IPv6 & IPv4 CGNAT

Bonjour @repteur62 

---

Après différente recherche sur le forum tout le monde parle de IPv6 & IPv4 CGNAT et qu'il faut appeler le support pour passer en ipv4 full stack. Au bout de 5 appel au support technique auquel on envoi promener et on me dit que c'est la configuration de la box qui est comme ça et qu'on ne peux rien faire, ou bien je vous rappel dans 45min et personne ne rappel je ne sais plus quoi faire ..

---

Si tu as lu les autres discussions que tu évoques, tu sais donc que le service clients t'a menti en disant cela... puisque dans les autres discussions on a l'explication et même des gens qui ont réussi à revenir en IPv4 sans CGNAT et récupéré les services qu'ils voulaient (sans un lien que je redonne souvent dans ces discussions de notre forum, pour aller lire en détails tout ce qu'il faut savoir si on veut comprendre cette manip depuis plus d'un an : https://lafibre.info/sfr-la-fibre/ipv4-cgnat/

---

Si je dois rester en IPV6,  savez-vous si y'a une configuration pour accéder au site voulu sur le port 8650 par exemple ? 

En NAT c'est très simple je met toute les ip venu d'internet sur le port 8650 redirection vers mon NAS. Cependant, en IP v6 je n'ai pas le NAT et via les règles de filtrage du pare feu ça ne fonctionne pas.

 

Quelqu'un a réussi via IPv6 de faire ça ?

---

Je vois que la base d'IPv6 t'échappe : en fait en IPv4 la notion même de redirection de port devient inutile (et donc en IPv6 tu n'as pas besoin de rediriger les ports reçus par ta box vers ton NAS puisque c'est ton NAS qui répondra directement via son adressse IPv6 à lui). Je te conseille de lire aussi cette conversation ICI, où l'on explique bien que la redirection de port en IPv6 n'a plus d'utilité.

Par contre, ne creuse pas forcément tant que ça l'IPv6 : si tu ne configures ton NAS que pour l'IPv6, alors une grande majorité de points d'accès internet (qui sont toujours en IPv4 n'auront pas accès du tout à ton NAS)... Car n'oublie pas que ta box est en parallèle "IPv6" + "IPV4 en CGNAT". Donc, de toutes manières, pour assurer le service que tu veux, tu dois résoudre l'histoire de l'IPv4... et comme confirmé plus haut, il FAUT convaincre le service clients comme bien d'autres ont réussi. Je te redonne la discussion qui décrit tous ça avec de nombreux détails et confirmations : https://lafibre.info/sfr-la-fibre/ipv4-cgnat/

---

Que dois-je faire avec le support pour qu'on me passe en IPV6 full stack ?

---

C'est IPv4 fullstack qu'il te faut, tu mélanges...😉 et oui plusieurs abonnés SFR (ou même Red) on confirmé avoir récupéré une IPv4 fullstack depuis leur IPv4 CGNAT dans la discussion de lafibre.info données au-dessus.

Bon courage.

À+

P.S.

Je suis nouveau client depuis 3jours si je ne vois pas d'évolution je changerai de fournisseur  

---

C'est en effet une autre solution pour s'en échappé. N'oublie tout de même pas que c'est reculer pour mieux sauter : ce mécanisme de CGNAT qui "partage" une adresse IPv4 entre plusieurs abonnés existe déjà sous une autre forme chez Free, et existera à court terme chez les autres : il n'y a PLUS d'IPv4 dispnible depuis 2019... alors on gère la pénurie ainsi... lire l'ARCEP ICI

bonjour,

Je vous remercie pour votre retour. En effet je ne maitrise pas vraiment l'ipv6 et pour moi moins sécuritaire qu'une ip public ipv4 car le PC est directement en frontal sur internet mais soit.

vous me dite qu'il n'y a plus besoin de gestion de redirection de port en mode IPV6, dite moi comment dois je faire lorsque sur mon NAS j'ai mon IPV6 et que je souhaite accéder en SSH + PLEX + la console web d'administration du NAS + 2 site web sur différent port etc .. Je dois donc avoir une ip par console ? 

