OpenWrt Forum Archive

Topic: Configuration problem for IPv6 on Barrier Breaker behind a Freebox

The content of this topic has been archived between 3 Apr 2018 and 22 Apr 2018. There are no obvious gaps in this topic, but there may still be some posts missing at the end.

gnutella wrote:

C'est OpenWRT le routeur et NON la Freebox.
En fait, chacun fait son travail ...

C'est tentant de répondre dans la langue de la Freebox smile

Salut Gnutella,
Content de savoir que d'autres personnes comme vous s'acharnent sur le sujet. J'avais baissé les bras.

De ce que j'ai pu apprendre, même en bridge la Freebox reste le routeur en IPv6. Y a-t-il évolution chez Free?

A un moment l'IPv6 a fonctionné parfaitement chez moi en mode relay. Je ne comprends toujours ce qui est à l'origine de de la régression, Free ou OpenWRT?

Bien cordialement

Je pense que les difficultés rencontrées viennent du peu d'informations disponibles.

Par exemple, il me semble que le NextHop n'est disponible que sur la Freebox v6 et la Freebox Android.

Il m'a fallu lire tous les posts concernant la Freebox et OpenWRT pour finalement en venir à la conclusion que c'était possible, et même assez facile. On a perdu du temps en s'acharnant sur les protocoles de diffusion des adresses publiques, alors qu'avec le NextHop, on n'en a pas besoin. La configuration d'utilise ni RADVD, ni NDP.

La nouvelle documentation d'OpenWRT ipv6 est très bien faite:
http://wiki.openwrt.org/doc/uci/network6

Je vais créer une page sur le wiki d'OpenWRT concernant la Freebox.

(Last edited by gnutella on 13 Aug 2015, 22:09)

Personnellement, j’ai la fibre avec une Freebox Ô (F-OPTO2A O-SR), donc il faudra s’assurer que la solution trouvée fonctionne aussi chez-moi wink

Super, mon domicile secondaire a été fibré il y a 2 semaines, la connexion arrive en décembre 2015.
J'ai flingué tous mes hébergement OVH et Online, j'ai réellement besoin de l'Ipv6.

J'ai créé cette page wiki : http://wiki.openwrt.org/doc/howto/freebox
Je publie ma configuration, essayez d'améliorer la page, on a trop galéré, il faut mutualiser les connaissances et si nécessaire demander de l'aide au developer network de Free.fr

La connexion a l'air stable, elle tient depuis presque 24 heures sans problème de routage.

(Last edited by gnutella on 13 Aug 2015, 23:33)

La mise en page laisse à désirer, je terminerai demain ... trop crevé.
Les blocs code cassent tout. Si vous savez comment réparer cela, ce serait bien ...
Cela doit être du XML et il faut probablement utiliser une notation spécifique.

dClauzel, tu as réussi à configurer en statique ? en DHCP ?

(Last edited by gnutella on 13 Aug 2015, 23:34)

gnutella wrote:

La mise en page laisse à désirer, je terminerai demain ... trop crevé.
Les blocs code cassent tout. Si vous savez comment réparer cela, ce serait bien ...
Cela doit être du XML et il faut probablement utiliser une notation spécifique.

Je viens de faire un nettoyage wink

dClauzel, tu as réussi à configurer en statique ? en DHCP ?

Non, je ne refais pas d’essais tant que CC n’est pas sorti officiellement; je n’ai pas le temps de jouer avec des beta ou des RC.

dClauzel wrote:

Non, je ne refais pas d’essais tant que CC n’est pas sorti officiellement; je n’ai pas le temps de jouer avec des beta ou des RC.

La configuration NextHop est compatibles avec toute version d'OpenWRT supportant IPv6. La Freebox reçoit la délégation d'adresses IPv6, mais elle ne connait pas la fin du réseau (qui est en NextHop). Elle passe la connexion au routeur OpenWRT qui finit le travail de routage en bout de chaîne. C'est d'ailleurs une belle solution technique, car les machines sur le réseau local peuvent être n'importe où dans la classe /64, ce qui est une belle solution en terme de sécurité.

Je vais reprendre le wiki pour expliquer cela en détail, puis je me concentrerai sur la configuration DHCP. Il n'y a pas de raison que cela ne fonctionne pas en DHCP.

(Last edited by gnutella on 14 Aug 2015, 10:03)

gnutella wrote:
dClauzel wrote:

Non, je ne refais pas d’essais tant que CC n’est pas sorti officiellement; je n’ai pas le temps de jouer avec des beta ou des RC.

La configuration NextHop est compatibles avec toute version d'OpenWRT supportant IPv6. La Freebox reçoit la délégation d'adresses IPv6, mais elle ne connait pas la fin du réseau (qui est en NextHop). Elle passe la connexion au routeur OpenWRT qui finit le travail de routage en bout de chaîne. C'est d'ailleurs une belle solution technique, car les machines sur le réseau local peuvent être n'importe où dans la classe /64, ce qui est une belle solution en terme de sécurité.

OK, compris.

Une question que je me pose aussi est de savoir si on peut relier directement le convertisseur optique au routeur — et donc lui faire jouer également le rôle de passerelle. À moins que la Freebox Ô soit nécessaire pour faire de l’authentification ou autre sur le réseau de Free?

Intéressant.

J'ai déjà discuté avec un client (une société), qui pour des questions de sécurité avait acheté un modem ADSL, l'avait connecté à une machine Debian et s'était ensuite connecté directement au réseau Free. Mais j'ignore s'il avait connecté une Freebox derrière son modem ... A mon avis, si la sécurité est l'objectif ultime, cela m'étonnerait. Je crois même qu'il a rendu sa Freebox.

Dans ton cas, encore faut-il disposer d'une carte fibre optique. J'ignore tout concernant les protocoles utilisés par Free. C'est réellement une problématique différente que le NextHop.

Si tu veux mon avis, la Freebox a été auditée par l'ANSI. C'est un matériel bien connu, très sécurisé. Si tu veux augmenter le niveau de sécurité, tu peux la faire fonctionner en mode bridge.

L'utilisation d'OpenWRT en tant que routeur et filtrage est déjà une excellente solution. Tu peux disposer des machines sur un /128, pratiquement inaccessibles, à condition d'activer les extensions de sécurité, qui dédoublent les adresses ipv6 (une en entrée, l'autre en sortie) et les assignent de manière aléatoire.

Tout ceci n'est possible qu'avec le NextHop, une option incontournable.
Par exemple, tu peux planquer une machine de backup sur ton réseau IPv6 et faire en sorte que lorsque ta machine discute avec l'extérieur (par exemple pour une mise à jour), elle utilise une adresse IPv6 aléatoire, ce qui rend beaucoup plus complexe une attaque, car personne à par toi et le routeur OpenWRT ne connaît l'adresse IPv6 du serveur.

(Last edited by gnutella on 14 Aug 2015, 13:43)

Le convertisseur optique sort en ethernet pour rejoindre la Freebox Ô (passerelle), qui relie le routeur à internet.

S’il y a moyen de supprimer la Freebox pour mettre directement le routeur-passerelle derrière le convertisseur optique, ça m’intéresse.

Salut,

Ravi que ce topic rebouge... dans la langue Freeboxienne qui plus est ^^

Concernant le next-hop en v5/ipv6 je pense que c'est foutu... la v6 et la 4k/Android possèdent le freebox OS et font l'objet de toutes les attentions, je doute que la v5/alicebox obtienne une mise à jour pour activer cette option... mais qui sait... smile

J'ai ouvert un ticket pour la v5... http://dev.freebox.fr/bugs/task/18518

Ca doit fonctionner avec un modem classique je pense, mais je perds l'usage de la téléphonie et de la tv du coup...

(Last edited by yanfox on 14 Aug 2015, 16:45)

dClauzel wrote:

S’il y a moyen de supprimer la Freebox pour mettre directement le routeur-passerelle derrière le convertisseur optique, ça m’intéresse.

Intéressant. Mais je préfère considérer que la Freebox fait partie d'un réseau public IPv6 non-filtré et qu'OpenWRT est en fin de réseau pour assurer le filtrage ipV6. La question ultime est de savoir si OpenWRT est réellement sécurisé, j'en doute vu le nombre de patchs kernel qui sont appliqués à tout moment. Si tu veux une solution réellement sécurisée : 1) passe en mode bridge (tu perds la télé et tout le reste) et install un Linux ou un FreeBSD (Debian nue par exemple), avec un noyau compilé statiquement (facile sous Debian, il suffit de recompiler par une seule commande) et le patch GrSEC. L'ANSSI a publié des documents à ce sujet sur leur site, il me semble qu'il s'agit du "guide survie Linux"

dClauzel wrote:

Concernant le next-hop en v5/ipv6 je pense que c'est foutu... la v6 et la 4k/Android possèdent le freebox OS et font l'objet de toutes les attentions, je doute que la v5/alicebox obtienne une mise à jour pour activer cette option... mais qui sait... smile..


A la campagne, j'avais une v5 et je suis passé à la v6 pour avoir la fibre et pingo. On ne pourra pas rester longtemps avec la v6. Note qu'il est théoriquement possible de faire de la délégation avec la v5, il suffit que Free publie ses specs.

(Last edited by gnutella on 15 Aug 2015, 11:29)

gnutella wrote:

... passe en mode bridge (tu perds la télé et tout le reste) ...

