IPv6 ... ça commence bien !

Bybeu · Le 12/02/2022, à 20:16

Bonjour tous
J'ai dans l'idée de me mettre à IPv6, plus par besoin de comprendre que pour une raison technique. En fait l'idée que nos hôtes LAN soient dotés d'une IPv6 globale m'inquiète toujours, surtout depuis que Free ne permet plus de désactiver IPv6 dans sa box v5.
Donc je viens de me taper la RFC4291 où j'ai lu que le mécanisme d'autoconfiguration SLAAC crée un EUI64 à partir de l'adresse MAC en insérant au milieu la séquence 0xfffe.
Or sur mon PC ubuntu 16.04 la MAC commence par b4:b6:76 mais l'EUI64 des 2 IPv6 globale et locale est en b6b6:76ff:fe...
Ouate z'œuf Phoque ?

Dernière modification par Bybeu (Le 12/02/2022, à 20:24)

diesel · Le 12/02/2022, à 23:08

Tu as bien raison de te mettre à ipv6.

Une fois que tu as assimilé le fonctionnement, c'est plus simple qu'ipv4.

Relis la description de l'EUI64. Tu y trouveras : "In the resulting Modified EUI-64 format, the "u" bit is set to one (1) to indicate universal scope"

C'est pourquoi le 50ème bit (en partant des bits de poids le plus faible de l'adresse) est forcé à 1. Ce qui explique que ton b4 devient b6.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 12/02/2022, à 23:16)

bruno · Le 13/02/2022, à 10:57

Bonjour,

C'est bien d'utiliser IPV6 surtout quand on a un FAI qui fournit une connectivité IPV6 native.
Le mécanisme d'auto-configuration SLAAC ne doit plus utiliser les adresses MAC. C'est normalement le cas sous Ubuntu depuis un bon moment.
À ce sujet la version 16.04 n'est plus maintenue depuis plus d'un an et devrait être remplacée de manière urgente par la dernière LTS 20.04

Pour savoir comment l'adresse IPv6 est générée il faut regarder les paramètres du noyau :

sysctl -a | grep addr_gen_mode

sysctl -a | grep use_tempaddr

(cf https://www.kernel.org/doc/html/latest/ … ysctl.html pour l'explication des valeurs)

et ceux de Networkmanager (pour les machines de bureau) qui prévalent sur ceux du noyau.

Avoir une connectivité IPv6 sur tes machines signifie effectivement qu'elles sont directement sur l'Internet, à proprement parler elles ne sont plus sur un LAN en IPv6.
Si cela t'inquiète, il faut juste faire attention au services que tu installes et qui sont d'être accessibles publiquement. Tu peux aussi activer un pare-feu qui filtre le trafic IPv6.

Bybeu · Le 13/02/2022, à 11:20

Merci Jean-Marie
J'avais bien lu ça, mais je n'avais pas fait la relation. Ça n'est pas le 58ème bit plutôt (ou le 7ème en partant du MSB de l'identifiant) ?
Et le fait qu'il soit à 1 sur les 2 scopes, ça vient du fait que le modified EUI-64 est construit sur une @MAC qui est par principe toujours globalement universelle/unique ? Et que donc dans une @MAC le 7ème bit est toujours à 0 ? J'ai aussi lu la doc IEEE, mais ça m'a mis le neurone en vrac :-)
Donc ça rejoint mon inquiétude vis à vis d'IPv6 : autant dire qu'on balance son @MAC partout là où on passe avec les mEUI-64, bonjour la vie privée ... je lorgne maintenant sur la RFC7217 ... c'est un bon début ?

À plouche

Bybeu · Le 13/02/2022, à 11:34

Merci aussi Bruno, c'est parti dans le labyrinthe : il faut que je retrouve un truc que j'ai lu hier à propos de ça, les "monstres" d'implémentations qui prennent le pas sur le noyau.

diesel · Le 13/02/2022, à 12:49

Bybeu a écrit :

Merci Jean-Marie
J'avais bien lu ça, mais je n'avais pas fait la relation. Ça n'est pas le 58ème bit plutôt (ou le 7ème en partant du MSB de l'identifiant) ?
Et le fait qu'il soit à 1 sur les 2 scopes, ça vient du fait que le modified EUI-64 est construit sur une @MAC qui est par principe toujours globalement universelle/unique ? Et que donc dans une @MAC le 7ème bit est toujours à 0 ? J'ai aussi lu la doc IEEE, mais ça m'a mis le neurone en vrac :-)
Donc ça rejoint mon inquiétude vis à vis d'IPv6 : autant dire qu'on balance son @MAC partout là où on passe avec les mEUI-64, bonjour la vie privée ... je lorgne maintenant sur la RFC7217 ... c'est un bon début ?
À plouche

Non !

Le calcul d'adresse à partir de l'adresse MAC ne sert (pour un client) QUE pour l'adresse link local (celle qui commence par fe80:). Et cette adresse là ne sert qu'au management de ton réseau ipv6 et ne peut pas passer le premier routeur rencontré sur le réseau local.

Ensuite, pour générer les adresses unicast global, celles qui vont partir sur internet, ton PC va utiliser le préfixe fourni par ton routeur et générer aléatoirement les 64 derniers bits. Et ces adresses ont une durée de vie limitée et sont recalculées régulièrement (sur un client). Alors, pour ce qui est de te tracer dans la durée sur internet...

