@Tux0ne Ouais, /56…
@Anonymhmm, chacun a sa propre opinion… mais je ne suis pas sûr de pouvoir comprendre votre raisonnement….
Je comprends actuellement que vous souhaitez apporter votre propre sous-réseau ipv6 chez un fournisseur, avec autant de bande passante que possible, n’est-ce pas ?
Swisscom Network Engineer IP+ AS3303,
Je commencerais donc l’expérience plus simplement.
Puisque le préfixe ici n’est pas statique. Vous devez ensuite suivre l’interface WAN dans les interfaces locales. Donc avec un préfixe 56 il vous reste 8 bits (2 chiffres après le préfixe) pour faire 64 réseaux. Vous pouvez donc passer de 00 à ff.
J’ai vu qu’Internet Büx fait un 00.
Configurez donc le WAN et localement. Redémarrez l’interface. Ensuite, vous pouvez également consulter le journal du pare-feu pour voir si quelque chose sur le WAN a été bloqué avec UDP 546. Vous devrez alors l’activer.
Si ça ne marche pas. Sinon j’ai un code de parrainage prêt 😂
Merci Tux0ne
Avec l’option “Demander uniquement un préfixe IPv6” j’obtiens maintenant au moins un IPv6 sur l’interface WAN : xxxx::xxx:xxxx:xxxx:xxxx%igb2 (je ne sais pas si le suffixe “%igb2” doit être 😉 )
Et apparemment j’ai eu une nouvelle IP sur l’interface IPv4… 🙄
Sur l’interface LAN, Track Interface est activé :
Aucun bloc sur UDP 546 n’apparaît dans les journaux du pare-feu :
Néanmoins, je reçois un message sur les pages de test IPv6 indiquant qu’IPv6 n’est pas pris en charge :
Exactement autant de débit que possible avec mes propres adresses IPv6, que je peux emporter avec moi si je change de fournisseur. Cela a plus que du sens.
Cela ne m’aide pas beaucoup si mon Pfsense a une adresse IPv6 avec un préfixe Swisscom ou À mon avis, cela n’a rien à voir avec IPv6. À mon avis, quiconque ne se soucie que de ce principe n’a pas compris le concept et l’idée derrière IPv6.
Étant donné qu’IPv6 ne peut pas communiquer avec IPv4, je dois activer et configurer IPv6 sur chaque appareil et il n’y a pas de NAT avec IPv6, c’est exactement là que vient le problème. Je dois maintenant attribuer une adresse IPv6 à chaque appareil, par exemple mon imprimante.
Si je donne maintenant à mon imprimante un IPv6 portant un préfixe de Swisscom, je dois reconfigurer l’imprimante lorsque je change de fournisseur.
S’il vous plaît, corrigez-moi si c’est faux, c’est que je n’ai pas fait mes devoirs ?
Mon problème (et tous ceux qui possèdent un NAS ou une caméra) en est affecté et seront vraiment en difficulté si je change de fournisseur. Cela signifie que devoir reconfigurer l’ensemble du réseau à chaque fois est impensable pour les entreprises et si vous disposez encore de la documentation, vous pouvez de toute façon l’oublier.
Il faudrait donc une décision de la Cour fédérale qui réglemente clairement ce point, à savoir que chaque fournisseur doit également autoriser et fournir des adresses IP indépendantes. La seule alternative que je vois est que le fournisseur prenne ensuite en charge la reconfiguration, y compris la mise à jour de la documentation, cela ne me pose donc aucun problème. L’accès à mon appartement serait bien sûr accordé mais bien sûr il n’y a qu’une certaine fenêtre de maintenance prédéfinie et cela ne sera pas une semaine. D’ailleurs, dans ce cas, les règles du pare-feu devraient probablement être ajustées car je dois également attribuer des adresses IP fixes. Je suppose que le reste devrait être clair : toutes les histoires de proxy inverse et de DNS doivent également être ajustées.
