Bonjour,
1. Hypothèse la plus probable : absence de route de retour pour les préfixes délégués
C'est le bug le plus fréquent sur les CPE grand public avec DHCPv6-PD. Le flux est le suivant :
Hôte (préfixe délégué /64) → routeur downstream → Bbox → Internet
↓
Internet → Bbox → ??? (la Bbox ne sait pas où envoyer)
La Bbox reçoit bien le /56 ou /60 de Bouygues Telecom, mais au moment où elle délègue un sous-/64, elle devrait installer une route de retour (ip6route add <prefix_délégué>/64 via <link-local_du_routeur_downstream>). Beaucoup de firmwares CPE implémentent DHCPv6-PD côté serveur mais omettent l'injection de route statique côté table de routage interne. Résultat : le trafic retour arrive sur la Bbox (qui connaît le /56 global) puis est blackholé faute de route plus spécifique vers le downstream.
Test de confirmation : Si tu as accès à l'interface de debug de ton routeur downstream, vérifie si la Bbox répond au NDP (Neighbor Discovery) pour les adresses de ton /64 délégué. Si elle répond par un "Neighbor Advertisement" pour des adresses qui ne lui appartiennent pas, elle fait du NDP proxy mal configuré — autre piste ci-dessous.
2. uRPF strict — hypothèse valide mais sur le mauvais sens
Le uRPF strict sur l'interface WAN de la Bbox filtrerait le trafic entrant depuis Internet dont la source ne correspond pas à une route connue via cette interface. Il n'affecte pas directement le routage du trafic retour vers les préfixes délégués. Cela dit :
Si Bouygues Telecom applique du uRPF strict côté BAS (réseau d'accès), ton trafic sortant avec comme source une adresse de préfixe délégué non annoncé dans la table de routage de l'opérateur pourrait être droppé à l'entrée du réseau BT, avant même d'atteindre Internet. Ce serait visible : le ping sortirait mais l'echo reply n'arriverait jamais, même si le hop internet cible n'a aucune raison de refuser.
Bouygues Telecom utilise effectivement du filtering anti-spoofing, et si la Bbox n'annonce pas les préfixes délégués en amont (pas de BGP évidemment, mais pas de mécanisme équivalent en DHCPv6 relay/signaling vers le BAS), le BAS peut considérer les sources depuis tes /64 délégués comme du spoofing.
3. Le cas NDP Proxy mal géré
La Bbox a son propre /64 sur le LAN (SLAAC/EUI-64 pour ses interfaces). Si le firmware implémente un NDP proxy pour les préfixes délégués (au lieu de vraies routes), il y a une race condition classique :
Les sollicitations NDP (Neighbor Solicitation) pour les adresses des préfixes délégués arrivent sur la Bbox
La Bbox fait un proxy NS vers ton routeur downstream
Mais la réponse NA prend trop de temps ou le proxy n'est pas bidirectionnel
Le trafic retour est droppé par timeout NDP
Indice dans ta description : tu mentionnes que la Bbox a des IPv6 publiques interne et externe différentes — c'est cohérent avec une Bbox qui gère son propre /64 de façon isolée et fait du proxy pour le reste plutôt que du routage pur.
4. La limitation à 3 PDs comme indice
La limite de 3 PDs n'est pas un hasard — c'est probablement hardcodé dans le firmware et correspond à une implémentation partielle. Cela suggère que le DHCPv6-PD est une feature ajoutée "par-dessus" un stack IPv6 non conçu pour le routage hiérarchique. Ce type d'implémentation a tendance à avoir exactement le genre de bug de route de retour décrit en §1.
Plan de diagnostic :
1. Sur ton routeur avec contrôle total :
- tcpdump -i <wan_if> -vvv icmp6
- Vérifie si l'echo reply ARRIVE sur l'interface WAN du routeur
→ Si oui : problème firewall/routage local (peu probable vu tes tests)
→ Si non : le problème est en amont (Bbox ou BAS BT)
2. Sur l'interface WAN du routeur, sniffe NDP :
- tcpdump -i <wan_if> -vvv 'icmp6 and (ip6[40] == 135 or ip6[40] == 136)'
- La Bbox fait-elle des NS vers tes adresses délégúees ?
- Si oui → NDP proxy actif → route de retour absente côté Bbox
3. Test de contournement :
- Essaie de configurer une route statique sur la Bbox si l'interface le permet
- Ou active un tunnel 6in4 pour isoler le problème Bbox vs BAS
4. Teste avec un préfixe /64 délégué vs ton propre /64 LAN de la Bbox :
- Depuis un hôte sur le /64 "natif" de la Bbox, le ping6 externe fonctionne-t-il ?
- Si oui : confirme que le problème est spécifique aux préfixes délégués
Hypothèse :
Le problème est très probablement une combinaison de §1 et §2 : la Bbox n'installe pas les routes de retour pour les PDs, et Bouygues Telecom filtre côté BAS les sources depuis des préfixes non signalés. C'est un bug firmware connu sur les Bbox (et d'autres CPE opérateurs) : DHCPv6-PD "fonctionne" côté délégation descendante, mais le chemin retour n'est jamais correctement établi parce que le CPE n'implémente pas la partie "delegating router routing table management" du RFC 3633/8415.
Le seul truc enervant reste la limitation a 3 PDs alors qu'on pourrait en avoir 15 !
