Tutoriel - Yunohost, Freebox et IPv6

fr

#1

De plus en plus de réseaux proposent une adresse en IPv6. Je ne détaillerai pas ce qu’est IPv6, le pourquoi et la nécessité de le développer…

Obtenir une IPv6 sur sa machine Yunohost

Dans les prérequis, il y a :

  • sur la Freebox, dans la partie administration, avoir activé l’IPv6.
  • avoir IPv6 d’actif sur l’OS sur lequel se trouve Yunohost (Debian Jessie dans mon cas)

Avec l’IPv6, chaque machine se voit attribuer une IP publique, basée sur l’IP principale (celle de la Freebox) et l’adresse MAC de l’équipement concerné (pour faire simple). Une fois IPv6 activée sur la Freebox, la machine Yunohost étant réglée en DHCP (avec comme paramétrage au niveau de la Freebox de toujours associer la même IP), la machine se voit attribuer 2 IPv6.

Une adresse commençant par fe80:: qui est une adresse locale (fonctionnant uniquement sur le sous-réseau physique local : le switch et le wifi de la Freebox). Une adresse commençant par 2a01:exxx:xxxx:xxxx : qui est une adresse publique (La Freebox ayant l’adresse 2a01:exxx:xxxx:xxxx::1)

Pour chaque machine ayant une IPv6, la Freebox ouvre un tunnel vers Internet (indépendamment de la redirection de ports nécessaire pour l’adresse en IPv4 qui n’est que privée, liée au réseau local. Le NAT et la redirection de ports de l’IPv4 publique de la Freebox vers l’IPv4 locale de la machine sous Yunohost n’est utile qu’en IPv4). La redirection n’est donc plus nécessaire puisque la machine peut être attaquée via le tunnel V6. Comme indiqué, l’adresse IPv6 est publique : la machine est donc directement visible et accessible depuis Internet (d’où la nécessité de surveiller les logs, de faire les mises à jour, d’avoir un pare-feu activé, fail2ban… tout ce qui est installé et configuré par défaut dans Yunohost).

On peut voir ces deux adresses via un

sudo ifconfig /all

eth0   Link encap:Ethernet  HWaddr 78:xx:xx:xx:xx:xx  
       inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
       adr inet6: 2a01:exxx:xxxx:xxxx:b81b/64 Scope:Global
       adr inet6: fe80::7a2b:cbff:fea8:b81b/64 Scope:Lien
(...)

Configuration du DNS

Si on a un nom de domaine, par exemple mondomaine.fr, il faut noter l’adresse IPv6 publique de la machine sous Yunohost et dans la configuration des entrées DNS, en plus de l’entrée correspondant à l’association de l’IPv4 publique de la Freebox (ici représentée par XYZ.XYZ.XYZ.XYZ)

Nom   Type    Valeur
 @     A      XYZ.XYZ.XYZ.XYZ

On ajoute une entrée AAAA avec l’adresse IPv6 publique de la machine sous Yunohost (ici représentée par 2a01:exxx:xxxx:xxxx:b81b)

Nom   Type    Valeur
 @     A      XYZ.XYZ.XYZ.XYZ
 @    AAAA    2a01:exxx:xxxx:xxxx:b81b

Validation de l’accessibilité en IPv6

Depuis une autre machine, sur un réseau extérieur et pour lequel on a une adresse IPv6, on peut vérifier qu’un

ping -v6 mondomaine.fr

répond et renvoie bien l’adresse IPv6 de la machine Yunohost.

On peut aussi tester un traceroute, ou encore, depuis un navigateur, saisir dans la barre d’adresse (avec les crochets, contrairement à une IPv4)

http://[2a01:exxx:xxxx:xxxx:b81b]

et ça doit afficher la même page par défaut que si on va sur l’url http://mondomaine.fr

Conclusion

Si ça marche, votre machine Yunohost est bien accessible en IPv6 de l’extérieur. Pratique quand on souhaite s’y connecter depuis un réseau sur lequel on n’a pas d’IPv4 (seulement de l’IPv6).


Problème dns ou ns? [Résolu]
#2

Super tuto, merci !


#3

De rien. Il était sur mon blog, je l’ai remis ici car ce sera utile à d’autre et c’est plus approprié sur le forum :wink:


#4

Merci pour les informations, j’ajoute deux conseils de ma propre expérience.

Il faut également penser à ajouter le PTR pour pouvoir envoyer des courriels aux utilisateurs gmail, sinon google refusera de transmettre vos messages :
https://support.google.com/mail/answer/81126?p=IPv6AuthError&rd=1#authentication

et penser à demander à être retiré des listes de spam automatique :
https://yunohost.org/#/blacklist_forms_fr


#5

Une petite précision car je pensais avoir fait correctement les choses mais google m’a dit que non après quelques jours, c’est bien l’adresse IPv6 du serveur qu’il faut renseigner dans la configuration du DNS et non l’adresse de la Freebox (contrairement à l’IPv4 où on renseigne l’adresse de la freebox qui va rerouter vers le serveur).

Pour avoir cette information, c’est très simple, la commande suivante

hostname -I

C’était probablement évident pour beaucoup, mais ça m’avait échapé.


