Freebox et ipv6…bienvenue au Cap d’Agde!

L’info est presque passée inaperçue mais pour ceux qui bidouillent un peu leur réseau à la maison et qui ont FREE comme fournisseur d’accès à internet, elle a son importance.

Au commencement…

Ce week end à l’occasion de travaux, j’ai dû couper l’alimentation de ma box. Grand bien lui fasse, elle mérite aussi de temps en temps le repos. Un reboot et une maj de firmware plus tard….

Je passe rapidement sur le fait qu’un bon nombre de règles de config de ma freebox ont sauté:

  • Celles du forward de ports:  =>remplacées par d’anciennes règles que j’avais effacées depuis plus d’1 an !
  • Au niveau du DHCP, l’ip de mon DNS primaire (raspberry) =>remplacée par celle du résolveur de mon FAI
  • Les baux statiques de mes serveurs  => deux sur trois ont giclé!

  Cette petite expérience a toujours le mérite de rappeler que la box n’est pas une boîte blanche et que nous n’en sommes pas les vrais administrateurs :-(. Et ce quelque soit l’opérateur, Free étant certainement le moins pire dans ce domaine. Mais là n’est pas le sujet principal de ce billet.

Ipv6 is (mor)back

Je continue donc dans mes pérégrinations. Le bail statique de mon serveur NAS ayant aussi pris une châtaigne, je me connecte sur l’interface d’administration pour pouvoir le recréer fissa. De suite, ya un truc qui me saute aux yeux: l’adresse IP de mon Nas est sous forme hexadécimale…on dirait bien que mon NAS a chopé de l’ IPV6 !!!

Résultat de recherche d'images pour "wtf giphy"

Je sais bien que la fonctionnalité est implémentée depuis longtemps dans la box (10ans de mémoire) mais en général comme tout bon ignorant je la désactive. Et puis je préfère gérer un seul vieux protocole au niveau de mon réseau et le faire bien.

Qu’à cela ne tienne ,  je vais  re-désactiver l’IPv6. Au passage, je me dis quand même qu’un jour faudra que je m’y intéresse de plus près à ce protocole. Mais tant qu’ ipv4 ne tombe pas … et puis la procrastination toussa toussa…

Je reviens donc sur mon histoire de désactivation de l’ipv6. Puisque la fonction est disponible, je décoche « Activer ipv6 ». Puis j’essaye de valider car le bouton existe! Mais j’ai beau appuyer comme un lourdingue sur ce fameux bouton ,impossible de finaliser la conf! Je me cogne systématiquement un beau message d’erreur. Mêmes symptômes aussi bien sur l’appli android freebox que sur l’interface web. Cf copie écran:

 

Free

Hmmmm…comme souvent cherchons sur le net des gens qui rencontrent le même problème. Il n’a pas fallu longtemps pour tomber sur cet article à propos d’une récente mise à jour du firmware des freebox:

La-nouvelle-mise-a-jour-qui-favorise-l-IPV6-est-maintenant-disponible-sur-la-Freebox-Revolution

Je cite l’info que j’avais ratée:

Cette mise à jour apporte surtout comme évolution, l’adoption par défaut de l’IPV6, et la fin de la possibilité de le désactiver…

Donc Free balance une mise à jour 4.0.5 qui force l’utilisation d’IPv6. Le bulletin officiel d’avril 2019 est disponible ici.Je cite:

En raison des évolutions internes de notre réseau, le système va progressivement être inversé, et c’est désormais l’IPv6 qui sera natif, et l’IPv4 délivré sous forme de tunnel.

Bienvenue au cap d’Agde

Underwear Dancing GIF - Find & Share on GIPHY

Je ne suis pas un expert de l’ipv6 , je dirai même que je suis plutôt léger à ce sujet. Les spécialistes bienveillants n’auront qu’à me corriger. Mais le peu que je sais c’est que chaque machine adressée en IPv6 par notre box possède désormais une adresse unique routable. De ce fait elles sont directement joignables depuis l’internet. En d’autres termes votre pc ou smartphone connectés à la freeboite chez vous sont directement accessibles depuis l’extérieur. Pas besoin d’ouvrir des ports sur la box! Pratique mais un poil exposé tout de même pour qui ne saurait pas sécuriser correctement une machine.

Du coup, terminée la relative « protection » du NAT. Même si cette dernière n’était pas un gage de sécurité ultime (comme pourrait l’être un parefeu à état voir le billet de stephane Bortzmeyer). Mais je persiste à penser que le mécanisme de traduction d’adresse avait au moins le mérite de ne pas rendre directement joignable les machines de M. Toutlemonde sur internet.

En effet, avec le NAT ipv4, par défaut le traffic entrant est bloqué. Un paquet arrivant de l’extérieur et non sollicité par une machine de notre réseau privé se faisait jeter direct. Pour pouvoir joindre depuis l’extérieur une machine de notre réseau local , une redirection de port est nécessaire. Donc en cas de mauvaise config, par exemple un dossier partagé à tout le monde, des caméras IP mal configurées, l’exposition était moindre pour M.Toutlemonde qui n’avait pas à se soucier du paramétrage.

