Page 2 sur 2
Re: IPV6 et reseaux de confiance
Publié : 28 oct. 2024, 18:13
par fcBourgogne
Bonjour,
Ajouter dans domoticz, réseaux de confiance "fe80::* " est suffisant pour les connexions IPV6 en local.
2a01:----:----:dee1::*; qui correspond aux préfix opérateur (Les tirets sont pour cacher, dans domoticz il y a les bons caractères)
Tu le mets où? aussi dans les réseaux de confiance ?
A+
Re: IPV6 et reseaux de confiance
Publié : 14 juil. 2025, 18:44
par damien_4465
Bonjour,
J'ai trouvé la solution !
Pour permettre à tous les ordinateurs du réseau dont le préfixe IPv6 est 1c34

1235:1258, il faut préciser dans la liste des reseaux de confiance :
1c34
1235
:/64
Merci au chat français
https://chat.mistral.ai/chat qui m'a aidé
fe80::/64 doit donc aussi fonctionner

Re: IPV6 et reseaux de confiance
Publié : 15 juil. 2025, 07:56
par lost
Ce qui te fais ouvrir tout ce prefixe IPv6 externe sans authentification.
Pour info, n'importe qui ayant les droits administrateur sur sa machineréseau peut en fixer une IP qui sera routée.
Naturelle ou artificielle, attention, car là ou il y a de l'intelligence il y a aussi potentiellement de la connerie...
Re: IPV6 et reseaux de confiance
Publié : 15 juil. 2025, 09:43
par damien_s
Merci pour cette mise en garde !
Dans mon cas, le préfixe que j'autorise est le préfixe que mon opérateur a affecté à ma box. Donc, si je ne me trompe pas, seuls les ordinateurs de mon réseau local qui se voit affecter une @IP v6 par ma box pourront se connecter sans authentification ! Me trompe-je ?
Merci de m'expliquer sinon quels sont les risques de sécurité et d'intrusion autre qu'une personne se connectant sur mon réseau wifi à mon insu !
Merci à vous
Damien S?
Re: IPV6 et reseaux de confiance
Publié : 15 juil. 2025, 11:23
par lost
Pour une adresse locale, le risque est avec qqun se connectant à votre réseau (sans se brancher sur une prise, on pense bien entendu au wifi mais les courants porteurs, trop souvent laissé sur la clef du standard et normalement juste destinée à l'appariement, sont une voie d'entrée commune: On branche une telle "prise" RAZ et bien souvent on voit les réseaux de voisins)...
Ici, c'est une adresse globale et le comportement vis à vis du préfixe peut juste dépendre du comportement du réseau (de sa box au core network de l'opérateur): Il pourrait filtrer en entrée les préfixes qu'il gère pour éviter le spoofing d'IPv6 par nature globales, ou pas. Et à quel niveau? Et sans restreindre un mode d'allocation valable qui ne soit pas celui du DHCPv6 fourni?
Pour appuyer mes dires, j'ai parfois vu des configuration de réseaux publics aux plages et durées de baux DHCP (v4 et/ou v6) mal configurés par rapport à leur utilisation, ce qui faisait qu'on y manque très souvent d'adresses IP disponibles. En IPv4, on est alors marron (c'est ainsi qu'on remarque le pb, avant même de regarder sa cause, car tout le web IPv4-only n'est alors pas accessible!)... mais en IPv6 tout fonctionne avec l'IPv6 automatique alors utilisée par défaut, on est juste limité à la face IPv6 du web et il faut pour les domaines (aucun pb en connaissant les IP) avoir un DNS configuré manuellement car on n'a alors pas celui renseigné par le DHCP.
Dans ce cadre, l'IPv6 automatique n'est absolument pas sur le préfixe de l'opérateur utilisé puisqu'elle peut (entre autres possibilités selon les configurations/OS, c'est ici la plus simple même si pas la plus privacy-friendly) dériver de l'adresse physique/MAC (qui, elle aussi, s'usurpe au besoin: Faut bien pouvoir pallier aux chinois qui font de la réutilisation de MAC, qui se paient, sur leurs cartes réseau et peuvent si on n'a pas de bol foutre la merde si installées sur le même sous-réseau!).
Et j'ai toujours vu tout fonctionner ainsi, en IPv6, car c'est un mode d'adressage valable, donc même sans être spécialiste je doute que l'on ait du filtrage en sortie comme en entrée sur les préfixes d'un opérateur!