Aller au contenu
Avanet

Configurer la délégation de préfixe IPv6 sur Sophos Firewall

Sophos Firewall

Avec la délégation de préfixe IPv6, un Sophos Firewall peut obtenir un préfixe IPv6 du fournisseur et l’utiliser pour alimenter les réseaux internes. Cela est particulièrement pertinent lorsque la connexion Internet ne fournit pas de réseau IPv6 statique fixe, mais que le fournisseur délègue le préfixe via DHCPv6.

Dans les environnements IPv4, on pense souvent en termes de NAT, de réseaux privés et de redirections de ports. Avec IPv6, c’est différent : les clients peuvent recevoir des adresses IPv6 publiques, et le pare-feu contrôle l’accès via le routage, l’annonce du routeur, les paramètres DHCPv6 et les règles de pare-feu. C’est pourquoi la délégation de préfixe doit être planifiée consciemment et ne pas être simplement activée comme une option d’interface supplémentaire.

Pour les bases sur les interfaces, les zones et les VLANs, commencez par Configurer les zones et interfaces Sophos Firewall. Si vous vous intéressez uniquement aux options DHCP classiques pour les cas particuliers IPv4, Options DHCP Sophos Firewall (SFOS) est l’article approprié.

Quand la délégation de préfixe est-elle utile

La délégation de préfixe est utile lorsque le fournisseur fournit dynamiquement un préfixe IPv6 via la connexion WAN et que le Sophos Firewall doit distribuer ce préfixe aux réseaux internes.

Scénarios typiques :

  • Connexion Internet double pile avec IPv4 et IPv6.
  • Le fournisseur fournit un préfixe IPv6 via la délégation de préfixe DHCPv6.
  • Les clients internes doivent utiliser IPv6 nativement.
  • Plusieurs réseaux internes, par exemple LAN, serveur, invités ou DMZ, doivent recevoir IPv6.
  • DNS, journalisation et règles de pare-feu doivent prendre en compte IPv6 de manière consciente.

Tous les réseaux n’ont pas besoin d’IPv6 immédiatement. Cependant, si IPv6 est activé sur les clients, il doit être contrôlé proprement via le pare-feu, les règles et les journaux. Une configuration IPv6 partielle peut sinon amener les clients à préférer IPv6, mais les erreurs sont recherchées dans le dépannage IPv4.

Prérequis

Avant la configuration, assurez-vous des points suivants :

  • Le fournisseur prend en charge la délégation de préfixe IPv6 sur la connexion.
  • La connexion WAN n’utilise pas de scénario PPPoE-over-IPv6 pour la délégation de préfixe.
  • L’interface cible interne souhaitée n’est pas une interface VLAN, sur laquelle Sophos ne prend pas en charge la délégation de préfixe.
  • Les zones internes et les règles de pare-feu sont planifiées.
  • Il est clair si les clients doivent uniquement utiliser SLAAC ou ont également besoin de paramètres DHCPv6.
  • Le concept DNS et l’analyse des journaux prennent en compte IPv6.

⚠️ Deux limites importantes sont documentées : la délégation de préfixe n’est pas prise en charge via PPPoE over IPv6 et ne peut pas être utilisée sur des interfaces avec configuration VLAN. Si les réseaux internes sont construits en tant que VLANs, la conception doit être examinée de près avant la mise en œuvre.

Comprendre l’objectif final

Avec la délégation de préfixe, plusieurs étapes se produisent successivement :

  1. Le pare-feu demande une adresse IPv6 et un préfixe délégué au fournisseur sur l’interface WAN.
  2. Le fournisseur attribue une adresse IPv6 à l’interface WAN et un préfixe au pare-feu.
  3. Le pare-feu délègue un réseau IPv6 à partir de ce préfixe à une interface interne, par exemple LAN ou DMZ.
  4. L’interface interne distribue les informations IPv6 aux clients via l’annonce du routeur.
  5. Optionnellement, un serveur DHCPv6 fournit des paramètres supplémentaires, par exemple des serveurs DNS.

Il est important de comprendre la répartition des rôles : l’annonce du routeur permet aux clients d’apprendre leur préfixe IPv6 et la passerelle par défaut. DHCPv6 peut fournir des informations complémentaires. Les règles de pare-feu continuent de décider quel trafic est autorisé.

Préparer l’interface WAN

La première étape est l’interface WAN. Ici, le Sophos Firewall demande le préfixe IPv6 au fournisseur.

