Question

Configuration du firewall de la bbox3v+ en IPv6

S

Bonjour,

J’ai une BBOX 3V+ depuis une semaine.

Après avoir fait quelques recherches sur le forum, j’ai cru comprendre que ce n’était pas possible de configurer des règles firewall pour l’IPv6 dans le BBox (c’est uniquement possible pour l’IPv4). Cela signifie qu’il n’y a pas moyen d’accepter du traffic entrant en IPv6 (sauf en utilisant un routeur privé et en mettant la BBox en mode bridge).

Est-ce correct ?

Si c’est correct, pouvez-vous svp me dire si Proximus compte implémenter cette possibilité (le paramétrage du firewall pour IPv6 dans la BBox) dans le futur ? Si oui, pour quand est-ce prévu ?

 

Merci d’avance pour votre réponse!

16 commentaires

T

Bonjour,

En IPv6 il n’y a pas de NAT et donc pas de concept de port forwarding (ce que l’on configure en IPv4)

Chaque machine sur le LAN est directement accessible de l’extérieur via sa propre adresse IPv6. La seule chose qui peut arriver est que la bbox bloque toutes les connexions entrantes, mais à mon avis cela dépend du niveau de réglage du firewall (j’utilise mon propre routeur  donc jamais essayé)

Vous avez déjà essayé d’accéder à l’une de vos machines de l’extérieur ?

S

Merci pour votre réponse!

 

Oui, j'ai déjà essayé d'accéder à une de mes machines (adresse commençant par 2a02:) depuis l'extérieur, mais cela n'a pas fonctionné.

J'ai également essayé en mettant le firewall sur 'low', mais cela n'a pas fonctionné. Tout le trafic IPv6 entrant est bloqué…

Par contre le trafic IPv6 sortant fonctionne...

T

En fait ce sont les demandes de connexion entrantes qui sont bloquées, pas le trafic entrant dans sa globalité (sinon IPv6 ne servirait à rien) ce qui est logique vu qu’en IPv6 chaque machine sur le LAN est addressable depuis l'extérieur et donc potentiellement directement exposée.. Mais j’aurais pensé que le fait de mettre le firewall sur low débloquerait cette protection.

Je n’ai jamais utilisé la bbox pour ça (je passe par mon routeur) et je ne peux malheureusement pas plus vous aider (mais c’est une question intéressante !)

Peut-être qu’un collaborateur ou quelqu'un qui l’a déjà essayé pourra en dire plus...

T

Sinon, je suppose que vous avez essayé d’accéder à cette machine depuis une autre sur le LAN en utilisant la même adresse ? (juste pour être sûr qu’elle accepte les connexions sur cette adresse)

 

S

Vous avez raison, il faut que je sois plus précis: il n’y a pas de NAT en IPv6 et ce sont bien les demandes de connexion entrantes qui sont bloquées et pas le trafic entrant dans sa globalité.

 

Pour répondre à votre dernière question: oui, j’arrive à accéder à cette machine depuis mon LAN avec l’adresse IPv6. 

Pour être plus précis, j’ai un NAS Synology et un PC Windows 10. Pour le PC Windows 10, il a bien une adresse IPv6. Voici le résultat de ipconfig:

   Adresse IPv6. . . . . . . . . . . . . . . . . . : 2a02:a03f:c68e:ea00:8daf:151a:a5b4:5b88
   Adresse IPv6 temporaire . . . . . . . .: 2a02:a03f:c68e:ea00:cc5b:8272:2922:aac4
   Adresse IPv6 de liaison locale. . . . .: fe80::8daf:151a:a5b4:5b88%8
   Passerelle par défaut. . . . . . . . . : fe80::365d:9eff:fecb:3d33%8

Pour le NAS, j’ai sélectionné le mode DHCPv6-PD comme configuration d’IPv6 (info trouvée sur ce forum):

 

Par contre, je ne peux pas définir la longueur du préfixe sur le NAS (j’ai lu sur le forum que c’était normalement 56 pour Proximus). 

Pour vérifier si le NAS était accessible de l’extérieur, j’ai utilisé mon smartphone en 4G et également fait un ping depuis un site internet (https://dnschecker.org/ping-ipv6.php). Résultat: Destination Host Unreachable.

Pour faire ces tests, le firewall de la BBOX 3V+ était bien à ‘Low: All connection attempts coming from the WAN or initiated from the LAN are permitted’.

 

Ce serait bien si un autre utilisateur ou un technicien pouvait me confirmer que c’est bien la BBOX qui bloque les demandes de connexion entrant en IPv6 et qu’il n’y as pas moyen de changer cela. Comme ça, je sais que la seule solution est d’acheter un routeur.

Merci en tout cas pour votre réactivité @titi70: C’est le premier message que je poste sur ce forum et je ne m’attendais pas à avoir une réaction aussi rapidement!

T

Pour un ping comme vous l’essayez, il n’y a même pas de demande de connexion. Peut-être la bbox bloque-t’elle aussi l’ICMP…

Je ne vois pas de problème dans votre configuration, j’ai essayé le site que vous renseignez avec l’adresse de mon propre NAS et il répond bien.

