plupart des cas utile de lui en redonner une, en général celle d'eth0 ip addr add 192.168.0.1/24 dev br0
Il peut être intéressant de bridger par défaut eth0 et un tap0 prédéfini sur br0 dès le boot par une section de ce type dans /etc/network/interfaces:
auto br0 iface br0 inet static address 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.0.255 gateway 192.168.1.1 bridge_ports eth0 tap0 pre-up tunctl -t tap0
où la section 'iface br0' remplace 'iface eth0'.
Il faut ensuite modifier le configuration cliente /etc/openvpn/myris.conf comme suit:
# on définit explicitement le tap0 dev tap0 proto udp local ipv4-adresse-client-openvpn-domicile remote 91.224.xx.yy ca myris/ca.crt cert myris/client.crt key myris/client.key tls-client port 1194 ping 15 ping-restart 45 persist-tun persist-key # ifconfig et route ont disparus et sont remplacés par ce qui suit, # qui fait la même chose appliqué à br0 et non pas tap0 script-security 3 system up /etc/openvpn/myris-up.sh down /etc/openvpn/myris-down.sh
où /etc/openvpn/myris-up.sh vaut:
#! /bin/sh /sbin/ip addr add 10.0.0.1/30 dev br0
et /etc/openvpn/myris-down.sh vaut:
#! /bin/sh /sbin/ip addr del 10.0.0.1/30 dev br0
Remarque: ne pas oublier de lancer:
chmod 755 /etc/openvpn/myris-up.sh /etc/openvpn/myris-down.sh
Il est à noter que l'apparition des adresses et routes IPv6 peut prendre un dizaine de minutes après l'établissemnt du tunnel openvpn, et de même leur disparation n'est complète qu'au bout de 24h. Tout celà est réglable via /etc/radvd.conf sur la VM.
IPv6 sous OpenWRT¶
Exemple pour un routeur OpenWRT connecté au réseau L2 de Tetaneutral (radio ou autre)
Demander le routage du /56.¶
Il vous sera donné une IP link-locale sous la forme fe80::xx:yy .
/etc/config/network¶
La définition du fichier network d'OpenWRT
config 'interface' 'loopback' option 'ifname' 'lo' option 'proto' 'static' option 'ipaddr' '127.0.0.1' option 'netmask' '255.0.0.0' config 'interface' 'wan_ttn' option 'ifname' 'eth0.10' option 'proto' 'static' option 'ipaddr' '91.224.149.ZZ' # IPv4 publique option 'netmask' '255.255.255.0' option 'gateway' '91.224.149.254' option 'dns' '91.224.149.254' # Le DNS ipv4 de TTN option 'send_rs' '0' # Evite d'envoyer des annonces sur le réseau TTN option 'accept_ra ' '0' # Refuse les routes diffusées par le réseau TTN option 'ip6addr' 'fe80::XX:YY/64' # L'IP link-locale pour le routage option 'ip6gw' 'fe80::31' # La gw IPv6 de TTN config 'alias' # Alias pour l'IPv6 publique du routeur option 'interface' 'wan_ttn' option 'proto' 'static' option 'ip6addr' '2a01:6600:8081:YY00::1/64' config 'interface' 'lan' # Interface coté LAN option 'proto' 'static' option 'ifname' 'eth0.2' option 'ipaddr' '192.168.1.254' option 'netmask' '255.255.255.0' option 'broadcast' '192.168.1.255' option 'send_rs' '0' option 'ip6addr' '2a01:6600:8081:YY02::1/64' # IP publique coté LAN
/etc/config/radvd¶
Ce fichier est très simple car OpenWRT calcule automatiquement les bonnes valeurs
à partir de la section "network" ci-dessus.
config 'interface' option 'AdvSendAdvert' '1' option 'ignore' '0' option 'interface' 'lan' config 'prefix' option 'ignore' '0' option 'interface' 'lan' config 'rdnss' option 'interface' 'lan'
à partir de là , le routeur diffuse des "Router Advertisement" sur son interface LAN et effectuera le routage.
Toute machine sur le réseau interne récupère ainsi une IP publique, addressable en direct.
