Le Blog Utux

HTTP 200 GET /

Free + bridge + IPv6

Rédigé par uTux 40 commentaires

Comme je l'ai dit dans mon article sur la fibre Free, la Freebox n'est vraiment pas terrible, j'ai donc rapidement acheté un routeur pour la remplacer. J'ai pris un Asus RT-AC66U, modèle relativement satisfaisant qui supporte le Wi-Fi 5GHz mais aussi plusieurs firmwares alternatifs (actuellement Merlin).

J'ai beaucoup hésité à écrire cet article sachant qu'il serait indigeste, mais il constitue un bon exercice pour IPv6 et peut aider ceux qui ont leur Freebox en bridge.

Principe

En IPv4 le principe est simple : on configure la Freebox en bridge ce qui permet au routeur de récupérer directement l'IP publique. A lui ensuite de faire le NAT pour donner l'accès à internet aux machines du réseau. Mais en IPv6, comment fait-on ?

Tout d'abord la stack IPv4 ne change pas, on va configurer notre IPv6 à côté sans incidence. On n'utilise pas de "NATv6" mais du bon vieux routage à l'ancienne, avec de la délégation de préfixe, bref un vrai réseau tout propre. En fait, chaque machine du réseau aura une "IPv6 publique" (cette affirmation est un pléonasme). On va avoir besoin de :

  • 1 sous-réseau IPv6 en /64 pour la partie WAN, avec 2 adresses (Freebox et Routeur côté WAN)
  • 1 sous-réseau IPv6 en /64 pour la partie LAN, avec 1 adresse (Routeur côté LAN)

Voici ce que cela donne avec un schéma et des adresses bidon :

Mise en place

La première chose à faire consiste à se rendre dans l'interface de configuration de la freebox grâce à l'adresse mafreebox.free.fr qui fonctionne même si vous êtes en bridge.

Puis rendez-vous dans : Paramètres de la Freebox, onglet Mode avancé, Configuration IPv6.

  1. A cocher, bien évidemment.
  2. Adresse IPv6 de lien local de la Freebox.
  3. Le premier préfixe qu'on va déléguer au routeur (pour le WAN). Notez qu'il se termine par 5430.
  4. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur (à récupérer par exemple avec ip addr ou ifconfig en SSH sur le routeur).
  5. Le second préfixe qu'on va aussi déléguer au routeur (pour le LAN cette fois). Il se termine par 5431.
  6. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur - la même que pour le point 4.
  7. Encore un préfixe, mais on ne va pas l'utiliser, on a tout ce qu'il nous faut !

Maintenant, on passe à la configuration du routeur. Voici pour l'Asus RT-AC66U :

  1. Type de connexion, ici c'est du statique.
  2. Le WAN du routeur (premier préfixe 5430 suivi de ::2).
  3. 64.
  4. Le WAN freebox (premier préfixe 5430 suivi de ::1).
  5. Le LAN du routeur (second préfixe 5431 suivi de ::1).
  6. 64.
  7. Pour info.
  8. Type d'advertisement sur votre LAN. Le stateless laisse les machines s'auto-configurer. Stateful est du DHCPv6. Il vaut mieux sélectionner stateless.

Comment tester

Conclusion

La Freebox n'a pas une seule IPv6, ni même un seul réseau IPv6, elle en a plusieurs. Et dans notre cas elle en délègue deux à notre routeur. Les avantages ? Possibilité de gérer vous-même le pare-feu (la Freebox n'en a pas) et aussi de modifier plusieurs éléments (comme les DNS diffusés).

40 commentaires

#1  - yf a dit :

Merci beaucoup pour ces infos. Très utile et instructif. crdlt

Répondre
#2  - Patrick a dit :

Bonjour,
J'ai essayé la méthode avec mon cisco rv320 et çà ne fonctionne pas.
Freebox bridge ou routeur, pareil. Quand vous dites en 5 : second prefixe suivi de ::1 alors que sur votre image on ne voit pas ce 1 à la fin, c'est normal ? (j'ai essayé avec ou sans le 1, pareil, pas de connexion)
Bref, pour moi l'ipv6 de Free avec un routeur est encore un rêve !! (lol, ou un cauchemar)...
merci en tout cas, et j'espère trouver où j'ai pu faire une erreur ...