Vous mentionnez par contre une connexion 4G, à ma connaissance (en tout cas chez Proximus) on n'obtient pas d’adresse IPv6.

Avec plaisir pour la réponse, comme je l’ai dit c’est un sujet qui m'intéresse.

J'espère que quelqu'un va pouvoir vous aider.

 

T

Encore juste une chose: mon NAS est configuré en “Auto” et pas DHCPv6-PD, l'allocation d’adresse se fait via SLAAC sur le LAN. Je ne sais pas si ça changera quelque chose vu que le NAS semble avoir une adresse valide malgré tout.

 

S

Voici ce que j’ai essayé ce matin :

  • Changement du NAS en “Auto” à la place de DHCPv6-PD
  • Paramétrage du firewall de la BBOX 3V+ en ‘low’
  • Reboot de la BBOX
  • Reboot du NAS
  • Test en ping de l’IPv6 du NAS via https://dnschecker.org/ping-ipv6.php

Résultat identique: Host unreachable.

J’espère que le support Proximus pourra apporter plus d’information à ce sujet pour confirmer que c’erst bien bloqué par la BBOX!

Sophie A
Niveau d'utilisateur 7
Badge +5

Bonjour @StanyF

Je me renseigne et je reviens vers vous :-)

S

Bonjour @Sophie A ,

Je viens à l'instant de compléter mon numéro de client dans mon profil.

Sophie A
Niveau d'utilisateur 7
Badge +5

Bonjour,

J’ai une BBOX 3V+ depuis une semaine.

Après avoir fait quelques recherches sur le forum, j’ai cru comprendre que ce n’était pas possible de configurer des règles firewall pour l’IPv6 dans le BBox (c’est uniquement possible pour l’IPv4). Cela signifie qu’il n’y a pas moyen d’accepter du traffic entrant en IPv6 (sauf en utilisant un routeur privé et en mettant la BBox en mode bridge).

Est-ce correct ?

 

Je viens de recevoir la réponse de notre service, la voici: 

“C’est bien correct.  Nous avons effectivement l’intention d’ajouter la possibilité de configurer des pinholes en IPv6 dans le courant de cette année mais il est difficile de donner une date exacte pour l’instant.”

 

S

Merci pour votre réponse!

Est-ce cela signifie que cette fonctionnalité sera disponible après une mise à jour automatique de la BBOX et que nous pourrons le configurer dans l’interface web de la BBOX directement ? Ou bien est-ce que cette fonctionnalité sera disponible dans ‘My Proximus’ de manière similaire à l’option pour ouvrir les ports 23, 80 et 443 ?

 

Est-ce que cela sera disponible pour tout le monde au faudra-t-il en faire la demande ?

S
Niveau d'utilisateur 4
Badge +2

Bonjour,

Je viens de recevoir une bbox v3+ et j’ai un message d’erreur lorsque j’essaie de créer un pinhole ipv6.

Dans ce cas, je sélectionne HTTP dans la liste et j’ai un message d’erruer pour le Source Port mais cela ne correspond à aucun champ de la liste.

Dois-je faire autrement ?

Merci

 

T

Bonjour,

Il s’agit vraisemblablement du champ “external port” (qui n’est pas le bon terme)… Bien entendu, la plupart du temps on veut accepter des connexions venant de n’importe quel port source, mais il semble que la bbox n'accepte ni zéro, ni un champ vide (la mienne tourne dans le vide si j'essaye de configurer un champ vide)

C’est probablement quelque chose que très peu de gens configure et donc un bug jamais résolu…

Personnellement je vous conseille d'utiliser un routeur “sérieux” pour ce genre de choses.

U

Bonjour,

Je viens de recevoir une bbox v3+ et j’ai un message d’erreur lorsque j’essaie de créer un pinhole ipv6.

Dans ce cas, je sélectionne HTTP dans la liste et j’ai un message d’erruer pour le Source Port mais cela ne correspond à aucun champ de la liste.

Dois-je faire autrement ?

Merci

 

Bonjour !

Je fais un compte exceptionnellement pour vous répondre.

J’ai également reçu ce nouveau paramètre Ipv6 Pinholes mais rajouter les bonnes informations ne me permet pas de me connecter en ssh à l’IP renseignée :

 

L’ipv6 dans le screenshot est bien sûr incomplète pour éviter de leak ma vraie adresse.

Est-ce que vous avez réussi à faire fonctionner Ipv6 pinholes ? En attendant, je dois initier une connexion PPoE sur la machine pour avoir une IPv6 publique sans firewall…

Bien à vous.

T

Bonjour,

C’est lié au problème discuté juste avant: le champ “external port” signifie en fait “source port” (il n’y a pas de concept d’internal/external port en IPv6 puisqu’il n’y a pas de redirection de port). Le problème c’est qu’il faudrait pouvoir laisser le champ vide pour accepter des connexions avec n’importe quel port source, mais la bbox ne l’accepte pas.

 

Commenter


Conditions d'utilisation