IPv6 sur ADSL et OpenWRT¶
ip6tables¶
Via Philippe Latu du projet http://www.inetdoc.net/
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] #~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # C H A I N E I N P U T #~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # suivi de communication -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # ICMPv6 -A INPUT -p icmpv6 -m state --state NEW -m limit --limit 5/sec -j ACCEPT -A INPUT ! -i sixxs -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT -A INPUT ! -i sixxs -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT # Filtrage paquets avec en-tête de routage de type 0 -A INPUT -m rt --rt-type 0 -j DROP # Autorisation trafic multicast -A INPUT -d ff00::/8 -j ACCEPT # communication loopback -A INPUT -i lo -m state --state NEW -j ACCEPT # communication instances virtuelles -A INPUT -i tap+ -m state --state NEW -j ACCEPT # communication interne -A INPUT -i bond0.+ -m state --state NEW -j ACCEPT # SSH port 2222 -A INPUT -p tcp --syn --dport 2222 -m state --state NEW -j ACCEPT # poubelle -A INPUT -j LOG --log-prefix "INPUT/rejected.ip6tables: " -A INPUT -m state --state INVALID -m limit --limit 5/min -j LOG --log-prefix "INPUT/invalid.ip6tables: " -A INPUT -m state --state INVALID -j DROP #~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # C H A I N E F O R W A R D #~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ # suivi de communication -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # ICMPv6 -A FORWARD -p ipv6-icmp -m state --state NEW -m limit --limit 5/sec -j ACCEPT # Filtrage paquets avec en-tête de routage de type 0 -A FORWARD -m rt --rt-type 0 -j DROP # Autorisation trafic multicast -A FORWARD -d ff00::/8 -j ACCEPT # communication loopback -A FORWARD -i lo -m state --state NEW -j ACCEPT # communication instances virtuelles -A FORWARD -i tap+ -m state --state NEW -j ACCEPT # communication réseaux de TP -A FORWARD -i bond0.+ -m state --state NEW -j ACCEPT # poubelle -A FORWARD -m state --state INVALID -m limit --limit 5/min -j LOG --log-prefix "INPUT/invalid.ip6tables: " -A FORWARD -m state --state INVALID -j DROP COMMIT
FAQ¶
ipv6calc¶
$ ipv6calc --in ipv6addr --out revnibbles.arpa 2a01:6600:8081:cf00::1 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.c.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. $ ipv6calc --action geneui64 --in mac 00:22:4d:56:43:4e --out eui64 222:4dff:fe56:434e
Reverse DNS¶
En IPv6 tetaneutral.net peut deleguer le reverse du /56. Il faut configurer bind sur une ou plusieurs de vos machines, nous donner son CNAME, par exemple ns1.chezmoi.net et ns2.chezmoi.net, et mettre les fichiers suivant dans /etc/bind/ :
named.conf.local
zone "1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa" { type master; file "/etc/bind/db.ip6-81"; };
db.ip6-81
; -*- mode: zone; -*- ; ; BIND reverse data file for broadcast zone ; $TTL 3600 @ IN SOA ns1.tetaneutral.net. hostmaster.tetaneutral.net. ( 2011070301 ; serial 7200 ; Refresh 3600 ; Retry 1800000 ; Expire 3600 ) ; Negative Cache TTL @ IN NS ns1.tetaneutral.net. @ IN NS ns2.tetaneutral.net. ; reverse $ORIGIN 0.0.e.c.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR www6.tetaneutral.net. ; delegations /56 $ORIGIN 1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 1.9 86400 IN NS hoersch.kneissel.org. 1.9 86400 IN NS serveur.kneissel.org. e.8 86400 IN NS dns.kafe-in.net.
Merci a Matthieu Herrb pour la délégation de reverse /56.
Coté utilisateur dans son bind :
Dans /etc/bind/named.conf.local
zone "X.Y.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa" { type master; file "/etc/bind/db.ip6-XY"; };
/etc/bind/db.ip6-XY
; -*- mode: zone; -*- ; ; BIND reverse data file for broadcast zone ; $TTL 3600 @ IN SOA ns1.tetaneutral.net. hostmaster.tetaneutral.net. ( 2011120700 ; serial 7200 ; Refresh 3600 ; Retry 1800000 ; Expire 3600 ) ; Negative Cache TTL @ IN NS ns1.tetaneutral.net. @ IN NS ns2.tetaneutral.net. $ORIGIN 0.0.X.Y.1.8.0.8.0.0.6.6.1.0.a.2.ip6.arpa. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR a1.tetaneutral.net. 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR a2.tetaneutral.net. 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR a3.tetaneutral.net.
CCNA et link-local¶
Merci à Jérôme Nicolle:
Unlike IPv4 static routing, with IPv6 you have the ability to use either the global unicast address or link-local address as the next hop in the static route statement. When working with IPv6 dynamic routing protocols which will be discussed in the next 2 labs, the next hop will be the neighbors link-local IPv6 address and not their global unique assigned ipv6 address. However when configuring a static route with a link-local IPv6 address as the next hop you must specify the egress interface. For all intensive purposes, using either/or will achieve the same desired effect.
