WiFi et Routeur ⇒ Bbox Sagem 5330b et DHCPv6

[Xeryus]

Bonjour à tous,

Je suis équipé d'une Bbox Sagemcom 5330b, avec IPv6 activé depuis mi-décembre environ.
Sur mon LAN, j'ai 2 serveurs DHCP en mode failover (ISC DHCP Server, en DHCPv4 et DHCPv6) et 2 serveurs DNS (Pi-hole, en dual stack).
Sur ma Bbox, les DHCPv4 et DHCPv6 sont désactivés.
Le serveur DHCPv6 de mon LAN ne me sert que pour diffuser les adresses IPv6 de mes DNS.

En faisant un Wireshark sur une machine dont je désactive/réactive l'interface réseau, je constate :
1/ Un multicast DHCPv6 Information Request émis par ma machine
2/ Une réponse DHCPv6 Reply de mon serveur DHCPv6 avec les adresses IPv6 de mes DNS
3/ Une réponse DHCPv6 Reply de ma Bbox avec son adresse IPv6 comme serveur DNS !

Je n'ai pas envie d'installer un routeur entre ma Bbox et mon LAN et faire de la délégation de préfixe pour bloquer le Reply DHCPv6 de ma Bbox.
Constatez vous le même phénomène de votre côté ?
Comment régler ce problème ?

Merci d'avance de vos retours !

[ToFoo93]

Hello

par défaut tu sais, on ne peut pas désactiver les DNS qui prennent le dessus pour la box cependant j'ai besoin de savoir si ta configuration est utilisée que pour le DHCPv6 ou bien aussi le v4 et ton retour serait donc un OK sur le V4 mais Nok sur le V6 pour le même service/configuration demandé ?

car normalement tu dois avoir le même résultat en DHCPv4 et v6

Cdt

[Xeryus]

Merci pour ton retour.

En IPv4, mes clients sont correctement configurés puisqu'ils n'ont que les 2 IP de mes propres serveurs DNS.
Lorsqu'un client envoie son DHCP Request, la Bbox renvoie un DHCP NAK puis sort des échanges (cf PJ).

En IPv6, la Bbox (341c) envoie un DHCP Reply avec son adresse IPv6 comme DNS (cf PJ).
Vu des clients, j'ai 3 DNS IPv6 : mes 2 DNS internes et la Bbox (cf PJ).

Du coup, certaines requêtes IPv6 passent au travers de mes Pi-hole, et ce n'est pas le but

[ToFoo93]

Ok merci pour ton retour

je vais informer les équipes de ce point, pour qu'ils lancent une analyse au cas où ils n'auraient pas déjà vu le sujet.

[Xeryus]

[ToFoo93]

Hello,

Alors j'ai déjà un retour, ça n'est pas une anomalie mais bien un comportement prévu par l'ingénierie pour l'auto configuration ("SLAAC" – RFC 4862) et la réponse de l'iAD correspond à la norme RFC 3315.

Je peut comprendre que dans ton cas ça puisse être gênant, mais il ne va pas être possible de modifier cet élément.

NB: Le bouton DHCPv6 de l'IHM activable par le client permet de passer à la version avec états de DHCPv6 (il existe deux versions de DHCPv6: avec et sans états, d’où la confusion possible):
les mêmes préfixes sont exigés mais les adresses sont acquises et gérées via un serveur DHCPv6 au lieu d'être assignées de façon aléatoire.


Cdt

[Xeryus]

Bonjour,

Merci d'avoir pris le temps de chercher ces éléments !
Voici ma compréhension du sujet...

Pour l'auto-configuration (stateless), le message Router Advertisment envoie évidemment le préfixe pour que les devices configurent une IPv6 dans le bon range, mais comme le DNS est un élément indispensable d'un réseau, le RA contient également le DNS (RFC 6106).

