Config IPv6, accès internet et Let'sEncrypt

Discuss Advanced use case
, ,
1

Bonjour tout le monde,
Avec ma box SFR, je n’ai pas d’IP full stack. C’est en cours de demande à SFR, mais en attendant de retrouver une redirection de ports qui fonctionnent en IPv4, je me suis dit : pourquoi pas configurer mon IPv6 ?

Donc voilà ce que j’ai fait sur mon serveur (“Serveur 1”, un NAS connecté en ethernet, Yunohost 11.2.8):

  1. Attribuer une IP fixe à mon serveur depuis le routeur SFR : 2a02:8429:bc70:ce01:1111:1111:1111:adba
  2. Modifier mon /etc/network/interfaces (l’IPV6 ci-dessous n’est pas la réelle) :
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp3s0
iface enp3s0 inet dhcp

# IPv6
#auto enp3s0
iface enp3s0 inet6 static
address 2a02:8429:bc70:ce01:1111:1111:1111:adba
netmask 64
gateway fe80::5555
post-up /sbin/ip -6 route add fe80::5555 dev enp3s0
post-up /sbin/ip -6 route add default via fe80::5555 dev enp3s0
pre-down /sbin/ip -6 route del default via fe80::5555 dev enp3s0
pre-down /sbin/ip -6 route del fe80::5555 dev enp3s0
  1. Tout redémarré, fait un reboot (network, serveur, routeur, …)
  2. Quand je fais un ip a, je vois ça :
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether a8:a1:59:64:a5:a9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.31/24 brd 192.168.0.255 scope global dynamic enp3s0
       valid_lft 81013sec preferred_lft 81013sec
    inet6 2a02:8429:bc70:ce01:1111:1111:1111:adba/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::aaa1:59ff:fe64:a5a9/64 scope link
       valid_lft forever preferred_lft forever

  1. Ça a l’air de marcher en partie : quand je tape dans Firefox [2a02:8429:bc70:ce01:1111:1111:1111:adba], j’arrive bien sur mon serveur

  2. Dans le diagnostic Yunohost, je vois :

The server does not have working IPv6.
    IPv6 should usually be automatically configured by the system or your provider if it's available. Otherwise, you might need to configure a few things manually as explained in the documentation here: https://yunohost.org/#/ipv6.
  1. Ping ne fonctionne pas : ping www.google.com retourne:
root@myserver:~# ping www.google.com
PING www.google.com(par21s22-in-x04.1e100.net (2a00:1450:4007:819::2004)) 56 data bytes
From myserver.nohost.me (2a02:8429:bc70:ce01:1111:1111:1111:adba) icmp_seq=1 Destination unreachable: Address unreachable

  1. Dans mon /etc/network/interfaces, si je décommente la ligne auto enp3s0 le network ne redémarre pas (plus d’accès au réseau du tout).
    Alors que j’ai essayé la même chose sur un RPI avec Yunohost 11.2.8 (même réseau local, même routeur, mais en Wifi, pas ethernet comme le Serveur 1), en ajoutant la ligne auto wlan0 et là tout marche (ping fonctionne, le diagnostique trouve toujours un problème avec IPv4, mais il me dit aussi Domain myserverrpi.nohost.me appears unreachable through HTTP from outside the local network in IPv4, though it works in IPv6.)

  2. Pourquoi sur mon RPI il me dit que mon domaine marche en IPv6, et pas sur mon serveur principal ? Dans le diagnostic, je ne vois que :

Could not diagnose if domains are reachable from outside in IPv4.

    Error: HTTPSConnectionPool(host='diagnosis.yunohost.org', port=443): Read timed out. (read timeout=30)

  1. Let’s Encrypt n’est pas utilisable, je comprends que c’est à cause d’IPv4, je vais attendre. Mais j’ai une suggestion : pourrait-on avoir une option pour forcer Let’sEncrypt à utiliser ipv6 exclusivement ? Ce serait utile dans le cas d’une personne qui n’a pas la possibilité d’avoir une ipv4 full stack.

  2. La commande curl https://ip6.yunohost.org donne:

  • Serveur 1 (main server): curl: (7) Failed to connect to ip6.yunohost.org port 443: No route to host
  • Serveur 2 (RPI): 2a02:2222:2222:2222:2222:2222:2222:6c8c (j’ai masqué l’adresse réelle, mais c’est bien la bonne)
  1. Dans le cas dur Serveur 2 (RPI) qui fonctionne bien, l’IPv6 prise en compte par nohost.me est l’IP “global” attribuée automatiquement, pas l’IP static (“global” également) que j’ai choisie manuellement (sur le routeur et dans le config /etc/network/interfaces). Comment faire pour que ce soit l’IP static qui soit prise en compte ?
    Sur le Serveur 1, il n’y a aucune IPv6 automatique attribuée, seule l’IPv6 static (voir le point 4 ci-dessus)

Est-ce que quelqu’un a une idée pour faire fonctionner le ping, faire reconnaître le domaine dans le diag de Yunohost?

2

Bonjour tout le monde, personne n’a une idée pour faire fonctionner l’iPv6 ?

3

Je ne suis pas expert en la matiere, qques questions pour clarifier:

  • je suppose que votre adresse ipv6 statique est bien dans la plage d’adresses ipv6 obtenues de votre fournisseur (Prefix Delegation)
  • je pense qu’il y a un probleme de routing, la passerelle (gateway) en fe80: (link local) c’est possible mais il manque un maillon dans la chaine… je pense que votre serveur ne sait pas comment envoyer ses paquets au monde exterieur, d’ou le ping6 qui ne donne rien. Verifier avec ip -6 route show
  • si tout marche sur le RPi, le plus simple est de verifier les parametres ipv6 et repliquer sur le serveur 1

En IPv6 il y a differentes methodes pour gerer des sous-reseaux (SLAAC et differentes options de DHCPv6) et il faudrait connaitre la configuration de votre box SFR en la matiere…

4

Merci @cocoyuno ,
Problème de fournisseur internet pour le moment, impossible de tester. Mais une réponse par rapport au RPi : j’ai bien essayé les mêmes paramètres, mais j’ai l’impression que le paramètre auto enp3s0, qui ne fonctionne pas pour mon serveur principal (point 8 ci-dessus), et qui fonctionne pour le RPi, joue un rôle clé.

Une idée pourquoi le réseau ne démarre pas correctement dans ce cas ?

5

Le système de base pour Rpi n’est pas forcément 100% identique à celui pour x86. J’ai l’impression que le Rpi reçoit les messages d’auto-configuration (SLAAC probablement), donc auto enp3s0 suffit, mais pas la machine de bureau. Pour moi il faut faire le jeu des différences sur:

  • le contenu de /etc/network/interfaces
  • ce qui sort de ip -6 route show et de ip -6 neigh show

et s’assurer que le Rpi et le serveur 1 sont bien sur le même réseau… wifi ou ethernet, je ne crois pas que ça ait une influence.

6

Merci, je vais vérifier dès que je retrouve une connexion internet !

Et les 2 machines sont bien sur le même réseau, l’un en ethernet (serveur 1) et l’autre en wifi (RPi)

7

Alors j’ai retrouvé une connexion internet (youpi !) mais le rollback en IPv4 me prive maintenant d’une IPv6. Impossible de tester donc :frowning:

8

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.