Non, en bridge on ne perd rien si on crée un Vlan100. Dans le cas particulier de la Freebox HD(v5) on perd le dLNA car cette box ne sait pas faire le DHCP, ce n'est pas le cas avec la v6.

Je bloque sur la configuration DHCP des clients, car j'aimerais utiliser DNSmasq pour diffuser en local ip + gateway aux clients en fonction de leur adresse MAC. Vous savez faire cela dans DNSmasq ?

http://wiki.openwrt.org/doc/howto/freebox#dns_local

(Last edited by gnutella on 15 Aug 2015, 12:48)

J'ai revu la documentation et fait le tour de la configuration statique et de la configuration stateless, qui fonctionnent. Par contre, je bloque toujours sur la configration stateful : http://wiki.openwrt.org/doc/howto/freebox. Je voudrais utiliser uniquement les outils présents dans la version Staging d'OpenWRT.

Est-ce que l'un d'entre-vous arrive à configurer en stateful ?

(Last edited by gnutella on 15 Aug 2015, 23:50)

Bonjour,

Je suis désolé de m'incruster ici, je veux juste adresser un message à Gnutella.

@gnutella tu avais répondu le 12/08 sur mon fil en me disant que tu avais exactement la même configuration (https://forum.openwrt.org/viewtopic.php?id=56932). Le temps que je trouve un moment et que je me pose dessus et que j'essaie de voir la configuration, tu avais déjà supprimé ton post. Autais-tu la gentillesse de poster de nouveau ton message sur mon sujet? N'ayant pas reçu de message depuis que j'ai posé mon sujet, le bôitier est resté dans sa boite :-/

Sincèrement désolé pour "l'incrust".

(Last edited by b.bo on 16 Aug 2015, 19:50)

Il n'y a pas de quoi, je t'ai répondu dans le fil.

Une nouvelle mouture de http://wiki.openwrt.org/doc/howto/freebox est disponible :
protocole stateless, stateful et adresse ipv6 fixe.

Il subsiste quelques problèmes soulevés par la documentation : adresses stateless et stateful cohexistent.

Tiens, au fait. Et pour les nouvelles Freebox mini/4k/etc, ça se passe comment l’IPv6 ?

@dClauzel exactement de la meme façon que pour la v6. Elles partagent le même OS pour la partie "server".

Comme je le craignais, nous a la confirmation pour la V5/Crystal/Alicebox, vieux matériel pauvre en mémoire, il n'est pas prévu d'implémenter le next-hop dessus.

Quand au moyen de faire passer le flux ipv6... nous n'avons pas de réponse.

dClauzel wrote:

Tiens, au fait. Et pour les nouvelles Freebox mini/4k/etc, ça se passe comment l’IPv6 ?

D'accord avec Yanfox :
http://wiki.openwrt.org/doc/howto/freeb … es_freebox

Personnellement, j'ai mis à jour ma Freebox crystal vers une Freebox Révolution. Je ne suis pas encore prêt pour la Freebox mini-4K, car j'ignore dans quelle mesure cette box est bien sécurisée. Utiliser Android me paraît un choix lourd de conséquences. J'imagine que l'ANSSI travaille avec Illiad à sécuriser le bousin, en tout cas, je préfère attendre. Si je devais utiliser la 4K, ce serait dans une configuration bien isolée. Et c'est bien pour cela qu'on a besoin d'OpenWRT, mais je vous laisse défricher.

Pour les personnes intéressées, j'ai relevé une to-do list :
http://wiki.openwrt.org/doc/howto/freeb … to-do_list

On est clairement, tout proche du but ...

(Last edited by gnutella on 19 Aug 2015, 12:15)

Si je ne dis pas de bêtises, avant Barrier Breaker ça fonctionnait mais depuis qu'ODHCPD a été mis en place... plus rien sad

Salut Gnutella,

Pour configurer wan et wan sur eth0.2 plutôt que eth1 comme indiqué dans la conception du routeur?

J'ai le même IPv6 public sur les trois interfaces wan, wan6 et lan; est-ce normal?

Hi,
I made the test to configure ipv6 on my router behind a Freebox Mini server (one that offers prefix delegation) using the most as possible the luci http interface and the simplification brought by ophcpd. Not that I am reluctant to use the shell and uci, but I based my approach on the following principles:
- reading http://wiki.openwrt.org/doc/uci/network6, it seems that the native IPV6 implementation in OpenWrt is well designed and fitted by default to most situations (so why not behind a Freebox?). Moreover, http://wiki.openwrt.org/doc/uci/network6 describes the settings for the most common situations (why not just follow?),
- luci GUI offers the default options that can be used for the most common settings (as usual for a GUI).
I propose to share my experience. However I am too lazy for screen shots, so that requires some reading. One more word: I am sorry it is in English (and probably bad English) although a part of the thread is already in French, but I feel very deeply uncomfortable to express myself in another language than English in an international forum (this is a strictly personal feeling and I do not blame anyone here for using French).
All that is mentioned below is related to the ipv6 configuration only. In practice, I had to open a shell twice on the router (to collect a local link address and to display the route table). Besides, I had to add two routes (with the luci interface) to complement the settings for cases not covered by the default configuration (thus deviating a little to the "all by default and simple" principle). My router is an Archer C7 v2.0, I do not think it matters a lot since I only reference the wan6 and lan interfaces (already defined by default when opening the luci interface).

