[Général] Proximus: Proximus bridge

[denisfrombe]

Bonjour a tous,

j'ai un router opnsense derriere deux ISP; Voo et Proximus(dsl).
Je souhaite terminer mon setup opnsense avec mes deux ISP redondants. (voo est primary)

[Situation aujourd'hui]
Cote VOO (mode bridge);
- IPv4: IP publique correctement recue sur mon Opensense pour son interface WAN
- IPv6: IPv6 /128 recue correctement sur mon Opensense pour son interface WAN + un /64 Prefix-Deleguation

Cote PXM (mode router);
- IPv4: NAT vers le subnet LAN de la bbox (192.168.1.0/24). Donc double NATing pour sortir sur internet
- IPv6: Pas de DHCPv6-PD possible avec ce setup, et je n'ai pas configure d'ULA cote LAN. Donc actuellement pas d'IPv6 fonctionnel

Cote LAN;
- IPv4: 10.0.0.0/24
- IPv6: DHCPv6-PD depuis VOO actuellement

Le but etant de finaliser le setup cote Proximus afin d'avoir ma gateway publique directement sur mon opnsense. Je ne suis pas contre le double nat en IPv4 honnetement, ca fonctionne. Mais ce qui m'embete plus c'est de ne pas avoir d'IPv6 operationnel avec ma gateway Proximus en cas interruption de Voo.

De ce que j'ai pu lire, je ne peux pas vraiment passer ma bbox 3 en mode-bridge comme celle de VOO, mais je devrais apparemment deplacer mon subnet LAN de la bbox vers autre chose que 192.168.1.0/24. Suite a ca, je pourrais placer mon interface WAN (opensense) dans le vlan 20, et contruire mon point-to-point pppoe directement sur mon opnsense. Est-ce que quelqu'un peut me confirmer la maniere de faire ?

site to jpg

[Rodrigue]

ta oublié lan = igb3 bordel ^^

[denisfrombe]

ta oublié lan = igb3 bordel ^^

Good catch! Mais l'if LAN est igb0

[Unix-Linux]

On sait mettre la bouse3 en mode bridge apparemment. et heureusement car avoir un WAN chez voo et un LAN chez proxibrol, je ne sais comment pfsense va le gérer ou alors avec du cascading ?

==> Comment configurer ma B-box 3 en mode bridge

[denisfrombe]

On sait mettre la bouse3 en mode bridge apparemment. et heureusement car avoir un WAN chez voo et un LAN chez proxibrol, je ne sais comment pfsense va le gérer ou alors avec du cascading ?

==> Comment configurer ma B-box 3 en mode bridge

C'est un design tout à fait valable et logique. Avec deux gateways vers deux ISP, c'est juste que l'ISP A (voo) est routé sur une IP publique à la sortie de mon Opnsense, et que l'ISP B (proximus) est naté vers le subnet LAN de la bbox. A part la limiton IPv6 côté Pxm en mode router, c'est un setup correct.

Je vais tenter votre guide. Merci !

[Unix-Linux]

Valable, oui. Logique : pas tout à fait (de mon point de vue) puisqu'il y a du cascading en LAN direction le LAN de la bousebox.

En IPv6, à partir du moment où c'est routable, il n'y a aucun soucis, mais en IPv4 en LAN avec du cascading, c'est encore du NAT à configurer etc...

Donc si la bousebox n'est pas en bridge, OPNsense se retrouver en failover ou load balancing avec d'un coté le WAN de voo de l'autre le LAN de proxibrol

Edit : OPNSense behind ISP router - double NAT?

[Kiwi9428]

Si le mode bridge de la bousebox ne marche pas, vous pouvez cherchez des amod 3 et 4 d’occasion qui ne font que modem (c’est des modems VDSL Proximus qui sont vendues aux OLO).

[denisfrombe]

Valable, oui. Logique : pas tout à fait (de mon point de vue) puisqu'il y a du cascading en LAN direction le LAN de la bousebox.

En IPv6, à partir du moment où c'est routable, il n'y a aucun soucis, mais en IPv4 en LAN avec du cascading, c'est encore du NAT à configurer etc...

Donc si la bousebox n'est pas en bridge, OPNsense se retrouver en failover ou load balancing avec d'un coté le WAN de voo de l'autre le LAN de proxibrol

Edit : OPNSense behind ISP router - double NAT?

En fonction des use-cases, un double nat n'est pas forcément mauvais. Avant de commencer à passer mes box en bridge, j'avais mon double-nat vers VOO ou PXM (les deux failover de l'autre) et ça fonctionne très bien.
D'ailleurs, les ISP qui font du CGN ajoutent également une couche de nating avant de sortir vers internet (ex; en assignant les router client en 10.x.x.x).
Par contre, encore une fois, la limitation est pour l'IPv6 car un mon firewall ne pouvait pas réclamer un prefix IPv6 à déléguer vers mes endpoints derrière un autre réseau.

Mais bon, je voulais aussi updater ce poste pour dire que j'ai réussi à passer la bbox3 en mode bridge egalement avec votre lien @Unix-Linux. J'ai donc simplement désactivé le PPPoE dans la box, et je l'ai créé dans mon Opnsense.
Avec les mêmes credentials que dans la box, dans le VLAN 10, la session est monté tout de suite et j'ai obtenu mon IPv4 public, IPv6 public et mon prefix IPv6-PD de la part de Proximus.
J'ai à présent mes 4 gateways actives, IPv4+IPv6 pour chacun des ISP.



