Voici 2 raisons pour avoir votre propre routeur si vous êtes chez Belgacom :
J’avais envie de pouvoir accéder à des ordis derrière chez moi en IPv6 (le firewall de Belgacom bloque les communications entrantes en IPv6 et on ne peut pas passer outre)
J’ai un serveur DNS maison qui bloque la pub et débloque Internet (pas de censure). Mais Belgacom « pousse » sa config IPv6 sur le LAN avec son réglage de serveur DNS. Donc pas pratique. Et on ne peut pas désactiver ce comportement (sauf à modifier la config sur chaque appareil, ce qui n’est pas aisé sur les appareils Android et Apple).
FritzBox derrière une BBox3 en mode bridge
J’ai testé sur un modem/routeur BBox3 technicolor.
On commence par désactiver le PPPoE dans l’interface (192.168.1.1) du modem de Proximus. Ca va couper Internet mais vous pouvez toujours accéder à l’interface d’admin du modem à la même adresse (192.168.1.1) si vous voulez annuler.
On connecte un câble réseau entre un port LAN de la BBox et le port WAN de la FritzBox.
Sur la FritzBox, on entre l’identifiant de connexion (xxxx@PROXIMUS) qui est disponible sur MyProximus. On peut définir un nouveau mot de passe sans connaître l’ancien. Attention il doit faire uniquement 8 caractères.
Voila, si on se connecte sur la Fritzbox en LAN on doit avoir accès à Internet.
Configuration de l’IPv6 sur la Fritzbox
Dans Internet > Account information > IPv6 :
- IPv6 support enabled
- Use native IPv6 connection
- Derive global address using the assigned prefix
- Use DHCPv6 Rapid Commit
Dans Home Network > Network > Network settings > IPv6 adresses :
- Always assign unique local addresses (ULA), elle devraient commencer par fd00::
- Also announce DNSv6 server via router advertisement (avec l’IPv6 de votre DNS préféré qui peut donc commencer par fd00::)
- Enable DHCPv6 server in the FRITZ!Box for the home network
- Assign DNS server, prefix (IA_PD) and IPv6 address (IA_NA)
Dans Internet > Permit Access :
- IPv6 interface ID : Mettre la fin de l’adresse fd00::
- Enable PING6
- Open this device completely for Internet sharing via IPv6 (exposed host)
Faire cela pour toutes les machines dont vous voulez un accès IPv6 entrant complet.
Configuration de l’IPv6 sur le client
L’iPv6 change pas mal par rapport à l’IPv4:
- Un appareil peut avoir plusieurs adresses IPv6 en même temps.
- Les appareils peuvent s’auto affecter des adresses IPv6 à partir de leur adresse MAC pour discuter sur le réseau local. Pas besoin de configuration, ni de DHCP. :-)
- Le fournisseur d’accès fournit un préfixe IPv6 (c’est à dire une première partie) qui peut servir d’adresse publique sur Internet.
- Le reste de l’adresse IPv6 publique est décidée par le client.
Première conclusion, l’IPv6 ne vous anonymise pas plus que l’IPv4 puisque tous les appareils derrière votre box auront le même préfixe !
Pour la deuxième partie de l’adresse IPv6, vous pouvez choisir si vous voulez qu’elle soit aléatoire ou pas sur le client :
Dans la documentation des options de Network-manager on trouve ces paramètres :
ipv6.addr-gen-mode:
- stable-privacy : adresse qui dépend d’un hash qui prend en compte le prefixe. Donc vous avez une adresse stable tant que le préfixe ne bouge pas (pas d’IP dynamique, pas de changement de réseau). C’est le comportement par défaut.
- eui64 : adresse indépendante du préfixe. Donc idéale pour configurer les ports dans un routeur derrière un IP dynamique. Inconvénient, on peut vous identifier même si vous changez de réseau. L’adresse est dérivée à partir de l’identifiant MAC de votre carte réseau. Donc on peut savoir le modèle de carte (fabricant, modèle, date) que vous utilisez.
Dans le cas où vous seriez derrière une IP fixe, votre IPv6 serait donc unique et constante quelque soit l’option choisie plus haut. Dans ce cas, une autre option peut être utile :
ipv6.ip6-privacy qui correspond à net.ipv6.conf.all.use_tempaddr
- 0 : uniquement l’adresse stable
- 1 : une adresse temporaire et une adresse stable, l’adresse stable est utilisée de préférence
- 2 : adresse temporaire et une adresse stable, mais l’adresse temporaire est utilisée de préférence
Et donc si vous prenez l’option 2, vous exposerez à votre interlocuteur une adresse IPv6 temporaire.
Si vous voulez au contraire faire en sorte que votre IPv6 soit la plus stable possible vous avez maintenant les moyens de le faire :)