Je ne parle pas ici d’un problème aigu (sauf si vous disposez déjà d’IPv6 et que vous n’en avez pas pris en compte). Mais je ne comprends pas pourquoi des raisons marketing rendent les choses si difficiles. À propos, j’aimerais voir les fournisseurs lorsque RIPE dit que vous recevez tous de nouveaux préfixes parce que nous devons réorganiser quelque chose.
Oui, vous ne voyez pas cela de manière tout à fait réaliste @Anonyme
Même si vous changez de FAI et le changement de préfixe associé, vous n’êtes pas obligé de tout reconfigurer.
Fondamentalement, vous avez du slaac, donc tout est abordé d’une nouvelle manière. Et pour les services de serveur, vous pouvez créer des baux statiques à l’aide de DHCP6.
DHCP6 dans pfsense reprend cela s’il existe un préfixe dynamique. Seuls la plage et l’identifiant client statique sont définis. Le préfixe est repris en fonction du suivi du WAN. Vous devriez le configurer comme ceci.
Avec la résolution DNS locale, il est également possible d’adopter les noms basés sur le bail DHCP6.
Ainsi, ce n’est pas parce que vous disposez d’IPv6 que vous êtes soudainement lié au FAI, car l’adressage des clients devrait présenter des obstacles insurmontables.
Je pense que mon changement de FAI a pris moins d’une demi-heure et j’avais des configurations statiques.
@Anonyme a écrit :
il n’y a pas de NAT avec IPv6,
IPv6 prend également en charge NAT. Cependant, l’utilisation de NAT avec IPv6 n’est pas recommandée :
[https://security.stackexchange.com/questions/44065/with-ipv6-do-we-need-to-use-nat-any-more](https://security.stackexchange.com/questions/44065/ avec-ipv6-avons-nous-besoin-d’utiliser-nat-plus)
@Anonyme a écrit :
S’il vous plaît, corrigez-moi si c’est faux, c’est que je n’ai pas fait mes devoirs ?
Mon problème (et tous ceux qui possèdent un NAS ou une caméra) est concerné et sera vraiment en difficulté si je change de fournisseur. Cela implique de reconfigurer à chaque fois l’ensemble du réseau, ce qui est impensable pour les entreprises.
Il existe également des mécanismes de distribution entièrement automatique des adresses IPv6 globales pour IPv6. Par exemple : DHCPv6 et SLAAC. Quiconque attribue manuellement une adresse IPv6 globale à chaque participant du réseau domestique ou du réseau d’entreprise commet une erreur :
https://www.elektronik-kompendium.de/sites/net/2004011.htm
https://www.elektronik-kompendium.de/sites/net/1902141.htm
https://www.elektronik-kompendium.de/sites/net/1902131.htm
@Anonyme a écrit :
Mon problème (et tous ceux qui possèdent un NAS ou une caméra) est concerné et sera vraiment en difficulté si je change de fournisseur.
Pour des raisons de sécurité, l’accès à ces appareils depuis Internet ne devrait être possible qu’avec un tunnel VPN. Voir « Règle de bonne performance n°5 » à l’adresse :
[https://community.upc.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-hat-derzeit-einige-probl/27](https://community. upc.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-has-actuly-some-probl/27)
\=> IPv4 pourra continuer à être utilisé pour les tunnels VPN dans un avenir lointain.
En général, vous devez éviter d’utiliser IPv6 jusqu’à ce que le FAI (ici Swisscom) prenne en charge le dual stack :
https://www.elektronik-kompendium.de/sites/net/1904041.htm
L’utilisation de solutions de tunnel IPv6 n’est pas recommandée. Voir « Règle de bonne performance n° 26 et :
[https://community.swisscom.ch/t5/Internet-Allgemein/IPv6-6rd-MTU/td-p/641943](https://community.swisscom.ch/t5/Internet-Allgemein/IPv6-6rd- MTU/td-p/641943)
546 serait le port local et non le port de l’expéditeur.
