Squeaky Tech
squeak squeak~ tech, electronics, and flight simulation.

[FR] Notes: Freebox Bridge, IPv6 et Mikrotik

dashie Sysadmin March 7, 2022

J’ai utilisé comme source ce post et je vais récapituler car j’ai du légèrement dévier.

Récupération d’infos sur le mikrotik

Récupérer l’IP “link-local” de votre WAN sur le mikrotik (ici ether1):

[admin@rt-home-01] > /ipv6/address print from=[find interface=ether1]
Flags: X - disabled, I - invalid, D - dynamic; G - global, L - link-local 
 #    ADDRESS                                     FROM-POOL INTERFACE                                                  ADVERTISE
 0 DL fe80::de2c:6eff:fe43:c23a/64                          ether1                                                     no

Notre link-local coté Wan du Mikrotik est donc: fe80::de2c:6eff:fe43:c23a

Configuration IPv6 sur la Freebox

Aller ensuite dans l’interface http://mafreebox.freebox.fr puis “Paramètres de la Freebox” et “Configuration IPv6”

L’addresse IPv6 lien local sera a noter nous en auront besoin, appellons le le lien-local freebox.

Nous avons ensuite 3 prefixes, le premier sera dédié au WAN, a noter que la freebox possède xxx0::1, notre WAN aura donc xxx0::2, ensuite le second prefix, notre LAN aura xxx1::1, le 3ème prefix n’est pas utilisé, mais si vous avez un autre (v)LAN vous pourrez faire pareil.

Comme dans ma capture d’écran, il faut remplir les deux premiers prefixes (ou plus si utilisés) avec comme Next Hop l’IP Link-Local du WAN du mikrotik, pour rappel: fe80::de2c:6eff:fe43:c23a

Reste de la configuration sur le mikrotik

Accepter les Router Advertisments (RA):

/ipv6 settings
set accept-router-advertisements=yes

Configurer le Neighbor Discovery de l’IPv6:

/ipv6 nd
set [ find default=yes ] disabled=yes
add hop-limit=64 interface=vlan-lan managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m
add hop-limit=64 interface=ether1

Ici le premier s’applique au vlan de mon lan, dont l’interface est “vlan-lan”, le second au WAN, dont l’interface est “ether1”, si vous avez un autre réseau a ajouter, par example “vlan-guest”, il faudra dupliquer la ligne du vlan-lan mais en changeant l’interface.

Ajout d’IPv6 statiques sur les ports WAN et LAN:

Notre WAN aura l’IPv6 du premier prefix, mais attention, la freebox a la premiere IP, votre wan la seconde, donc en reprenant le screenshot précédent, notre WAN aura 2a01:e34:xxx:xxx0::2, pareil adaptez l’interface a la votre.

/ipv6 address
add address=2a01:e34:xxx:xxx0::2 interface=ether1

IPv6 statique pour le LAN maintenant:

On utilise le second prefix, donc 2a01:e34:xxx:xxx1::1.

/ipv6 address
add address=2a01:e34:xxx:xxx1::1 interface=vlan-lan

Dans le cas ou vous avez d’autres vlans/lans a configurer de l’IPv6, faites pareil que vlan-lan mais avec le prefix suivant, et l’interface de votre choix.

Route IPv6 par défaut:

On utilise l’IPv6 de la Freebox (dans le premier prefix) pour ça:

/ipv6 route
add disabled=no distance=1 dst-address=::/0 gateway=2a01:e34:xxx:xx0::1 routing-table=main scope=30 target-scope=10

Firewall IPv6:

/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="FWD : Drop everything else" in-interface=ether1 log-prefix="DROP : IPv6 FORWARD"
add action=drop chain=input comment="INPUT : Drop everything else" in-interface=ether1 log-prefix="DROP : IPv6 INPUT"

Attention a bien utiliser l’interface de votre wan.

Test:

dashie@fenouil:~$ ping6 www.kame.net -c3
PING www.kame.net(2001:2f0:0:8800::1:1 (2001:2f0:0:8800::1:1)) 56 data bytes
64 bytes from 2001:2f0:0:8800::1:1 (2001:2f0:0:8800::1:1): icmp_seq=1 ttl=44 time=256 ms
64 bytes from 2001:2f0:0:8800::1:1 (2001:2f0:0:8800::1:1): icmp_seq=2 ttl=44 time=255 ms
64 bytes from 2001:2f0:0:8800::1:1 (2001:2f0:0:8800::1:1): icmp_seq=3 ttl=44 time=255 ms

--- www.kame.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 254.713/255.317/256.387/0.758 ms
dashie@fenouil:~$

Vous pouvez aussi utiliser https://ipv6-test.com/

Et depuis le mikrotik:

[admin@rt-home-01] > ping count=3 address=2001:2f0:0:8800::1:1
  SEQ HOST                                     SIZE TTL TIME       STATUS                                                       
    0 2001:2f0:0:8800::1:1                       56  45 257ms523us echo reply                                                   
    1 2001:2f0:0:8800::1:1                       56  45 257ms251us echo reply                                                   
    2 2001:2f0:0:8800::1:1                       56  45 257ms388us echo reply                                                   
    sent=3 received=3 packet-loss=0% min-rtt=257ms251us avg-rtt=257ms387us max-rtt=257ms523us 

[admin@rt-home-01] >

Notes par rapport au tutoriel d’origine:

Le tuto indique de mettre l’IPv6 link-local du mikrotik seulement dans le second prefix, dans mon précédent setup avec un unifi USG3 j’avais du le mettre dans le premier aussi.

J’ai aussi ajouté la route par défaut, ça ne peut pas forcement faire de mal.

Avant ajout du next-hop du premier prefix et de la route mon IPv6 ne fonctionnais pas, je pense que c’est le premier next-hop manquant qui a pu causer soucis.

Tags: , ,

About: dashie

a squeaky otter

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.