Avec monitoring de ces gateways pour un failover automatique:



Par contre, j’ai quand même encore une limitation au niveau du IPv6-PD : mon service DHCP dans OPNsense (ISC) ne propose la délégation que d’un seul préfixe.
Comme VOO est ma sortie principale, j’ai configuré mon LAN pour effectuer un tracking PD de l’interface VOO uniquement.
Cela signifie qu’à l’heure actuelle, mes endpoints n’obtiennent pas encore d’GUA IPv6 de la part de Proximus. Mon OPNsense, lui, obtiens bien le (/56) a deleguer, mais mon DHCPv6 ISC ne permet pas encore la distribution.
Dès que j’aurai le temps, je vais regarder le second service DHCPv6 disponible dans OPNsense (KEA DHCP), qui apparemment permet l’attribution d’adresses à partir de plusieurs préfixes disponibles.

[Unix-Linux]

Joli travail

A lire ;-)

Using DHCPv6 Prefix Delegation (DHCPv6-PD) to
Allocate Unique IPv6 Prefixes per Client in Large
Broadcast Networks

RFC 9663

[denisfrombe]

Joli travail

A lire ;-)

Using DHCPv6 Prefix Delegation (DHCPv6-PD) to
Allocate Unique IPv6 Prefixes per Client in Large
Broadcast Networks

RFC 9663

Merci. C'est ce que je fais deja pour VOO, mes endpoints recoivent bien leur IPv6 dans le prefixes de deleguation de VOO (attribue a mon Opensense).
Mais vu qu'ISC ne supporte qu'un seul prefix deleguation a la fois, je ne peux assigner une addresse a mes devices qu'uniquement depuis un prefix. Apparemment cette option serait candidate pour la prochaine update majeur d'Opnsense (26.1) >>> https://github.com/opnsense/core/milestone/25 (voir ligne #7647)
A suivre, en tout cas ca je suis deja redondant en IPv4 vers VOO et PXM.

[Kiwi9428]

Joli travail

A lire ;-)

Using DHCPv6 Prefix Delegation (DHCPv6-PD) to
Allocate Unique IPv6 Prefixes per Client in Large
Broadcast Networks

RFC 9663

Merci. C'est ce que je fais deja pour VOO, mes endpoints recoivent bien leur IPv6 dans le prefixes de deleguation de VOO (attribue a mon Opensense).
Mais vu qu'ISC ne supporte qu'un seul prefix deleguation a la fois, je ne peux assigner une addresse a mes devices qu'uniquement depuis un prefix. Apparemment cette option serait candidate pour la prochaine update majeur d'Opnsense (26.1) >>> https://github.com/opnsense/core/milestone/25 (voir ligne #7647)
A suivre, en tout cas ca je suis deja redondant en IPv4 vers VOO et PXM.

Il y a un poste qui explique comment faire un failover en IPv6 sur PFSense:

[Unix-Linux]

IPv4 ... C'est obsolète, avec saturation depuis 2011.. Les CGN ... ça existe encore ? me rappelle de ça il y a dix (si pas 15). Idéal pour le newbie qui veut juste se connecter au "rezo socio" ou lire un magazine....

Mais celui qui veut mettre son propre serveur behind it, il doit appeler son helpdesk pour obtenir une IPv4 externe qui sera principalement dynamique (sauf abo pro).

Lorsque j'étais chez "voo", le modem était en bridge, la fritzbox derrière en IPv6, n'utiliser que l'IPv6 native et l'adresse globale à partir du préfixe assigné + Slaac ce qui me donnait toute des IpV6 routable

[solar10]

Vodafone Luxembourg fait du CGN pour ses clients résidentiels (cas vécu ce mois-ci).

[denisfrombe]

IPv4 ... C'est obsolète, avec saturation depuis 2011.. Les CGN ... ça existe encore ? me rappelle de ça il y a dix (si pas 15). Idéal pour le newbie qui veut juste se connecter au "rezo socio" ou lire un magazine....

Pas sur de comprendre votre commentaire sur le fait que le CGN soit pour les newbies qui veulent se connecter sur les reseaux sociaux. L'IPv4 est obselete mais il n'y a que depuis ce milieu d'annee que 50% du traffic mondial est en IPv6 natif
Heureusement IPv4 a vu sa vie etendre grace au CGN.(ainsi que les autres solutions de translate & transition IPv4<->IPv6)
Proximus fait du CGN (la preuve, mon interface WAN se voit assignee une IPv4 en class A).

Mais celui qui veut mettre son propre serveur behind it, il doit appeler son helpdesk pour obtenir une IPv4 externe qui sera principalement dynamique (sauf abo pro).

Aujourd'hui il y a d'autres solutions plus simples et securisees. J'ai moi meme plusieurs choses exposees sur internet avec un reverse proxy et un ddns cloudflare.

Lorsque j'étais chez "voo", le modem était en bridge, la fritzbox derrière en IPv6, n'utiliser que l'IPv6 native et l'adresse globale à partir du préfixe assigné + Slaac ce qui me donnait toute des IpV6 routable

Oui, c'est cela que j'ai en place egalement avec mon router VOO.



Merci @Kiwi9428 je vais investiguer cette piste, j'avoue que j'ai pas trop envie de casser toute ma config LAN mais si je veux un vrai setup redondant en IPv6 je n'aurai pas le choix probablement.

[andenne21]

Bonjour,
quand je lance un test sur Nperf, ce dernier me donne l'PV4 et pour l'IPV6 il indique Ipv6 non disponible.
le modem est en mode bridge et c'est mon 4060 qui fait le taf (l'IPv6 est en mode native, config de la connexion : Négociation automatique d'une adresse globale, Utiliser DHCPv6 Rapid Commit coché, et enfin Autres options de configuration
Déterminer l'adresse IPv6 de la FRITZ!Box de manière aléatoire
L'adresse IPv6 de la FRITZ!Box est déterminée de manière aléatoire à chaque fois qu'une connexion est établie, et c'est aussi coché.
Y-a-t-il autre chose à faire ?
Merci pour votre retour.