English: when you use ipv6 and want to send email to gmail users, you need PTR to be enable, just remember tu use your server IPv6 address and not the one of your internet provider modem (it is obvious, but sometimes we forget ;))


#6

Bonjour, je me trouve avec un gros problème de puis que Free m’a dégroupé. J’avais mis en place un reverse dns et maintenant mon IP a changée, mais pas l’ancienne IP fixe (de quand j’étais dégroupé)… Est-ce que si je met en place la connexion IP-V6 (maintenant j’y ai droit), je contourne le problème de l’IP-v4 qui pointe sur l’ancienne IP ?? Car la seule solution que me propose Free pour réparer cette erreur est de me désabonner et de me réabonner !!


#7

Yo !

Merci pour le tuto !

Je m’suis permis de toucher un peu au formattage des blocs code/texte pour améliorer (j’espère) la lisibilité :wink:


#8

Bonjour, bon en insistant, la hotline de free a pu me réparer sans que je me désabonne, hourra !


#9

Juste une question, est-ce que ça vaut le coup aussi d’ajouter une entrée avec un widcard AAAA *mon_nom_domaine.tld (sur ovh, j’ai un avertissement qui me dit que j’ai déjà une entrée (celle avec ip v4) et que je doit faire attention… Autre question subsidiaire, l’adresse ip -v6 pointe bien sur le serveur, mais le certificat ssl de let’s encrypt bloque… J’ai essayé de générer le certificat de nouveau, sans réussite…


#10

Bonjour, bon ça c’est arrangé pour moi… J’ai pu réinitialiser mon reverse dns sur la nouvelle IP, grâce à un technicien de free et configurer l’IP v6 du même coup…


#11

Bonjour,

Je me lance dans l’aventure et je découvre au fur et à mesure Yunohost.
Mon but est de construire un nexcloud local, j’ai donc installé un yunohost sur un Raspi3
Créé mon user, installé nexcloud.

J’ai également Free en FAI, je suis en IPV4 et j’avoue être un peu perdu…
j’ai fait un NAT de mes ports 80 et 443 en 80 et 443 extérieur en TCP et UDP.

Au niveau du domaine j’ai essayé un domaine ouvert chez Azote.org et plus récemment un yunohost en noho.st

Voilà un peu pour le contexte…et ce que j’ai déjà fait…

Après il me reste énormément de question…

  • Faut il absolument de l IPV6?
  • Les ports que j’ai ouvert sont ils suffisants ou cela en nécessite-il d’autres?
  • Ai je besoin de faire quoi que ce soit de plus au niveau de mon boitier free?(j ai entendu parler de reverse DNS…)

Tant de question et j’avoue mon impuissance à trouver les réponses… :confused:

Un peu d’aide serait la bienvenue…

N.B. : précision utile au passage suis pas un newbie en info non plus puisque ça fais parti de mon boulot :wink: mais là je suis un peu perdu, pas trouvé de tutos qui résume tout du début à la fin…


#12

Dans l’absolu, non. Mais si tu veux contribuer au Futur™ des Internets Mondiaux™, c’est toujours bien :wink:

Si tu comptes uniquement faire du web, ca peut aller. Si tu comptes faire du mal et/ou du XMPP, alors il faut ouvrir d’autres ports comme décrit sur https://yunohost.org/#/isp_box_config_fr

Je pense pas - mais oui, il y a peut-être quand meme le reverse DNS qui peut aider pour le score de mail (la probabilité que tes envois de mails soient percus comme “légitime” (i.e. pas un spammeur-vendeur de viagra))


#13

Un grand merci pour toutes ces réponses…
Après deux ou trois changements mon srv fonctionne, par contre j’ai un message d’erreur lorsque j’essaie d’installer un certifcat lest’s encrypt…
“Certificate installation for phoenix81.noho.st failed ! Exception: [Errno 22] Trop de certificats ont déjà été demandés récemment pour cet ensemble précis de domaines phoenix81.noho.st. Veuillez réessayer plus tard. Lisez https://letsencrypt.org/docs/rate-limits/ pour obtenir plus de détails”

Si tu sais qui peut me filer un coup de main là dessus…les personnes qui administre le domaine je suppose mais j’avoue ne pas savoir comment les contacter… :confused:


#14

Salut,

malheureusement, comme indiqué par le message, il faut “réessayer plus tard” … En quelques mots, Lets Encrypt ne permet de demander un certificat que 20 fois par periode de 7 jours, entre tous les noho.st (meme chose pour les nohost.me). Donc de ce point de vue, tu n’es pas autonome avec ton domaine car tu dépends des autres utilisateurs de noho.st

De notre côté on investigue en parallèle des solutions pour le long terme, mais sinon si tu veux être un peu plus “libre”, le mieux est encore de t’acheter ton propre domaine (typiquement 5~10€ / an)


#15

Ok aleks merci pour la réponse je croyais que ça pouvais se débloquer “de votre côté”, au pire j’essaierai de faire un test autrement j’ai un domaine azote que j’ai récupéré…maintenant que cela fonctionne a peu près correctement, je peux essayer de rebasculer mon PI dessus…

Peut être à cause de cela mais mon client sur téléphone me renvoi config serveur erronée lorsque j’essaie de me connecter dessus :confused:


#16

Juste une dernière petite question ou deux…

Je suis en train de re tenter de passer par azote pour mon nextcloud…
Par contre pas trop d’infos sur le type à utiliser pour la gestion de domaine :

  • Redirection Directe
  • Redirection par Cadre/Frame
  • Domaine DNS
  • Domaine IP
  • CNAME

Si quelqu’un a des infos je suis preneur… merci :wink: