Synology RT2600AC derrière une Freebox Pop (avec app OQEE TV) : comment configurer l'IPv6 de manière sécurisée ?

MilesTEG

MilesTEG

Administreur
Membre du personnel
6 Septembre 2020
3 134
748
213
Bonjour,

Je vais migrer de chez Orange vers Free, avec une Freebox Pop, et un AppleTV 4K en guise de boitier TV.
D'après le site de Free , il faudra que l'IPv6 soit activée sur le réseau pour que je puisse me servir de l'application OQEE pour regarder la TV :
1643005739492.png

Or, actuellement, avec la Livebox4 et mon routeur RT2600ac en DMZ, je n'ai pas activé l'IPv6.
J'ai beaucoup de mal à comprendre le fonctionnement de l'IPv6...

Je comprends que j'aurais une IPv6 unique de la part de free, avec un préfixe propre à free (peut-être /56 ?).
Free est-il aussi en dual-stack ? Aurais-je également une IPv4 ?

Le seul périphérique qui sera connecté à la box sera le routeur, donc il aura à la fois une IPv6 et une IPv4, c'est ça ?
L' IPv6 sera directement accessible depuis internet, OK, il faudra donc que je configure le parefeu IPv6. Et c'est bien ça qui me fait peur... Vu que je ne comprends pas vraiment l'adressage IPv6 (trop de chiffre, trop de particularité comme la délégation, le péfixe, etc...)...

Il me faut de l'aide pour comprendre tout ça :D
Comment je fais pour répliquer ma configuration de parefeu ipv4 en ipv6 ?

J'ai bien compris que je n'aurais rien à faire sur les ports transférés, c'est ça ? Actuellement, je ne transfère que le port 443 et le 6690. Mais peut-on bloquer, c'est-à-dire ne pas transférer, les autres ports en IPv6 ?
Niveau pare-feu, je bloque tout sauf :
  • ce qui arrive sur le port 443 sur toutes les IP FR
  • ce qui arrive sur le port 443 sur toutes les IP de partout (se supplante à la précédente règle, mais ça me permet de pouvoir couper l'accès au monde au besoin...)
  • ce qui arrive sur le port 6690 depuis les IP FR
  • ce qui arrive sur les ports VPN du paquet VPN Plus Serveur depuis les IP FR.
Voilà à quoi ressemble le pare-feu du RT :

1643005985947.png

En écrivant ce qui précède, je me suis posé une autre question pour mes périphériques LAN.
En général, je désactive l'IPv6 sur tous mes périphériques où c'est possible.
  • Pour ceux sur lesquels l'IPv6 est désactivé : pouvez-vous me confirmer qu'ils ne seront pas soumis aux requêtes IPv6 ? Et qu'ils ne seront pas accessibles depuis internet ?
  • Pour ceux qui auront l'IPv6 activé : comment les protéger ? Comment faire pour qu'ils ne soient pas accessibles depuis internet ?
  • De manière générale, est-ce que mon NAS sera toujours accessible via l'IPv4 qu'il aura avec les mêmes réglages que ceux que j'ai actuellement ?

Il faut que mon NAS soit toujours accessible via son reverse proxy avec le nom de domaine OVH, sur le port 443 seulement, et accessible sur le port 6690 pour la synchronisation Drive.
D'ailleurs, à ce propos, faudra-t-il que je fasse quelque chose de coté là ?

Merci encore pour votre aide et votre bienveillance ?
 
MilesTEG1 a dit:
ree est-il aussi en dual-stack ? Aurais-je également une IPv4 ?
Cliquez pour agrandir...
Il te faudra faire une demande d'ipv4 full-stack dans ton compte free une fois ta ligne activée.


MilesTEG1 a dit:
e seul périphérique qui sera connecté à la box sera le routeur, donc il aura à la fois une IPv6 et une IPv4, c'est ça ?
Cliquez pour agrandir...
Oui, l'ipv6 étant prioritaire quand disponible.


MilesTEG1 a dit:
Comment je fais pour répliquer ma configuration de parefeu ipv4 en ipv6 ?
Cliquez pour agrandir...
Niveau RT je ne serait t'aider mais le pare-feu ipv6 de la freebox est un tout ou rien. Si tu l'active rien ne passe de l'extérieur vers l'intérieur.

MilesTEG1 a dit:
Pour ceux sur lesquels l'IPv6 est désactivé : pouvez-vous me confirmer qu'ils ne seront pas soumis aux requêtes IPv6 ? Et qu'ils ne seront pas accessibles depuis internet ?
Cliquez pour agrandir...
Confirmé


MilesTEG1 a dit:
Pour ceux qui auront l'IPv6 activé : comment les protéger ? Comment faire pour qu'ils ne soient pas accessibles depuis internet ?
Cliquez pour agrandir...
Le pare-feu ipv6 de la freebox empêche cela.


