Routeur IPv6

* JKB <jkb@koenigsberg.invalid> in fr.comp.reseaux.ip:

De mémoire (mais je ne peux pas vérifier présentement), le modem
s'annonce par défaut en radvd. Mais je ne vois pas pourquoi le
routeur Linux s'en servirait puisque toute la configuration est
statique.

Tu peux essayer de mettre

/proc/sys/net/ipv6/conf/eth2/autoconf

et

/proc/sys/net/ipv6/conf/eth2/accept_ra

à 0 pour que seule la configuration statique soit prise en compte.

--
DW

Le Mon, 07 Sep 2015 11:40:19 +0200,
Damien Wyart <damien.wyart@free.fr> écrivait :

* JKB <jkb@koenigsberg.invalid> in fr.comp.reseaux.ip:

De mémoire (mais je ne peux pas vérifier présentement), le modem
s'annonce par défaut en radvd. Mais je ne vois pas pourquoi le
routeur Linux s'en servirait puisque toute la configuration est
statique.

Tu peux essayer de mettre

/proc/sys/net/ipv6/conf/eth2/autoconf

et

/proc/sys/net/ipv6/conf/eth2/accept_ra

à 0 pour que seule la configuration statique soit prise en compte.

Je viens de vérifier, c'est déjà le cas du routeur Linux.

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

XPost + fu2

Le Mon, 07 Sep 2015 11:40:19 +0200,
Damien Wyart <damien.wyart@free.fr> écrivait :

* JKB <jkb@koenigsberg.invalid> in fr.comp.reseaux.ip:

De mémoire (mais je ne peux pas vérifier présentement), le modem
s'annonce par défaut en radvd. Mais je ne vois pas pourquoi le
routeur Linux s'en servirait puisque toute la configuration est
statique.

Tu peux essayer de mettre

/proc/sys/net/ipv6/conf/eth2/autoconf

et

/proc/sys/net/ipv6/conf/eth2/accept_ra

à 0 pour que seule la configuration statique soit prise en compte.

Bon, bon, bon, je reviens avec ce problème qui n'a toujours pas de
solution. Naturellement, j'ai essayé de positionner les valeurs
précédentes avec sysctl. Aucun résultat probant.

Je suis toujours en IPv6 avec des adresse configurées en statique.

Rappel de l'architecture :

ADSL2+-----+
|
Linux---------LAN0
|
VDSL2------+
|
OpenVPN UDP
|
WIMAX------NetBSD
|
+--------LANx

Un ifconfig côté Linux donne :
rayleigh:[~] > /sbin/ifconfig
eth0: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.0.128 netmask 255.255.255.0 broadcast 192.168.0.255
inet6 2001:7a8:a8ed::128 prefixlen 64 scopeid 0x0<global>
inet6 fe80::222:15ff:fed9:d2b7 prefixlen 64 scopeid 0x20<link>
ether 00:22:15:d9:d2:b7 txqueuelen 1000 (Ethernet)
RX packets 2134149 bytes 1419038543 (1.3 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2164138 bytes 1457633044 (1.3 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

eth1: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.1 netmask 255.255.255.0 broadcast 192.168.254.255
inet6 fe80::208:2ff:feaf:da70 prefixlen 64 scopeid 0x20<link>
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)
RX packets 1862107 bytes 444726578 (424.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2338412 bytes 845984789 (806.7 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

eth1:1: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.81 netmask 255.255.255.0 broadcast 192.168.254.255
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)

eth1:2: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.82 netmask 255.255.255.0 broadcast 192.168.254.255
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)

eth1:3: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.83 netmask 255.255.255.0 broadcast 192.168.254.255
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)

eth1:4: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.84 netmask 255.255.255.0 broadcast 192.168.254.255
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)

eth1:5: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.85 netmask 255.255.255.0 broadcast 192.168.254.255
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)

eth1:6: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.254.86 netmask 255.255.255.0 broadcast 192.168.254.255
ether 00:08:02:af:da:70 txqueuelen 1000 (Ethernet)

