This page is not fully translated, yet. Please help completing the translation.
(remove this paragraph once the translation is finished)
English translation via google translate
For Freebox Crystal see How to use OpenWrt behind a Freebox Crystal with IPv6 bridge.
This HOWTO explains how to configure OpenWrt to:
The Freebox is a popular Internet router delivered by French ISP Free to its customers.
The original post can be found on the forum.
Please contribute any remark that could be usefull and help us.
The Freebox is available only in France, therefore this documentation is written in French.
When/if we have more information about NextOp, we will publish a page in English.
Feel free to contact us on the forum.
Tous les modèles de Freebox en zone dégroupée sont compatibles avec l'adressage IPv6.
Pour activer l'adressage IPv6, se connecter à l'espace abonné et sélectionner Ma Freebox⇒Passer au protocole IPv6. Ensuite, relancer la Freebox.
S'il est possible de connecter un ordinateur à la Freebox et d'obtenir une adresse IPv6 pour chaque machine connectée, la Freebox fait seulement office de routeur et ne filtre pas les paquets IPv6. Chaque machine connectée est donc exposée directement sur Internet et il convient d'activer le firewall sur chaque machine connectée (lorsque c'est possible). Or, un certain nombre d'objets et d'ordinateurs connectés sont par essence défaillants, ce qui pose d'immenses problèmes de vulnérabilité.
Il est donc intéressant de passer à ipV6 en utilisant un routeur faisant office de firewall, et c'est là qu'OpenWrt rentre en jeu.
Le schéma est le suivant :
Internet ⇔ Freebox IPv6 (délégation /64) ⇔ OpenWrt (adresses /128) ⇔ Clients Windows, Linux, Mac OSX (adresses /128)
Chaque Freebox configurée en IPv6 fournit une délégation d'IPv6 en classe 64, soit 2^64 adresses IPv6 (1,844674407×10¹⁹). La délégation en mode automatique n'est pas officiellement documentée par Illiad et nous avons ouvert un ticket d'incident pour exiger plus d'informations.
Actuellement, la seule méthode fonctionne repose sur la définition d'un NextOP, accessible uniquement dans l'interface Web http://mafreebox.free.fr.
Seuls les modèles FreeBox v6 (Révolution) et FreeBox Android offrent la configuration du NextOP. Pour obtenir une délégation d'adresses IPv6, il vous faudra donc une FreeBox v6 (Révolution) ou une Freebox Android.
Pour simplifier :
Tickets Free.fr :
Le routeur OpenWrt utilisé pour réaliser les tests IPv6 est un TP-Link TL-WDR3600, un matériel conçu et assemblé en Chine. Ce matériel dispose de deux cartes réseau sans fil et offre 4 connections Gigabits. Une partie du routage s'effectue au niveau matériel, ce qui laisse supposer de hauts-débits, surtout lorsque la Freebox est connectée à la fibre optique. C'est un matériel performant, bon marché, mais destiné à une utilisation personnelle, car conçu en Chine et donc assez peu adapté à une utilisation dans un milieu nécessitant un haut niveau de sécurité : centre de recherche, entreprise exportatrice, etc … Si vous évoluez dans un environnement sécurisé, nous recommandons d'utiliser un PC du commerce, disposant d'un BIOS simple et éprouvé.
La version d'OpenWrt recommandée pour ce tutoriel est Chaos Calmer (>= 15.05), car le support ipV6 y a été revu et simplifié. DNSmasq est compilé avec le support IPv6. Le démon ODHCPD assure la gestion des baux ipV6 en faisant office de relais SLAAC (RAs). les anciennes versions d'OpenWrt ne fonctionnent pas nativement en ipv6, ou alors il faudra installer des extensions, ce qui n'est pas toujours possible.
S'il fallait faire un choix, nous commandons la version de développement d'OpenWrt compilée régulièrement, qui offre les derniers correctifs.
Dans l'interface mafreebox.free.fr, noter :
Concernant OpenWrt !
Passons à la configuration d'OpenWrt :
/etc/config/network
config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config globals 'globals' option ula_prefix 'fe80:ea94:f6ff:febb::' config interface 'lan' option ifname 'eth0.1' option force_link '1' option type 'bridge' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6addr '2a01:e35:87d8:xxxx::1:fe/64' # ATTENTION : Notez le 1:fe option ip6prefix '2a01:e35:87d8:xxxx::/64' option ip6gw '2a01:e35:87d8:xxxx::1' option ip6assign '64' config interface 'wan' option ifname 'eth0.2' option proto 'dhcp' config interface 'wan6' option ifname 'eth0.2' option _orig_ifname 'eth0.2' option _orig_bridge 'false' option proto 'static' option ip6addr '2a01:e35:87d8:xxxx::2/126' option ip6gw '2a01:e35:87d8:xxxx::1' option ip6prefix '2a01:e35:87d8:xxxx::/64' ...