MilesTEG1 a dit:
De manière générale, est-ce que mon NAS sera toujours accessible via l'IPv4 qu'il aura avec les mêmes réglages que ceux que j'ai actuellement ?
Cliquez pour agrandir...
Oui, de plus si tu ne configure pas d'ipv6 (AAAA) sur ton nom de domaine, celui ci utilisera uniquement l'ipv4
 
Merci @EVOTk
Le problème qui me semblait conséquent se transforme en petite chose facile à régler :D
Cool ^^

Et pas besoin de se creuser la tête pour comprendre le fonctionnement de l'IPv6 :D
Message automatiquement fusionné :

Hello par ici ?
Un petit compte rendu de ma migration chez free (fibre en IPv6 + IPv4 FullStack).

Apparemment ce que j'ai fait fonctionne puisque d'une part j'ai la TV via l'application OQEE de free sur l'AppleTV :D Et surtout mes domaines semblent bien fonctionner depuis ma connexion 4G (Plex, Vaultwarden...).
Bref tout me semble parfait.

Maintenant, voilà ce que j'ai fait... vous allez voir, je n'ai pas fait grand chose...

Alors, une fois la POP connectée à la fibre (et les techniciens peu bavards partis), je me suis connecté en filaire sur la POP, pour la configurer. J'ai déjà re-paramétré le Wifi pour que ma femme puisse accéder à internet depuis son ordi le temps que je finisse la configuration.
  1. Activation du pare-feu IPv6
  2. Désactivation de l'UPNP
  3. Configuration du DHCP : J'ai mis l'adresse MAC du RT en baux statique sur l'IP 192.168.1.2. (J'ai aussi réduit la plage DHCP)
  4. Gestion des ports : mise en DMZ de l'IP du RT.
Ensuite sur le RT, après avoir branché ce dernier sur la freebox :
  1. J'ai cliqué sur le bouton détecter :
    twdPlfp.png
  2. Et dans la configuration IPv6, c'est en mode Relais IPv6.
Voilà, c'est tout ce que j'ai fait.
Ha si, j'ai du rebooter le routeur après pour que le nom de domaine Synology (sur le routeur) récupère bien l'IP et soit bien connecté correctement.
Les noms de domaines sur le NAS (OVH et Syno) eux ont fonctionné directement sans reboot du NAS.

Le serveur VPN étant sur le routeur j'ai vérifié les connexions suivantes :
  • L2TP : OK
  • SSL VPN : OK
  • OpenVPN : KO... mais je pense que c'est à cause du certificat qui a du changer... faut que je creuse, et que je refasse le .ovpn.
Bon et bien ma foi, tout semble OK (sauf OpenVPN...) :D
Message automatiquement fusionné :

Sinon, là j'ai un petit soucis que je ne comprends pas...

Je suis connecté au VPN du routeur en L2TP.
J'accède bien au NAS via son IP LAN, mais impossible d'accéder au routeur avec son IP LAN à lui 192.168.2.1 ... Toutes les autres IP de mon réseau sont joignables directement.

J'ai configuré dans le NAS une entrée de reverse-proxy (avec contrôle d'accès pour n'autoriser que les IP LAN) pour accéder au routeur :
rkKyyDR.png

Et cette redirection fonctionne...

Je précise que j'ai essayé avec HTTP et HTTPS avec les ports personnalisés, et même problème :
VnG5reE.png

Du coup, comment ça se fait que je n'arrive pas à accéder à mon routeur via son IP LAN via le VPN alors que c'est possible pour toutes les autres IP et que j'y arrive avec le nom de domaine... ??
Message automatiquement fusionné :

Précision : depuis l'ordinateur que je contrôle à distance, le routeur est bien accessible via son IP LAN ? :ROFLMAO:
 
Dernière édition:
  • J'aime
Réactions: EVO
MilesTEG1 a dit:
mpossible d'accéder au routeur avec son IP LAN à lui 192.168.2.1 ...
Cliquez pour agrandir...
C'est l'IP de ton routeur depuis son réseau sa non ?
Ce n'est pas l'IP de ton routeur sur le réseau de la freebox?

A titre d'exemple mon routeur openwrt est adressé en 192.168.1.100 sur la freebox et possède un réseau 192.168.2.1/24

Si veut veut accéder au routeur openwrt depuis le réseau de la freebox, en plus de lui ouvrir l'interface de gestion depyi l'extérieur, je doit le joindre sur son IP en 1.100
 
Oui c'est l'IP du routeur sur son réseau.
Mais le serveur VPN est sur le routeur hein ;) j'accède bien aux IP du reste du réseau.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour