- Fedora-Fr
- À propos de Fedora-Fr
- Historique
- Statistiques
- Télécharger
- Obtenir Fedora
- Toutes les méthodes de téléchargement
- Sous-projets
- Muffin
- Plateforme de blog
Dernière news : Un nouveau logo pour Fedora ?
Bonjour,
Je viens de découvrir une chose qui me dérange quand j'utilise un VPN OpenVPN.....
Avant de démarrer le VPN je me connecte aux sites:
https://www.geoiptool.com/fr/
https://www.iplocation.net/
https://www.displaymyhostname.com/
https://whatismyipaddress.com/
Ces sites m'affichent mon adresse IPv4 publique, le dernier étant le seul à m'afficher mon adresse IPv6 publique.
Je démarre un VPN utilisant OpenVPN.
Après connexion, mon adresse IPv4 publique réelle est bien masquée et j'ai bien l'adresse qui m'est attribuée par la passerelle VPN qui s'affiche.
En revanche, le site https://whatismyipaddress.com/ continue à m'afficher la même adresse IPv6.
J'ai essayer de désactiver IPv6 dans les paramètres de ma connexion OpenVPN mais ça ne change rien.
Any help ?
Pour ceux qui ont un VPN, obtenez-vous la même chose si vous faites le test à l'identique ?
EDIT: Autre site de test: http://www.monipv6.org/
Dernière modification par didierg (20/01/2018 23:01:35)
En ligne
compte tenu de la philosophie de l IPv6 conçu pour être l'internet des objets, l'adresse n'est-elle pas attachée a la carte réseau et transmise avec les données ?
C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !
Hors ligne
ipv6 a été conçu avant l'internet des objects d'aujourd'hui.
je pencherais plutôt pour un trafic ipv6 non routé par le VPN.
Compare tes routes une fois ton vpn connecté.
ip r
ip -6 r
Ensuite quel niveau est ton VPN ? Niveau 2 ou niveau 3 (et donc routage ipv4)?
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
J'utilise le VPN de Giganews qui est commercialement présenté comme étant un VyrpVPN sauf que si je récupère les fichiers de config *.ovpn sur le site VyrpVPN ça ne fonctionne pas, je doit utiliser la config indiqué par Giganews.
En ligne
Client Orange, je viens de tomber sur cette page qui a actualisé mes connaissances:
https://assistance.orange.fr/livebox-mo … 182-760947
M'étant jamais vraiment intéressé à IPv6 avant de découvrir ce leak avec mon VPN je découvre comment sont formées les adresses IPv6:
IP v6 (Internet Protocol Version 6) : l'adresse IP est composée de 8 groupes de 4 caractères hexadécimaux, notés de 0 à 9 et de A à F, et séparés par le symbole deux-points (exemple : 2001:db8:17d4:e800:ee56:9889:ff50:4e9a). C'est le successeur de l'IPv4. Son déploiement est progressif et n'est utilisé que pour les adresses IP publiques :
Attribution des adresses IPv6 publiques :
Adresse IPv6 de la Livebox : en fonction du modèle de votre Livebox (Livebox Play, Livebox 4) et de votre connexion (ADSL, VDSL2, Fibre), Orange peut attribuer à votre Livebox une adresse IPv6 publique en plus de son adresse IPv4 publique.
Adresse IPv6 publique des sites internet : de plus en plus de sites internet et de services utilisent une adresse IPv6 en plus de leur adresse IPv4.Attribution des adresses IPv6 locales :
Adresse IPv6 de la Livebox : contrairement à la norme IPv4, la Livebox ne possède pas d’adresse IP locale spécifique pour échanger les données avec vos équipements. Le réseau local est constitué à partir des premiers groupes de l’adresse IPv6 publique de la Livebox, c'est-à-dire son préfixe (exemple : adresse IPv6 de la Livebox : 2a01:cb04:0534:cb10:213a:e56b:55ee:09cd ; préfixe de la Livebox : 2a01:cb04:0534:cb10).
Adresse IPv6 de vos équipements compatibles : l’adresse est constituée à partir du préfixe IPv6 de la Livebox puis de 4 autres groupes supplémentaires (exemple : 2a01:cb04:0534:cb10:56ed:7c45:84ec:05ae).
Ma compréhension est que l'adresse IPv6 privée allouée par la Livebox à mon ordinateur permet à minima d'identifier la connexion utilisée.
Est-ce bien cela ?
Dernière modification par didierg (23/01/2018 04:00:17)
En ligne
J'ai pas compris ta question, mais Orange sait forcément à qui appartient telle IP publique (v4 ou v6). Pour ton histoire de vpn sans réponse de ta part on ne pourra guère t'aider plus que ça.
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
VPN non connecté
$ ip r
default via 192.168.1.1 dev enp3s0 proto static metric 100
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.10 metric 100
$ ip -6 r
2a01:abcd:276:ec00::/64 dev enp3s0 proto ra metric 100 pref medium
fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium
fe80::/64 dev enp3s0 proto kernel metric 256 pref medium
default via fe80::924d:abcd:fea4:eb70 dev enp3s0 proto static metric 100 pref medium
VPN connecté
$ ip r
default via 10.10.139.1 dev tun0 proto static metric 50
default via 192.168.1.1 dev enp3s0 proto static metric 100
10.10.139.0/24 dev tun0 proto kernel scope link src 10.10.139.158 metric 50
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.10 metric 100
192.168.1.1 dev enp3s0 proto static scope link metric 100
216.123.12.123 via 192.168.1.1 dev enp3s0 proto static metric 100
$ ip -6 r
2a01:abcd:276:ec00::/64 dev enp3s0 proto ra metric 100 pref medium
fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium
fe80::/64 dev enp3s0 proto kernel metric 256 pref medium
fe80::/64 dev tun0 proto kernel metric 256 pref medium
default via fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium
Après pour ma question incomprise celle-ci peut se résumer à: alors que derrière une box Orange les adresses IPv4 sont purement locales, les adresses IPv6 elles sont composées à partir d'une partie qui est unique et publique ?
Dernière modification par didierg (23/01/2018 12:22:22)
En ligne
bonjour,
j'utilise une livebox et j'ai désactivé ipv6 dans le paramétrage de celle-ci.
pas de problème de fuite de mon ip à travers le vpn.
bien sûr c'est pas l'avenir !
Dernière modification par piolet (23/01/2018 13:51:59)
Hors ligne
chaque ip(v4 ou v6) si elle doit être publique doit être unique.
Après derrière une box orange je peux pas savoir ce qu'ils utilisent comme paramétrage (étant chez Free), mais habituellement, et c'est même l'intérêt principale d'IPV6 c'est de fournir des ip publiques sur tous les équipement (vu que maintenant avec ipv6 on est plus autant limité en nombre).
2a01:abcd:276:ec00::/64 ressemble fortement à du publique. Alors que les ipv6 en fe80 sont reservées pour les adresses locales (dont une partie se base sur l'adresse MAC). C'est aussi une des grosses nouveautés d'ipv6 de pouvoir en quelques sorte s'autoconfigurer.
En tout cas à la vue de tes routes, la partie ipv6 n'est pas impactée par ton VPN donc le traffic v6 sortira par ta box et non par le VPN. A voir avec ton fournisseur si c'est possible de faire aussi passer le v6 via le VPN.
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
En tout cas à la vue de tes routes, la partie ipv6 n'est pas impactée par ton VPN donc le traffic v6 sortira par ta box et non par le VPN. A voir avec ton fournisseur si c'est possible de faire aussi passer le v6 via le VPN.
Pour le coup tu parles bien du fournisseur de la gateway VPN a savoir Giganews, Orange et OpenVPN n'étant pas concernés ?
Dernière modification par didierg (23/01/2018 17:57:53)
En ligne
oui tout à fait je parlais du fournisseur du VPN. Voir si c'est du L2 ou L3 (tun ou tap). Pour ipv6 faut du tap si on en croit la doc openvpn https://community.openvpn.net/openvpn/w … AndRouting
Donc déjà si dans la conf openvpn qu'ils te fournissent il y a dev tun ça va être dur.
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
Par défaut dans les fichiers ovpn de Vyrpvpn c'est TUN et par défaut quand je crée une connexion avec l'interface graphique c'est aussi TUN.
