Vous êtes sur la page 1sur 8

Chapter 9.

Les tunnels IPv4/IPv6


Revision History Revision 0.1 Table of Contents Comment se relier au rseau IPv6 ? Configuration d'un tunnel IPv6/IPv4 Configuration d'un routeur IPv6 20 Fvrier 2006

Comment se relier au rseau IPv6 ?

Par un fournisseur d'accs : Pour l'instant en France (dbut 2006) seul Nerim fournit des adresses ipv6 natives http://www.nerim.fr/connectiviteenipv6.php Toutefois une exprimentation est en cours depuis Juin 2005 pour les abonns de Wanadoo : http://www.ipv6.wanadoo.fr/mxBB/. Une ptition est en cours afin que le FAI free donne des adresses IPv6 natives ses abonns: http://ipv6pourtous.free.fr/faq/.

Utiliser une connexion via un tunnel 6to4 Un tunnel "6to4" permet de relier un rseau Ipv4 au rseau IPv6. Du ct du rseau IPv4 , les trames IPv6 sont encapsules dans des trames IPv4 et sont envoyes vers le relais 6to4 qui est charg d'en extraire les trames IPv6 et de les envoyer vers le rseau IPv6. Les principaux fournisseurs de tunnels 6to4 sont : -Hurricane Electric http://www.tunnelbroker.net -Freenet6 http://www.hexago.com -Sixxs http://www.sixxs.net

Se relier une passerelle ipv6 Contrairement aux tunnels "6to4", vous ne vous enregistrez pas auprs d'un fournisseur qui redirigera pour vous tout le trafic IPv6 encapsul dans des trames IPv4. Votre adresse IPv6 est calcule d'aprs votre adresse IPv4 publique, les trames IPv6 seront diriges vers une passerelle "6to4". Pour connaitre les passerelles disponibles : http://www.6bone.net/6bone_6to4.html

Configuration d'un tunnel IPv6/IPv4


Nous prendrons comme exemple une configuration avec Hurricane Electric

Vous devez d'abord faire une demande d'enregistrement auprs http://www.tunnelbroker.net Vous recevrez rapidement par e-mail un compte et un mot de passe.Votre tunnel sera utilisable environ 24 heures aprs.

Voici un exemple de tunnel : Figure 9.1. Dtails de votre tunnel

Vous y verrez notamment l'adresse du serveur IPv4: Server IPv4 address: 64.71.128.83 L'adresse client IPv4 correspond votre adresse IPv4 publique. Vous pouvez y voir aussi l'adresse IPv6 cliente qui vous a t attribue et celle du serveur. Vous pouvez galement tester la connectivit IPv6 directement sur le site de Hurricane. Figure 9.2. Exemple de traceroute6 sur le site Hurricane

Configuration de votre poste Vous devez commencer par configurer les interfaces virtuelle sit0 et sit1 L'interface sit0 correspond au serveur (fin du tunnel). L'interface sit1 correspond votre poste (dbut du tunnel).
fds@poste:~$ fds@poste:~$ fds@poste:~$ fds@poste:~$ sudo sudo sudo sudo ifconfig ifconfig ifconfig ifconfig sit0 sit0 sit1 sit1 up inet6 tunnel ::64.71.128.83 up inet6 add 2001:470:1F01:FFFF::E21/127

Vous vrifiez ensuite votre configuration :


fds@poste:~$ sudo ifconfig eth0 Lien encap:Ethernet HWaddr 00:0D:61:22:34:76 inet adr:192.168.1.80 Bcast:192.168.1.255 Masque:255.255.255.0 adr inet6: fe80::20d:61ff:fe22:3476/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:76430 errors:0 dropped:0 overruns:0 frame:0 TX packets:64327 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:19902751 (18.9 MiB) TX bytes:7892805 (7.5 MiB) lo Lien encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:Hte UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:15509 errors:0 dropped:0 overruns:0 frame:0 TX packets:15509 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:1407434 (1.3 MiB) TX bytes:1407434 (1.3 MiB) Lien encap:IPv6-dans-IPv4 adr inet6: ::127.0.0.1/96 Scope:Inconnu adr inet6: ::192.168.1.80/96 Scope:Compat UP RUNNING NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0

sit0

RX bytes:0 (0.0 b) sit1

TX bytes:0 (0.0 b)

Lien encap:IPv6-dans-IPv4 adr inet6: fe80::c0a8:150/64 Scope:Lien adr inet6: 2001:470:1f01:ffff::e21/127 Scope:Global UP POINTOPOINT RUNNING NOARP MTU:1480 Metric:1 RX packets:59 errors:0 dropped:0 overruns:0 frame:0 TX packets:60 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:9312 (9.0 KiB) TX bytes:6454 (6.3 KiB)

Vous pouvez vrifier les adresses attribues sit0 et sit1. Vous devez ajouter ensuite une route pour le trafic IPv6 :
fds@poste:~$ sudo route -A inet6 add ::/0 dev sit1

Si vous passez par un routeur pour accder Internet: Le trafic via un tunnel IPv4/IPv6 utilise le port 41. Il vous faudra faire sur votre routeur une redirection du port 41 vers votre poste. Si vous utilisez un firewall, vous devrez galement autoriser le trafic pour le port 41. Si cela ne suffit pas, dclarez votre poste en "DMZ Server" sur votre routeur.

Vrification de la connectivit IPv6 Faire un ping6 sur votre adresse cliente IPv6 et l'adresse du serveur IPv6 attribues par le fournisseur.
fds@poste:~$ ping6 2001:470:1F01:FFFF::E21 PING 2001:470:1F01:FFFF::E21(2001:470:1f01:ffff::e21) 56 64 bytes from 2001:470:1f01:ffff::e21: icmp_seq=1 ttl=64 64 bytes from 2001:470:1f01:ffff::e21: icmp_seq=2 ttl=64 64 bytes from 2001:470:1f01:ffff::e21: icmp_seq=3 ttl=64 data bytes time=0.036 ms time=0.040 ms time=0.042 ms

--- 2001:470:1F01:FFFF::E21 ping statistics --3 packets transmitted, 3 received, 0% packet loss, time 1999ms rtt min/avg/max/mdev = 0.036/0.039/0.042/0.005 ms fds@poste:~$ ping6 2001:470:1F01:FFFF::E20 PING 2001:470:1F01:FFFF::E20(2001:470:1f01:ffff::e20) 56 64 bytes from 2001:470:1f01:ffff::e20: icmp_seq=1 ttl=64 64 bytes from 2001:470:1f01:ffff::e20: icmp_seq=2 ttl=64 64 bytes from 2001:470:1f01:ffff::e20: icmp_seq=3 ttl=64 data bytes time=282 ms time=176 ms time=175 ms

--- 2001:470:1F01:FFFF::E20 ping statistics --4 packets transmitted, 3 received, 25% packet loss, time 3002ms rtt min/avg/max/mdev = 175.542/211.539/282.909/50.466 ms

Test avec un traceroute6:


fds@poste:~$ traceroute6 www.kame.net traceroute to www.kame.net (2001:200:0:8002:203:47ff:fea5:3085) from 2001:470:1f01:ffff::e21, 30 hops max, 16 byte packets 1 2001:470:1f01:ffff::e20 (2001:470:1f01:ffff::e20) 178.21 ms 175.007 ms 175.476 ms

2 2001:470:1fff:2::26 (2001:470:1fff:2::26) 175.572 ms 175.387 ms 174.403 ms 3 3ffe:81d0:ffff:1::1 (3ffe:81d0:ffff:1::1) 177.057 ms 176.618 ms 176.773 ms 4 3ffe:80a::e (3ffe:80a::e) 177.253 ms 177.553 ms 177.583 ms 5 2001:2a0:0:bb0a::1 (2001:2a0:0:bb0a::1) 281.696 ms 281.596 ms 282.318 ms 6 2001:2a0:0:bb04::6 (2001:2a0:0:bb04::6) 282.771 ms 282.251 ms 282.777 ms 7 hitachi1.otemachi.wide.ad.jp (2001:200:0:1800::9c4:2) 368.275 ms 368.134 ms 377.678 ms 8 2001:200:0:1c04:230:13ff:feae:5b (2001:200:0:1c04:230:13ff:feae:5b) 379.844 ms 380.374 ms 379.987 ms 9 2001:200:0:4800::7800:1 (2001:200:0:4800::7800:1) 370.923 ms 371.113 ms 370.943 ms 10 orange.kame.net (2001:200:0:8002:203:47ff:fea5:3085) 368.135 ms 377.356 ms 378.27 ms

Quelques sites tester: http://www.kame.net, http://www.tahi.org. Test du site www.kame.net avec Mozilla, si vous voyez la tortue bouger, vous tes bien en IPv6 :-). Figure 9.3. Affichage du site kame.net

Allez ensuite sur le site www.tahi.org qui vous permettra de surfer en www6 sur http://www6.tahi.org/ et de vrifier que votre connexion IPv6 est bien active.

Configuration d'un routeur IPv6

Vous pouvez obtenir auprs de votre fournisseur de tunnel Hurricane une adresse 64 bits qui vous permettra de configurer automatiquement les postes de votre rseau local en IPv6 en utilisant de dmon radvd. Les 64 bits fournis correspondront la partie rseau de l'adresse, la partie hte de l'adresse sera fournie automatiquement au poste client grce au service radvd. Figure 9.4. Obtention d'un adresse 64 bits

Dans l'exemple ci-dessus, l'adresse obtenue est 2001:470:1F01:1908::/64

Il faut ensuite activer le routage IPv6, cette commande doit tre effectue en root.
root@poste:# echo 1 >/proc/sys/net/ipv6/conf/all/forwarding

Ajout de l'adresse /64 votre interface eth0 A noter: si votre poste dispose de 2 interfaces eth0 et eth1, on peut reserver l'interface eth0 pour la connexion internet et eth1 pour la connexion au rseau local, dans ce cas il vous faudra configurer l'interface eth1 pour le routage IPv6.
root@poste:# ip -6 addr add 2001:470:1F01:1908::/64 dev eth0

Normalement votre poste/routeur a une nouvelle adresse IPv6:


root@poste:# ifconfig |grep inet6 adr inet6: 2001:470:1f01:1908::/64 Scope:Global

Configurer le dmon radvd. Si vous n'avez pas encore install "radvd" sur votre poste qui fera office de routeur, il faut faire "aptget install radvd".

Crez ou modifiez le fichier /etc/radvd.conf en y mettant l'adresse 64 bits qui vous a t fournie (A noter : le fichier radvd.conf n'est pas cr lors de l'installation du paquet radvd):
interface eth0 { AdvSendAdvert on; prefix 2001:470:1F01:1908::/64 { AdvOnLink on; AdvAutonomous on; }; };

Relancer le demon radvd:


root@poste:# invoke-rc.d radvd restart

Votre routeur est maintenant configur.

Test sur un poste client de votre rseau local. Aucune configuration n'est faire sur les postes clients, c'est le principal atout d'IPv6 avec le concept d'auto-configuration. Au dmarrage, votre poste client doit avoir rcupr une nouvelle adresse IPv6 :
joelle@ns1:~$ ifconfig |grep inet6 adr inet6: 2001:470:1f01:1908:20e:35ff:fe8f:6c99/64 Scope:Global adr inet6: fe80::20e:35ff:fe8f:6c99/64 Scope:Lien adr inet6: ::1/128 Scope:Hte

Vous pouvez y remarquer l'adresse 2001:470:1f01:1908:20e:35ff:fe8f:6c99/64, les 64 premiers bits (partie rseau) correspondent l'adresse fournie par votre routeur, les 64 bits suivants (partie hte) sont drivs de l'adresse MAC de la carte rseau du poste client. Si votre poste tait dj dmarr, la commande dhclient ethx vous permettra galement de rcuprer la nouvelle adresse IPv6. Vous pouvez normalement effectuer des ping6 sur votre routeur et sur des sites distants:
joelle@ns1:~$ ping6 2001:470:1f01:ffff::e21 PING 2001:470:1f01:ffff::e21(2001:470:1f01:ffff::e21) 56 data bytes 64 bytes from 2001:470:1f01:ffff::e21: icmp_seq=1 ttl=64 time=6.52 ms 64 bytes from 2001:470:1f01:ffff::e21: icmp_seq=2 ttl=64 time=3.02 ms joelle@ns1:~$ ping6 2001:470:1f01:ffff::e20 PING 2001:470:1f01:ffff::e20(2001:470:1f01:ffff::e20) 56 data bytes 64 bytes from 2001:470:1f01:1908::: icmp_seq=1 ttl=64 time=3.02 ms 64 bytes from 2001:470:1f01:1908::: icmp_seq=2 ttl=64 time=3.01 ms joelle@ns1:~$ ping6 www.kame.net PING www.kame.net(orange.kame.net) 56 data bytes 64 bytes from orange.kame.net: icmp_seq=1 ttl=54 time=391 ms 64 bytes from orange.kame.net: icmp_seq=2 ttl=55 time=387 ms joelle@ns1:~$ traceroute6 www.kame.net traceroute to www.kame.net (2001:200:0:8002:203:47ff:fea5:3085) from 2001:470:1f01:1908:20e:35ff:fe8f:6c99, 30 hops max, 16 byte packets

1 2001:470:1f01:1908:: (2001:470:1f01:1908::) 6.333 ms 2.986 ms 2.962 ms 2 2001:470:1f01:ffff::e20 (2001:470:1f01:ffff::e20) 178.608 ms 193.581 ms 178.45 ms

Nous avons ici effectu un ping6 sur l'adresse de dbut de tunnel , de fin de tunnel, sur le site www.kame.net. Si les ping6 fonctionnent bien, alors on peut considrer que votre poste client est bien configur pour se relier au rseau IPv6.

Test de Mozilla sur votre poste client: Figure 9.5. Test du site www.kame.net

A la fin de la page affiche sur ce site, vous pouvez vrifier que votre client est bien connect sur ce site avec l'adresse 2001:470:1f01:1908:20e:35ff:fe8f:6c99/64. Autre site tester : Figure 9.6. Test du site www6.tahi.org

Votre configuration Ipv6 est bien oprationnelle et le sera automatiquement pour tous les postes de votre rseau local. Bien d'autres services pourront tre tests comme dns pour IPv6 , ip6tables...
8