Accueil > Divers (et d’été) > Informatique > Autour d’IPv6 > La Livebox et IPv6

La Livebox et IPv6

mardi 27 mars 2012, par Paul Courbis

Comment créer un tunnel IPv6 lorsqu’on est abonné Orange...

Après de nombreuses manipulations et beaucoup d’énervement (!), voilà la recette à suivre :

1/ Désactivez le Firewall de la Livebox. Les limitations de l’interface de cette box ne permettent pas d’autoriser facilement le protocole IP 41 utilisé pour encapsuler IPv6.

2/ Choisissez la machine qui sera connectée en IPv6 (dans la suite de l’article, on supposera qu’il s’agit de 192.168.200.200).

3/ Installez et configurez un firewall sur cette machine. Les limitations de la Livebox vont en effet vous obliger à exposer cette machine sur Internet. Dans le cas d’un serveur Linux, vous pouvez instaler les règles suivantes dans /etc/sysconfig/iptables (ne pas oublier de redémarrer iptables ensuite) :

#!/usr/bin/env iptables-restore
*filter

# Regles par defaut
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]

# On autorise les retours
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# La loopback est libre
-A INPUT -i lo -j ACCEPT

# On accepte le réseau local
-A INPUT -s 192.168.200.0/24 -j ACCEPT

# Autorisation ICMP
-A INPUT -s 0/0 -p icmp -j ACCEPT
COMMIT

4/ Si votre serveur héberge certains services ouverts sur Internet (web, etc...), ne pas oublier d’ajouter les règles correspondantes.

5/ Même si il y a encore peu de pirates IPv6, il faut aussi protéger l’accès IPv6 avec /etc/sysconfig/ip6tables. Par exemple :

#!/usr/bin/env ip6tables-restore
*filter

# Regles par defaut
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]

# La loopback est libre
-A INPUT -i lo -j ACCEPT

# On autorise les retours
-A INPUT -m state --state RELATED,ESTABLISHED -j loga

# Autorisation ICMP
-A INPUT -s 0/0 -p icmp -j ACCEPT
-A INPUT -s 0/0 -p icmpv6 -j ACCEPT
COMMIT

6/ Exposez votre serveur sur Internet en le déclarant comme DMZ dans la Livebox

7/ Créez un compte sur http://tunnelbroker.net

8/ Déclarez un tunnel (« Create Regular Tunnel ») sur ce site (si il se plaint que votre IP n’est pas pinguable, passez temporairement la Livebox en mode « firewall personnalisé » en activant la réponse au ping). Je vous conseille de passer la MTU à 1280 (dans l’onglet « Advanced »), j’ai en effet eu des problèmes de connectivité avant de faire ce réglage...

9/ Inspirez vous des exemple de configuration de tunnel pour activer votre nouvel host IPv6. Attention, comme la Livebox fait de la translation d’adresse, il faut utiliser l’adresse privée du serveur dans la configuration. Ainsi sur mon serveur cela donne :

modprobe ipv6
ip tunnel add he-ipv6 mode sit remote 216.66.84.42 local 192.168.200.200 ttl 255
ip link set he-ipv6 up
ip addr add 2011:480:1f23:a03::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6
ip -f inet6 addr

10/ Vous pouvez alors terter votre nouveau tunnel avec traceroute6 ou tracepath6 (ou encore avec mtr). Par exemple :

traceroute6 ipv6.courbis.fr

qui doit normalement vous donner un affichage du type :

traceroute to ipv6.courbis.fr (2001:4b98:dc0:41:216:3eff:fec3:2e7a), 30 hops max, 80 byte packets
1  paul-maison-1.tunnel.tserv10.par1.ipv6.he.net (2011:480:1f23:a03::2/64)  77.938 ms  79.344 ms  86.542 ms
2  gige-g2-3.core1.par1.he.net (2011:480:0:7b::1)  86.503 ms  90.018 ms  94.754 ms
3  10gigabitethernet1-1.core1.par2.he.net (2001:470:0:1b0::2)  106.836 ms  109.497 ms  112.829 ms
4  eqix-pa2-ipv6.gandi.net (2001:7f8:43::2:9169:1)  120.441 ms  123.471 ms  129.184 ms
5  p252-dist3-d-ip6.paris.gandi.net (2001:4b98:1f::c4d3:182)  131.926 ms  137.088 ms  141.461 ms
6  p252-dist3-d-ip6.paris.gandi.net (2001:4b98:1f::c4d3:182)  3145.489 ms 137.088 ms  141.461 ms
7  ipv6.courbis.fr (2001:4b98:dc0:41:216:3eff:fec3:2e7a)  3145.489 ms 137.088 ms  141.461 ms

Bravo, vous êtes maintenant connecté au réseau du futur !

Pour savoir avec quelle type de connexion (IPv4 ou IPv6) vous êtes connectés à ce site ; regardez en haut à droite de cette page, c’est indiqué :-D

Messages

  • Hi ! Sorry to write in english.

    Please, could you tell which firmware version your Livebox is using ?

    After changing ISPs, I’ve been strugling to setup again my ipv6 tunnel that had working beautifully with other operator.

    For some reason, the firmware in my new Livebox [1] supplied by Orange Spain for their optic fibre clients doesn’t handle the DMZ properly, not just ipv6 protocol 41, but almost none at all (icmp seems it’s handled).

    Thanks !

    [1] Livebox ARV7520CW22-A-LT
    Versión de Firmware : 00.96.803 (25.03.2015-19:35:49)
    Versión del Boot : v2.01.07
    Versión del Módem ADSL : 5.6.3.10.1.1A
    Versión de Hardware : R02

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Les spams donneront systématiquement lieu à dépôt de plainte. Les messages comportant trop de fautes d'orthographe seront purement et simplement supprimés.
ipv6 ready ipv6 test
Suivre ce site :
Recommander cette page :
Bookmark and Share
Traduire :