Répondre
#3  - Patrick a dit :

Hello,
Je reviens pour me répondre à moi même... C'est tout bon pour moi, j'ai trouvé où était mon soucis avec le rv320 de cisco qui est un dual-wan...
- Accessoirement, il faut effectivement mettre le ::1 à la fin du second prefixe (ligne 5 de votre explication)

- Ensuite pour le dualwan, il faut bien spécifier sur chaque freebox, le bon lien de la link local dédié par le routeur (perso j'avais mis le lien du routeur sans faire gaffe que celui-ci octoyait une autre link à chaque box !!)...
Bref, je suis donc en ipv6 et en double débit du coup...

merci en tout cas, votre explication est de toutes celles que j'ai trouvé, la meilleure et grace aux images, j'ai gagné...
un énorme merci.
Patrick

Répondre
#4  - uTux a dit :

:)

Répondre
#5  - Francis a dit :

Bonjour,
Etant débutant, je viens d'installer le modèle RTC-88U,
Dans Paramètres de la Freebox, Configuration IPv6, partie Next Hop:
- En 4: Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur (à récupérer par exemple avec ip addr ou ifconfig en SSH sur le routeur). Malheureusement je n'arrive pas à trouver cette adresse.
Pourriez vous m'éclairer sur ce point?
Merci beaucoup.
slts

Répondre
#6  - uTux a dit :

Salut, tu dois te connecter en SSH sur ton routeur RTC-88U, et utiliser la commande ifconfig ou ip addr.
Il y a peut-être d'autres méthodes mais je ne les connais pas.

Répondre
#7  - Francis a dit :

Bonjour uTux,
J'ai effectivement pu me connecter en SSH et trouver l'adresse sur eth0 - inet6.
J'ai fait un test sur test-ipv6.com qui me donne 10/10 ipv4 et ipv6.
Par contre, certains sites ne chargent pas dans mon navigateur !!!
Si je désactive IPV6, j'ai de nouveau accès.
Une idée?
slts

Répondre
#8  - uTux a dit :

Cela représente beaucoup de sites ? J'ai déjà eu des problèmes similaires mais pour moi cela venait de chez eux.

Répondre
#9  - Francis a dit :

Environ 2 sites sur 10, DistroWatch, ipv6-test.com/speedtest/, ...
Je vais chercher. Pour le moment je reste en IPV4.
Déjà bien de pouvoir y accéder avec l'Asus RT-AC88U d’après ton article.
Merci

Répondre
#10  - uTux a dit :

Tu es peut-être tombé sur ce problème ?

Répondre
#11  - Fancis a dit :

Effectivement depuis que j'ai basculé sur les DNS OpenNic, tout est rentré dans l'ordre. de plus, je trouve que ma connexion est plus rapide... A voir dans le temps. Merci pour l'info.
Bon week-end

Répondre
#12  - Avataar a dit :

Bonjour,
Merci pour ce super tuto qui est en effet le plus clair qu'on puisse trouver sur le net !
Mais malheureusement je n'arrive pas à le faire fonctionner chez moi ...

