par
Article mise à jour le 17/04/2024 pour tenir compte des spécificités d’OpenWRT 23.05.
Bien que je sois le très récent et heureux possesseur d’une Freebox Pop, j’ai fait le choix de continuer à déléguer la gestion de mon réseau ainsi que de mon partage Wi-Fi, non pas à la Pop, mais à OpenWRT.
Les avantages pour moi sont les suivants :
- Plus de contrôle au niveau des règles de firewall (IPv4, IPv6) ainsi que de la configuration du routeur en général.
- Avoir la main sur le choix de ma solution de VPN (WireGuard dans mon cas).
- Avoir le contrôle de l’anti-pub (une complète maîtrise et non pas une simple activation/désactivation).
- Pouvoir faire du DoH (DNS over HTTPS).
- Pouvoir mettre un contrôle parental configurable aux petits oignons.
- Monitorer mon trafic.
- Mettre en place du Wi-Fi 802.11r (roaming).
- etc…
Je reviendrai sur pas mal de ces points dans différents billets à venir, mais pour le moment, je ne m’intéresserai qu’à la base : avoir un réseau avec une gestion IPv4 / IPv6 (notons que l’IPv6 est obligatoire pour OQee).
Rappel de mon installation sous OpenWRT
Comme évoqué précédemment, j’ai une installation et un réseau domestique assez étendu, le tout propulsé par 2 routeurs Xiaomi Redmi, un AX6000 et un AC2100 (pas cher sur AliExpress). Ils me permettent d’étendre mon Wi-Fi sur les 2 étages que comporte ma maison. Mes routeurs sont tous les 2 dépouillés de leur firmware chinois pour tourner sous OpenWRT dans sa dernière version.
Pour cette configuration, je me suis basé sur différentes sources :
- Les forums d’OpenWRT.
- La documentation d’OpenWRT: Comment obtenir une délégation de préfixe IPv6 sur OpenWrt depuis une Freebox.
- Cet article : Openwrt, IPv6 and Freebox.
Configuration de la Freebox
Mode « Routeur + DMZ » VS mode « Bridge »
Lors de ma première mise en place d’OpenWRT, j’ai un peu raté ma configuration de l’IPv6. En effet, je suis resté en mode Routeur + DMZ sans configurer l’IPv6. Autant, je suis passé à côté avec la Freebox 4K, autant avec la Pop, je m’en suis rendu compte tout de suite via OQee qui doit obligatoirement passer en IPv6.
Du coup, j’ai basculé en mode Bridge, afin d’avoir plus la main. J’en étais pleinement satisfait, mais avec la fibre et seulement 1/4 d’IP (le partage d’IP selon Free) cette solution ne fonctionnait plus.
Du coup, j’ai refait une installation, tout aussi fonctionnelle, en mode Routeur et fait en parallèle une demande d’IP full stack. La configuration Routeur me donnant parfaitement satisfaction, j’ai décidé de rester dessus.
Comme je suis gentil, je vous laisse les 2 hypothèses et vous laisse argumenter en commentaire. Notez cependant que le mode Routeur vous éloigne de la loi de Murphy 😉 en vous offrant un mode rescue.
La troisième hypothèse étant le double NAT mais là, on complexifie et on est à la limite du dégueulasse.
Hypothèse n°1 : Le mode « Routeur » de la Freebox avec une DMZ
Pour passer en mode routeur, il suffit de laisser la configuration de base de la Freebox. Notez que j’ai juste choisi un sous-réseau différent de mon sous-réseau OpenWRT (192.168.0.1/24 VS 192.168.1.1/24).
Ensuite, on donne un bail statique au routeur OpenWRT en fonction de son adresse MAC. Dans mon cas 192.168.0.1.
Et après, on utilise l’option DMZ pour balancer tout le trafic dessus :
Hypothèse n°2 : Bascule en mode Bridge
Solution à vos risques et périls !
Tout d’abord, nous allons basculer la Freebox en mode bridge. Ça se passe depuis l’interface de gestion de la Freebox : http://mafreebox.freebox.fr. Vous allez devoir accepter qu’en passant en mode Bridge vous perdez tout un tas de fonctionnalités, mais finalement, quand on en est à mettre OpenWRT à la place de la Freebox, on ne devrait pas trop avoir de soucis pour valider ses choix.
Prise en charge de l’IPv6
À partir de là, que vous soyez en mode Routeur ou Bridge c’est pareil.