Freebox -->[wan6----------lan]-->clients
            [OpenWrt router]

As you may already know, Free offers network delegation and this can be done thru the Freebox interface. Actually Free offers a 2a01:e35:xxxx:xxxx:/61 that can be delegated in separate subnetworks. The first one will not be delegated as we reserve it to the Freebox itself for the router stateless configuration. The Freebox address is 2a01:e35:xxxx:xxx0::1.
In the ipv6 menu of the Freebox interface, we define the prefixes and nexthops:
1st subnet:  prefix='2a01:e35:xxxx:xxx0:/64' nexthop= left empty.
2nd subnet: prefix='2a01:e35:xxxx:xxx1:/64' nexthop='wan6 local link adress' (open a shell on the OpenWrt router and explore the ifconfig command output). We need the wan6 local link address not the lan address since the Freebox will have to know to which interface it has to pass the packets towards the delegated subnet. The lan local link address is unknown to the Freebox. There is a small inaccuracy in http://wiki.openwrt.org/doc/howto/freebox. It implicitely recommends to collect the LAN local link address. With the router given as example, all local link addresses seem to be the same, so it works by chance.
Other subnets: not needed here

Freebox------------->[wan6||-----lan]--->clients
  2a01:e35:xxxx:xxx0:/64        2a01:e35:xxxx:xxx1:/64

That's all for the Freebox.

On the router, we will now configure wan6, lan, make test connectivity and add the missing pieces. That makes three short steps.
1 - Wan6 configuration
1.1 - open  'general setup' tab
By default DHCPV6 is proposed as default proto. We leave it selected (the Freebox offers only SLAAC but odhcpd handles it).
    - 'Request IPv6-address=try'
    - 'Request IPv6-prefix of length=automatic' (it actually picks up a /64)
1.2 - open 'advanced settings' tab
No need to modify the default selection (all boxes should be selected), just add:
    - 'Custom delegated IPv6-prefix=2a01:e35:xxxx:xxx1:/64'
1.3 - Restart the wan6 interface, normally it should receive a global scope address (based on its hw mac address because of the stateless configuration)

2 - Lan configuration
2.1 - open 'general setup' tab
    - 'IPv6 assignment length=64'
2.2 - open 'ipv6 settings' tab
    - 'Router Advertisement-Service=server mode'
    - 'DHCPv6-Service=disabled'
    - 'NDP-Proxy=disabled'
    - 'Always announce default router': selected
I do not give the details here, what matters is that each client obtains at least one ipv6 address (scope global). Possibilities offered by these options are well and extensively detailed here http://wiki.openwrt.org/doc/howto/freebox.
2.2 - Restart the Lan interface, it receives the 2a01:e35:xxxx:xxx1::1/64 global scope address

3 - Connectivity and final adjustment
Connect the clients. They should receive a global scope address with a 2a01:e35:xxxx:xxx1:/64 prefix. From the clients "ping6 ipv6.google.com" will answer that the host is unreachable. That is the sign that some route rules are missing.
To see what is going on, I had to access the router'shell a second time. Running ' ip -6 route list table main' reveals that here is no route for 2a01:e35:xxxx:xxx1:/64 subnet. Besides the default route address (gateway for the outside) is the Freebox local link address. To my opinion, this is not unexpected that OpenWrt does not add a route for the local net behind the lan interface: one could split the delegated network to more than one lan interface. I did not test, but I guess that it should work correctly if a value was given to ip6hint (in our example, the mask would have to be shifted through ip6assign). Indeed in such case, there would be a clear relationship between the interface and the subnet and no doubt about the routing. As for the missing default gateway on wan6, my guess is that it is related to the Freebox itself that only offers SLAAC and does not announce the gateway address.

However, we can add static routes directly from the luci interface.
Open the 'network->static route' panel and for the ipv6 add the two following routes:
interface wan6  / target ::0/0                                / gateway  2a01:e35:xxxx:xxx0::1
interface lan      / target  2a01:e35:xxxx:xxx1:/64

From the clients "ping6 ipv6.google.com" is now successful and test-ipv6.com gives a 10/10.

Hope it can help.

The discussion might have continued from here.