Alors, j'essaye de synthétiser ici :
Dans mon interface freebox :
Préfixe : 2a01:xxx:xxxx:ca80::/64
Next Hop : fe80::1eb7:xxxx:xxxx:73e8
Préfixe : 2a01:xxx:xxxx:ca81::/64
Next Hop : fe80::1eb7:xxxx:xxxx:73e8

Et dans l'interface de mon routeur (AC88U) :
IP Statique
WAN IPV6 Adress : 2a01:xxx:xxxx:ca80::2
WAN prefix length : 64
WAN IPV6 gateway : 2a01:xxx:xxxx:ca80::1

LAN IPV6 Adress : 2a01:xxx:xxxx:ca81::1
LAN prefix length : 64
LAN IPV6 prefix (rempli automatiquement) : 2a01:xxx:xxxx:ca81::
Auto configuration : Stateless

J'obtiens in fine sur mon PC via ipconfig :
Adresse IPV6 de liaison locale : fe80::e8fc:xxxx:xxxx:c986%22 (préféré)
J'ai un DCHP (IAID, DUID renseignés)

Et sur le site test-ipv6.com : adresse ipv6 non supportée :(

Quelqu'un a-t-il une idée ?

Merci d'avance :)

Répondre
#13  - uTux a dit :

Je n'y ai pas touché depuis longtemps, il faut que je me remette dans le bain.
Mais fe80 c'est une adresse de lien local, c'est ton PC qui se l'auto génère, ce n'est pas le routeur qui l'attribue.

Essaie ça :
LAN IPV6 Adress : 2a01:xxx:xxxx:ca81::

Répondre
#14  - Avataar a dit :

Un grand merci !
Ca fonctionne nickel !
Il me reste probablement le problème de DNS mentionné plus haut à régler car certains sites ne sont pas accessibles !

A+

Répondre
#15  - Avataar a dit :

Alors en fait, il semble que un pb de MTU ...
La plupart des sites passent bien mais d'autres ne passent pas. Par exemple ton site (utux.com) ou encore http://ipv6-test.com/ alors que http://test-ipv6.com/ passe bien quand à lui avec un résultat de 10/10.

Je n'ai pas trouvé comment modifier le MTU dans le AC88U.

Auriez vous des idées ?

Merci :)

Répondre
#16  - uTux a dit :

Dans l'onglet "Réseau étendu" (WAN) j'ai mis le MTU à 1480 car j'ai eu le même problème.

Répondre
#17  - jya a dit :

A noter que les firmware Asus de versions recentes ont un mode "passthrough" ou il n'y a absolument rien a configurer.

Répondre
#18  - jules a dit :

merci pour cette explication - pour ce qui utilise le router asus 66u avec firmware d'origine il faut utiliser putty et telnet pour recuperer l'adresse IPv6 de lien local de l'interface WAN du routeur. Il n'y a pas de ssh sur ce firmware.

Répondre
#19  - Pascal a dit :

Super tuto , fait avec un asus ac88u avec ajout des dns openDNS pour éviter que certains sites ne se chargent pas .

Répondre
#20  - Patricia Bonvallet a dit :

Bonjour,
Je vous remercie quant à ce travail que vous faîtes
J’aime vos posts !

Répondre
#21  - Ramfast a dit :

Bonjour,

j'ai suivi le tuto pour connecter mon routeur Asus RT-AC68U derrière ma Freebox
Malgré le fait d'avoir essayé la Mtu à 1480, certains sites ne s'affichent pas dans le navigateur (Google par exemple fonctionne sur une recherche, mais beaucoup de liens proposés ne marchent pas)

Une idée ?

Merci

Répondre
#22  - uTux a dit :

Hello,
Je n'utilise plus IPv6 en ce moment (honte à moi, mais cela casse VirtualBox et pose des problèmes de fuite avec mes VPNs). Mais je me rappelle en effet avoir eu affaire à des sites qui ne passent pas en IPv6 tout en faisant croire qu'ils le supportent. Je n'ai pas de solution :(

Répondre
#23  - Ramfast a dit :

Snifffff

Faut que je réessaie...à moins de forcer les DNS en IPv6 dans le routeur Asus ?

Répondre
#24  - gregober a dit :

Bonjour,

J'ai rédigé un article complet sur IPv6 et les Freebox en mode bridge à jour à l'aide de pfSense ou OPNsense.
https://www.osnet.eu/fr/content/tutoriels/ipv6-sur-une-freebox-en-bridge-avec-opnsense-ou-pfsense

Pour ceux que cela intéresse.