eth2: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1492
inet 192.168.253.1 netmask 255.255.255.0 broadcast 192.168.253.255
inet6 fe80::208:2ff:feaf:da71 prefixlen 64 scopeid 0x20<link>
inet6 2001:7a8:a8ed:253::1 prefixlen 64 scopeid 0x0<global>
ether 00:08:02:af:da:71 txqueuelen 1000 (Ethernet)
RX packets 3152010 bytes 2073359938 (1.9 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2827092 bytes 1327200294 (1.2 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flagss<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 0 (Boucle locale)
RX packets 3394474 bytes 1447652140 (1.3 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3394474 bytes 1447652140 (1.3 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tap0: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1416
inet 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255
inet6 fe80::d072:abff:fe6b:c039 prefixlen 64 scopeid
0x20<link>
ether d2:72:ab:6b:c0:39 txqueuelen 100 (Ethernet)
RX packets 103463 bytes 8597372 (8.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 143168 bytes 117499661 (112.0 MiB)
TX errors 0 dropped 1236 overruns 0 carrier 0 collisions 0

tap1: flagsA63<UP,BROADCAST,RUNNING,MULTICAST> mtu 1418
inet 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 2001:7a8:a8ed:1::1 prefixlen 64 scopeid 0x0<global>
inet6 fe80::1a:45ff:fe0f:1884 prefixlen 64 scopeid 0x20<link>
ether 02:1a:45:0f:18:84 txqueuelen 100 (Ethernet)
RX packets 1190427 bytes 611734757 (583.3 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1097754 bytes 150001771 (143.0 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tun0: flagsC05<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.225.128.10 netmask 255.255.255.255 destination 10.225.128.9
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
txqueuelen 100 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

eth0 -> LAN
eth1 -> route par défaut IPv4 (ADSL2+)
eth2 -> route par défaut IPv6 (VDSL2) et support des VPN (tap0 et tap1)
tun0 -> client VPN pour accéder à une machine distante.

Du côté NetBSD, ifconfig renvoie :
legendre:[~] > /sbin/ifconfig
gem0: flags=0x8863<UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST> mtu 1500
capabilities€0<TCP4CSUM_Tx>
enabled=0
ec_capabilities=1<VLAN_MTU>
ec_enabled=0
address: 00:03:ba:2f:a9:1c
media: Ethernet autoselect (100baseTX full-duplex)
status: active
inet 192.168.15.14 netmask 0xffffff00 broadcast 192.168.15.255
inet6 fe80::203:baff:fe2f:a91c%gem0 prefixlen 64 scopeid 0x1
fwip0: flags=0x8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
address: 00:03:ba:ff:fe:2f:a9:1c
hme0: flags=0x8863<UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST> mtu 1500
capabilities<00<TCP4CSUM_Rx,TCP4CSUM_Tx,UDP4CSUM_Rx,UDP4CSUM_Tx>
enabled=0
ec_capabilities=1<VLAN_MTU>
ec_enabled=0
address: 00:03:ba:2f:a9:1c
media: Ethernet autoselect (100baseTX full-duplex)
status: active
inet 192.168.10.128 netmask 0xffffff00 broadcast 192.168.10.255
inet6 fe80::203:baff:fe2f:a91c%hme0 prefixlen 64 scopeid 0x3
inet6 2001:7a8:a8ed:10::128 prefixlen 64
hme1: flags=0x8863<UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST> mtu 1500
capabilities<00<TCP4CSUM_Rx,TCP4CSUM_Tx,UDP4CSUM_Rx,UDP4CSUM_Tx>
enabled=0
ec_capabilities=1<VLAN_MTU>
ec_enabled=0
address: 00:03:ba:2f:a9:1c
media: Ethernet autoselect (100baseTX full-duplex)
status: active
inet 192.168.11.128 netmask 0xffffff00 broadcast 192.168.11.255
inet6 fe80::203:baff:fe2f:a91c%hme1 prefixlen 64 scopeid 0x4
hme2: flags=0x8022<BROADCAST,NOTRAILERS,MULTICAST> mtu 1500
capabilities<00<TCP4CSUM_Rx,TCP4CSUM_Tx,UDP4CSUM_Rx,UDP4CSUM_Tx>
enabled=0
ec_capabilities=1<VLAN_MTU>
ec_enabled=0
address: 00:03:ba:2f:a9:1c
media: Ethernet autoselect (none)
status: no carrier
hme3: flags=0x8022<BROADCAST,NOTRAILERS,MULTICAST> mtu 1500
capabilities<00<TCP4CSUM_Rx,TCP4CSUM_Tx,UDP4CSUM_Rx,UDP4CSUM_Tx>
enabled=0
ec_capabilities=1<VLAN_MTU>
ec_enabled=0
address: 00:03:ba:2f:a9:1c
media: Ethernet autoselect (none)
status: no carrier
lo0: flags=0x8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33136
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
tap0: flags=0x8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1414
ec_capabilities=5<VLAN_MTU,JUMBO_MTU>
ec_enabled=0
address: f2:0b:a4:7b:f9:06
media: Ethernet autoselect
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
inet6 fe80::f00b:a4ff:fe7b:f906%tap0 prefixlen 64 scopeid 0x8
inet6 2001:7a8:a8ed:1::2 prefixlen 64

En IPv4, tout fonctionne normalement. En IPv6, le routage fonctionne
parfaitement depuis le LAN eth0, mais pas depuis tap1 (le routeur
NetBSD est connecté au routeur Linux au travers de tap1). Côté
Linux, les routes par défaut sont donc bonnes.

Côté NetBSD, les routes sont les suivantes :
Internet6:
Destination Gateway Flags Refs Use Mtu
Interface
::/104 localhost UGR - - 33136 lo0
::/96 localhost UGR - - 33136 lo0
default 2001:7a8:a8ed:1::1 UG - - - tap0
localhost localhost UH - - 33136 lo0
::127.0.0.0/104 localhost UGR - - 33136 lo0
::224.0.0.0/100 localhost UGR - - 33136 lo0
::255.0.0.0/104 localhost UGR - - 33136 lo0
::ffff:0.0.0.0/96 localhost UGR - - 33136 lo0
2001:7a8:a8ed:1::/ link#8 U - - - tap0
2001:7a8:a8ed:1::1 02:1a:45:0f:18:84 UHL - - - tap0
2001:7a8:a8ed:1::2 f2:0b:a4:7b:f9:06 UHLl - - - lo0
2001:7a8:a8ed:10:: link#3 U - - - hme0
2001:7a8:a8ed:10:: e8:9a:8f:fa:36:1e UHL - - - hme0
2001:7a8:a8ed:10:: 00:03:ba:2f:a9:1c UHLl - - - lo0
2001:db8::/32 localhost UGR - - 33136 lo0
2002::/24 localhost UGR - - 33136 lo0
2002:7f00::/24 localhost UGR - - 33136 lo0
2002:e000::/20 localhost UGR - - 33136 lo0
2002:ff00::/24 localhost UGR - - 33136 lo0
fc00::/7 localhost UGR - - 33136 lo0
fe80::/10 localhost UGR - - 33136 lo0
fe80::%gem0/64 link#1 U - - - gem0
fe80::203:baff:fe2 00:03:ba:2f:a9:1c UHLl - - - lo0
fe80::%hme0/64 link#3 U - - - hme0
fe80::203:baff:fe2 00:03:ba:2f:a9:1c UHLl - - - lo0
fe80::ea9a:8fff:fe e8:9a:8f:fa:36:1e UHL - - - hme0
fe80::%hme1/64 link#4 U - - - hme1
fe80::203:baff:fe2 00:03:ba:2f:a9:1c UHLl - - - lo0
fe80::%lo0/64 fe80::1 U - - - lo0
fe80::1 fe80::1 UHl - - - lo0
fe80::%tap0/64 link#8 U - - - tap0
fe80::1a:45ff:fe0f 02:1a:45:0f:18:84 UHL - - - tap0
fe80::f00b:a4ff:fe f2:0b:a4:7b:f9:06 UHLl - - - lo0
ff01:1::/32 link#1 U - - - gem0
ff01:3::/32 link#3 U - - - hme0
ff01:4::/32 link#4 U - - - hme1
ff01:7::/32 localhost U - - 33136 lo0
ff01:8::/32 link#8 U - - - tap0
ff02::%gem0/32 link#1 U - - - gem0
ff02::%hme0/32 link#3 U - - - hme0
ff02::%hme1/32 link#4 U - - - hme1
ff02::%lo0/32 localhost U - - 33136 lo0
ff02::%tap0/32 link#8 U - - - tap0

Je dois ici préciser que gem0 est l'interface WAN (Wimax) et que les
hme sont les interfaces LAN.

Je note que la route par défaut passe par 2001:7a8:a8ed:1::1 qui est
l'IPv6 de sortie du VPN.

Or, si je fais un simple ping6 2001:7a8:a8ed:253::1 depuis le
routeur NetBSD (adresse de eth2 du routeur Linux accessible uniquement
au travers de la table de routage), je ne perds aucun paquet. Jamais.

Si maintenant, je fais un ping6 2001:7a8:a8ed:253::253 (adresse du
routeur VDSL2) depuis le routeur NetBSD , cela fonctionne aléatoirement.
Mais dès que je lance la même commande depuis une machine du LAN eth0,
cela débloque quelque chose côté routeur Linux puisque le ping6
fonctionne à nouveau depuis le routeur NetBSD.

J'avoue que j'en perds mon latin. Je ne comprends pas pourquoi eth0
et tap1 sont traitées différemment par le routeur Linux.
Je ne comprends pas non plus pourquoi avec les mêmes paramètres
fragment, mssfix et link-mtu, la MTU des deux côtés du VPN est
différente. Pour information, les fichiers de conf du VPN/UDP
contiennent de part et d'autre :

fragment 1416
mssfix 1416
proto udp
link-mtu 1492

J'ai un firewall installé sur le routeur Linux en IPv6. Il contient
entre autres :

*filter
...
[0:0] -A INPUT -i tap1 -j ACCEPT
[0:0] -A OUTPUT -o tap1 -j ACCEPT
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -m state --state INVALID -j DROP
[0:0] -A FORWARD -p ipv6-icmp -j ACCEPT
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
...
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
[0:0] -A POSTROUTING -p ipv6-icmp -o eth1 -j MARK --set-mark 10
[0:0] -A POSTROUTING -p ipv6-icmp -o eth2 -j MARK --set-mark 10

Mon problème doit être gros comme une maison, mais je sèche
lamentablement. Le routeur Linux se comporte comme s'il perdait pas
route par défaut de tap1 (et uniquement de tap1) vers le modem.

Une idée ?

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

JKB a écrit :

J'ai un firewall installé sur le routeur Linux en IPv6. Il contient
entre autres :

Tu sais bien qu'un jeu de règles est un tout et qu'une règle ne vaut que
par rapport au reste.

Le Mon, 28 Sep 2015 20:30:10 +0200,
Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> écrivait :

JKB a écrit :

J'ai un firewall installé sur le routeur Linux en IPv6. Il contient
entre autres :

Tu sais bien qu'un jeu de règles est un tout et qu'une règle ne vaut que
par rapport au reste.

Je veux bien te le filer en entier... Le voici :

# Generated by iptables-save v1.2.11 on Sat Jan 22 20:25:31 2005
*filter
#
#
#============================================================================== # Par défaut, tout est rejeté sauf sur l'interface loopback
#============================================================================== #
:INPUT DROP [28:3300]
:FORWARD DROP [0:0]
:OUTPUT DROP [27:3120]
[0:0] -A INPUT -i lo -j ACCEPT
#
#
#============================================================================== # Tout ce qui provient du LAN est accepté.
#============================================================================== #
[0:0] -A INPUT -i eth0 -j ACCEPT
#
#============================================================================== # Protocoles provenant de l'interface WAN newton.
# ssh, ntp, smtp
#============================================================================== #
#[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ftp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ssh -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport smtp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport domain -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport domain -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport nntp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ntp -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport ntp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport https -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ssmtp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport submission -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport imaps -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport pop3s -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport openvpn -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport openvpn -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport cvspserver -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport cvspserver -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport git -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -i eth2 -p ipv6-icmp -j ACCEPT
#
#
#============================================================================== # Tout ce qui provient de tap1 (VPN/UDP)
#============================================================================== #
[0:0] -A INPUT -i tap1 -j ACCEPT
[0:0] -A OUTPUT -o tap1 -j ACCEPT
#
#============================================================================== # Réceptions inconditionnelles
#============================================================================== #
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -m state --state INVALID -j DROP
#
#
#============================================================================== # Transmission du LAN vers l'interface WAN newton (route par défaut).
# ftp, ssh, http, pop3, nntp, https, imaps, pop3s, openvpn, cvs...
#============================================================================== #
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport ftp -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport ssh -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport whois -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport gopher -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport pop3 -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport nntp -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport https -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport ssmtp -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport supfilesrv -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport imaps -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport pop3s -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport openvpn -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p udp -m udp --dport openvpn -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport cvspserver -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p udp -m udp --dport cvspserver -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport mysql -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport subversion -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport postgresql -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport http-alt -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport git -j ACCEPT
#
#============================================================================== # Transmission du VPN/UDP vers l'interface WAN newton (route par défaut).
# ftp, ssh, http, pop3, nntp, https, imaps, pop3s, openvpn, cvs...
#============================================================================== #
[0:0] -A FORWARD -i tap1 -o eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A FORWARD -i tap1 -o eth2 -p tcp -m tcp --dport https -j ACCEPT
#
#============================================================================== # Transmissions inconditionnelles
#============================================================================== #
[0:0] -A FORWARD -p ipv6-icmp -j ACCEPT
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
#
#
#============================================================================== # Émissions autorisées sur les interfaces LAN et loopback
#============================================================================== #
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -o eth0 -j ACCEPT
#
#
#============================================================================== # Émissions autorisées sur l'interface WAN newton
# ftp, ssh, telnet, smtp, whois, domain, http, pop3, nntp, ntp, https, cvs...
#============================================================================== #
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ftp -j ACCEPT
#[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ftp-data -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ssh -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport telnet -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport smtp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport whois -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport domain -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport domain -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport gopher -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport pop3 -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport nntp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ntp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport ntp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport snmp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport snmp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport snmp-trap -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport snmp-trap -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport https -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport rtsp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport pop3s -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport openvpn -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport cvspserver -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport cvspserver -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport mysql -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport subversion -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport postgresql -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport http-alt -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport git -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p ipv6-icmp -j ACCEPT
[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -m state --state INVALID -j DROP
COMMIT
# Completed on Sat Jan 22 20:25:31 2005
# Generated by iptables-save v1.2.11 on Sat Jan 22 20:25:31 2005
*nat
:PREROUTING ACCEPT [2:156]
:POSTROUTING ACCEPT [4:377]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
[0:0] -A POSTROUTING -p ipv6-icmp -o eth1 -j MARK --set-mark 10
[0:0] -A POSTROUTING -p ipv6-icmp -o eth2 -j MARK --set-mark 10
[0:0] -A POSTROUTING -p udp --sport domain -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --sport domain -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport domain -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport domain -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --sport ntp -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --sport ntp -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport ntp -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport ntp -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p tcp --sport 3128 -o eth2 -j MARK --set-mark 30
[0:0] -A POSTROUTING -p tcp --sport ssh -o eth1 -j MARK --set-mark 40
[0:0] -A POSTROUTING -p tcp --sport ssh -o eth2 -j MARK --set-mark 40
COMMIT
# Completed on Sat Jan 22 20:25:31 2005

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

En 320 lignes JKB a écrit
dans news:slrnn0i05u.eqn.jkb@rayleigh.systella.fr
le lundi, 28 septembre 2015 à 10:56:30 :

Mon problème doit être gros comme une maison, mais je sèche
lamentablement. Le routeur Linux se comporte comme s'il perdait pas
route par défaut de tap1 (et uniquement de tap1) vers le modem.

Une idée ?