La réponse de chez Free : un parefeu ça vous dirait?

Suite à cette marche forcée vers l’IPv6, certains utilisateurs expérimentés sont montés au créneau pour réclamer un minimum de protection. Ce 4 juin, nouvelle mise à jour, la 4.0.6 qui annonce la possibilité d’utiliser un parefeu IPV6. Oui mais cette fois, c’est simplement une option avec une case à cocher (copie écran ci-dessous)

  Les freenautes apprécieront les 2 mois restés à « oilpé » sur internet :-/.

Et c’est grave docteur?

Au final pas vraiment, surtout si depuis un simili parefeu a été mis en place. On peut le dire le passage à ipv6 est transparent pour la très grande majorité des freenautes. Aucune différence pour eux. De plus l’accélération de son déploiement par les FAI est plutôt une bonne nouvelle. Oui j’en ai pas parlé mais IPv6 a surtout de nombreux avantages.

Ce qui me gêne surtout dans cette histoire c’est la méthode employée par Free. Que le FAI décide de forcer l’utilisation d’un protocole pour le bien de tout le monde, soit! (encore que les vraies raisons seraient plutôt à chercher de ce côté là). Mais que l’opérateur propose a posteriori une solution de sécurité qui elle se veut optionnelle, là je ne comprends pas . L »utilisateur averti s’en sortira mais pour le lambda qu’en est-il? 

Puisqu’il est de bon ton de faire ce qui est le mieux pour son client, pourquoi ne pas avoir activé le parefeu d’office pour tous les freenautes. Pour être honnête , Free envisagerait de le faire mais plus tard. Doit on en déduire que le parefeu est en phase d’expérimentation?  D’ailleurs, ce parefeu , que fait-il réellement? Aucun moyen de connaitre dans l’interface ses règles précises. Mais c’est le jeu ma pauvre lucette, lorsque l’on est dépendant du matériel et du bon vouloir d’un FAI :-/

La morale de cette histoire (la rirette… la rirette)

Au final c’est un mal pour un bien. Voilà une bonne raison pour remplacer ma box par un routeur dont j’aurai totalement le contrôle. Je verrai bien un pfsense faire le sale boulot 🙂

Pour Ipv6, reste plus qu’à me trouver un petit mooc pour monter en compétences. Tiens , celui dispo sur FUN me semble tout indiqué ^_^ (inscription avant 09 septembre 2019)

 

3 commentaires sur Freebox et ipv6…bienvenue au Cap d’Agde!

  1. pour lister quelques différences notables en plus de la longueur et de la forme:

    – l’IPv6 est faite en sorte que la moitié de l’adresse /64 est publique et la seconde moitié /64 est privée. si tu veux une version très étriquée pour comprendre, c’est un peu comme si tu collait une grosse IPv4 publique avec une autre grosse IPv4 locale, par exemple 11.22.33.44.192.168.0.1
    donc une IPv6 décortiquée ressemblerai à ça:
    une IPv6 classique PUB:PUB:PUB:PUB:PRIV:PRIV:PRIV:PRIV

    – une IPv6 classique fait une taille de /128 et est séparée en blocs de /16
    chaque bloc est séparé par des « : ». ça veux dire que 2 blocs d’une IPv6 équivalent à une IPv4 complète

    – on peux raccourcir une IPv6:
    — si elle possède des 0 en tête de bloc
    0001:0002:0003[…] deviendrais 1:2:3[…]
    — si elle contiens des blocs d’affilé avec seulement 0 (mais une seule fois)
    1:2:3:0:0:0:0:4 deviendrais 1:2:3::4
    par contre, 1:0:0:0:2:0:0:3 en peux pas devenir 1::2::3, faudra choisir entre 1:0:0:0:2::3 ou 1::2:0:0:3

    – pour accéder à une IPv6 depuis un navigateur, il faut l’entourer de crochets
    par exemple: https://[1:2:3:4::8]/
    et en spécifiant un port: https://[1:2:3:4::8]:10000/

    je sait que j’ai oublié plein de choses mais ça commence a faire un gros pavé.

  2. Il est noté que dans la version 4.0.6 que le pare-feu sera actif par défaut plus tard mais uniquement pour les personnes n’ayant pas modifié leur configuration (tu ne l’aurais donc de toutes façons pas eu cocher automatiquement).

    J’ai une Freebox Crystal et je n’ai pas de pare-feu IPv6 intégré, ce qui me pose le même problème que toi sauf qu’en plus la désactivation sur leur interface du DHCP (je le gère moi-même) laisse le DHCPv6 actif… du coup les pèriphériques recupèrent une IPv6 routable !
    Les résolveurs DNS IPv6 de Free me répondent d’ailleurs 404 not found via leur serveur web NginX lorsqu’un domaine n’existe pas, ce qui me déplait (ils n’ont pas à me répondre via un serveur web).

    Bref, pour le moment je suis obligé de couper l’IPv6 entièrement pour ne pas être à poil de l’extérieur et éviter ce genre de problème.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*