IPv6 ULA

De Xala le 22/10/2020 - 1603354140 Réseau

Unique Local Address (ULA) en IPv6 est un range d'IP qu'on pourrait comparer aux IP privées en IPv4 (RFC1918). Ce range d'IPv6 est définit par le RFC4193. Ce dernier décrit le bloc FC00::/7 et notemment ce qu'on peut ou ne peut pas faire. Je ne vais donc pas refaire ce travail de documentation de l'IETF. Cependant, je vais donner des cas d'usage qui pourraient vous être utile.

Pour commencer, il faut garder en tête les points qui suivants:

Premièrement, le bloc fc00::/7 est divisé en deux:

  • fc00::/8 non défini pour le moment.
  • fd00::/8 défini pour les préfixes /48, formés en définissant les 40 bits du préfixe suivant fd sur une chaîne de bits générée pseudo-aléatoirement. Il en résulte le format fdxx:xxxx:xxxx:: pour un préfixe dans cette plage.

Aussi, le bloc fd00::/8 n'est pas routable sur Internet, il est donc recommendé de bien filtrer ses flux sur ses routeurs.

D'autres recommendations d'usage sont proposées dans un brouillon de l'IETF. Dont un qui nous intéresse particulièrement car ils recommendent de ne pas traiter l'IPv6 ULA comme les IPv4 privées. Ceci parce que ces dernières sont combinées à du NAT pour une connectivité globale. En effet, si vous disposez d'un subnet IPv6 Global, il est préférable de piocher dedans. Mais dans les exemples qui vont suivre, ce ne sera pas le cas.

Virtualisation

Si comme moi vous disposez d'un serveur dédié chez un quelconque fournisseur afin d'y héberger des vm ou conteneurs, l'usage d'IPv6 ULA est, selon moi, la solution simple et moins onéreuse. En effet, à la livraison de votre serveur dédié (ou vps), votre fournisseur ne vous attribue qu'une IPv4 et qu'une IPv6. Si vous en voulez plus, il faut souscrire à une offre supplémentaire.

Vous l'aurez compris, on peut utiliser un bloc d'IPv6 ULA comme d'un bloc d'IPv4 privé pour votre notre réseau virtuel. Si une vm a besoin de communiquer avec Internet en IPv6, il suffira d'appliquer sur l'hôte un NAT pour la vm en question. Sur le même principe que pour l'IPv4. Pareil, pour la redirection de port.

Voici un schéma d'exemple réseau virtuel sur un hyperviseur:

VPN

Voila un autre cas d'usage possible de l'IPv6 ULA. Vous disposer d'un serveur chez un fournisseur avec une IP unique pour les deux versions d'IP, vous pouvez appliquer la même configuration que vu précédemment pour le réseau des vos clients VPN. Ceci afin de proposer le support IPv6 à vos utilisateurs du VPN.

J'ai sous-entendu qu'il s'agissait d'un serveur VPN Nomade, mais cela peut aussi bien s'appliquer à des serveurs VPN site à site.

Voici un schéma d'exemple de VPN Nomade:

PS: Cet article sera probablement et prochainement complété d'exemple de règles iptables/nftables pour les deux cas présentés.


Article et shcémas de Xala et photo de Andréas Brun - Unsplash

Next Post Previous Post