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 13/02/2022, à 13:29)

bruno · Le 13/02/2022, à 13:59

Non plus

IP sysctl a écrit :

use_tempaddr - INTEGER
Preference for Privacy Extensions (RFC3041).
<= 0 : disable Privacy Extensions
== 1 : enable Privacy Extensions, but prefer public addresses over temporary addresses.
> 1 : enable Privacy Extensions and prefer temporary addresses over public addresses.
Default:
0 (for most devices)
-1 (for point-to-point devices and loopback devices)

Que ce soit pour l'adresse globale ou celle du lien local, ce sont les mêmes règles qui sont appliquées. Celles définies directement au niveau des paramètres du noyau, ou dans netplan, ou dans NetworkManager :

Networkmanager GUI

Les options dans l'interface graphique correspondent aux valeurs 0,1,2 respectivement.

Bybeu · Le 14/02/2022, à 14:07

Bonjour Bruno
Où as-tu choppé ce GUI ? Je viens de regarder sur une 20.04 et on pas ces options. Je pense que je peux bricoler ça comme les user_watches de inotify, mais bon...

bruno · Le 14/02/2022, à 15:05

Ce sont celles du gestionnaire de connexion de KDE. Normalement il y a les mêmes options dans GNOME et l'interface est très similaire.

Bybeu · Le 14/02/2022, à 19:17

Bonjoir
Pas trouvé : sur 20.04 gnome ni dans les Paramètres section Réseau ni aucune autre (Confidentialité, etc...).
Bon, pas grave. Pour mon 16.04 j'ai trouvé des trucs mais j'aimerais avoir votre opinion : c'est des réglages individuels "par connexion", ce qui est plutôt pénible pour le wifi. C'est dans les fichiers /etc/NetworkManager/system-connections/<nom de la connexion>
J'ai d'abord modifié la ligne addr-gen-mode :
addr-gen-mode=stable-privacy
Mais sans effet après le restart de NetworkManager, alors j'ai modifié la ligne ip6-privacy ainsi :
ip6-privacy=1
et remis addr-gen-mode=eui64
Maintenant, et en remettant addr-gen-mode=stable-privacy, j'ai bien les 3 IPv6 qui ont l'identifiant indépendant de l'@MAC

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether b4:b6:76:mm:nn:oo brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.7/24 brd 192.168.1.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 mon:pre:fixe:ipv6:c15c:d123:3f3:a46d/64 scope global temporary dynamic 
       valid_lft 86311sec preferred_lft 85711sec
    inet6 mon:pre:fixe:ipv6:45f5:19ed:df32:4e5d/64 scope global mngtmpaddr noprefixroute dynamic 
       valid_lft 86311sec preferred_lft 86311sec
    inet6 fe80::789f:123ef:fdec:3141/64 scope link 
       valid_lft forever preferred_lft forever

C'est quoi la deuxième ipv6 globale avec le flag mngtmpaddr ?

Sur le 20.04 ça ne fonctionne pas. Sur aucun des 2 je n'ai touché aux fichiers de sysctl
16.04

sudo sysctl -a | grep addr_gen_mode
[sudo] Mot de passe de bybeu : 
sysctl: lecture de la clé « net.ipv6.conf.all.stable_secret »
sysctl: lecture de la clé « net.ipv6.conf.default.stable_secret »
sysctl: lecture de la clé « net.ipv6.conf.lo.stable_secret »
sysctl: lecture de la clé « net.ipv6.conf.wlan0.stable_secret »
bybeu@xps:~$ sudo sysctl -a | grep use_tempaddr
sysctl: lecture de la clé « net.ipv6.conf.all.stable_secret »
sysctl: lecture de la clé « net.ipv6.conf.default.stable_secret »
net.ipv6.conf.all.use_tempaddr = 2
sysctl: lecture de la clé « net.ipv6.conf.lo.stable_secret »
net.ipv6.conf.default.use_tempaddr = 2
sysctl: lecture de la clé « net.ipv6.conf.wlan0.stable_secret »
net.ipv6.conf.lo.use_tempaddr = -1
net.ipv6.conf.wlan0.use_tempaddr = 2
bybeu@xps:~$

20.04

sudo sysctl -a | grep addr_gen_mode
[sudo] Mot de passe de miss : 
net.ipv6.conf.all.addr_gen_mode = 0
net.ipv6.conf.default.addr_gen_mode = 0
net.ipv6.conf.enp2s0.addr_gen_mode = 0
net.ipv6.conf.lo.addr_gen_mode = 0
miss@p6:/etc/NetworkManager/system-connections$ sudo sysctl -a | grep use_tempaddr
net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2
net.ipv6.conf.enp2s0.use_tempaddr = 0
net.ipv6.conf.lo.use_tempaddr = -1
miss@p6:/etc/NetworkManager/system-connections$

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 12/02/2022, à 20:16

IPv6 ... ça commence bien !

#2 Le 12/02/2022, à 23:08

Re : IPv6 ... ça commence bien !

#3 Le 13/02/2022, à 10:57

Re : IPv6 ... ça commence bien !

#4 Le 13/02/2022, à 11:20

Re : IPv6 ... ça commence bien !

#5 Le 13/02/2022, à 11:34

Re : IPv6 ... ça commence bien !

#6 Le 13/02/2022, à 12:49

Re : IPv6 ... ça commence bien !

#7 Le 13/02/2022, à 13:59

Re : IPv6 ... ça commence bien !

#8 Le 14/02/2022, à 14:07

Re : IPv6 ... ça commence bien !

#9 Le 14/02/2022, à 15:05

Re : IPv6 ... ça commence bien !

#10 Le 14/02/2022, à 19:17

Re : IPv6 ... ça commence bien !

Pied de page des forums