Ce fichier est probablement inutile, mais nous le laissons toutefois en attendant confirmation : /etc/config/dhcp
config dnsmasq option domainneeded '0' option boguspriv '1' option localise_queries '1' option rebind_protection '1' option rebind_localhost '1' option local '/lan/' option domain 'lan' option expandhosts '1' option authoritative '1' option readethers '1' option leasefile '/tmp/dhcp.leases' option resolvfile '/tmp/resolv.conf.auto' option localservice '1' config dhcp 'lan' option interface 'lan' option start '100' option limit '150' option leasetime '12h' option ra 'server' option dhcpv6 'server' config dhcp 'wan' option interface 'wan' option ignore '1' config odhcpd 'odhcpd' option maindhcp '0' option leasefile '/tmp/hosts/odhcpd' option leasetrigger '/usr/sbin/odhcpd-update'
Vérifier qu'il est possible de pinger la Freebox et OpenWrt:
# ping6 2a01:e35:87d8:xxxx::1 PING 2a01:e35:87d8:xxxx::1(2a01:e35:87d8:xxxx::1) 56 data bytes 64 bytes from 2a01:e35:87d8:xxxx::1: icmp_seq=1 ttl=64 time=0.355 ms 64 bytes from 2a01:e35:87d8:xxxx::1: icmp_seq=2 ttl=64 time=0.368 ms 64 bytes from 2a01:e35:87d8:xxxx::1: icmp_seq=3 ttl=64 time=0.332 ms
# ping6 2a01:e35:87d8:xxxx::2 PING 2a01:e35:87d8:xxxx::2(2a01:e35:87d8:xxxx::2) 56 data bytes 64 bytes from 2a01:e35:87d8:xxxx::2: icmp_seq=1 ttl=64 time=0.351 ms 64 bytes from 2a01:e35:87d8:xxxx::2: icmp_seq=2 ttl=64 time=0.318 ms 64 bytes from 2a01:e35:87d8:xxxx::2: icmp_seq=3 ttl=64 time=0.338 ms
Cela signifiee que les machines sont bien visibles en local.
Il reste maintenant à indiquer à la Freebox où se trouve le routeur permettant de réaliser le routage de la classe /64 obtenue en délégation.
Se connecter à la machine OpenWrt et faire un “ifconfig”:
L'adresse du routeur OpenWrt sur le réseau local est br-lan : 'fe80::ea94:f6ff:febb:ae16'.
Se connecter à l'interface mafreebox.free.fr et indiquer:
Nexthop: fe80::ea94:f6ff:febb:ae16
A ce stade, nous avons obtenu une délégation d'IPV6 et configuré le routeur OpenWrt. Il nous reste maintenant à connecter une première machine à notre routeur OpenWrt et configurer son IPv6 publique pour la rendre visible sur le réseau.
Il existe trois grandes méthodes :
Tous les systèmes d'exploitation ne savent pas exploiter la configuration stateful. Par exemple, Andoid requiert un adressage IPv6 stateless. Par ailleurs, ces méthodes peuvent cohabiter, de sorte qu'un routeur OpenWrt pourra fournir deux adresses ou plus à un même client. Dans le mesure du possible, on verra comment fournir UNE SEULE ADRESSE ipv6 exploitatble au client.
Nous vous recommandons de commencer par configurer au moins un poste en manuel, pour vérifier la connectivité.
La configuration manuelle permet d'assigner une seule adresse IPv6 publique. Elle est adaptée à un besoin d'auto-hébergement, lorsque vous disposez d'une connection SDSL rapide ou d'une connexion fibre optique, pour hébergement vos propres machines (ou micro-machines). C'est pour cela qu'IPv6 a été conçu …
Dans la configuration dhcp du routeur OpenWrt, désactiver l'annonce des routes par défaut (protocole SLAAC) :
config dhcp 'lan' #option ra 'server' # commenter pour désactiver ....
Si vous souhaitez conserver SLAAC sur votre réseau interne géré par OpenWrt, il vous faudra désactiver SLAAC sur le poste client, sinon vous recevez plusieurs adresses IPv6 supplémentaires, dont au moins une adresse stateless.
