Guillaume Kulakowski's blog

IPv6 et exposition de services via OpenWRT

Guillaume Kulakowski par Guillaume Kulakowski dans OpenWRT 13 avril 2021 0
Tags : Debian IPv6 OpenMediaVault OpenWRT sécurité
OpenWRT

Souvenez-vous, précédemment nous avions vu comment configurer le support IPv6 sur OpenWRT derrière une Freebox. Maintenant que nous pouvons surfer avec la v6 du protocole IP, on va voir comment exposer, toujours en v6, des services (web) et ce à travers OpenWRT.

Configuration de l’IPv6 chez votre fournisseur de nom de domaine

Tout d’abord il vous faut l’IPv6 de votre machine. Pour ceci, on va récupérer votre préfixe de délégation. Vous pouvez le retrouver sur votre Freebox ou sur OpenWRT, rubrique « Réseau / Interfaces« . C’est la ligne IPv6-PD (pour IPv6 Prefix Delegation) dans WAN6.

Réseau / Interface / IPv6-PD
Récupérer l’IPv6-PD (Prefix Delegation) sur OpenWRT.

De là, il suffit de faire une recherche sur votre serveur du type ifconfig | grep mon_prefix.

Récupération de mon IPv6 avec grep
Récupérer l’IP exposée à partir de l’IPv6-PD.

C’est ensuite cette IP que vous allez déclarer comme entrée de type AAAA chez votre registrar, Gandi dans mon cas. A ce stade, vous avez votre (sous-)domaine qui est déclaré à la fois en IPv4 (enfin je l’espère pour vous :-)) et en v6.

Il va ensuite falloir ouvrir les ports, à la fois sur OpenWRT mais également sur votre serveur.

Routage de l’IPv6 depuis OpenWRT vers votre serveur

L’une des principales différences dans OpenWRT entre l’IPv4 et v6 est que le routage du trafic IPv4 passent par l’onglet « Redirections de ports » alors que celui concernant la v6 passent par l’onglet « Règles de trafic« . A part cette petite différence, les choses sont très semblables. Ça se passe donc dans « Réseau – Pare-feu – Règles de trafic« .

Règles de trafic IPv6

On va ensuite rediriger (forward) à partir (from) d’internet (WAN) vers le réseau interne (LAN) avec pour destination l’IP trouvée plus haut et les ports nécessaires (80 et 443 en TCP pour le web par exemple).

Zoom sur la configuration d'une règle IPv6
Configuration d’une règle IPv6.

Ouverture des ports sur votre serveurs

A ce stade, on a donc :

  • Un DNS lié directement à votre serveurs web.
  • Le routeur configuré afin de permettre la transmission du trafic web vers ce serveur.

Reste donc à ouvrir les ports sur le serveurs web afin d’accepter le trafic. Là ça dépend pas mal de votre serveur et de sa distribution… Dans mon cas, c’est OpenMediaVault qui est sur une base Debian 10 et qui offre une WebUI afin de faciliter la configuration. A partir de cette WebUI, c’est super simple ! Vous pouvez vous baser sur mon exemple :

Configuration firewall d’OpenMediaVault

Test final

Pour tester, la façon la plus simple est soit d’utiliser le paramètre -6 de curl, soit d’utiliser ce site de test.

Test de l'accessibilité IPv6 d'un site
IPv6 test.

Voilà, à ce stade j’ai un service web exposée à la fois en IPv4 et en IPv6.

Commentaires

Les commentaires pour ce poste sont fermés.

Réseaux sociaux