What type of hardware are you using: Raspberry Pi 3, 4+ What YunoHost version are you running: 11.2.30.2 How are you able to access your server: The webadmin
SSH
Direct access via physical keyboard/screen
Describe your issue
Bonjour,
Mon serveur tourne bien avec son IPv4 mais je voudrais le rendre également disponible en IPv6. Je suis pour cela confronté à deux problèmes: le premier est que je n’ai pas une mais deux adresses IPv6 qui entrent en conflit (l’outil de diagnostic de YunoHost me demande tantôt de renseigner l’une dans le DNS, tantôt l’autre); le deuxième est que je ne parviens pas à ouvrir des ports en IPv6 sur ma box (je suis chez OVH comme FAI mais je possède ma propre box: une Netgear WNDR3800 qui tourne sous LibreCMC.
Premier problème:
L’outil de diagnostic alterne entre deux adresses IPv6 que je suis censé renseigner dans le DNS (le changement semble se produire lorsque je reboot ou éteins puis rallume le serveur):
La première a un format court: 2001:****:****:****::254 je pense que c’est une adresse locale notamment car sa fin en 254 fait écho à l’adresse IPv4 locale du serveur qui est 192.168.2.254. la seconde adresse a un format plus long mais ses quatre premières séries de 4 caractères sont identiques: 2001:****:****:****:****:****:****:8e79.
En entrant la commande ip a les deux adresses apparaissent dans l’interface eth0:
#ip a
inet6 2001:****:****:****::254/128 scope global dynamic noprefixroute
valid_lft 2525450sec preferred_lft 538250sec
inet6 2001:****:****:****:****:****:****:8e79/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 2549152sec preferred_lft 561952sec
Second problème:
Je me rends dans l’interface de ma box librecmc dans Network > Firewall > Trafic rules et j’y ai ajouté des règles pour ouvrir des ports en IPv6 mais mon serveur mais je ne parviens par à me connecter au serveur en IPv6 en dehors de mon réseau local et l’outil de diagnostic indique qu’ils sont fermés.
Je n’arrive pas à insérer de captures d’écran du pare-feu de librecmc (ainsi que de celui de yunohost) lors de la création du sujet (ça indique “Processing upload” en continu sans s’arrêter) je vais essayer en éditant le message sinon je collerai des retours de commande et des fichiers.
Selon StackExchange, la première, sans mngtmpaddr est la bonne. En attendant un potentiel correctif du Diagnostic, tu peux Ignorer l’erreur.
Ré-essaie avec l’autre adresse IP, et vérifie qu’il n’y ait pas un pare-feu dédié à l’IPv6 quelque part dans la configuration. C’est le cas pour les Freebox par exemple.
Par curiosité, pourquoi n’utilises-tu pas les boutons YunoPaste ?
Ah oui ? J’aurais plutôt pensé que la bonne était celle au format long. Ok je vais donc rechanger
Je réécris les règles avec l’adresse courte mais ce n’est pas la première fois et ça n’avait pas plus de succès. La section Firewall de librecmc contient quatre sous-sections: General Settings, Ports Forward (où j’ai mes règles de NAT en IPv4, je ne peux pas y entrer de règles en IPv6), Traffic Rules (celle où j’essaye de placer mes règles en IPv6, cette section accepte des règles en IPv4 et IPv6, avec comme action input, output et forward) et Custom Rules (qui donne un champs pour écrire à la main des commandes iptables)
En fait j’ai généré mon log avec, mais il affichait mon adresse IPv6 et je ne pouvais pas l’éditer
[Édit]: Pas de changement au niveau de l’outil de diagnostic, par contre je me rends compte que je n’ai peut-être pas de moyen très fiable de déterminer depuis mon téléphone portable si le serveur est accessible en IPv6, j’essaye de lancer un ping vers l’IPv6 avec termux, ça me répond “Unknown Host”. Si je tape https://“mon IPv6” ça me renvoie vers un moteur de recherche ou ça me dit que l’adresse n’a pas un format reconnu. Ce soir je ne serai plus chez moi et j’aurai mon PC (et grâce à mon VPN je pourrai accéder à librecmc), j’y verrai peut-être plus clair
J’ai donc lancé un scan nmap vers la première adresse, en prenant soin de me déconnecter du VPN car il me fait contourner le pare-feu de la box et ça m’indique que tous les ports sont fermés. J’ai alors modifié les règles de pare-feu pour indiquer à nouveau la seconde adresse (celle au format long) puis je me suis déconnecté à nouveau pour lancer un scan vers cette adresse, même résultat.
J’ai alors encore modifié les règles mais cette fois-ci en n’indiquant aucune adresse de destination, ce qui devrait avoir pour effet d’ouvrir complètement ces ports en IPv6 vers tout mon réseau local, j’ai relancé les scans vers les deux adresses: tous les ports fermés
Résultat des scans
Starting Nmap 7.94 ( https://nmap.org ) at 2024-10-11 17:43 CEST
Nmap scan report for domain.tld (2001:****:****:****:****:****:****:8e79)
Host is up (0.039s latency).
All 100 scanned ports on domain.tld
(2001:****:****:****:****:****:****:8e79) are in ignored states.
Not shown: 100 closed tcp ports (conn-refused)
Nmap done: 1 IP address (1 host up) scanned in 2.65 seconds
Il fallait en fait laisser le champs “Source port” non-renseigné dans la règle de pare-feu
Starting Nmap 7.94 ( https://nmap.org ) at 2024-10-12 16:26 CEST
Nmap scan report for domain.tld (2001:****:****:*****::254)
Host is up (0.056s latency).
Not shown: 993 closed tcp ports (conn-refused)
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
443/tcp open https
587/tcp open submission
993/tcp open imaps
5222/tcp open xmpp-client
5269/tcp open xmpp-server
Nmap done: 1 IP address (1 host up) scanned in 2.21 seconds
