Comment puis-je désactiver la publication automatique de l'itinéraire de voisin IPv6 sur un routeur?

8

Je travaille pour un FAI qui est en train de préparer son infrastructure IPv6. Nos routeurs principaux ont déjà une configuration fonctionnelle, mais une grande partie de nos clients fibre sont derrière un routeur exécutant Debian Squeeze.

L'activation des capacités IPv6 sur linux n'a pas été un problème, cependant, une fois que nous avons attribué une adresse IPv6 et des routes de travail au routeur linux, il a immédiatement transmis des adresses de travail et des routes à tous les systèmes derrière lui, ce qui n'était pas ce que nous voulions.

Notre plan actuel consiste à définir les adresses IPv6 manuellement sur tous les systèmes, mais je n'arrive pas à trouver le commutateur ou l'option pour dire au noyau de ne pas effectuer de publicités sur le routeur.

Aucune suggestion?

Shadur
la source
1
Êtes-vous sûr de ne pas courir radvd? Linux en lui-même ne devrait pas être à l'origine de publicités sur les routeurs.
Celada
Oui, assez certain - aucun des deux routeurs n'a installé le logiciel.
Shadur
1
Eh bien, c'est mystérieux alors. Quelque chose envoie ces publicités de routeur, et je suis presque sûr que ce n'est pas le noyau (le noyau accepte les publicités de routeur de manière autonome sans l'aide du logiciel de l'espace utilisateur, mais ne les envoie pas pour autant que je sache).
Celada

Réponses:

2

pour désactiver l'acceptation RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

ou ajoutez quelque chose comme ça à / etc / network / interfaces

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra
h3rrmiller
la source
J'en ai encore besoin pour faire des expéditions. J'en ai juste besoin pour arrêter d'envoyer ou de transférer des publicités de routeur.
Shadur
forwarding = 0 ne désactivera pas le transfert de paquets. les paramètres ipv6 sont très compliqués, malheureusement
h3rrmiller
c'est pour l'acceptation RA entre autres. il semble que vous deviez désactiver radvd. jetez un oeil dans /etc/radvd.conf et passez AdvSendAdvert onà AdvSendAdvert offdans l'interface souhaitée.
h3rrmiller
2

Cela ressemble presque à un pont entre la couche 2 et les interfaces LAN et WAN. Si tel est le cas, une grande partie du trafic interne de votre utilisateur pourrait se retrouver sur le WAN, et toutes les annonces de routeur sur le WAN (destinées au CPE) sont en fait des ponts vers le LAN.

Si tel est le cas, alors:

  1. arrêtez de faire ce pont, cela peut facilement compromettre la sécurité de votre utilisateur
  2. utiliser ebtables pour filtrer entre LAN et WAN

J'espère vraiment que je me trompe ici ...

Sander Steffann
la source
Je suis presque sûr de ne rien combler.
Shadur
Si vous ne faites pas de pont, quelque chose sur votre CPE envoie ces publicités de routeur. Le noyau ne fait pas ça. radvdEst généralement l'outil utilisé pour les envoyer, mais il existe peut-être un autre logiciel qui le fait sur votre boîte.
Sander Steffann
0

Ce que vous voulez probablement, c'est DHCP-PD (délégation de préfixe). Avec DHCP-PD, votre configuration IPv6 ressemblera beaucoup plus à votre configuration IPv4.

Dans IPv4, vous utilisez DHCP pour attribuer une seule adresse IPv4 au client, puis le client utilise NAT pour distribuer les adresses IP locales à son réseau (généralement via DHCP également).

Dans IPv6, vous utilisez DHCP-PD pour attribuer un / 64 au client, puis le client utilise le routeur adv. pour attribuer des adresses de ce / 64 à son réseau interne. Il existe des scripts pour mettre à jour la configuration de radvd chaque fois que le / 64 vous attribue des modifications.

dr. j.
la source