Comment éviter d'utiliser une IPv6 non routée ?¶
Sur un IX en général les adresses sont non routées donc il faut éviter de les utiliser, pour cela on utilise "preferred_lft 0" :
http://www.davidc.net/networking/ipv6-source-address-selection-linux
ip -6 a add 2001:7f8:59:0:75::15/96 dev eth0.502 preferred_lft 0
Comment linux choisi une adresse IPv6 source https://www.kafe-in.net/articles/IPv6Source/
Comment pinguer une addresse link local ?¶
ping6 fe80::31%eth0
zones reverses ipv6 manquante dans bind (ie: ::1)¶
Dans bind par défaut les zones pour ::1 sont vide pour les ajouter:
# cat /etc/bind/db.local-::.arpa ; ; BIND reverse data file for local loopback interface ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 8 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. 1 IN PTR localhost.
# cat /etc/bind/db.local-::1.arpa ; ; BIND reverse data file for local loopback interface ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 8 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. @ IN PTR localhost.
# cat /etc/bind/named.conf.default-zones.v6 zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "/etc/bind/db.local-::.arpa"; }; zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "/etc/bind/db.local-::1.arpa"; };
Et on ajoute ca dans /etc/bind/named.conf:
include "/etc/bind/named.conf.default-zones.v6";
Envoie d'un Router Advertissement avec scapy pour virer une route auto apprise (Attention à n'utiliser que si on sait ce qu'on fait ! )¶
Création de trame ipv6, ipv6 src est celle du router à spoffer
a = IPv6() a.src = "fe80::dcad:4dff:fe0b:8a5" a.dst = "ff02::1"
La trame sera un RA avec un lifetime de 0, comme indiquer dans la rfc2461:
"Lifetime of 0 indicates that the router is not a default router and SHOULD NOT appear on the default router list."
b = ICMPv6ND_RA() b.routerlifetime = 0
Ensuite on fixe la adresse MAC Ã spoofer, celle du router original qui a envoyer le RA.
c = ICMPv6NDOptSrcLLAddr() c.lladdr = "00:50:56:24:3b:c0"
Ensuite on construire le contenu du RA, avec le prefix à annoncer (toujours celui à spoofer)
Avec le validlifetime et preferredlifetime à l'infinie, comme indiquer dans la rfc2461:
"A value of all one bits (0xffffffff) represents infinity"
d = ICMPv6NDOptMTU() e = ICMPv6NDOptPrefixInfo() e.prefixlen = 64 e.prefix = "2a01:6600:8081:4300::" e.validlifetime = 0xffffffff e.preferredlifetime = 0xffffffff
On envoie le tout:
send(a/b/c/d/e)
PMTU¶
Try 'tracepath6' it will show you which hop is not returning a packet
too big for that path if needed. Also one can use a series of "ping6 -s
<size> -M do" to check if packets pass or not (if the destination allows
pings of course).
IETF IPv6 security¶
From: Fernando Gont <fernando@gont.com.ar>
To: NANOG <nanog@nanog.org>
Subject: IPv6 security: New IETF I-Ds, slideware and videos of recent presentations, trainings, etc...
Date: Mon, 28 May 2012 22:17:33 -0300
Folks,
- We've published a new IETF I-D entitled "DHCPv6-Shield: Protecting
Against Rogue DHCPv6 Servers", which is meant to provide RA-Guard-like
protection against rogue DHCPv6 servers. The I-D is available at:
<http://tools.ietf.org/id/draft-gont-opsec-dhcpv6-shield-00.txt>
Other IPv6 security I-Ds (such as,
draft-ietf-v6ops-ra-guard-implementation) have been revised. Please
check them out at:
<http://www.si6networks.com/publications/ietf.html>
- The slideware (and some videos!) of some of our recent presentations
about IPv6 security are now available online. You can find them at:
<http://www.si6networks.com/presentations/index.html>
- We have also scheduled IPv6 hacking trainings in Paris (France) and
Ghent (Belgium). You can find more details at:
<http://www.si6networks.com/index.html#conferences>
Our Twitter: @SI6Networks
ipv6hackers mailing-list:
<http://lists.si6networks.com/listinfo/ipv6hackers/>
Thanks!
