Table des matières

SLAAC

La box internet Red SFR a l’option SLAAC activée par défaut : Stateless Address Autoconfiguration.
SLAAC permet à un client IPv6 de générer ses propres adresses à l’aide d’une combinaison d’informations disponibles localement et d’informations annoncées par les routeurs via le protocole NDP (Neighbor Discovery Protocol).
La box envoie des RA (Router Advertisement) via le protocole NDP.

La configuration automatique des IPv6 est quelque chose de nouveau, cela n’était pas présent dans ipv4.

https://www.formip.com/pages/blog/ndp-slaac-et-dhcpv6

Dans la box internet du FAI red SFR :

Nous allons voir comment exploiter ce mode et laisser l’interface WAN autoconfigurer son adresse IPv6, puis nous mettre on place du dynamic DNS pour gérer un changement éventuel automatique de cette IPv6.

opnsense interface WAN

On va indiquer que l’interface WAN s’autoconfigure, elle ne demande pas d’adresse IPv6 à un autre appareil.

On coche « Request prefix only » => on ne veut pas demander une IPv6 car on utilise le protocole SLAAC et ainsi les appareils vont autoconfigurer eux-même leur ipv6 à partir du préfixe ipv6 reçu d’autres identifiants qui leurs sont propres.
Il n’y aura pas de risque de doublon d’ip v6 grâce au mécanisme DAD (Duplicate Address Detection).

opnsense interface LAN

On indique que le LAN fonctionnera comme le WAN pour l’IPv6 via Identity Association.

En choissiant Identity Association il y a les éléments de configuration suivants qui apparaissent :

Services > Router Advertisements

Services → Router Advertisements → LAN

Firewall interface LAN

Sur le WAN opnsense autorise par défaut IPv6 ICMP (important pour RA, ND, etc.). Donc nous n’avons rien à autoriser de plus.

Autoconfiguration de l’ipv6 du WAN et donc du endpoint Wireguard server – Dynamic DNS

L’ipv6 de l’interface WAN ne peut plus être garantie et ne peut plus être réservée via la box internet puisque nous sommes maintenant en SLAAC.

La solution est d’utiliser du DynDNS (DDNS).

Pour cela on installe dans opnsense le pluggin ddc (dynamic dns client). On fait Ctrl+F5 pour rafraîchir la page et on peut voir le plugin listé dans les services :

On sauvegarde nous avons alors un account créé dans le dynamic DNS :

L’interface sur laquelle on a du DDNS est WAN c’est elle qu’on monitore, c’est l’interface sur laquelle notre client wireguard se connecte pour se connecte au serveur wireguard de opnsense.
Or l’IPv6 de cette interface peut changer car nous avons configuré notre réseau IPv6 pour s’autoconfigurer, nous n’avons pas réserver d’IPv6 pour notre interface WAN.

Le champ username n’est pas utile car nous allons utilisée un token (identifiant unique).
Dans le champ password on ne met pas le password de notre compte, mais le token permettant d’accéder à l’API de gandi. Ce token est créé depuis Gandi > mon compte > Paramètres > Jetons d’accès personnel

Et activez uniquement ces options pour ce token :

Mise à jour de WireGuard Client

On peut mettre à jour notre wireguard client et remplacer l’ipv6 du endpoint par notre notre nom de domaine sur lequel nous faisons du ddns.

Et lorsqu’on enregistre, wireguard affichera l’ipv6 associée à ce nom de domaine.

On peut alors enlever la réservation d’ipv6 (si on en avait une pour l’interface WAN) dans l’administration de la box de notre FAI.

Utiliser SLAAC sur le serveur proxmox

Notre serveur proxmox est sur le réseau LAN.
Initialement j’ai mis dans /etc/network/interfaces :

iface vmbr0 inet6 dhcp

Et par conséquent je ne recevais pas d’IPv6 globale car je suis en SLAAC. La configuration compatible avec SLAAC :

iface vmbr0 inet6 auto