Et ce que j'ai testé il y a peu, c'est que si je suis sur un réseau extérieur et que celui-ci n'est pas configuré en IPV6 je ne peux donc pas y accéder

Bonjour @repteur62 

---

vous me dite qu'il n'y a plus besoin de gestion de redirection de port en mode IPV6, dite moi comment dois je faire lorsque sur mon NAS j'ai mon IPV6 et que je souhaite accéder en SSH + PLEX + la console web d'administration du NAS + 2 site web sur différent port etc .. Je dois donc avoir une ip par console ? 

Et ce que j'ai testé il y a peu, c'est que si je suis sur un réseau extérieur et que celui-ci n'est pas configuré en IPV6 je ne peux donc pas y accéder

---

Je commence par la fin :

• c'est EXACTEMENT pour les raisons de ta remarque finale que je t'ai détaillé plus haut que ton intérêt n'était de ne pas trop investir sur l'IPv6 puisque, de toute façons, ce n'était pas la réponse à 100% de ton problème :
• avoir une configuration "aux petits oignons" pour IPv6 n'empêchera pas qu'aujourd'hui beaucoup de points d'accès internet sont encore en IPv4
• et donc sans retour à une "IPv4 fullstack", tu n'as AUCUNE CHANCE de rediriger via ta box ce trafic en provenance d'IPv4 vers ton serveur tant que tu seras en IPv4 chez SFR

=> donc, pour revenir au début de ta phrase, la solution pour toi n'est pas que je t'expliques comment configurer en IPv6

=> comme je l'ai déjà expliqué dans la réponse précédente, il faut de toutes manières que tu résolves la situation en IP¨v4, donc il faut ABSOLUMENT que tu insistes auprès du service client pour (enfin) revenir à un adresse "IPv4 fullstack" càd sans CGNAT. Ce faisant tu n'auras qu'à remettre ta config de NAT avec redirections de ports IPv4 comme avant et tu seras opérationnel tant que internet conserve IPv4 (càd sans doute encore plus d'une dizaine d'années minimum).

N.B. Chez Free, depuis des années qu'ils ont mis en place aussi leur partages d'IPv4 entre clients, ils sont nettement plus rodés à accorder une "IPv4 fullstack" à la clientèle (forcément minoritaire par définition puisqu'il y a pénurie). Mais comme dit plus haut, que ce soit chez SFR ou en changeant de FAI, cela va definir une nécessité partout pour toi de connaître cet histoire de partage d'IPv4 et demander à ton FAI (quel qu'il soit) à un moment donné d'en sortir pour maintenir fonctionnel les accès à tes serveurs perso.

---

En effet je ne maitrise pas vraiment l'ipv6 et pour moi moins sécuritaire qu'une ip public ipv4 car le PC est directement en frontal sur internet mais soit.

[...] vous me dite qu'il n'y a plus besoin de gestion de redirection de port en mode IPV6, dite moi comment dois je faire

---

Deux remarques (et je n'irai pas plus loin, je ne suis pas un grand spécialiste d'IPv6 non plus), mais tu peux lire cet excellent récapitulatif très largement documenté : https://cisco.goffinet.org/ccna/securite-lan/introduction-securite-ipv6-lan/

1. de ce document je te tire la citation suivante (voir ICI) : « Plus de NAT, moins de sécurité ? Le NAT n’a jamais été pas une mesure de sécurité. » 
2. et pour le second point : oui, il n'y a plus besoin de redirection de ports en IPv6, par contre les ports existent toujours (en direct, sans chercher à les rediriger). Rien n'interdit (et ce sera même encore le cas en IPv6) que quand ton appareil reçoit directement et sans redirection du trafic sur son IPv6 (personnelle) il le recoive (comme en IPv4) sur tel ou tel port, et donc réagisse différemment sur tel ou tel port.
   => Bref, ce n'est pas les ports qui deviennent inutiles en IPv6, c'est de les rediriger d'une machine vers une autre qui devient inutile (en clair, c'est le NAT qui devient inutile, pas les ports).

Donc rien ne t'interdit de configurer ton NAS pour être accessible avec tous ses multiples services intégrés en IPv6, tu trouveras même de nombreux tutoriels dédiés à cela sur le web... Mais je répète : ce n'est pas ce que je te conseille.

=> ta solution à toi c'est d'avoir une configuration qui fonctionne bien en IPv4 (et les accès depuis IPv6 vers IPv4 se passeront bien encore pendant des années : donc il te faut quitter l'IPv4 CGNAT pour revenir en IPv4 comme déjà dit dans ma réponse précédente.

Bon courage avec le service clients.

À+

Bonjour @repteur62 

Ravi pour toi. 😎

C'est exactement ce qu'on espérait pour résoudre ton cas personnel.

Voilà qui confirme que c'était laborieux, mais que c'était la bonne voie.

à+

ah oui deja si le service client a du mal, les community manager ont du mal a comprendre ce qui est dit c'est pas gagné . il a pas perdu l'ipv4 il est en partagé par contre

Le NAT n’a jamais été pas une mesure de sécurité.

bien sur que si

si tu as un pc derriere un NAT les attaques etc eventuelles seront dirigiees vers la box.. c'est pas suffisant en terme de securite mais bien sur que si ca en est une 

Bonjour @yussef963 

---

@yussef963  a écrit :

Le NAT n’a jamais été pas une mesure de sécurité.

bien sur que si

si tu as un pc derriere un NAT les attaques etc eventuelles seront dirigiees vers la box.. c'est pas suffisant en terme de securite mais bien sur que si ca en est une 

---

« Bien sûr que si » reste un avis, et même une interprétation... pas un fait.

Chacun le sien, je suis prêt à respecter le tien... Mais je maintiens l'autre (qui n'est d'ailleurs pas le mien 😉)

C'est bien pour ça que j'avais pris des précautions

• en disant que je n'étais pas moi-même un grand spécialiste de IPv6
• et en donnant la source (que tu ne redonnes pas en me citant), mais dont je partage pleinement la vision.

---

@Ryry  a écrit :

Deux remarques (et je n'irai pas plus loin, je ne suis pas un grand spécialiste d'IPv6 non plus), mais tu peux lire cet excellent récapitulatif très largement documenté : https://cisco.goffinet.org/ccna/securite-lan/introduction-securite-ipv6-lan/

[...] « Plus de NAT, moins de sécurité ? Le NAT n’a jamais été pas une mesure de sécurité. » 

---

---

@yussef963  a écrit :

si tu as un pc derriere un NAT les attaques etc eventuelles seront dirigiees vers la box.. c'est pas suffisant en terme de securite mais bien sur que si ca en est une 

---

Tu donnes ainsi la réponse à ta propre remarque. Pour être rigoureusement exact alors :

• ce n'est pas le NAT qui est une mesure de sécurité  dans un tel dispositif que tu décris
• ce sont les mesures de sécurité qui existe sur ta box (firewall, filtrage) etc.

C'est comme si tu me disais "mais bien sur que que monter dans une Mercédès est une mesure de sécurité... parce que à l'intérieur de ma Mercedes je suis protégé par l'Airbag de la Mercedes, et aussi son contrôle actif de l'évitement d'obstacles, etc."

• donc la mesure de sécurité ce n'est pas d'être dans la Mercedes, c'est bien les équipements de sécurité comme les air-bags et le reste qui a été prévu sur cette Mercedes
• idem pour le NAT, être derrière une box via un NAT n'est pas en soi une mesure de sécurité, les mesures de sécurités sont celles de ta box (firewall et autres possibilités).

Moi je dirais, encore, au vu de cette évidence « bien sûr que ce n'est pas le NAT la mesure de sécurité »

Mais ce n'est que mon opinion personnelles, d'ailleurs basée sur le cours de la source que j'ai donnée déjà deux fois (tu peux sans doute lui signaler ton désaccord : son nom est sur le cours et il est francophone).

À+