Le message RA de la Bbox contient les options M=0 (managed=0, donc chaque device doit se débrouiller pour se choisir une IPv6) mais envoie l'option O=1 (other=1, donc des infos complémentaires peuvent être distribuées aux devices par un serveur DHCP). Donc la Bbox autorise bien à ce qu'un serveur DHCP puisse être utilisé en IPv6.

Et mes serveurs DHCPv6 envoient mes adresses de DNS internes, mais ne fournissent pas d'IPv6 aux clients puisqu'ils sont en auto-configuration (stateless).

Donc, les clients de mon réseau devraient avoir appris :

• l'adresse IPv6 du DNS Bbox par le message RA (et uniquement par ce message)

• les adresses IPv6 de mes DNS internes par le message DHCPv6 Reply

Et cette situation n'est pas problématique, malgré les apparences, puisque la RFC prévoie justement le cas d'informations DNS comprises à la fois dans le message RA et dans le message DHCP Reply, avec un ordre prioritaire d'appels des DNS issus du DHCP puis celui/ceux du RA :

The DNS options from Router Advertisements and DHCP SHOULD be stored into the DNS Repository and Resolver Repository so that information from DHCP appears there first and therefore takes precedence.

Sauf que la Bbox répond aussi aux requêtes DHCPv6 de mes clients, avec dans le DHCP Reply son adresse IPv6 comme adresse de DNS récursif. Et dans ce cas, ça met la grouille puisque ce DNS est dans les DNS prioritaires.

J'ai constaté que, parfois, mes postes clients internes ne peuvent plus se connecter sur mes serveurs internes, que j'appelle via des noms de machines pour m'y connecter simplement en IPv6 de bout en bout, parce que c'est le résolveur de la Bbox qui est appelé et qu'il ne connait évidemment pas mes machines !

La Bbox est par défaut dans une configuration stateless et ne devrait pas, de mon point de vue, répondre aux messages DHCP Message Request.

A+

[ToFoo93]

je suis pas sur à 100%, mais de ce que j'ai compris c'est que ton problème est lié au choix d'ingénierie qui a été fait et que sur un usage grand public ça ne pose pas de contrainte.

Après je peut pas en dire beaucoup plus y'a des questions de confidentialité que je ne peut exposer.

Sache que j'ai fait un retour sur un point très précis pour m'assurer qu'au delà de ce qui est exposé qu'on n'ait pas une ano de comportement lorsqu'on m'a fourni le retour.

Si un point devait évolué je l'indiquerai sur le fil.

[nemes]

Bonjour,

Je découvre ce forum en ayant préalablement cherché une solution aux mêmes symptômes que Xeryus (donc bonjour tout le monde).
J'utilise depuis longtemps un serveur DHCP + DNS custom en IPV4 en remplacement du DHCP / DNS de ma box Fast5330b-r1, et depuis l'arrivée de l'IPV6 sur la box Bouygues, je n'ai pas pu stopper les annonces DHCP6 (et l'annonce du DNS6 de la Box, qui court-circuite le DNS de mon réseau).
Est-ce qu'il y a une solution logicielle sur la box à mettre en oeuvre (en dehors de remplacer la box par un routeur administrable, type MikroTik) ?

[Xeryus]

Hello,

Je ne pense pas qu'il y ait de solution avec la bbox seule en tête de réseau, et au contraire, je pense que la réponse au DHCP Request v6 est voulue par design. Pour un usage "grand public", le RA suffit puisqu'il contient l'adresse IPv6 du DNS, donc je ne vois pas en quoi ce serait un argument de bon fonctionnement en IPv6 du réseau. Mis à part entraver l'utilisation de serveurs DNS locaux au LAN (avec tous les avantages que cela procure...), je ne vois pas...

Tôt ou tard je vais ajouter un Dream Router derrière la bbox pour tout filtrer et gérer moi-même (je n'utilise déjà plus le Wi-Fi de la bbox pour un AP en propre).

Mais je suis preneur de suggestions si tu te lances dans des pistes de contournements !

Cdt,