Accueil > Divers (et d’été) > Informatique > Autour d’IPv6 > La Livebox et IPv6
La Livebox et IPv6
mardi 27 mars 2012, par
Comment créer un tunnel IPv6 lorsqu’on est abonné Orange...
Après de nombreuses manipulations et beaucoup d’énervement (!), voilà la recette à suivre :
1/ Désactivez le Firewall de la Livebox. Les limitations de l’interface de cette box ne permettent pas d’autoriser facilement le protocole IP 41 utilisé pour encapsuler IPv6.
2/ Choisissez la machine qui sera connectée en IPv6 (dans la suite de l’article, on supposera qu’il s’agit de 192.168.200.200).
3/ Installez et configurez un firewall sur cette machine. Les limitations de la Livebox vont en effet vous obliger à exposer cette machine sur Internet. Dans le cas d’un serveur Linux, vous pouvez instaler les règles suivantes dans /etc/sysconfig/iptables (ne pas oublier de redémarrer iptables ensuite) :
#!/usr/bin/env iptables-restore
*filter
# Regles par defaut
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# On autorise les retours
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# La loopback est libre
-A INPUT -i lo -j ACCEPT
# On accepte le réseau local
-A INPUT -s 192.168.200.0/24 -j ACCEPT
# Autorisation ICMP
-A INPUT -s 0/0 -p icmp -j ACCEPT
COMMIT
4/ Si votre serveur héberge certains services ouverts sur Internet (web, etc...), ne pas oublier d’ajouter les règles correspondantes.
5/ Même si il y a encore peu de pirates IPv6, il faut aussi protéger l’accès IPv6 avec /etc/sysconfig/ip6tables. Par exemple :
#!/usr/bin/env ip6tables-restore
*filter
# Regles par defaut
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# La loopback est libre
-A INPUT -i lo -j ACCEPT
# On autorise les retours
-A INPUT -m state --state RELATED,ESTABLISHED -j loga
# Autorisation ICMP
-A INPUT -s 0/0 -p icmp -j ACCEPT
-A INPUT -s 0/0 -p icmpv6 -j ACCEPT
COMMIT
6/ Exposez votre serveur sur Internet en le déclarant comme DMZ dans la Livebox
7/ Créez un compte sur http://tunnelbroker.net
8/ Déclarez un tunnel (« Create Regular Tunnel ») sur ce site (si il se plaint que votre IP n’est pas pinguable, passez temporairement la Livebox en mode « firewall personnalisé » en activant la réponse au ping). Je vous conseille de passer la MTU à 1280 (dans l’onglet « Advanced »), j’ai en effet eu des problèmes de connectivité avant de faire ce réglage...
9/ Inspirez vous des exemple de configuration de tunnel pour activer votre nouvel host IPv6. Attention, comme la Livebox fait de la translation d’adresse, il faut utiliser l’adresse privée du serveur dans la configuration. Ainsi sur mon serveur cela donne :
modprobe ipv6
ip tunnel add he-ipv6 mode sit remote 216.66.84.42 local 192.168.200.200 ttl 255
ip link set he-ipv6 up
ip addr add 2011:480:1f23:a03::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6
ip -f inet6 addr
10/ Vous pouvez alors terter votre nouveau tunnel avec traceroute6 ou tracepath6 (ou encore avec mtr). Par exemple :
traceroute6 ipv6.courbis.fr
qui doit normalement vous donner un affichage du type :
traceroute to ipv6.courbis.fr (2001:4b98:dc0:41:216:3eff:fec3:2e7a), 30 hops max, 80 byte packets
1 paul-maison-1.tunnel.tserv10.par1.ipv6.he.net (2011:480:1f23:a03::2/64) 77.938 ms 79.344 ms 86.542 ms
2 gige-g2-3.core1.par1.he.net (2011:480:0:7b::1) 86.503 ms 90.018 ms 94.754 ms
3 10gigabitethernet1-1.core1.par2.he.net (2001:470:0:1b0::2) 106.836 ms 109.497 ms 112.829 ms
4 eqix-pa2-ipv6.gandi.net (2001:7f8:43::2:9169:1) 120.441 ms 123.471 ms 129.184 ms
5 p252-dist3-d-ip6.paris.gandi.net (2001:4b98:1f::c4d3:182) 131.926 ms 137.088 ms 141.461 ms
6 p252-dist3-d-ip6.paris.gandi.net (2001:4b98:1f::c4d3:182) 3145.489 ms 137.088 ms 141.461 ms
7 ipv6.courbis.fr (2001:4b98:dc0:41:216:3eff:fec3:2e7a) 3145.489 ms 137.088 ms 141.461 ms
Bravo, vous êtes maintenant connecté au réseau du futur !
Pour savoir avec quelle type de connexion (IPv4 ou IPv6) vous êtes connectés à ce site ; regardez en haut à droite de cette page, c’est indiqué :-D
Messages
1. Livebox and DMZ for IPv6, 6 mars 2016, 12:39, par Lulo
Hi ! Sorry to write in english.
Please, could you tell which firmware version your Livebox is using ?
After changing ISPs, I’ve been strugling to setup again my ipv6 tunnel that had working beautifully with other operator.
For some reason, the firmware in my new Livebox [1] supplied by Orange Spain for their optic fibre clients doesn’t handle the DMZ properly, not just ipv6 protocol 41, but almost none at all (icmp seems it’s handled).
Thanks !
[1] Livebox ARV7520CW22-A-LT
Versión de Firmware : 00.96.803 (25.03.2015-19:35:49)
Versión del Boot : v2.01.07
Versión del Módem ADSL : 5.6.3.10.1.1A
Versión de Hardware : R02