Des jails en IPv6 double stack

Après avoir bien hésité, longtemps inquiet devant quelques témoignages sur les forums datant de 2011, j’ai décidé de passer ma connexion chez OVH Télécom en IPv6. J’avais peur que ma configuration de NAT IPv4 saute et que mon serveur auto-hébergé se retrouve hors-ligne. De plus, je craignais que certains périphériques trop vieux pour supporter IPv6 perdent leur connectivité. Rien de tel n’est arrivé, et tout s’est vraiment très bien passé. Le service technique d’OVH Télécom, que j’avais contacté avant de me lancer dans la manœuvre pour m’assurer que je ne faisais pas de bêtise, a été particulièrement précis dans ses réponses, m’expliquant par exemple comment configurer mon reverse DNS en IPv6, démarche indispensable pour que mon serveur mail puisse fonctionner en IPv6 ; félicitations au passage au concepteur de la dernière interface du Manager, particulièrement bien conçue pour cette configuration du reverse.

Un bémol toutefois, et mon récit aidera peut-être des abonnés d’OVH Télécom : le Manager montrait la case IPv6 cochée d’elle-même avant que je n’intervienne, et alors que l’IPv6 n’était pas disponible. Il fallait décocher la case, laisser le routeur redémarrer, recocher la case, laisser le routeur faire une mise à jour et redémarrer, pour enfin se retrouver en IPv6. De plus, pour pouvoir héberger des services en IPv6, il faut désactiver le pare-feu intégré à la box, ce qui suppose évidemment d’avoir des pare-feu sur tous les éléments connectés en interne ou d’installer un nouveau pare-feu collectif pour une partie du réseau.

Signalons enfin que si l’IPv6 stateless fonctionne très bien, je n’ai pas réussi à faire marcher le RDNSS et ai donc dû me résoudre à rentrer moi-même les adresses des serveurs DNS IPv6 d’OVH sur chaque machine connectée.

Reste la partie intrigante : que faire de l’IPv6 en ce qui concerne mes jails FreeBSD ? En effet, ayant fait le choix d’un double NAT, celui de ma box, puis celui du serveur qui redirige les requêtes vers des adresses IPv4 privées pour chacune des jails, j’étais assez loin de l’IPv6. Or, il est en fait très facile d’obtenir des jails qui fonctionnent parallèlement avec ce NAT tortueux et de belles adresses IPv6 directes.

Pour ce faire, il suffit d’éditer la fichier correspondant à la jail concernée dans /usr/local/etc/ezjail/ :

export jail_blogs_ip="10.10.10.2"
    devient
export jail_majail_ip="lo2|10.10.10.2,msk0|2001:41d0:fe0b:500:3:3:3:2"

En autorisant le trafic dans le pare-feu, en ajoutant les serveurs DNS dans le resolv.conf de la jail, en modifiant la configuration de l’application qui écoute et en modifiant le fichier de zone DNS pour ajouter des entrées AAAA, on se retrouve très simplement et rapidement avec un service disponible en IPv4 et IPv6, ce qui ouvrira de formidables possibilités… le jour où le reste du monde aura sauté le pas !

links

social