Récupération de l’IPv6 du lien local d’OpenWRT
Tout d’abord, il va vous falloir récupérer l’IPv6 d’OpenWRT. Pour cela, il suffit de se connecter dessus en SSH et d’utiliser ifconfig pour récupérer l’IPv6 de lien local (Scope:Link). Dans mon cas fe80::8ac3:xxxx:xxxx:xxxx :
ifconfig MON_INTERFACE| grep "Scope:Link"
inet6 addr: fe80::8ac3:xxx:xxx:xxx/64 Scope:Link
Pour trouver l’interface sur laquelle filtrer la commande ifconfig, vous la trouverez sur votre vue interface :
Configuration de la délégation de préfixe IPv6
On va récupérer l’IPv6 déterminée précédemment et la configurer dans l’interface IPv6 de la Freebox en tant « Next hop » du second premier (remarque, depuis l’écriture de cet article, le second nœud semble poser soucis pour le Player qui peut ne pas est reconnu comme étant sur le réseau Free) nœud de délégation de préfixe :
Notez bien quelque part ces 2 informations, vous en aurez besoin plus tard :
- Le préfixe de la délégation que vous venez de mettre en place (
2a01:e34:xxxx:xxxx::/64). - L’adresse IPv6 du lien local (
fe80::8c97:xxxx:xxxx:xxxx).
Remarquez également que l’on désactive le firewall IPv6 de la Freebox, ainsi que le DHCPv6 et les DNS IPv6 (je n’utilise pas ceux de Free) :
Voilà, la partie configuration de la Freebox est finie ! On peut maintenant passer sur l’interface d’OpenWRT.
Configuration d’OpenWRT
Installation des dépendances
Tout d’abord, on suppose que vous avez LuCi d’installée avec quelques outils ainsi que le support de l’IPv6, sinon :
opkg install luci-theme-material luci-i18n-base-fr luci-i18n-firewall-fr luci-i18n-opkg-fr luci-i18n-attendedsysupgrade-fr \
ipset curl diffutils speedtest-netperf \
kmod-ipt-nat6
Interfaces WAN & WAN6
Pour la partie WAN/WAN6, la configuration est assez simple :
- WAN :
- Protocole : Client DHCP
- WAN6 :
- Protocole : Client DHCPv6
- Demander une adresse IPv6 : try
- Demander le préfixe IPv6 de la longueur : Automatique
Préfixe IPv6 délégué personnalisé : le préfixe de la délégation mise en place sur la Freebox ((voir explication plus bas, mais cette option n’est plus disponible via LuCi)2a01:e34:xxxx:xxxx::/64).
L’option « Préfixe IPv6 délégué personnalisé » n’est plus présent dans LuCi, il va falloir passer par la ligne de commande :
uci delete network.wan6.ip6prefix
uci add_list network.wan6.ip6prefix='2a01:e34:xxxx:xxxx::/64'
uci commitInterface LAN
Là encore, la configuration est facile :
- Paramètres généraux :
- Protocole : Adresse statique
- Adresse IPv4 : 192.168.1.254
- Masque-réseau IPv4 : 255.255.255.0
- Passerelle IPv4 : vide (il va trouver)
- Diffusion IPv4 : vide (il va trouver)
- Longueur d’attribution IPv6 : 64 (c’est le /64 de vos préfixes de délégation)
- Indice d’affectation IPv6 : vide
- Suffixe IPv6 : ::254 (pour ressembler à l’IPv4)
- Serveur DHCP / Paramètres IPv6 :
- Service de publicité de routeur : mode serveur
- Service DHCPv6 : désactivé
- Proxy NDP : désactivé
- Toujours annoncer le routeur par défaut : coché
Ici la question du service DHCPv6 se pose pour l’attribution de baux statiques IPv6. J’ai fait le choix de laisser la Freebox attribuer les IPv6 locales car finalement, elles sont basées sur SLAAC (Stateless Address Auto Configuration) et ne bougent pas (statiques).
J’avais essayé d’utiliser la fonction DHCP d’OpenWRT en jouant sur les suffixes d’IPv6 et les DUID mais cette solution exigeait de passer en mode serveur et posait des soucis sur certains devices. J’ai donc des baux statiques (comme en IPv4) mais je n’ai pas la main sur l’IP générée vu qu’elle est fonction de l’adresse MAC.
Route
A ce stade un ping6 google.fr n’est toujours pas opérationnel sur mes machines. Reste à rajouter une route statique depuis l’interface de LuCi. On va router 2000::/3 vers l’adresse IPv6 du lien local que vous avez noté précédemment :
Pour comprendre le pourquoi du comment, je vous invite à lire ce sujet.
Tester
Pour tester, vous pouvez utiliser plusieurs solutions :
- Allumer votre Freebox Player et regarder la TV sur OQee. Si vous n’avez pas un message qui prend tout l’écran c’est que vous êtes en IPv6.
- Faire un
ping6 google.fr. - Utiliser le service de Google.
Je suis maintenant l’heureux possesseur d’un réseau pleinement compatible IPv6 et mes services sont exposés à la fois en IPv4 et en IPv6… Mais ça, ça sera le sujet d’un prochain article.
Contrôle parental sur OpenWRT - Guillaume Kulakowski's blog le 17 avril 2024
[…] de ma série d’articles sur OpenWRT, le firmware Open-source pour votre routeur. Après la mise en œuvre avec Free, la gestion du Wi-Fi 802-11r, je m’attaque à présent au contrôle […]