Délégation de préfixe IPv6 limitée a 3 /64 sur Bbox WiFi 7 - NoPrefixAvail au delà

[Waldo]

Bonjour,

Je suis client Bbox WiFi 7 (XGS-PON) et je cherche a obtenir la délégation de préfixe IPv6 dans son intégralité, c'est-a-dire 15 des 16 sous-réseaux /64 disponibles dans mon /60, le seizième étant légitimement utilisé par la Bbox pour son propre LAN.

Contexte

L'interface de la Bbox propose un menu de délégation de préfixe IPv6 dans Réglages avancés > DHCP IPv6, avec 4 options : Auto, 1, 2 et 3. Soit 3 préfixes délégables manuellement, ce qui est insuffisant au regard du /60 alloué.

Tests effectués

Afin de comprendre le comportement réel de la Bbox, j'ai utilisé Scapy pour envoyer des requêtes DHCPv6-PD directement depuis un PC connecté en LAN Bbox, en simulant des équipements distincts via des DUID différents, et en confirmant chaque bail via le cycle complet Solicit, Advertise, Request, Reply. Le tout sans avoir alloué de préfixes manuellement (Seul le mode auto était actif)

Résultats :
- La Bbox alloue systématiquement des /64 quel que soit le hint de taille demandé, le hint est ignoré
- Elle alloue exactement 3 préfixes distincts maximum
- Au-delà de 3 baux confirmés, elle répond NoPrefixAvail, preuve que son pool DHCPv6 interne est limité a 3 entrées
- Les 12 préfixes restants du /60 sont à priori routés vers ma ligne mais totalement inaccessibles (Côté interface Bbox je vois bien qu'un préfixe en /60 m'est alloué)

Question

Est-il possible d'étendre ce pool au-delà de 3 entrées ? Y a-t-il une configuration ou un firmware à venir qui permettrait d'accéder a l'intégralité du /60 ?

Merci d'avance.[/size]

[Melec]

Bonjour,

Test fascinant avec Scapy. Cela confirme clairement que la restriction à 3/64 provient de la Bbox elle-même et non de ta configuration. Selon moi, le firmware est limité, donc il n'y a pas grand-chose à faire pour le moment...
J'ai observé une situation similaire, et l'unique solution envisageable était de recourir à un routeur secondaire (plus performant en wifi / réseau) afin d'améliorer la gestion du LAN, malgré l'ajout de matériel électrique.

On verra si une mise à jour résout cela, mais je reste sceptique à court terme.

[ToFoo93]

Bonjour,

Merci pour ton post, j'ai partagé ton retour à nos équipes sur ce sujet.

Penses à compléter ton profil avec numéro client en complément (dispo sur facture Bbox) qui pourra m'être demandé par l'ingénierie.

Bonne journée

[ToFoo93]

Bonjour,

Vous pouvez décrire le besoin derrière cette demande ?

Merci

[Lesaf24]

Bonjour ToFoo93,

Pour préciser le besoin de manière détaillée, voici un cas d'usage concret d'une architecture domestique sécurisée standard, ainsi que les limitations protocolaires induites par la restriction actuelle de la Bbox.

Le cas d'usage : Segmentation de sécurité (VLANs)
Une configuration réseau moderne et sécurisée impose le cloisonnement des flux afin de réduire la surface d'attaque. Cela se traduit par la création de plusieurs réseaux locaux virtuels (VLANs) distincts sur un routeur grand public avancé (sous OpenWrt par exemple) :

• VLAN LAN : Équipements de confiance (ordinateurs, serveurs de stockage).
• VLAN Guest : Accès internet isolé pour les invités.
• VLAN Home Automation : Serveurs et passerelles de domotique locale.
• VLAN IoT Offline : Objets connectés n'ayant pas besoin d'accès WAN mais devant communiquer localement.
• VLAN Printers : Périphériques d'impression partagés.

Ce modèle nécessite au minimum 5 segments réseaux distincts.