Répondre
#25  - ramfast a dit :

Pas mal, bien documenté
Y aurait il la même chose coté IpFire ?

Merci

Répondre
#26  - pat a dit :

Bonjour j'ai suivi le tutos pas à pas mais ne fonctionne pas . Pas d'adresse IPv6 détectée quand je fais le test .
je ne suis pas certains d'avoir le bon lien local de mon routeur asus ac88u .
j'ai la FB delta en mode routeur pas bridge.
quelqu'un pourrais m'aider ?

Répondre
#27  - Ramfast a dit :

Peux tu la passer en mode bridge dans ton espace abonné sur le site de Free ?
AS tu cette option ?

Répondre
#28  - Overclock a dit :

Explication simple et efficace, merci !
N'oubliez pas d'activer le firewall sur vos machines/routeurs lors de l'utilisation d'IPv6.

Répondre
#29  - Petite Question a dit :

Bonjour,

je voudrais savoir un truc :
vu que techniquement, tous les appareils ont une ipv6 publique,
pourquoi alors on ne peut pas renvoyer qu'un préfixe (5430 dans l'article) pour les routeurs ET les utilisateurs finaux.
car j'ai essayé de mettre le meme prefixe sur les routeurs et mes ordinateurs finaux, et il me dit que le prefixe ipV6 WAN de mon routeur ne peut être le meme que son prefixe LAN, alors qu'on ma toujours dit qu'avec ipv6 on peut mettre toutes les ip privées sur internet.

Répondre
#30  - uTux a dit :

Parce que chaque réseau doit avoir sa propre adresse, tout comme en IPv4.
A partir du moment où tu franchis un routeur, tu changes de réseau, et ça ne fonctionnera pas si les adresses sont les mêmes.

Répondre
#31  - Clyds a dit :

Merci très bon tuto, très bien expliqué.
le next hop doit être toujours celui du link local de la patte WAN....je n'avais pas compris...
encore merci.

Répondre
#32  - Gustour a dit :

Merci, ca fonctionne et je comprends mieux grace à toi

Répondre
#33  - Benjam a dit :

Bonjour,

Je n'arrive pas à faire fonctionner IPv6 et je ne trouve pas l'erreur dans ma config. Je pense que ce n'est pas loin de fonctionner mais il manque qqch.

Ma config :
• Freebox pop en mode bridge
• VM OPNsense sur un Proxmox 7
• Besoin d'IPv6 pour le box TV Free pop

Mon problème :
La communication IPv6 ne passe pas du LAN au WAN (pas de soucis avec IPv4) :
• Je ping bien depuis OPNsense, en IPv6, le interfaces IPv6 de l'OPNsense, mon poste perso sur mon LAN, la Freebox et les serveurs IPv6 externes (genre DNS Google ou k6usy.net).
• Je ping bien de mon poste, en IPv6, les interfaces LAN1 LAN2 et WAN de l'OPNsense.
• Mais je ne ping pas depuis mon poste, la Freebox, ni rien a l'extérieur.
• Et depuis le Proxmox je ping les pattes LAN d'OPNsense mais pas la patte WAN.
Ça fait comme ci le traffic été bloqué par OPNsense, Proxmox ou la Freebox.
Ou qu'il manque un routage ou une règle de firewall.

Je ne suis pas loin je pense, c'est peut-être juste un routage ou une règle a mettre en place, mais je suis un peu perdu avec IPv6 et à force d'essayer des trucs, je finis par m'embrouiller.

Je ne sais pas si mon explication est claire.
Merci d'avance de votre aide.

Bonne journée,

Répondre
#34  - itrex56 a dit :

Bonjour
Ce tuto est très utile... et il fonctionne.
j'ai opté pour laisser la FB en mode routeur (1 seule machine connectée : Mesh ASUS XT9) et c'est nickel.
Donc Merci déjà.