Chemin de menu :

Network > Interfaces

Procédure :

  1. Modifier l’interface WAN concernée.
  2. Ouvrir IPv6 configuration.
  3. Sélectionner DHCP.
  4. Sélectionner Manual.
  5. Activer DHCP only.
  6. Activer DHCP prefix delegation.
  7. Configurer éventuellement Preferred delegated prefix, si le fournisseur et la conception du réseau le permettent.
  8. Définir le nom de la passerelle et l’IP de la passerelle en fonction de la connexion fournisseur.
  9. Enregistrer et mettre à jour l’interface.

Pour Preferred delegated prefix, il faut être prudent. Le fournisseur peut fournir le préfixe souhaité, mais ce n’est pas garanti. Si le préfixe ou la longueur du préfixe change plus tard, il peut être nécessaire de supprimer le bail DHCP ou de réassocier l’interface WAN pour que le pare-feu mette à jour le préfixe.

En pratique, il est conseillé de clarifier d’abord avec le fournisseur :

  • Quelle longueur de préfixe est déléguée, par exemple /56, /60 ou /64 ?
  • Le préfixe est-il stable ou peut-il changer ?
  • Faut-il demander une valeur spécifique ?
  • Y a-t-il des restrictions sur les configurations Bridge, PPPoE ou modem-routeur ?

Configurer l’interface interne

Après l’interface WAN, une interface interne est alimentée avec le préfixe délégué.

Chemin de menu :

Network > Interfaces

Procédure :

  1. Modifier l’interface interne, par exemple LAN ou DMZ.
  2. Ouvrir IPv6 configuration.
  3. Sélectionner Delegated.
  4. Sous Upstream interface, sélectionner l’interface WAN qui utilise la délégation de préfixe.
  5. Vérifier quel préfixe IPv6 apparaît dans le champ IPv6/prefix.
  6. Activer Router advertisement.
  7. Activer éventuellement DHCPv6 server si les clients doivent recevoir des paramètres supplémentaires.
  8. Enregistrer et mettre à jour l’interface.

Selon la documentation, Sophos permet d’ajuster l’adresse IPv6 dans le champ IPv6/prefix, mais pas la longueur du préfixe. Cela est important si plusieurs réseaux internes sont planifiés. Le préfixe du fournisseur doit être suffisamment grand pour alimenter plusieurs segments internes de manière significative.

Vérifier réalistiquement la conception VLAN

De nombreux réseaux productifs utilisent des VLANs pour les clients, les serveurs, les invités et la gestion. C’est précisément ici que la délégation de préfixe devient rapidement compliquée, car Sophos ne prend pas en charge la fonction sur les interfaces avec configuration VLAN.

Si le réseau cible interne est un VLAN, il ne faut pas simplement essayer de contourner la structure VLAN existante. Il est préférable de faire une brève vérification de la conception :

  • IPv6 doit-il vraiment être activé dans ce VLAN ?
  • Existe-t-il une conception d’interface ou de fournisseur alternative ?
  • Le fournisseur propose-t-il un IPv6 statique ?
  • Plusieurs réseaux IPv6 internes sont-ils prévus ?
  • Les règles de pare-feu, DNS, surveillance et documentation sont-elles déjà adaptées à IPv6 ?

Pour les bases des VLANs, consultez Configurer VLAN sur Sophos Firewall et UniFi Switch. L’article explique principalement IPv4, mais la planification des zones, des trunks et des règles est également pertinente pour IPv6.

Vérifier l’annonce du routeur

Lorsque la délégation de préfixe est activée sur l’interface interne, le Sophos Firewall crée automatiquement une annonce de routeur pour cette interface.

Chemin de menu :

Network > IPv6 router advertisement

Là, vous devez vérifier :

  • Y a-t-il un serveur RA automatiquement créé pour l’interface interne ?
  • Le préfixe attendu est-il annoncé ?
  • Les drapeaux RA correspondent-ils au comportement client prévu ?
  • Le Other flag doit-il être défini pour que DHCPv6 fournisse des paramètres supplémentaires ?

La configuration de l’annonce de préfixe du serveur RA automatiquement généré ne peut pas être modifiée. Si un autre préfixe doit être annoncé, un serveur RA distinct doit être créé.

