NAT IPv6 vers IPv4 (Linux)

2 réponses
Avatar
Marc SCHAEFER
Bonjour,

J'ai un /24 + /29 v4. Je tourne des services lÍ -dessus. J'ai aussi un
/48 v6.

J'aimerais sans rien changer Í  mon réseau v4 faire du `NAT 6 vers 4'
pour que certaines adresses IPv6 soient mappées sur mes adresses v4.

Il y a bien sͻr des limites ͠ cette approche:

- je ne verrai pas l'adresse de l'autre terminal v6, mais celle
du NAT: ennuyeux pour l'IDS/IRS/IPS tournant sur mon terminal
et pas sur le routeur NAT64

- v4 est gentiment obsolète, est-ce une bonne idée d'investir
dans ce concept, même s'il a l'avantage d'être plug&play

Donc, je songe aussi Í  mettre toutes mes machines en v6 pur, évt. avec
du v4 en privé / NAT pour accès Í  Internet v4, et faire le mapping
inverse (les v4 externes seraient réécrites en v6, et l'adresse de
l'autre terminal serait incluses dans l'adresse v6 avec un préfix
spécial).

Je pourrais même laisser tomber le v4 pour sortir et utiliser des
astuces NAT64/DNS64 pour sortir. Donc un réseau de serveurs ipv6
pur avec ipv4 en compatibilité NAT.

Quels sont vos expériences sur Linux, de préférence avec un seul routeur
qui se charge de tout le travail ?

2 réponses

Avatar
Eric Masson
Marc SCHAEFER writes:
'Lut,
Quels sont vos expériences sur Linux, de préférence avec un seul
routeur qui se charge de tout le travail ?

Pas de NAT sur ipv6 ici, toutes les machines sont en dual stack et un
OpenWRT gère le routage/filtrage.
- ipv4, NAT sur connexion ppp orange, règles netfilter classiques
assorties de redirections vers un hÍ´te lan pour http/https.
- ipv6, tunnel HE.net, règles netfilter classiques assorties d'une
ouverture vers le lan6 pour http/https.
--
Quel est le MEILLEUR SITE avec une tonne de Javascript's que vous
connaissez ??
-+- Titeuf in GNU : C'est fou ce qu'on s'oxymore ici -+-
Avatar
Marc SCHAEFER
Eric Masson wrote:
Pas de NAT sur ipv6 ici, toutes les machines sont en dual stack et un
OpenWRT gère le routage/filtrage.
- ipv4, NAT sur connexion ppp orange, règles netfilter classiques
assorties de redirections vers un hÍ´te lan pour http/https.
- ipv6, tunnel HE.net, règles netfilter classiques assorties d'une
ouverture vers le lan6 pour http/https.

C'est effectivement assez raisonnable.
Je risque de m'acheminer vers une solution en IP publique v4 (mon /24
est Í  moi, PI), en NAT pour le /29 (appartient au FAI, PA), et aussi
en NAT v6 pour mon /48 (il ne m'appartient pas, il est Í  mon
fournisseur).
Pour le NAT v6, je vais utiliser les fd::/8 avec préfixe aléatoire fixe
selon le RFC ad-hoc.
En faisant ainsi, je peux facilement changer la correspondance du /29 et
du /48 si jamais, dans le routeur/NAT seul.
Ou je mets aussi le v4 en privées pour pouvoir facilement changer les
mappings, on verra.