Par contre, on utilise OQEE sur une FIRETV et on se fait "jeter" de temps en temps (x fois par jour) sous le prétexte qu'il n'y a pas de connectivité IPv6...alors que la FIRETV a bien "des" adresses en v6...seul un redémarrage règle le pb...

Auriez vous une piste de travail ?
merci encore.

Répondre
#35  - Jojo a dit :

Hello !
Merci pour ce tuto ! ^^
Je me demandais s'il était toujours d'actualité 7 ans après...
Sur mon routeur Asus RT-AX88U Pro, en mettant le réglage IPv6 sur "Passthrough", et sans rien toucher du côté de la Freebox, ça a l'air de fonctionner...
???

Merci !!

Répondre
#36  - uTux a dit :

Hello, ha ha, je suis ravi de constater que ce tuto a toujours autant de succès après toutes ces années.
Malheureusement je ne peux pas fournir plus d'informations, je n'ai plus de routeur Asus depuis que le firmware alternatif Merlin a arrêté de supporter mon modèle. J'utilise aujourd'hui... ma freebox, étant donné qu'elle a désormais un firewall ipv6 et la customization des DNS.

Répondre
#37  - Meher a dit :

En Passthrough je perd beaucoup de débit de 2000mb je passe à 400mb du coup j'ai laissé en ipv4 ça me rend fou

Répondre
#38  - nicolas a dit :

bonjour,
tres bon site qui explique enfin les choses simplement

petit probleme , j'ai la freebox en mode router suivi d'un router ipv6
quand on suit cette methode, la console d'administration du routeur est exposé sur internet
sauf si on active le firewall de la freebox, mais alors , plus d'accès de l'exterieur
est ce que j'ai oublié quelque chose ?
merci

Répondre
#39  - Merlin a dit :

Ouais moi aussi je me questionne sur le/les firewall quand on se met à l'IPv6:
Du coup toutes les machines sont automatiquement exposées directement à Internet et doivent être protégées spécifiquement (c'est à dire l'inverse d'avec un NAT IPv4 ou il fallait ouvrir un port dédié pour donner accès à un device depuis l'extérieur) ?
Ou alors le firewall IPv6 de la Freebox c'est justement pour gérer ça automatiquement (et par conséquent il n'y aurait rien à installer/configurer de particulier sur les machines qui ont une IPv6 publique) ? Quid alors du firewall IPv6 disponible sur un routeur (type Asus) derrière la Freebox (en bridge ou routeur elle-même): il faut l'activer aussi en plus de celui de la Freebox ou bien un seul suffit (celui de la Freebox OU celui du routeur) ?

Dernière question: c'est quoi les avantages de passer en bridge quand on décide de passer en IPv6 (et qu'on a un autre routeur derrière) ? Le(s) routeur(s)/device(s) derrières ne vont-ils pas de toute façon récupérer une IPv6 publiques aussi même si la Freebox reste en mode routeur ? Avec l'IPv4 on passait en mode bridge pour éviter un double NAT mais en IPv6 ça sert à quoi le mode bridge ?

Merci de votre aide.

Répondre
#40  - uTux a dit :

1) J'ai écrit cet article à une époque où la Freebox n'avait pas de pare-feu IPv6. Donc oui tous les appareils du réseau local (incluant les smartphones et divers objets connectés) se retrouvaient exposés à internet avec des flux entrants. J'utilisais donc entre autres ce routeur ASUS pour remplir ce rôle de pare-feu. Aujourd'hui la Freebox a un firewall IPv6 natif donc ce n'est plus nécessaire.

2) Les devices branchés au cul d'un routeur custom sont dans un autre réseau IPv6. Ils recevront une IPv6 si le routeur en question fait du RA (Routeur Advertisement) ou DHCPv6. Le mode bridge/routeur de la freebox ne semble pas avoir de sens en IPv6, du moins c'était le cas à l'époque.

Répondre

Écrire un commentaire

Quelle est le troisième caractère du mot xvyflb ?