Pour la plupart des environnements, il est conseillé de vérifier d’abord si les clients reçoivent correctement des adresses IPv6 avec le RA généré automatiquement avant d’ajouter des serveurs RA supplémentaires ou des configurations spéciales.

Utiliser DHCPv6 uniquement pour le bon objectif

DHCPv6 n’est pas la même chose que DHCPv4. Dans de nombreuses conceptions IPv6, les clients reçoivent leur adresse via SLAAC et des informations supplémentaires via DHCPv6. Par conséquent, avant l’activation, il faut clarifier ce que DHCPv6 doit accomplir.

Les paramètres DHCPv6 typiques sont :

  • Serveurs DNS.
  • Domaine de recherche DNS.
  • Autres options DHCPv6, si un client en a vraiment besoin.

Si les clients obtiennent une adresse IPv6 mais ne peuvent pas résoudre les noms, cela ne signifie pas automatiquement que la délégation de préfixe est incorrecte. Souvent, le serveur DNS approprié manque, la combinaison RA/DHCPv6 est floue ou le client utilise un autre chemin DNS que prévu.

Pour les domaines internes et les scénarios de DNS fractionné, Configurer les routes de requête DNS sur Sophos Firewall reste pertinent. IPv6 ne change pas la question fondamentale de savoir quel serveur DNS est responsable de quel domaine.

Vérifier les règles de pare-feu et l’accès aux appareils

Le trafic IPv6 nécessite des règles de pare-feu appropriées. Un ensemble de règles IPv4 existant n’est pas automatiquement un concept de sécurité IPv6 complet.

Avant l’approbation, il faut vérifier :

  • Existe-t-il des règles pour la zone source et la zone de destination concernées ?
  • Le trafic IPv6 est-il journalisé là où c’est nécessaire pour le dépannage ou la conformité ?
  • DNS, NTP, Web et les applications nécessaires sont-ils autorisés ?
  • Les connexions entrantes depuis Internet sont-elles toujours consciemment bloquées ou autorisées de manière ciblée ?
  • Existe-t-il des règles distinctes pour les zones client, serveur, invité et gestion ?

Avec IPv6, il faut particulièrement éviter de rendre les clients internes accessibles directement et sans contrôle depuis Internet. Les adresses IPv6 publiques ne signifient pas que les connexions entrantes doivent être autorisées. Les règles de pare-feu restent la barrière centrale.

L’accès aux appareils doit également être pris en compte. Si les clients internes doivent utiliser le pare-feu comme serveur DNS, DNS doit être autorisé pour la zone appropriée. Les services de gestion comme WebAdmin ou SSH ne devraient pas devenir plus accessibles avec une nouvelle configuration IPv6. Le renforcement des services locaux du pare-feu est décrit dans Accès aux appareils et ACL de service local sur Sophos Firewall.

Tests après la configuration

Après la mise en œuvre, il ne suffit pas de vérifier si un client a reçu une adresse IPv6 quelconque. Ce qui est crucial, c’est de savoir si tout le chemin fonctionne de manière contrôlée.

Tests pertinents :

  1. L’interface WAN affiche une adresse IPv6 et un préfixe délégué.
  2. L’interface interne affiche un préfixe IPv6 délégué.
  3. Sous Network > IPv6 router advertisement, le serveur RA automatique est visible.
  4. Le client de test reçoit une adresse IPv6 à partir du préfixe attendu.
  5. Le client de test a une passerelle par défaut IPv6.
  6. La résolution DNS fonctionne pour les noms internes et externes.
  7. Le ping IPv6 ou HTTPS vers une cible externe connue fonctionne.
  8. Le Log Viewer montre la règle de pare-feu appropriée pour le trafic de test.
  9. Un test IPv6 entrant depuis Internet n’est autorisé que si une règle existe consciemment pour cela.

Pour des connexions individuelles, Tester une règle de pare-feu avec Log Viewer, Policy Test et Packet Capture peut aider. En cas de problèmes d’interface ou de DNS fondamentaux, il faut d’abord vérifier le statut de l’interface, l’annonce du routeur et la configuration DNS.

Erreurs typiques

Les clients ne reçoivent pas d’adresse IPv6

Vérifiez d’abord si l’interface WAN a réellement reçu un préfixe. Si aucun préfixe n’est visible là-bas, le problème se situe généralement au niveau du fournisseur, de l’interface WAN, des conceptions PPPoE/Bridge ou de la demande de délégation de préfixe.

