Mettre en place IPv6 avec une freebox et OPNSense

Après mon déménagement, j'ai choisi de changer mon FAI pour Free, notamment pour profiter du mode bridge de la Freebox et surtout pour obtenir une connexion IPv6 stable et fiable (même si Hurricane Electric me fait la tronche).
Dans cet article, je vais donc vous montrer comment mettre en place IPv6 sur un routeur sous OPNSense, situé derrière une Freebox en mode bridge. Je vous recommande d'avoir quelques notions en réseau, même si je ne suis pas un expert en la matière, afin de pouvoir mieux comprendre ce que je vais décrire par la suite.

Description de mon réseau

Mon installation se compose de la manière suivante :

• Une Freebox mini 4K en mode bridge (c'est-à-dire en mode délégation de son IP publique)
• Un routeur sous OPNSense
• Un switch administrable D-Link (Managed switch)
• Plusieurs VLAN dédiés (un pour mes machines virtuelles et serveurs, un pour mes clients et un pour l'IoT)

Ici, le but est de fournir IPv6 sur deux VLAN : celui dédié à mes serveurs et celui dédiés aux clients (PC portables, téléphones, etc). La configuration finale ressemblera au schéma suivant :

              +---------+
              | Freebox |
              +----+----+
                   |
                   | Préfixe 1
                   v
              +---------+
              | Routeur |
              +--+---+--+
                 |   |
                 |   |
                 v   v
               +--------+
               | Switch |
               +--+--+--+
                  |  |
                  |  |
+----------+      |  |      +----------+
| VLAN VM  |<-----+  +----->| VLAN CLI |
+----------+                +----------+
    Préfixe 2            Préfixe 3

Récupération des informations de base

Je vais partir du principe que votre OPNSense est configuré et fonctionnel et que vos VLAN / LAN sont configurés correctement en IPv4. Nous avons donc dans notre cas la configuration suivante :

• Une interface WAN qui récupère l'IP publique depuis la Freebox
• Une interface LAN qui sert de support aux VLAN
• Deux VLAN à configurer en IPv6 : VM et CLI

Avant d'aller sur la Freebox, nous avons besoin de récupérer l'adresse Lien local IPv6 de notre interface WAN. Cela nous permettra de relier le routeur à la Freebox et de récupérer les plages IPv6 à distribuer via délégation.
Se rendre alors dans Interfaces > Overview depuis l'interface d'OPNSense et cliquer sur la section WAN Interface pour afficher les informations de l'interface réseau. Recopier ensuite la valeur de IPv6 link-local sans le /64 de la fin.

Délégation des plages sur la Freebox

Se connecter ensuite sur l'interface de la Freebox via https://mafreebox.freebox.fr/ (depuis votre réseau local), s'authentifier et aller dans Paramètres de la Freebox > Mode avancé > Configuration IPv6. Une fois la fenêtre ouverte, on peut regarder la partie Délégation de préfixe : c'est ici que se trouve les préfixes IPv6 fournis par Free pour notre réseau local. Coller alors la valeur IPv6 link-local récupérée précédemment dans la case Next Hop. Cette opération est à faire dans les trois premières cases affichées, afin de déléguer trois préfixes pour notre routeur. Cliquer ensuite sur Sauvegarder.
Une fois cela fait, noter de côté les préfixes affichés, puisque cela va nous servir pour plus tard. Valider enfin avec OK pour quitter le menu.

Dans mon cas, j'obtiens donc ceci :

• 2a01:w0w:c00l:8xx0::/64
• 2a01:w0w:c00l:8xx1::/64
• 2a01:w0w:c00l:8xx2::/64

Activer IPv6 sur OPNSense

Configuration de l'interface WAN

Définir une IP fixe

Dans l'interface d'OPNSense, se rendre dans la section Interfaces > WAN pour configurer la première IPv6 sur l'interface extérieure. Dans le menu à côté de IPv6 Configuration Type, sélectionner l'option Static IPv6. Descendre ensuite jusqu'à atteindre la zone Static IPv6 configuration. Ici, indiquer alors une IPv6 formée avec le premier préfixe que l'on a récupéré plus haut. J'ai choisi de mettre un 2 tout à la fin de l'adresse, ce qui donne quelque comme : 2a01:w0w:c00l:8xx0::2. Choisir 64 dans le menu déroulant à côté.
Dans la partie IPv6 Upstream Gateway, cliquer sur le bouton + pour créer une nouvelle passerelle. Laissez coché la case Default gateway et mettre le même préfixe que celui dans la partie IPv6 address et ajouter un 1 à la fin. Cliquer sur Save en bas, puis une deuxième fois tout en bas.

Le système vous propose alors d'appliquer les modifications en cliquant sur Apply changes. Cliquer sur ce bouton pour valider. L'interface se voit attibuer une nouvelle IPv6 qui permettra de communiquer avec la Freebox, cette dernière ayant l'IP finissant en 1.

Activer l'annonce de routeur (Router Advertisement)

Une fois l'IP définie, il est nécessaire de configurer la partie Router Advertisement pour pouvoir signaler la présence du routeur et établir les connexions vers l'extérieur.

Se rendre donc dans la section Services > Router Advertisement > WAN et indiquer les options suivantes :

• Router Only dans le menu Router Advertisements
• Normal dans le menu Router Priority

Laisser le reste avec les options par défaut et cliquer sur Save tout en bas pour valider.

Configuration de l'interface VLAN VM

Définir une IP fixe

Dans l'interface d'OPNSense, se rendre dans la section Interfaces > VLAN > VM pour configurer l'adresse IPv6 du premier VLAN. Dans le menu à côté de IPv6 Configuration Type, sélectionner l'option Static IPv6. Descendre ensuite jusqu'à atteindre la zone Static IPv6 configuration. Ici, indiquer alors une IPv6 formée avec le deuxième préfixe que l'on a récupéré plus haut. J'ai choisi de mettre un 2 tout à la fin de l'adresse, ce qui donne quelque comme : 2a01:w0w:c00l:8xx1::2. Choisir 64 dans le menu déroulant à côté.
Dans la partie IPv6 Upstream Gateway, laisser l'option Auto-detect et cliquer sur Save en bas, puis une deuxième fois tout en bas.

Le système vous propose alors d'appliquer les modifications en cliquant sur Apply changes. Cliquer sur ce bouton pour valider. L'interface se voit attibuer une nouvelle IPv6 de la plage dédiée aux machines virtuelles.

Activer l'annonce de routeur (Router Advertisement)

Une fois l'IP définie, il est nécessaire de configurer la partie Router Advertisement pour pouvoir signaler la présence du routeur et permettre aux machines clientes d'obtenir une nouvelle IP automatiquement.

Se rendre donc dans la section Services > Router Advertisement > VM et indiquer les options suivantes :

• Assisted dans le menu Router Advertisements
• Normal dans le menu Router Priority
• Dans la section Advertise Routes, indiquer le préfixe utilisé précédemment, ici 2a01:w0w:c00l:8xx1::, dans la partie Prefix et 64 dans la partie Length

Laisser le reste avec les options par défaut et cliquer sur Save tout en bas pour valider.

Configuration de l'interface VLAN CLI

Pour la configuration du deuxième VLAN, il suffit de reprendre le même processus que celui du VLAN dédié aux VMs, en remplaçant le préfixe utilisé par le troisième préfixe que l'on peut trouver dans le menu de la Freebox. Ce processus est aussi valable pour une interface réseau de type LAN et pour tout autre VLAN disponible, sachant que la Freebox propose en tout 6 préfixes IPv6 à attribuer par abonné.

