Configuration d'un EdgeRouter 4 pour fibre optique Free

Voici ma configuration de routeur Ubiquiti Edgerouter-4 en fibre optique chez Free, avec IPv4 full stack et IPv6. Ceci ne configure que internet, pas la télévision ni le téléphone.

Fonctionnement de base, IPv4 :

D'abord, on configure l'interface interne du routeur, c'est-à-dire côté LAN. Dans mon cas j'ai choisi eth1.

interfaces {
    ethernet eth1 {
        address 192.168.1.254/24
    }
}


Côté WAN maintenant :
Chez Free, internet passe sur le VLAN 836. Le VLAN 835 est réservé aux services, notamment la télévision. Il faut donc configurer ce VLAN, sous forme d'une sous-interface (de eth3 dans mon cas). Côté adressage IPv4, Free fait tout simplement du DHCP. On a donc la configuration suivante :

interfaces {
    ethernet eth3 {
        description eth3-sfp
        vif 836 {
            address dhcp
            description internet
        }
    }
}


Une petite chose importante à ajouter : le NAT. On pense à le faire sur la sous-interface, et non sur eth3.

service {
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth3.836
            type masquerade
        }
    }
}


Le temps d'appliquer la configuration et le WAN récupère une IPv4, on a accès à internet. On a des étoiles dans les yeux, mais ce n'est pas fini !
La partie plus difficile concerne IPv6.
Dans mon cas, IPv6 est transporté sur IPv4 au moyen d'un tunnel 6rd. Ce mécanisme est géré nativement par l'OS, mais il se trouve que son implémentation est boguée. Il sera donc impossible de joindre *en IPv6* les adresses de votre sous-réseau IPv4. Oubliez donc le peer-to-peer avec votre voisin en IPv6.

Quelques petites choses à savoir :

  • À ma connaissance, le préfixe 6rd est le même chez tous les abonnés Free : 2a01:e30::/28
  • La gateway 6rd chez Free est à l'adresse 192.88.99.101
  • Il faut connaître votre IPv4 et votre préfixe IPv6 (en principe un /64), disponibles sur votre compte Freebox.


Je crée donc une interface tun0 avec tous ces paramètres. Je lui affecte la première IPv6 disponible, avec un masque de /128.

interfaces {
    tunnel tun0 {
        6rd-prefix 2a01:e30::/28
        6rd-default-gw ::192.88.99.101
        address <Préfixe IPv6>::1/128
        description "IPv6 6rd tunnel"
        encapsulation sit
        local-ip <IPv4>
        mtu 1480
        multicast disable
        ttl 64
    }
}


Facile, non ?
Il faut ensuite configurer l'interface LAN. Je lui affecte l'adresse IPv6 avec le bon masque cette fois-ci. Puis, important, il faut activer le router advertisment pour prévenir les machines du LAN qu'IPv6 est désormais disponible !

interfaces {
    ethernet eth1 {
        address <Préfixe IPv6>::1/60
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 1480
                managed-flag false
                max-interval 600
                name-server 2001:910:800::12
                name-server 2001:910:800::40
                other-config-flag false
                prefix <Préfixe IPv6>::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
    }
}


Pas besoin de NAT en IPv6, mais il est fortement recommandé de bloquer le trafic entrant !

interfaces {
    tunnel tun0 {
        firewall {
            in {
                ipv6-name WANv6_IN
            }
        }
    }
}
firewall {
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
    }
}

La discussion continue ailleurs

URL de rétrolien : http://www.leslamas.net/index.php?trackback/94

Fil des commentaires de ce billet