Bonjour à tous,
 
Je dispose d'un petit serveur at home avec quelques services sur machines virtuelles (Site Web, VPN...) et je souhaite attribuer une IPv6 à ces VMs.
Au niveau de la connectivité j'ai souscris chez un FAI Alternatif Local un service VPN + IPv4 + /48 IPv6.
Le sysadmin me transmet cette info:  
"Tu as un / 48 routé vers ton réseau :
 
route 2001:913:300c:48 via 2001:913:3002::2;"
Mon bloc v6 serait donc: 2001:913:300c:48  
Ce qui représente 65536 /64.
Je compte utiliser le premier bloc /64 (si possible évidemment) soit la première adresse:
2001:913:300c::1/64.
Je dispose d'un firewall homemade sous Debian.
 
Quelle serait la démarche pour utiliser et router ces IPv6 sur mon réseau et ainsi attribuer une (plusieurs) IPv6 à mes VMs?
 
Merci d'avance,
 
isyris.

router normalement c'est déjà fait, il te suffit de créer une interface IP en /64 sur l'interface interne de ton firewall, et d'attribuer les IP que tu veux dans le même subnet à tes VM (ou utiliser DHCPv6)

Je met une adresse, un cdir, mais quid de la passerelle ? (pour le firewall j'entends)

Ah j'ai peux-être compris, désolé je suis noob en v6 (pas les moteurs )
J'attribue une ipv6 sur le firewall et je met la commande  

?
Seulement 2001:913:3002::2 n'st pas pingable, c'est à moi de faire qqch?
 
EDIT: à noter qu'il m'a donné ça au début:
 

 
J'ai d'autres manips à faire?
 
Et quand je me connecte au VPN,  
 
Je peux attribuer l'ip 2001:913:3002::2/126 et gateway 2001:913:3002::1 et ça fonctionne..

y'a fondamentalement aucune différence avec ipv4

2001:913:3002:: /126 c'est ton réseau d'interco avec ton FAI,
tu mets 2001:913:3002::2/126 tu la patte wan de ton firewall
default gateway de ton firewall 2001:913:3002::1 (ie le routeur de ton FAI)

ensuite tu peux utiliser n'importe quel subnet /64 contenu dans 2001:913:300c:: /48 pour ton LAN.

mauvais point pour ton FAI qui a mis un /126 pour l'interco alors que normalement c'est du /127 mais c'est pas grave ça marche quand même.

Bon j'ai ajouté l'adresse à mon FW; par contre j'ai un petit soucis:

Mes routes sont bonnes?
 

tu arrives à pinguer l'adresse d'interco du FAI déjà ? si non est-ce qu'il apparait au moins dans la table des neighbors ? et si oui que donne un traceroute vers internet ?

edit : en fait j'ai un doute, tu es sûr que ton interface ipv6 existe bien là ? fais un "ip -6 addr show"

Bien vu, je n'arrive pas à pinger:

 
Pour la commande que tu m'as demandé:

je dirais que ton vpn n'est pas bien monté. Il faudrait regarder ce que disent les logs.

Bien vu ! J'avais oublié de démarrer le service au démarrage du FW.

Et du coups, j'ai ajouté cette règle à mon firewall:

je ping du v6 sans problème maintenant, 2001:913:300c::1/64 est pingable depuis l'extérieur.
Sur de mes pc à distance sur un autre réseau, j'attribue l'adresse  
2001:913:300c::2/64 et la gateway 2001:913:300c::1 qui est la pate du /64 sur mon firewall . Je ping :

Pas non plus depuis l'extérieur:

 
Je ne ping pas la gateway de mon FAI par exemple, aucun ping sur le WAN ne passe...
 
EDIT: On dirait que ma gateway ne fait pas le routage

Bon problème réglé avec:
 

 
je ne sais pas si tu as fait une faute d'inattention en écrivant ton post mais au cas où : c'est pas une règle firewall ça, c'est l'ajout d'une adresse IP sur ton interface virtuelle VPN (souvent c'est géré automatiquement pas le VPN mais peut-être que dans ton cas particulier ce n'est pas le cas).

Effectivement faute de frappe  
Ce n'est pas fait automatiquement avec mon service VPN

Mais du coup, pour attribuer de l'IPv6 sur mon LAN, je dois installer le client VPN sur toutes mes machines?
Car par exemple j'ai testé sur mon pc portable:
IP: 2001:913:300c::2
Masque: 64
Gateway: 2001:913:300c::1 (qui est censée être la pate lan de mon /64).

 
non pourquoi ? il faut juste que tes machines aient une ipv6 dans ton subnet contenu dans ton préfixe 2001:913:300c:: /48 pour que les paquets retour te reviennent bien via ton FAI VPN.
 

 
tu as testé, et donc ?

met radvd ça sera plus simple

Je suis juste con enfaite, j’ai attribué 2001:913:300c::1 à la carte du vpn et pas a mon lan  
Et du coup ça fonctionne tout de suite mieux !  
 
En tout cas merci de ton aide précieuse.

Je ne connais pas, ça sert à quoi ?

à attribuer des IP automatiquement, mais en mode stateless contrairement à DHCP.

Hmm je contais faire un serveur dhcpv6, c’est quoi le mieux ?

En IPv6, une machine dont une interface réseau avec IPv6 activé se retrouve branchée sur un nouveau réseau configure systématiquement une adresse IPv6 de type "lien-local" sur l'interface réseau.
Cette manière d'attribuer l'adresse s'appelle la méthode SLAAC ou aussi "méthode stateless", "méthode sans état".
 
Ensuite, la machine envoie un ou plusieurs packets du type "Router Solicitation" du protocole NDP. En gros, la machine demande s'il y a des routeurs et qu'on lui envoie les paramètres du réseau. https://tools.ietf.org/html/rfc4861#page-18
 
En retour un éventuel routeur lui envoie un ou plusieurs "Router Advertisement" (RA) avec tout un tas de choses comme l'éventuelle route par défaut mais surtout les deux "flags" M et O dont tu peux lire la description en page 19 du RFC sus-cité.
L'indicateur M indique que des adresses IPv6 sont disponibles via DHCPv6 aussi appelé la "méthode stateful", "méthode avec état". Si cet indicateur est à zéro, la machine essaye de configurer une adresse IPv6 de type globale via SLAAC / la méthode stateless.
 
On peut bien évidemment configurer des adresses IPv6 et des routes IPv6 de manière manuelle / statique, c'est tout à fait valable.
Par contre, pour un réseau faisant fonctionner IPv6 de manière un tant soit peu dynamique, un logiciel / demon émettant des RA comme le très connu Radvd n'est pas optionnel, il en faut un.
 
Concernant un choix entre stateful / DHCPv6 et stateless / SLAAC, il y a des avantages et inconvénients à chaque solution. La méthode stateless doit être gérée quoiqu'il arrive.
DHCPv6 permet de faire parvenir à la machine se connectant d'autres paramètres que seulement l'adresse IP, comme un éventuel proxy et d'autres choses encore. De plus, DHCPv6 permet de mettre en place de la délégation de préfixe.
En contrepartie, un OS comme Android refuse de gérer DHCPv6 avec une obstination que l'on pourrait qualifier d'extrémisme idéologique. androids-lack-of-dhcpv6-support-frustrates-enterprise-network-admins
 
Donc, en gros, stateful pour des réseaux d'entreprise et stateless pour des réseaux un peu plus "yolo" / légers.