Sous Debian GNU/Linux, dans le fichier /etc/syscrt.conf :
net.ipv6.conf.eth0.accept_ra=0
Activer avec :
$syscrtl -p
Il faut ensuite configurer :
Exemples :
Ajouter au fichier : /etc/networking/config:
auto eth0 iface eth0 inet6 static address 2a01:e35:87d8:xxxx::3 # <= Adresse IPV6 publique netmask 64 gateway fe80::5642:49ff:fe87:xxxx # <= Adresse IPV6 locale du routeur OpenWrt
Alternativement, si vous utilisez Gnome Network Manager, le gestionnaire de réseau de l'environnement Gnome :
Créer un profil nommé “IPv6” et indiquer les information suivantes :
Adresse manuelle: Adresse : 2a01:e35:87d8:xxxx::3 Préfixe : 64 Passerelle : fe80::5642:49ff:fe87:xxxx
La configuration stateless est une méthode d'attribution d'adresse IPv6 adaptée à un petit réseau local, selon une méthode automatique.
Les adresses IPv6 sont générées automatiquement en ajoutant le sous réseau /32 et l'adresse matérielle MAC. La configuration stateless met en oeuvre le protocole SLAAC (RAs). Toute machine connectée au routeur en DHCPv6 est alors automatiquement configurée.
Cette méthode est critiquée, car un attaquant peut mettre en relation l'adresse MAC de votre machine et son adresse IPV6, qui devient prévisible. A partir d'une base de données des vulnérabilité, il est possible par un simple ping de repérer des machines vulnérables sur un réseau.
Il est possible de contourner ce problème en activant les extensions privées d'IPv6 (ipv6 privacy extensions) sur chacun des postes clients. Il ne nous a pas été possible d'activer ces extensions sous OpenWrt.
Sur le routeur OpenWrt, activer le serveur DHCP et le protocole SLAAC. Fichier /etc/config/dhcp :
config dhcp 'lan' option ra 'server' option dhcpv6 'server' option ra_management '0' # Default value is 1 #0 means stateless only, #1 means stateless + stateful (default) #2 means stateful only
L'option dhcpv6 'server' fait tourner DNSmasq en tant que serveur DHCP sur le réseau local 'lan'.
L'option ra 'server' indique que la diffusion des routes est assurée par la protocole SLAAC (RAs). Il s'agit en fait du démon odhcpd.
L'option ra_management indique s'il s'agit de configurer en stateless ('0'), en statefull ('2'), ou les deux ('1'). La valeur par défaut est '1' (les deux). Pour se limiter à une adresse stateless et éviter la diffusion d'une deuxième adresse stateful, on limite la configuration au stateless :
option ra_management '0'
Sur le poste client, par exemple Debian GNU/Linux :
On active les IPv6 temporaires dans le fichier le fichier /etc/sysctl.conf :
net.ipv6.conf.eth0.use_tempaddr=2 net.ipv6.conf.eth0.temp_prefered_lft=7200
Ensuite, on configure la carte réseau sous DHCPv6 :
allow-hotplug eth0 iface eth0 inet dhcp privext 2 # On demande le niveau 2 d'anonymisation des connexions iface eth0 inet6 auto
Examinons une adresse assignée automatiquement :
# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 54:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff inet 192.168.1.x/24 brd 192.168.1.255 scope global dynamic eth0 valid_lft 43166sec preferred_lft 43166sec inet6 2a01:e35:87d8:xxxx:b9fb:9712:4f55:bd55/64 scope global temporary dynamic valid_lft 65503sec preferred_lft 6563sec inet6 2a01:e35:87d8:xxxx:5642:49ff:xxxx:xxxx/64 scope global mngtmpaddr noprefixroute dynamic valid_lft 65503sec preferred_lft 65503sec inet6 fe80::5642:49ff:fe87:4f74/64 scope link valid_lft forever preferred_lft forever
On notera que le client a reçu deux adresses IPv6 :
L'adresse temporair est utilisée pour toute connexion sortante, comme le montre un test de connexion IPv6.
L'objectif de configuration stateless est atteint.
Cette fonctionnalité est très proche de la précédents, sauf que l'on souhaite assigner l'adresse fixe 2a01:e35:xxxx:xxxx::yyyyzzzz/128.
Les baux dhcpv6 sont gérés par le démon odhcp. Le fichier /tmp/hosts/odhcpd liste les baux en cours :
# br-lan 0004901071a15f278795aa0dd83bde8bxxxx uuuuuuuu sony-vaio .....
Le bail comprend un identifiant unique, nommé duid, dans notre cas:
0004901071a15f278795aa0dd83bde8bxxxx .....
Modifier le fichier /etc/config/dhcp
config host option name 'sony-vaio' option ip '192.168.1.x' option mac '54:42:49:xx:xx:xx' option duid '0004901071a15f278795aa0dd83bde8bxxxx' option hostid '00000003'
hostid a impérativement une longueur de 8 caractères, codés en hexadécimal. Le choix d'une valeur hexadécimale de huits caractères offre plus de protection contre un scan de sous-réseau, par exemple : 'ae441b1c'. Nous avons choisi une valeur simpe : '00000003', qui correspond à la notation abrégée IPv6 ::3.