Best regards,
--
Fernando Gont
SI6 Networks
e-mail: fgont@si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Protection de la vie privée¶
Le problème¶
En IPv6 en mode "autoconfiguration" (SLAAC) les derniers 64 bits de
l'adresse sont dérivés de manière réversible de la MAC de votre
interface. Si celle-ci est par exemple 00:0c:29:0c:47:d5, elle est
modifiée comme sur ce schéma:
Si vous êtes chez vous derrière une freebox vous allez apparaître avec
2a01:e34:...:02:0c:29:ff:fe:0c:47:d5 dans les logs des serveurs auxquels
vous vous connectez et si vous allez ensuite à Myrys vous serez en
2a01:6600:8080:505:...::02:0c:29:ff:fe:0c:47:d5.
Donc tous ces serveurs, en regardant la fin de l'adresse IPv6, peuvent
déduire que vous êtes un freenaute qui va à Myrys, avec les heures et
tout, vos visites chez vos amis, hotspot, hôtels, et ce même si vous
avez desactivé les cookies pour la partie web, si vous utilisez https,
etc... C'est un danger pour la vie privée non présent en IPv4.
Solutions¶
Au niveau du routeur¶
On peut bloquer l'émission des RA pour ne pas avoir d'adresse SLAAC
sur les machines du réseau concerné (c'est ce qui est fait à Tetaneutral
il me semble...). Et mettre en place un serveur DHCPv6 qui affecte les
adresses IPv6 soit dynamiquement à partir d'un pool soit de manière
statique (mais sans correspondance connue avec une adresse MAC).
Selon la puissance d'expression du pare-feu on peut bloquer les
adresses SLAAC. Elles ont les 2 octets 'ff fe' aux positions 11 et 12
dans l'adresse IPv6.
Au niveau du client¶
- Activer l'extension privacy si ce n'est pas le cas par défaut,
(RFC3041 remplacé par RFC4941). Une manière de faire sous Linux
Debian est d'avoir un script /etc/network/if-pre-up.d/ipv6 contenant:#! /bin/sh echo 2 > /proc/sys/net/ipv6/conf/$IFACE/use_tempaddr
Ne pas oublier de rendre executable:chmod 755 /etc/network/if-pre-up.d/ipv6
La commande 'ip -6 a' donnera alors après quelques heures une sortie telle que:6: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 inet6 2a01:6600:1122:3344:bc01:d69e:cb4d:f3f0/64 scope global temporary dynamic valid_lft 73784sec preferred_lft 1784sec inet6 2a01:6600:1122:3344:40d7:48ee:af65:47f1/64 scope global temporary deprecated dynamic valid_lft 59792sec preferred_lft 0sec inet6 2a01:6600:1122:3344:d59d:1447:62ab:1f29/64 scope global temporary deprecated dynamic valid_lft 45515sec preferred_lft 0sec inet6 2a01:6600:1122:3344:2xx:yyff:fezz:ttww/64 scope global dynamic valid_lft 86313sec preferred_lft 14313sec inet6 fe80::2xx:yyff:fezz:ttww/64 scope link valid_lft forever preferred_lft forever
où 00:xx:yy:zz:tt:ww est l'adresse MAC de l'interface (ici un bridge
qui prend l'adresse MAC de la première interface physique qui lui est
connectée). Les adresses 'deprecated' ne sont là que pour permettre
aux connexions démarrées durant leur durée de validité de
s'achever. Les nouvelles connexions utilisent la première adresse qui
a encore 1784 secondes de durée de vie restante.
- Modifier l'adresse MAC a chaque connexion
(OpenBSD propose 'ifconfig <if> lladdr random' pour cela :-) *
Bloquer avec le pare-feu local les paquets contenant l'adresse
SLAAC si possible.
Si les adresses IPv6 sont affectéees par un serveur DHCPv6 elles ne
sont normalement pas liées à l'adresse MAC.
Liens¶
- http://www.rfc-editor.org/rfc/rfc4941.txt Le RFC sur les privacy extensions
- http://superuser.com/questions/243669/how-to-avoid-exposing-my-mac-address-when using-ipv6
- https://home.regit.org/2011/04/ipv6-privacy/ IPv6 privacy extensions on Linux
- http://www.queret.net/blog/2012/04/357/ IPv6: Ubuntu 12.04 active la RFC4941 (Privacy Extensions) par default
- http://support.menandmice.com/jforum/posts/list/219.page Enable Privacy extensions on Mac OS X 10.5 and 10.6
- http://tools.ietf.org/html/draft-ietf-6man-stable-privacy-addresses-01
Mais...¶
Cela dit, il a été montré qu'il y a plein d'autres moyens pour les
sites web qui veulent traquer leurs utilisateurs de collecter des
informations discriminantes sur ceux-ci (type de navigateur,
extensions installées,...):
http://news.cnet.com/8301-1009_3-20005185-83.html
http://www.scatmania.org/2012/04/24/visitor-tracking-without-cookies/