Réseau domestique sécurisé: Configurez IPv6 pour votre réseau domestique
IPv6 existe depuis un certain temps, mais étonnamment, tous les FAI ne le prennent pas en charge. Si votre FAI le prend en charge, vous pouvez l’activer sur votre routeur. Étant donné que tous les appareils ou tout le monde sur Internet ne prend pas encore en charge IPv6 (ou ne le fera jamais), nous exécuterons un réseau à double pile qui prend en charge à la fois IPv4 et IPv6 simultanément.
IPv6 diffère d’IPv4 lors de la création d’un réseau domestique des manières suivantes:
- Aucune traduction d’adresse réseau (NAT) n’est requise. Au lieu d’avoir un espace privé RFC1918 pour votre réseau domestique et que votre passerelle Internet effectue un NAT pour traduire votre adresse IPv4 publique attribuée, le FAI peut attribuer un sous-réseau, qui est de 64 bits ou plus, pour votre usage domestique. Ainsi, votre réseau domestique est identifié de manière unique et routable sur Internet. Le processus d’attribution est appelé Délégation de préfixe.
- Étant donné que l’espace de sous-réseau est si grand, il est rare d’utiliser une allocation d’adresse avec état, telle que DHCP. Au lieu de cela, l’autoconfiguration d’adresse sans état (SLAAC) est largement utilisée pour permettre aux hôtes IPv6 de se configurer automatiquement.
- Les routeurs fournissent des préfixes réseau aux périphériques via des publicités de routeur.
Étant donné que le réseau domestique IPv6 est adressable par Internet, il est important de configurer des règles de pare-feu avant d’obtenir des adresses. J’utilise Ubiquiti EdgeRouter et son interface graphique ne prend pas en charge la configuration d’IPv6, donc la CLI (ou l’arborescence de configuration) est utilisée. Je crée d’abord les règles de pare-feu WAN_IN
sur mon interface WAN (eth0
):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsave
Ensuite, il est temps de configurer la délégation de préfixe DHCPv6 et de l’allouer à nos réseaux domestiques. Comme j’ai plusieurs VLAN à la maison (et j’ai discuté de la raison pour laquelle vous devriez le faire dans cet article), je peux le faire pour chaque interface VLAN en leur attribuant un prefix-id
unique:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsave
Ensuite, dans show interfaces
, vous devriez voir qu’une adresse /128
est allouée à votre interface WAN, et votre interface LAN (dans ce cas, switch0.100
) doit avoir une adresse /64
, et show ipv6 route
doit afficher les préfixes /64
à chacune des interfaces LAN et ::/0
à votre interface WAN. Tous vos périphériques compatibles IPv6 doivent récupérer leurs adresses IPv6, si la configuration IPv6 est définie sur automatique et que la connectivité IPv6 complète à Internet est établie. Vous pouvez le tester avec test-ipv6.com .
Cependant, la question principale est: avez-vous besoin d’IPv6 dans votre réseau domestique? La réponse est en grande partie non.
Seule une petite fraction de vos appareils prend entièrement en charge IPv6 ou peut fonctionner sur un réseau IPv6 uniquement. De nombreux périphériques utilisent des protocoles de découverte de réseau tels que UPnP ou MDN qui reposent sur la multidiffusion ou la diffusion sur un réseau local. Étant donné que la multidiffusion est différente en IPv6 et que la diffusion n’existe tout simplement pas, et qu’il n’y a plus de réseau local ou privé avec IPv6, je m’attends pleinement à ce que de nombreux périphériques ne fonctionnent tout simplement pas dans les réseaux IPv6 uniquement. Il est peu probable que les fournisseurs fournissent des mises à jour du micrologiciel au matériel hérité pour le faire fonctionner avec IPv6 et vous demanderont d’en acheter de nouveaux à la place, ce qui les rendra piégés à l’ère IPv4.
De plus, sans pare-feu approprié en place, le fait d’avoir un réseau domestique adressable à Internet peut potentiellement exposer à Internet une vulnérabilité de sécurité qui est actuellement locale dans votre routeur, et votre réseau domestique serait affecté par des événements Internet si votre FAI ne parvient pas à l’empêcher d’atteindre votre routeur.
Si vous utilisez un serveur DNS Pi-Hole, la configuration par défaut ne bloque pas le suivi sur le réseau IPv6. Une configuration supplémentaire est requise pour bloquer les annonces et le suivi si IPv6 est activé.
IPv4 fonctionne bien pour la plupart des réseaux domestiques. Les routeurs domestiques peuvent NAT à un débit plus élevé que la bande passante Internet de la plupart des utilisateurs, vous ne verrez donc pas d’amélioration importante des performances en IPv6. Donc, si vous n’hébergez pas d’objets sur Internet (comme des serveurs Web et autres), vous n’avez pas besoin d’IPv6 chez vous.
Donc, le principal avantage de configurer IPv6 dans mon réseau (et de le supprimer plus tard) pour moi est l’opportunité d’essayer quelque chose de nouveau et d’apprendre ce que l’industrie a appris d’IPv6 et donc quelles améliorations de conception sont mises dans la suite de protocoles IPv6.
Voici la série de messages. D’autres messages peuvent être trouvés sous la balise HomeNetwork.