Après avoir bien hésité, longtemps inquiet devant quelques
témoignages sur les forums datant de 2011, j’ai décidé de passer ma
connexion chez OVH Télécom en IPv6. J’avais peur que ma configuration
de NAT IPv4 saute et que mon serveur auto-hébergé se retrouve
hors-ligne. De plus, je craignais que certains périphériques trop
vieux pour supporter IPv6 perdent leur connectivité. Rien de tel
n’est arrivé, et tout s’est vraiment très bien passé. Le service
technique d’OVH Télécom, que j’avais contacté avant de me lancer dans
la manœuvre pour m’assurer que je ne faisais pas de bêtise, a été
particulièrement précis dans ses réponses, m’expliquant par exemple
comment configurer mon reverse DNS en IPv6, démarche indispensable
pour que mon serveur mail puisse fonctionner en IPv6 ; félicitations
au passage au concepteur de la dernière interface du Manager,
particulièrement bien conçue pour cette configuration du reverse.
Un bémol toutefois, et mon récit aidera peut-être des abonnés d’OVH
Télécom : le Manager montrait la case IPv6 cochée d’elle-même avant
que je n’intervienne, et alors que l’IPv6 n’était pas disponible. Il
fallait décocher la case, laisser le routeur redémarrer, recocher la
case, laisser le routeur faire une mise à jour et redémarrer, pour
enfin se retrouver en IPv6. De plus, pour pouvoir héberger des
services en IPv6, il faut désactiver le pare-feu intégré à la box, ce
qui suppose évidemment d’avoir des pare-feu sur tous les éléments
connectés en interne ou d’installer un nouveau pare-feu collectif
pour une partie du réseau.
Signalons enfin que si l’IPv6 stateless fonctionne très bien, je n’ai
pas réussi à faire marcher le RDNSS et ai donc dû me résoudre à
rentrer moi-même les adresses des serveurs DNS IPv6 d’OVH sur chaque
machine connectée.
Reste la partie intrigante : que faire de l’IPv6 en ce qui concerne
mes jails FreeBSD ? En effet, ayant fait le choix d’un double NAT,
celui de ma box, puis celui du serveur qui redirige les requêtes vers
des adresses IPv4 privées pour chacune des jails, j’étais assez loin
de l’IPv6. Or, il est en fait très facile d’obtenir des jails qui
fonctionnent parallèlement avec ce NAT tortueux et de belles adresses
IPv6 directes.
Pour ce faire, il suffit d’éditer la fichier correspondant à la jail
concernée dans /usr/local/etc/ezjail/ :
En autorisant le trafic dans le pare-feu, en ajoutant les serveurs
DNS dans le resolv.conf de la jail, en modifiant la configuration de
l’application qui écoute et en modifiant le fichier de zone DNS
pour ajouter des entrées AAAA, on se retrouve très simplement et
rapidement avec un service disponible en IPv4 et IPv6, ce qui ouvrira
de formidables possibilités… le jour où le reste du monde aura sauté
le pas !