Pour limiter l'attribution de plusieurs adresses stateless, on active uniquement l'option stateful :
option ra_management '2'
La configuration des clients est la même que pour l'option stateless.
Observons les adresses IP assignées :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 54:42:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff inet 192.168.1.xx/24 brd 192.168.1.255 scope global dynamic eth0 valid_lft 43200sec preferred_lft 43200sec inet6 2a01:e35:87d8:xxxx::3/128 scope global tentative valid_lft forever preferred_lft forever inet6 fe80::5642:49ff:xxxx:xxxx/64 scope link valid_lft forever preferred_lft forever
L'adresse IPv6 publique est bien 2a01:e35:87d8:xxxx::3.
Par contre, il nous faut indiquer la route par défaut au routeur : fe80::5642:49ff:fe87:xxxx. J'ai posé la question au développeurs d'OpenWrt, qui vont me répondre. Et ouvert un ticket d'incident : https://dev.openwrt.org/ticket/20354
Quand vous possédez un domaine (mondomaine.org), vous pouvez déclarer chaque machine disposant d'une adresse IPv6 en ajoutant un champ “AAAA” mamachine pointant vers l'adresse ipv6 votre machine. Vous pourrez alors identifier votre machine en utilisant mamachine.mondomaine.org. Tout ceci est très similaire à IPv4.
Dans ce cas, vous pouvez utiliser la notation simplfiée : 2a01:e35:87d8:xxxx::yyy car votre machine est destinée à être accessible et par ailleurs, vous ne trahissez pas son adresse MAC.
Se connecter à votre machine:
ping6 ipv6.google.com PING ipv6.google.com(par03s12-in-x05.1e100.net) 56 data bytes 64 bytes from par03s12-in-x05.1e100.net: icmp_seq=1 ttl=57 time=28.3 ms 64 bytes from par03s12-in-x05.1e100.net: icmp_seq=2 ttl=57 time=27.0 ms 64 bytes from par03s12-in-x05.1e100.net: icmp_seq=3 ttl=57 time=27.6 ms
Votre machine peut accéder à Internet via Ipv6.
Se connecter à une machine distante (pas sur le réseau local) disposant d'une adresse IPv6, par exemple un serveur hébergé chez Online.net:
ping6 2a01:e35:87d8:xxxx::3 PING 2a01:e35:87d8:xxxx::3(2a01:e35:87d8:xxxx::3) 56 data bytes 64 bytes from 2a01:e35:87d8:xxxx::3: icmp_seq=1 ttl=58 time=32.6 ms 64 bytes from 2a01:e35:87d8:xxxx::3: icmp_seq=2 ttl=58 time=30.3 ms 64 bytes from 2a01:e35:87d8:xxxx::3: icmp_seq=3 ttl=58 time=30.5 ms
Votre machine est bien visible depuis Internet.
Se connecter à une machine distante (pas sur le réseau local) disposant d'une adresse IPv6, par exemple un serveur hébergé chez Online.net et utiliser nmap :
nmap -PN -6 2a01:e35:87d8:xxxx::3
Starting Nmap 6.47 ( http://nmap.org ) at 2015-08-13 01:58 CEST Nmap scan report for 2a01:e35:87d8:xxxx::3 Host is up (0.067s latency). All 1000 scanned ports on 2a01:e35:87d8:xxxx::3 are closed all ports are closed
Tous les ports sont bien fermés … Clap … clap … clap
Le filtrage opéré par OpenWrt ne doit pas vous emêcher d'installer un firewall sur chaque machine pour restreindre les connexions. Deux protections valent mieux qu'une.
Il suffit de se connecter à une page Web de test ipv6 avec votre navigateur. Vous pourrez vérifier que votre adresse IPv6 n'est pas dérivée de vore adresse MAC.
A écrire
Par défaut, la console série d'un routeur OpenWrt est accessible sans mot de passe. Il s'agit d'une large faille de sécurité car tout attaquant avec un accès physique au routeur peut devenir root très facilement.
Attention : cela ne fonctionne pas …
Dans le fichier /etc/inittab, remplacer:
::askconsole:/bin/ash --login
par :
::askconsole:/bin/login
J'ai ouvert un ticket: https://dev.openwrt.org/ticket/20359#ticket
Freebox :
OpenWrt :
Free offrant la délégation de plusieurs réseaux IPv6, il est possible de segmenter les réseaux en utilisant des VLAN :
Nos recommandations sont les suivantes :