Aucune adresse n’a-t-elle été configurée comme passerelle sur le LAN ?
Ensuite, il vous suffit de faire quelques essais et erreurs.
Vous pouvez également essayer avec une configuration comme celle-ci. Simplement avec le préfixe 56 et non 52 !
Vous n’avez pas besoin de configurer le RA pour que les clients locaux puissent utiliser IPv6. Est-ce déjà clair ?
> Vous n’avez pas besoin de configurer le RA pour que les clients locaux puissent utiliser IPv6. Est-ce déjà clair ?
Non, ce n’est pas clair pour moi, juste pour me présenter comme un noob IPv6. 🙈😄
Et j’imaginais que ce serait d’une manière ou d’une autre plus facile avec l’IPv6.
En fait, je voudrais de toute façon utiliser IPv6 uniquement par intérêt, mais je n’ai aucun problème à le désactiver si (d’après ce que j’ai lu ici) de nombreux fournisseurs (y compris Swisscom) rendent les choses encore plus compliquées que nécessaire.
Parce que je suis encore un peu ambitieux, j’aimerais faire quelques tentatives supplémentaires.
Et pour se rapprocher du diagnostic : Non, aucune adresse IPv6 n’a été configurée sur l’interface interne (LAN).
Le serveur DHCP ne fonctionne pas non plus sur le pare-feu, il est externalisé vers des serveurs internes derrière lui et n’est pas configuré pour IPv6 (si cela était nécessaire), ou je vois ici que les RA semblent faire partie du serveur DHCP6.
Cependant, avant d’aborder la configuration I Pv6 des clients locaux, j’aimerais que la partie du routeur fonctionne correctement.
Tux0ne Même avec toutes les options supplémentaires, l’interface WAN n’a qu’une adresse fe80::, qui correspond probablement au lien-local et indique qu’une “vraie” adresse IPv6 n’est même pas obtenue. 😞
Je n’ai donc jamais fait cette configuration sur laquelle vous travaillez sur un PF, mais je soupçonne que le deuxième hack est faux @guybrush82, vous ne voulez pas obtenir la v6 sur la v4,.. ..
Swisscom Network Engineer IP+ AS3303,
@ChristianEb C’était juste pour tester sur la base des conseils de @Tux0ne.
Je l’ai maintenant retiré, mais cela n’a rien changé.
Merci pour vos réponses de différents côtés. Je dois encore faire un peu de mes devoirs. Mais cela devient plus que compliqué avec IPv6, autant de choses que vous devez / devriez / pouvez prendre en compte. Un véritable fouillis de possibilités. Cela signifie également que 90 % des superviseurs de réseaux domestiques actuels perdront la vue d’ensemble complète avec IPv6 😄 à moins que vous n’ayez beaucoup de temps.
Mais je dois encore me renseigner sur certains services. Je connais le recueil d’électronique mais je ne l’ai pas encore terminé.
“Quiconque attribue manuellement une adresse IPv6 globale à chaque participant du réseau domestique ou du réseau d’entreprise commet quelque chose de mal :”
Je vais certainement examiner cette déclaration plus en détail, la tester et la lire. C’est exactement le point crucial de tout cela.
Le reste lié La performance et la sécurité sont des sujets différents et sont négligeables dans un premier temps car le principe de base doit d’abord être clair. Vient ensuite la sécurité et enfin la performance.
Je vais découvrir ce que signifient SLAAC et la configuration automatique. Merci pour l’information.
Bien sûr, je suis toujours intéressé par les paramètres du Pfsense. Mais je n’ai pas encore décidé quel Internet m’accompagnera à l’avenir. Mais cela prendra encore 2 mois jusqu’à ce que tous les câbles soient connectés et que tout soit connecté. J’ai donc encore du temps et je dois encore commander le matériel et l’évaluer. Mais vous voyez que je ne suis pas le seul et j’en suis content 🙂.