Cordialement,

JKB

Bonjour,
Aucune idée mais,
est-ce que des deux côtés du VPN le DNS est "strictement" le même ?

dyrmak
--
La sombra del arbolito
++++ --- ++++
Linux operating system
++++ --- ++++

Le Tue, 29 Sep 2015 07:33:15 +0000 (UTC),
dyrmak <dyrmak@quelite.terre.invalid> écrivait :

En 320 lignes JKB a écrit
dans news:slrnn0i05u.eqn.jkb@rayleigh.systella.fr
le lundi, 28 septembre 2015 à 10:56:30 :

Mon problème doit être gros comme une maison, mais je sèche
lamentablement. Le routeur Linux se comporte comme s'il perdait pas
route par défaut de tap1 (et uniquement de tap1) vers le modem.

Une idée ?

Cordialement,

JKB

Bonjour,
Aucune idée mais,
est-ce que des deux côtés du VPN le DNS est "strictement" le même ?

Je ne vois pas ce que le DNS vient faire là-dedans, j'effectue mes
tests en pingant l'adresse IPv6 et non le nom associé.

Mais je veux bien répondre à ta question ;-)

Le DNS côté routeur Linux est un DNS local avec un forward sur les
DNS de Nerim. Il gère autoritairement quelques zones. Côté NetBSD,
Le DNS est esclave de celui du routeur Linux et effectue un forward
sur les DNS du FAI Wimax (A2C'net).

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

Le Mon, 28 Sep 2015 18:34:30 +0000 (UTC),
JKB <jkb@koenigsberg.invalid> écrivait :

Le Mon, 28 Sep 2015 20:30:10 +0200,
Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> écrivait :

JKB a écrit :

J'ai un firewall installé sur le routeur Linux en IPv6. Il contient
entre autres :

Tu sais bien qu'un jeu de règles est un tout et qu'une règle ne vaut que
par rapport au reste.

Je veux bien te le filer en entier... Le voici :