Configurer le pare-feu

Activer IPv6

Avant de configurer notre pare-feu, il convient de vérifier qu'IPv6 est bien actif et que le filtrage fonctionne. Se rendre alors dans la section Firewall > Settings > Advanced et cocher la case Allow IPv6 si elle ne l'est pas. Appliquer ensuite les modifications en cliquant sur le bouton Apply changes tout en haut.

Ajouter les règles pour le trafic sortant

Par défaut, le pare-feu ne laisse pas passer le trafic sortant, y compris le ping. Il est donc normal que vos machines n'aient pas accès à Internet via le protocole IPv6. Nous allons donc autoriser le trafic sortant sur nos réseaux locaux.
Aller dans la section Firewall > Rules > VM pour afficher les règles en place sur l'interface VM.

Cliquer sur le bouton + et ajouter une règle selon le modèle suivant :

• Choisir Pass dans la section Action
• Choisir In dans la section Direction
• Choisir IPv4 + IPv6 dans la section TCP/IP Version
• Choisir VM Net dans la section Source
• Cocher la case Log packets that are handled by this rule
• Ajouter un commentaire de votre choix dans le champ Description

Laisser le reste avec les options par défaut et cliquer sur Save tout en bas pour valider. La nouvelle règle s'affiche alors et on peut recharger le pare-feu en cliquant sur le bouton Apply changes tout en haut.

Répéter la même opération pour l'interface CLI en allant dans la section Firewall > Rules > VM et en remplaçant VM Net par CLI Net pour associer le trafic au bon réseau local.

Ajouter les règles pour le trafic entrant

Par défaut, le pare-feu ne laisse pas passer le trafic entrant, y compris le ping. Il est donc normal que vos machines ne soient pas accessibles depuis l'extérieur et cela est une bonne chose pour la sécurité. Pour autant, si on veut que les machines virtuelles puissent être accessibles de l'extérieur, il est nécessaire de rajouter quelques règles pour autoriser le trafic entrant.
Aller dans la section Firewall > Rules > WAN pour afficher les règles en place sur l'interface VM.

Cliquer sur le bouton + et ajouter une règle selon le modèle suivant :

• Choisir Pass dans la section Action
• Choisir In dans la section Direction
• Choisir IPv6 dans la section TCP/IP Version
• Choisir Single host or Network dans la section Destination et renseigner l'adresse IPv6 de la machine à autoriser dans le champ juste en dessous. Choisir /64 dans le menu déroulant à droite.
• Cocher la case Log packets that are handled by this rule
• Ajouter un commentaire de votre choix dans le champ Description

Laisser le reste avec les options par défaut et cliquer sur Save tout en bas pour valider. La nouvelle règle s'affiche alors et on peut recharger le pare-feu en cliquant sur le bouton Apply changes tout en haut.
Il vous suffit enfin de répéter l'opération autant de fois que nécessaire pour autoriser tous vos serveurs. Veuillez cependant noter que cela autorise, en l'état, tout le trafic entrant et qu'il faut avoir un pare-feu actif sur la machine qui sera ouverte sur Internet. Il est possible alors de filtrer les ports accessibles directement dans la règle sur OPNSense, en choisissant un port ou un rang de ports dans le champ Destination port range.

Tester

Pour vérifier que votre machine obtient bien une adresse IPv6, il vous suffit de vous déconnecter et de vous reconnecter (sauf si vous avez désactivé IPv6). Une nouvelle adresse commençant par le préfixe correspondant s'affichera dans vos paramètres réseaux.

Pour vérifier la connectivité IPv6 et son bon fonctionnement, il est possible de visiter les sites suivants :

• https://ip.lafibre.info/ : cette page vous donne les infos de votre connexion (IPv4 et IPv6)
• The KAME project : le logo de la tortue danse si vous êtes en IPv6
• ipv6 test : cette page affiche vos deux adresses et indique si IPv6 fonctionne ou non

Source de l'article : https://www.osnet.eu/fr/content/tutoriels/ipv6-sur-une-freebox-en-bridge-avec-opnsense-ou-pfsense