XGS-PON 10/10 Giga est disponible depuis hier. Maintenant, j’ai pensé à ce qui suit :
En commandant Hybrid7 P2MP, le Zyxel AX7501-B0 est également inclus, que j’ai réglé en mode pont. Après vient mon Pfsense et là j’ai mon WAN IPv4 dynamique ? Cela ne signifie pas une adresse interne du modem Zyxel.
Question simple, donc j’aimerais une réponse simple : fonctionne ou ne fonctionne pas !
Nous laissons de côté IPv6 pour l’instant. Je pourrai configurer cela plus tard. Je veux juste avoir mon IP WAN directement sur le PFsense, si ce n’est pas possible alors j’aurai des problèmes.
Je suis un peu confus à cause de déclarations comme celle-ci que j’ai déjà reçues :
La 10G via PPPOE est extrêmement gourmande en CPU. Là où nous avons réellement de la fibre noire/FTTH directe, le 10G est juste acheminé, PPPOE nécessite beaucoup plus de CPU, et je ne reçois que des plaintes car il culmine à 2,3,4 GBIT/s selon la situation. Nous n’offrons actuellement pas de garantie 10G sur BBCS.
Ma prochaine question :
Hybrid7 P2MP fonctionne via PPPOE, le modem Zyxel effectue l’enregistrement et transmet ensuite simplement tout au Pfsense ? Existe-t-il vraiment encore ce genre de performance ? Des problèmes de calcul ?
Oui, si le routeur Zyxel est en mode pont, l’appareil en aval reçoit l’adresse IP publique.
Si le Zyxel est en mode pont, le routeur en aval effectue l’enregistrement. Si le Zyxel est en mode routeur, il se connecte et avec IPv4, vous ne pouvez effectuer du NAT que sur le routeur en aval.
Oui, PPPoE est un peu plus gourmand en calcul.
Même 10GE nécessite un matériel solide pour pfsense. Que DHCP ou PPPoE n’ait plus d’importance désormais. Selon que vous faites uniquement du NAT et du FW. IDS est encore une autre histoire.
Vous pouvez rechercher des approches sur ce qui est nécessaire et ce qui est possible à partir des appliances Netgate. Il y en a qui atteignent presque 10GE.
Init7 propose-t-il désormais également le « 10GE » via XGS PON ? C’était encore limité à 1GE. Avez-vous ajusté les connexions et les contrats ?
@Tux0ne a écrit :
Déjà 10GE nécessite un matériel solide pour pfsense. Que DHCP ou PPPoE n’ait plus d’importance désormais. Selon que vous faites uniquement du NAT et du FW. IDS est encore une autre histoire.
Vous pouvez rechercher des approches sur ce qui est nécessaire et ce qui est possible chez Netgate Appliances. Il y en a qui atteignent presque 10GE.
Si vous souhaitez utiliser votre propre matériel sélectionné pour le pare-feu avec des connexions Internet de 10 Gbit/s ou plus rapides, vous devriez consulter le site Web :
[https://michael.Stapelberg.ch/posts/2021-07-10-linux-25gbit-internet-router-pc-build/](https://michael.Stapelberg.ch/posts/2021-07-10 -linux-25gbit-internet-router-pc-build/)
être inspiré. Ce matériel auto-sélectionné fonctionne idéalement avec un Linux ou FreeBSD vanille auto-installé sans cloches et sifflets d’interface Web comme pfSense, OPNsense, IPFire. Si vous êtes intéressé par Linux ou Vanilla FreeBSD comme système d’exploitation pour votre propre pare-feu matériel, vous devriez continuer à lire ici :
[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335] (https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335)
[https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750] (https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750)
Soyez prudent lorsque vous utilisez IPerf3 pour des mesures de débit de données dans la plage > 1 Go/s. Le CPU devient très vite un goulot d’étranglement à des taux de transfert de données > 1 Go/s :
https://github.com/esnet/iperf/issues/289
[https://fasterdata.es.net/performance-testing/network-troubleshooting-tools/iperf/multi-stream-iperf3/](https://fasterdata.es.net/performance-testing/network-troubleshooting-tools /iperf/multi-stream-iperf3/)
Dans la plage > 1 Gbit/s, les informations et conseils de réglage se trouvent généralement sous :
être pris en compte.