# Generated by iptables-save v1.2.11 on Sat Jan 22 20:25:31 2005
*filter
#
#
#============================================================================== > # Par défaut, tout est rejeté sauf sur l'interface loopback
#============================================================================== > #
:INPUT DROP [28:3300]
:FORWARD DROP [0:0]
:OUTPUT DROP [27:3120]
[0:0] -A INPUT -i lo -j ACCEPT
#
#
#============================================================================== > # Tout ce qui provient du LAN est accepté.
#============================================================================== > #
[0:0] -A INPUT -i eth0 -j ACCEPT
#
#============================================================================== > # Protocoles provenant de l'interface WAN newton.
# ssh, ntp, smtp
#============================================================================== > #
#[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ftp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ssh -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport smtp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport domain -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport domain -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport nntp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ntp -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport ntp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport https -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport ssmtp -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport submission -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport imaps -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport pop3s -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport openvpn -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport openvpn -j ACCEPT
[0:0] -A INPUT -i eth2 -p udp -m udp --dport cvspserver -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport cvspserver -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport git -j ACCEPT
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -i eth2 -p ipv6-icmp -j ACCEPT
#
#
#============================================================================== > # Tout ce qui provient de tap1 (VPN/UDP)
#============================================================================== > #
[0:0] -A INPUT -i tap1 -j ACCEPT
[0:0] -A OUTPUT -o tap1 -j ACCEPT
#
#============================================================================== > # Réceptions inconditionnelles
#============================================================================== > #
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -m state --state INVALID -j DROP
#
#
#============================================================================== > # Transmission du LAN vers l'interface WAN newton (route par défaut).
# ftp, ssh, http, pop3, nntp, https, imaps, pop3s, openvpn, cvs...
#============================================================================== > #
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport ftp -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport ssh -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport whois -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport gopher -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport pop3 -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport nntp -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport https -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport ssmtp -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport supfilesrv -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport imaps -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport pop3s -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport openvpn -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p udp -m udp --dport openvpn -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport cvspserver -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p udp -m udp --dport cvspserver -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport mysql -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport subversion -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport postgresql -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport http-alt -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth2 -p tcp -m tcp --dport git -j ACCEPT
#
#============================================================================== > # Transmission du VPN/UDP vers l'interface WAN newton (route par défaut).
# ftp, ssh, http, pop3, nntp, https, imaps, pop3s, openvpn, cvs...
#============================================================================== > #
[0:0] -A FORWARD -i tap1 -o eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A FORWARD -i tap1 -o eth2 -p tcp -m tcp --dport https -j ACCEPT
#
#============================================================================== > # Transmissions inconditionnelles
#============================================================================== > #
[0:0] -A FORWARD -p ipv6-icmp -j ACCEPT
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
#
#
#============================================================================== > # Émissions autorisées sur les interfaces LAN et loopback
#============================================================================== > #
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -o eth0 -j ACCEPT
#
#
#============================================================================== > # Émissions autorisées sur l'interface WAN newton
# ftp, ssh, telnet, smtp, whois, domain, http, pop3, nntp, ntp, https, cvs...
#============================================================================== > #
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ftp -j ACCEPT
#[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ftp-data -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ssh -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport telnet -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport smtp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport whois -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport domain -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport domain -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport gopher -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport http -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport pop3 -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport nntp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport ntp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport ntp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport snmp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport snmp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport snmp-trap -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport snmp-trap -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport https -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport rtsp -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport pop3s -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport openvpn -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport cvspserver -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p udp -m udp --dport cvspserver -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport mysql -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport subversion -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport postgresql -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport http-alt -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p tcp -m tcp --dport git -j ACCEPT
[0:0] -A OUTPUT -o eth2 -p ipv6-icmp -j ACCEPT
[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -m state --state INVALID -j DROP
COMMIT
# Completed on Sat Jan 22 20:25:31 2005
# Generated by iptables-save v1.2.11 on Sat Jan 22 20:25:31 2005
*nat
:PREROUTING ACCEPT [2:156]
:POSTROUTING ACCEPT [4:377]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
[0:0] -A POSTROUTING -p ipv6-icmp -o eth1 -j MARK --set-mark 10
[0:0] -A POSTROUTING -p ipv6-icmp -o eth2 -j MARK --set-mark 10
[0:0] -A POSTROUTING -p udp --sport domain -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --sport domain -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport domain -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport domain -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --sport ntp -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --sport ntp -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport ntp -o eth1 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p udp --dport ntp -o eth2 -j MARK --set-mark 20
[0:0] -A POSTROUTING -p tcp --sport 3128 -o eth2 -j MARK --set-mark 30
[0:0] -A POSTROUTING -p tcp --sport ssh -o eth1 -j MARK --set-mark 40
[0:0] -A POSTROUTING -p tcp --sport ssh -o eth2 -j MARK --set-mark 40
COMMIT
# Completed on Sat Jan 22 20:25:31 2005

Cordialement,

JKB

Personne ?

Je viens de revoir toute la configuration, même en virant le
firewall (j'accepte tout en IPv6) et le résultat est identique. Je
me demande si le problème n'est pas du côté d'OpenVPN, mais je
n'arrive pas à comprendre pourquoi... C'est la seule chose qui
change entre tap1 et eth0.

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

JKB a écrit :

Personne ?

Désolé, je n'ai pas eu le temps de regarder immédiatement et ensuite,
j'ai oublié...

Je viens de revoir toute la configuration, même en virant le
firewall (j'accepte tout en IPv6) et le résultat est identique.

Donc ce n'est plus la peine de regarder les règles ip6tables, elles ne
sont pas en cause. Et je n'ai pas d'autre idée.

Le Fri, 09 Oct 2015 09:51:21 +0200,
Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> écrivait :

JKB a écrit :

Personne ?

Désolé, je n'ai pas eu le temps de regarder immédiatement et ensuite,
j'ai oublié...

Pas de mal.

Je viens de revoir toute la configuration, même en virant le
firewall (j'accepte tout en IPv6) et le résultat est identique.

Donc ce n'est plus la peine de regarder les règles ip6tables, elles ne
sont pas en cause. Et je n'ai pas d'autre idée.

Je suis en train de regarder du côté d'OpenVPN. Je me demande si ce
n'est pas lui qui oublie de router certains paquets.

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr