IPv6 problématique

Bonjour ! Toujours à la recherche d'un FW pour IPv6, j'ai cédé à la tentation et essayé LnS 2.07b1 sous Windows 2000. J'ai modifié mes dispositions de manière à avoir IPv6 natif sous ce système et non plus par un tunnel 6in4 (le tunnel est terminé sur un sysème Linux qui route IPv6 sur mon petit LAN).

Donc, je lance LnS et un browser (Firefox, puis GoogleChrome) :

- connexion à www.kame.net : la tortue qui danse, je suis donc bien connecté en IPv6, mais :

- www.whatismyv6.com ne peut pas être atteinte (en IP6) !!!

Après avoir désinstallé LnS et rebooté, cela remarche.

Constatez-vous le même problème ?

 

Bonjour,

Non, pas constaté ce genre de problème jusqu'à présent (mais les tests et retours IPV6 sont assez limités jusqu'à présent, surtout sous Win2000).

Juste pour bien comprendre, voulez-vous dire que:
- la navigation en IPV6 sur des pages habituelles (googe...) marchait,
- seul ce site particulier: www.whatismyv6.com posait problème,
- juste en quittant Look 'n' Stop (ce qui suffit à désactiver le filtrage internet), ça ne résout pas le problème, il faut absolument désinstaller Look 'n' Stop (attention aussi à l'option avancée "Laisser le filtrage Internet actif quand Look 'n' Sto se quitte, cette option ne doit pas être sélectionnée, pour être sûr que le filtrage est désactivé quand Look 'n' Stop est stoppé)

Ce dernier point est important car cela signifie que le problème se situerait plutôt dans l'installation du driver, voire dans le support IPV6 sous Win2000 pour le type de driver utilisé. Ceci dit, ce serait très curieux que certains échanges IPV6 marchent et pas d'autres (avec un problème de ce type ce serait plutôt général).
Si finalement, le simple fait de quitter Look 'n' Stop permet de se connecter au site en question (éventuellement faire un test en désactivant le lancement automatique de Look 'n' Stop au démarrage et rebooter, pour être sûr qu'il n'y a eu aucun blocage depuis le début), alors c'est "juste" un problème de règles de filtrage, et le journal de Look 'n' Stop devrait indiquer ce qui a été bloqué.

Aviez-vous consulté le journal de Look 'n' Stop lors de ce test ? (c'est le 1er rélflexe à avoir quand ça ne marche pas )

Merci,

Frédéric

 

Bonjour !

- Je n'ai hélas! testé que les deux sites indiqués.
> nouveau paragraphe: Je précise l'anomalie observée avec
www.whatismyv6.com afin de
permettre au lecteur de la reproduire éventuellement:
Sous LookandStop, l'URL menait à la page affichant mon IPv4-source;
cliquant sur "ipv6 only test", je n'obtenais rien (time-out).

- Quitter LnS n'a pas résolu le problème; l'option avancée n'était pas selectionnée.
- Le journal montrait uniquement des paquets de "router advertisement", aucun paquet de données d'application.

Désolé!

 

Il faut sans doute que ces paquets soient autorisés.
Les nouveaux jeux de règles dans la 2.07b1 (lors d'une installation fraiche) incluent bien des nouvelles règles ICMPV6, mais apparemment pas pour les paquets que vous avez constatés.
L'idéal serait de refaire le test pour avoir le détail de ces paquets qui sont bloqués, et ensuite de faire des règles en conséquence.

En ayant bloqué ces paquets une fois lors d'une session Windows, il est possible qu'il y ait un temps de latence avant que ça remarche, et donc quitter Look 'n' Stop ne suffise pas à régler le problème immédiatement.
C'est pour cela que le vrai test, pour être sûr que ce n'est pas un problème d'installation/compatibilité du driver, mais un problème de règles est de:
- décocher le lancement automatique de Look 'n' Stop au démarrage de Windows
- redémarrer l'ordinateur.

Si vous réinstallez Look 'n' Stop, vous pouvez décocher la case de démarrage automatique dans les options d'installation, et au 1er redémarrage, vous verrez si le site en question marche ou non (sans avoir eu aucun blocage, mais juste le driver installé).

Cordialement,

Frédéric

 

J'ai donc réinstallé LnS, sans lancement automatique. Je réamorce...

Sans LnS : aucun problème sur whatismyv6.com.

Je lance LnS : je réponds ou aux demandes d'autorisation de logiciels (Firefox,Java...)

Il se confirme que je n'ai accès à aucun site IPv6 dans Firefox ! Ni ipv6.google.com, ni www.kame.net... ("La connexion a échoué
Firefox ne peut établir de connexion avec le serveur à l'adresse ipv6.google.com"), ni la tortue dansante de Kame, je l'avais cru voir hier mais elle provenait sans doute du cache local, ce qui m'avait trompé!

Ping6 également est cassé :

>ping6 www.kame.net
Pinging www.kame.net [2001:200:0:8002:203:47ff:fea5:3085] with 32 bytes of data:
No route to destination.

Ah, voyons :

>ipv6 rt
2001:470:1f0b:69a::/64 -> 3 pref 1 (lifetime 2590837s)
::/96 -> 2 pref 0 (lifetime infinite)

Bien, voilà, ma route par défaut s'est envolée!!!
Peut-être parce que LnS bloque les avertissments de mon routeur ? Il faudrait sans doute ajouter des règles appropriées.

A suivre... J'attends vos suggestions ! Je ne sais pas comment vous copier/coller le journal ou les règles de filtrage.

 

Faisant suite... Après avoir autorisé les ICMPv6 de code 135 et 136 (router & neighbor advertisement) et TCP/IP6 port 80, cela fonctionne :=)

Evidemment les règles devraient être affinées et complétées, ce n'est pas un mince travail : il me semble que le FW devrait être livré avec un jeu de règles adapté préconfiguré pour IPv6(au moins optionnellement). Un tel jeu se trouve peut-être disponible sur votre site ?

Malgré tout, je constate que LnS a ce qu'il faut pour fonctionner avec IPv6 et vous exprime ma sincère admiration pour votre travail !

 

Ok, merci pour cette suite favorable.

Effectivement les paquets ICMPV6 de type 135 et 136 doivent bien être ajoutés, et il y avait bien eu déjà un post à ce sujet:
https://www.wilderssecurity.com/showthread.php?t=215310

C'est un oubli dans la 2.07b1, qui sera réparé dans la prochaine version (soit 2.07b2, soit officielle 2.07).

Il est possible que les types 133 et 134 soient également nécessaires.

Par contre, vous n'auriez pas du avoir besoin de créer une règle spécifique "TCP/IP6 port 80", la règle existante "TCP : Autorise les services Internet Standards." aurait du être suffisante. Quels sont les paquets bloqués si la règle que vous avez ajoutée n'est pas présente ?

Cordialement,

Frédéric

 

C'est même certain, et il y en a d'autres : en IPv6 bien davantage qu'en IP, ICMP joue un rôle fondamental et ne peut plus être filtré négligeamment.

Le lien suivant est assez intéressant pour que je me permette d'en suggérer la lecture :
http://ipv6.niif.hu/m/IPv6firewallsandSecurity?action=AttachFile&do=get&target=6net_ipv6security.pdf

Eh! bien, il me semble que je ne pouvais pas "naviguer" vers les sites v6 avant d'avoir ajouté cette règle.

Ce sera à revoir, mais avec votre permission, j'attends la version révisée avant de m'impliquer dans des tests approfondis - non que cela ne m'intéresse, mais le temps hélas fait défaut!

 

Bonsoir,

Voir ce nouveau fil de discussion, qui propose les règles ICMPV6:
https://www.wilderssecurity.com/showthread.php?t=254085

Merci pour le lien sur le doc .pdf qui indiquait clairement les paquets ICMPV6 à autoriser absolument pour que ça marche. J'ai suivi à la lettre

Cordialement,

Frédéric

 

> https://www.wilderssecurity.com/showthread.php?t=254085

Merci, Frédéric ! Je vais tâcher de trouver le temps d'essayer ces règles le ouiquinde prochain.

Je reviendrai rendre compte des dégats\\\\\\ résultats :=)

 

Petite question stupide sans doute, mais c'est pour gagner du temps :
j'ai téléchargé le jeu additionnel de rèles ICMPv6.rie. Comment fait-on pour importer ces règles et les ajouter au jeu existant ?

J'ai essayé "fitrage internet"/"charger", mais ça ne connaît que les fichiers .rle,
je ne dois pas être à la bonne porte !

 

C'est le bouton "Importer" qui sert à... importer

Les fichiers de règles à importer sont de .rie
Les fichiers de règles à charger sont des .rls

Cordialement,

Frédéric

 

Oups... c'est logique en effet, mais je ne l'avais pas trouvé ce bouton !

Voilà, ça roule, test en cours. A première vue, le browser fonctionne,
[Ajout:] Ouh là, il manque beaucoup de choses. Impossible de pinguer par exemple...[fin d'ajout]

j'ai bien quelques paquets ICMPv6 "address unreachable" (type 1 code 3) en provenance du routeur, bloqués et journalisés, je ne pense pas que ce soit à considérer comme une erreur ni qu'il faille les débloquer - qu'en pensent les lecteurs ? Il est étrange qu'il y ait si peu d'échanges à propos d'IP6, il faudrait que les gens se réveillent !!!

A plus tard...

 

Bonjour Frédéric,

Voilà, j'ai un petit soucis d'IPV6 /

Je possède une freebox, lorsque je passe en protocole ipv6 et que je lance IE8, Google se lance au bout d'environ 20 secondes et entre temps le petit poussin dans la barre des tâches s'existe 4 ou 5 fois avant de me donner la connexion.

J'ai pourtant importé le jeu de règles évolués qui comporte l'ipv6, mon installation est fraîche et je tourne sur la 2.07 finale.

Si je désactive la prise en charge du protocole ipv6 de la freebox, tout roule.

J'ai vu qu'il y avait des règles IPV6 que l'on pouvait aussi intégrer, normalement elles sont incluses dans le jeu de règles évolué de la 2.07.


Merci pour vôtre aide

Cordialement,

Rules.

 

Bonjour,

Est-ce que le journal de Look 'n' Stop montre des blocages particluiers quand ce problème survient ?

Est-ce qu'en désactivant le filtrage internet dans Look 'n' Stop, le problème disparait ?

Merci,

Frédéric

 

Bonjour

Je dispose aussi d'une freebox que je viens de paser en IPv6
J'utilise la version 2.07 avec les règles évoluées (installation propre sous win7)

seul google est inaccessible et, j'ai ceci dans le journal

27/12/09,12:05:59 U-51 'TCP : Bloque tous les au' 2a00:1450:8006::93 TCPV6 Ports Dest:80 Src:49516
27/12/09,12:06:11 U-52 'TCP : Bloque tous les au' 2a00:1450:8006::69 TCPV6 Ports Dest:80 Src:49518
27/12/09,12:06:14 U-53 'TCP : Bloque tous les au' 2a00:1450:8006::69 TCPV6 Ports Dest:80 Src:49518

si je crée une règle avec un clic droit "autoriser le port 80 client", google fonctionne

la règle autorisant l'internet standard semble ne pas autoriser les sites IPv6

Il est aussi possible dans la règle autorisant l'internet standard de change "mon adresse ip" (192.168.0.2) en "toutes"

 

Bonjour,

Dans ce cas, il semble que soit la détection de l'adresse IPV6 qui pose problème.
Est-ce que l'adresse IPV6 affichée dans l'onglet d'accueil correspond bien à votre adresse ?
Quand vous éditez la règle internet standard, il est aussi possible de vérifier l'adresse IPV6 en cliquant sur "..." juste à droite du champ adresse IP. Est-elle correcte aussi à cet endroit ? (quand la sélection est sur "égale mon @") ?

C'est curieux que seul le site google soit impacté. Est-ce c'est bien ce que vous vouliez dire ?

Cordialement,

Frédéric

 

Bonjour Frédéric

J'ai un début de réponse
En faisant un ipconfig, Windows me donne deux IPv6
Une nommé "Adresse IPv6" et l'autre "Adresse IPv6 temporaire"

En page d'accueil, c'est la première qui est détectée pour le "égal mon @" je ne voit que la partie qui est commune aux 2 IP donné par windows

J'ai trouvé ce site http://www.myipv6.org/ qui me donne mes IP (v4 et v6)
Pour l'adresse IPv6, il me donne la temporaire

Pour ce qui est de google, c'est peut être le seul site que je fréquente qui fonctionne en ipv6

Merci

 

Pour les adresse ipv6, j'ai fait des test grâce à se site : http://www.ipv6.org/v6-www.html

Si je laisse "égale mon @" rien ne fonctionne par contre si je remplace par "égale" et que je saisie l'IPv6 temporaire , tout est OK

J'ai donc édité toutes les règles pour remplacer au besoin le "égale mon @" en "égale" avec l'IPv6 temporaire

Peut être une particularité Free ?

 

Mauvaise nouvelle, aujourd'hui mon IP temporaire à changé donc ma solution précédente n'est pas bonne

 

Est-ce que cela voulait dire que les 2 adresses IPV6 se ressemblent ?
Et donc quand l'adresse IPV6 temporaire change, seule une partie de l'adresse change.
Si oui, avec un masque, il est sans doute possible de s'en sortir.

Cordialement,

Frédéric

 

Bonjour

Oui, les 2 adresses ont les 4 premiers "bloc" en commun

Merci de votre aide

 

Dans ce cas, si ces 4 blocs sont fixes, il suffit de faire un masque dessus.
Par exemple si IPConfig donne un truc du style:
Adresse IPv6: FE80::1111:2222:3333:4444
Adresse IPv6 temporaire: FE80::1111:2222:3333:5555

Choisir 'Masque' pour le critère (au lieu de 'Egale') et mettre:
FE80::1111:2222:3333:0000
FFFF::FFFF:FFFF:FFFF:0000

Cordialement,

Frédéric

 

Je suis un peut perdu

Récap

1/ Mon ipv6 est du type aaaa:bbb:cccc:dddd:eeee:ffff:gggg:hhhh
2/ Mon ipv6 tempo est aaaa:bbb:cccc:dddd:www:xxxx:yyyy:zzzz
3/ ipv6 de liaison local fe80::1111:2222:3333:4444%14

Si "égal mon @" est 1/ HS
Si "égal" est 2/ OK mais wwww:xxxx:yyyy:zzzz change

"Mon masque" est : ?

Merci

 

Il suffit de mettre le masque (les FF) sur les parties identiques, donc en l'occurence le masque doit être FFFF:FFFF:FFFF:FFFF:0000:0000:0000:0000
(ou en abrégé FFFF:FFFF:FFFF:FFFF:: ).

Cordialement,

Frédéric