L'intérêt fondamental de la délégation : Permettre SLAAC
En IPv6, l'abondance d'adresses n'est pas le sujet ; c'est la structure du routage qui importe. L'intérêt unique de la délégation de préfixe (DHCPv6-PD) est de fournir à chaque segment un bloc distinct de taille /64.

Cette taille précise est la condition sine qua non pour faire fonctionner le protocole SLAAC (Stateless Address Autoconfiguration, RFC 4862), qui est le mécanisme natif, standard et universel d'attribution d'adresses en IPv6.

Les alternatives en cas de blocage (et pourquoi elles dysfonctionnent)
Si la Bbox refuse de déléguer plus de 3 préfixes /64, un administrateur réseau est contraint de recourir à des mécanismes de contournement dégradés :

1. Le relais / Proxy NDP (Neighbor Discovery Protocol) :
   Consiste à étendre le même unique préfixe /64 de la Bbox sur plusieurs VLANs derrière le routeur secondaire.
   Problème : C'est une solution complexe et fragile. Elle nécessite de relayer les paquets de découverte de voisins (sollicitation/annonce) entre les segments. Cela brise l'isolation stricte de niveau 3 entre les VLANs et génère une instabilité chronique dans les tables de routage des équipements.
2. Le sous-découpage inférieur au /64 (ex: découper un préfixe en /80) associé à du DHCPv6 Stateful :
   Problème : Incompatibilité majeure. De nombreux systèmes d'exploitation (au premier rang desquels Android, l'écosystème Google/Pixel et de multiples objets connectés) refusent catégoriquement le protocole DHCPv6 et exigent exclusivement SLAAC. Utiliser un sous-réseau plus petit qu'un /64 casse définitivement la connectivité IPv6 de ces appareils.
3. Le NAT66 ou NPTv6 (Network Prefix Translation, RFC 6296) :
   Utiliser des adresses locales privées (ULA) sur les VLANs et effectuer une translation vers l'unique préfixe global fourni par la Bbox.
   Problème : Cela détruit le paradigme fondamental de l'IPv6 qui repose sur la connectivité directe de bout en bout (end-to-end) sans altération des en-têtes. Cela réintroduit de la rétention d'état (stateful), de la charge CPU sur le routeur et s'oppose à l'architecture native du protocole.

L'expérimentation technique réalisée : Échec de l'allocation sous la limite théorique
Face aux premiers blocages, j'ai volontairement dégradé mon architecture pour me conformer aux limitations apparentes de la Bbox. Je me suis contenté de limiter mes requêtes DHCPv6-PD à seulement 3 préfixes.

Cependant, même dans cette configuration restreinte, le routeur OpenWrt ne parvient à récupérer aucune délégation fonctionnelle. J'ai systématiquement testé plusieurs approches :

• Une allocation purement dynamique gérée par le serveur DHCPv6 de la Bbox.
• Le forçage d'une adresse IP fixe et l'assignation manuelle des délégations depuis l'interface d'administration de la Bbox.

Dans tous les cas, le résultat reste nul. L'analyse protocolaire confirme que mon interface émettait bien les requêtes DHCPv6 (Solicit/Request), mais la Bbox restait muette, ne renvoyant aucun message Advertise ou Reply en réponse. Le problème dépasse donc la simple restriction du nombre d'allocations (le fameux "NoPrefixAvail" observé précédemment) et met en évidence une incapacité chronique de la Bbox à gérer correctement la délégation DHCPv6-PD vers un équipement tiers, même pour un besoin minimaliste.

J'ai du mal à comprendre la logique de l'ingénierie Bouygues : un bloc /60 offre nativement 16 préfixes /64, ainsi brider logiciellement la Bbox à 3 allocations empêche toute implémentation propre et standardisée d'un réseau domestique sécurisé, alors même que les ressources d'adressage sont bien présentes sur la ligne de l'abonné.

En espérant que ce diagnostic précis permette une évolution du firmware.

Cordialement,