Si un préfixe est présent sur le WAN mais que les clients ne reçoivent pas d’adresse, il faut vérifier l’interface interne, l’annonce du routeur et le réseau client.

Les clients ont IPv6, mais pas d’Internet

Dans ce cas, la délégation de préfixe n’est pas nécessairement le problème. Les causes fréquentes sont :

  • pas de règle de pare-feu appropriée,
  • DNS ne fonctionne pas,
  • le client préfère IPv6, mais le site cible ou le chemin est perturbé,
  • mauvaise interface interne,
  • RA ou DHCPv6 fournit des paramètres incomplets,
  • le chemin de retour ou le routage du fournisseur ne convient pas.

DNS ne fonctionne que partiellement

Avec IPv6, les problèmes DNS apparaissent souvent tardivement, car certaines applications basculent entre IPv4 et IPv6. Il faut tester séparément :

  • la résolution DNS externe,
  • les domaines internes,
  • les recherches inverses, si les journaux ou les rapports doivent afficher des noms,
  • le serveur DNS que le client utilise réellement.

Le préfixe change après un changement de fournisseur ou un redémarrage

Si le fournisseur attribue un préfixe dynamique, celui-ci peut changer. Cela peut casser les adresses IPv6 statiques, les entrées DNS manuelles, les autorisations externes ou les règles de surveillance.

Pour les serveurs productifs, les services publiés ou les réseaux de sites complexes, il est donc conseillé de vérifier si un préfixe fournisseur stable ou une autre conception IPv6 est nécessaire.

Le réseau VLAN doit recevoir IPv6

Ici, il faut prendre au sérieux la limitation de Sophos. Si la délégation de préfixe n’est pas possible sur l’interface VLAN souhaitée, il ne faut pas travailler avec des solutions de contournement aléatoires. Il est préférable de prendre une décision de conception propre : IPv6 statique, autre conception d’interface, clarification avec le fournisseur ou renoncement conscient à IPv6 dans ce segment.

Liste de contrôle opérationnelle

  • Longueur et stabilité du préfixe fournisseur documentées.
  • L’interface WAN reçoit une adresse IPv6 et un préfixe délégué.
  • L’interface interne utilise Delegated avec la bonne interface montante.
  • L’annonce du routeur est active et visible.
  • DHCPv6 n’est activé que si des paramètres supplémentaires sont nécessaires.
  • Concept DNS pour les noms internes et externes vérifié.
  • Règles de pare-feu pour IPv6 créées ou confirmées consciemment.
  • L’accès aux appareils n’est pas inutilement élargi par IPv6.
  • Le Log Viewer montre le trafic de test de manière traçable.
  • Les changements de préfixe ou de fournisseur sont documentés.

FAQ

Qu'est-ce que la délégation de préfixe IPv6 sur le Sophos Firewall ?

La délégation de préfixe IPv6 signifie que le pare-feu demande un préfixe IPv6 au fournisseur et l’utilise pour alimenter les interfaces internes en IPv6. Les clients reçoivent ensuite leurs informations IPv6 via l’annonce du routeur et éventuellement DHCPv6.

La délégation de préfixe fonctionne-t-elle avec PPPoE ?

PPPoE over IPv6 n’est pas pris en charge pour la délégation de préfixe. Si la connexion Internet utilise PPPoE, la conception du fournisseur et du modem/routeur doit être vérifiée au préalable.

Peut-on utiliser la délégation de préfixe sur les interfaces VLAN ?

Une limitation importante est que la délégation de préfixe ne peut pas être utilisée sur les interfaces avec configuration VLAN. Dans les environnements VLAN, il est donc conseillé de planifier la conception IPv6 avec soin.

A-t-on besoin d'un serveur DHCPv6 avec la délégation de préfixe ?

Pas toujours. L’annonce du routeur peut fournir aux clients le préfixe et la passerelle. DHCPv6 est surtout pertinent lorsque des paramètres supplémentaires comme les serveurs DNS ou d’autres options DHCPv6 doivent être distribués.

Pourquoi les clients obtiennent-ils IPv6, mais certains services ne fonctionnent pas ?

Il faut alors vérifier les règles de pare-feu, DNS, l’annonce du routeur, les paramètres DHCPv6 et les journaux. Une adresse IPv6 existante prouve seulement que l’adressage fonctionne, pas que tout le chemin est correctement autorisé et résolvable.