Et gardez toujours à l’esprit la déclaration de TuxOne :
Tu sais quoi. 10 GPS est actuellement pour la tonne. Mon 95e centile est de 18 Mbit/s à 1 Gbit/s Anschluss et c’est probablement très élevé ! Peering, faible latence, disponibilité et fiabilité, ce sont des choses importantes et non un speed post qui ne fait rien.
Source : [https://www.tuxone.ch/2021/01/4-nullen-und-die-reisschussel.html](https://www.tuxone.ch/2021/01/4-nullen-und- die-reiskugel.html)
Par conséquent, le choix de la technologie de connexion pour la connexion Internet doit être basé sur :
[https://community.swisscom.ch/t5/Mobile/Wifi-Calling-scheint-nicht-zu-funktionieren/m-p/662138#M8881](https://community.swisscom.ch/t5/Mobile/Wifi- L’appel ne semble pas fonctionner/m-p/662138#M8881)
la commande répertoriée => AON avant PON !
Je recommande d’utiliser des produits open source standardisés et très courants tels que pfSense ou OPNsense qui ont été spécifiquement développés pour être utilisés comme pare-feu, routeur, pare-feu nouvelle génération, IDS/IPS, passerelle VPN, etc. Faites simplement attention aux instructions et aux manuels de Netgate (https://docs.netgate.com/pfsense/en/latest/) respectivement. pfSense (https://docs.opnsense.org/). Les communautés OPNsense et pfSense ne sont en aucun cas inférieures aux solutions bricolées avec iptables. Si chaque utilisateur configure un routeur sur son Linux préféré, cela ne fonctionnera pas bien. Trop d’erreurs de configuration peuvent entraîner des problèmes de sécurité. Le FreeBSD ou La base HardenedBSD d’OPNsense et pfSense a également été spécialement renforcée pour être utilisée comme appliance de pare-feu. Ce sont des produits standardisés, commercialement supportés et très courants que je peux recommander à tout « utilisateur avancé ». L’interface web notamment rend la configuration intuitive et réduit les éventuels pièges et erreurs.
OPNsense et pfSense peuvent également être virtualisés. J’utilise les deux solutions dans un cluster Proxmox VE depuis des années. Les mesures d’optimisation suggérées dans la documentation ([https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html](https://docs.netgate.com/pfsense/en/ last /recipes/virtualize-proxmox-ve.html)) doit être noté. J’obtiens également une performance de routage virtualisé de 10 Gbit/s entre les différents VLAN. Le débit de données de 1 Gbit/s de ma liaison montante WAN UPC Business Internet 1000 DOCSIS 3.1 est atteint.
Pour les amateurs de CLI : si vous recherchez un routeur logiciel hautes performances sur du matériel « prêt à l’emploi », Netgate propose également TNSR ([https://www.tnsr.com/](https://www.tnsr. com /)) je l’ai trouvé. TNSR n’a pas de WebUI, mais ne peut être configuré que via la CLI. Les barrières à l’entrée sont plus grandes, mais les performances avec le même matériel sont meilleures qu’avec pfSense. TNSR est également gratuit pour les utilisateurs à domicile.
Si vous recherchez du matériel dédié, vous le trouverez chez Netgate (https://www.netgate.com/appliances). Les appareils peuvent être commandés via Contria GmbH (https://www.contria.ch/) à Langenthal. L’entreprise dispose également d’un support très compétent et de bons conseils de vente.