Dans les paramètres avancés l'interface graphique je peux cependant préciser:
- Configurer le type de device réseau TUN/TAP
- Activer IPv6 TUN link
J'arrive à activer le VPN en TAP mais ça ne semble rien changer quand je vérifie sur monipv6.org
En ligne
Salut,
Je ne voulais pas intervenir craignant de dire des bêtises mais c'est vrai qu'il faut vérifier la compatibilité des fournisseurs VPN avec ipv6 car la plupart ne sont qu'en ipv4.
Je viens de regarder et c'est le cas également pour VyprVPN, et cela fait visiblement longtemps que les utilisateurs réclament cette option.
https://forum.goldenfrog.com/t/vyprvpn/4188/4
https://forum.goldenfrog.com/search?q=o … est%20ipv6
@madko
On dirait que maintenant avec les versions openvpn >= 2.2 tun et tap sont compatibles avec l'ipv6.
https://openvpn.net/index.php/open-sour … works.html
Bon courage à toi.
@+
Hors ligne
2a01:abcd:276:ec00::/64 ressemble fortement à du publique.
Dans la configuration de la LiveBox, je retrouve
"Le préfixe IPv6 est : 2a01:abcd:276:ec00::/56"
Il s'agit donc bien de la partie publique des adresses IPv6 connectées à cette LiveBox
Dernière modification par didierg (23/01/2018 18:58:36)
En ligne
Je cherche des explications (fiables) sur les paramètres entourés sachant que comme dit précédemment le serveur VPN que j'utilise de gère pas (encore) l'IPv6:
Dernière modification par didierg (05/02/2018 19:59:01)
En ligne
désactiver => désactive la couche ipv6
N'utiliser cette connexion que pour les ressources sur ce réseau => évite de router tout le trafic via cette connexion (sûrement une mauvaise traduction car c'est pas très clair)
ipv6 tun link => permet de prendre en charge un tunnel supportant l'ipv6.
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
Merci pour ta réponse....
J'ai essayé de jouer avec "désactiver", mon fournisseur de VPN ne supportant pas IPv6:
- Je me connecte sans VPN à monipv6.org et je note les adresses IPv6 et IPv4
- Je modifie ma connexion VPN en cochant "Désactiver" pour IPv6
- je vérifie le contenu du fichier /etc/NetworkManager/system-connections/xxxxxxx et dans la section IPv6 j'ai bien le paramètre method=ignore
- j'active ma connexion VPN
- je me reconnecte à monipv6.org et je vérifie les adresses: IPv6 est inchangée par contre IPv4 est bien l'adresse de sortie du VPN
- je déconnecte le VPN
- Je modifie ma connexion VPN en décochant "Désactiver" pour IPv6
- je vérifie le contenu du fichier /etc/NetworkManager/system-connections/xxxxxxx et dans la section IPv6 j'ai bien le paramètre method=auto
Je ne vois pas ce que change "Désactiver" et ce paramètre "method"
En ligne
tu récupère quoi comme type d'ipv6 sur l'interface du VPN ? pas une fe80 ?
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
Non, avec "désactiver" coché et le VPN activé, je récupère toujours une adresse 2a01:abcd:276:ec00 comme dans mon post 7 https://forums.fedora-fr.org/viewtopic. … 75#p582275 ci-dessus.
Un peu comme si Durex vendait des capotes percées.
En ligne
mais enp3s0 c'est ton interface vpn ? car c'est elle qui porte 2a01:abcd:276:ec00
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
Non, enp3s0 est l'interface filaire avec laquelle je me connecte à ma LiveBox:
$ ifconfig
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::abcd:abc:1753:abcd prefixlen 64 scopeid 0x20<link>
inet6 2a01:abcd:abc:ec00:15b1:29ed:a089:abcd prefixlen 64 scopeid 0x0<global>
ether c8:60:00:12.34.56 txqueuelen 1000 (Ethernet)
RX packets 560899 bytes 595731123 (568.1 MiB)
RX errors 0 dropped 3140 overruns 0 frame 0
TX packets 399091 bytes 61399511 (58.5 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Boucle locale)
RX packets 37 bytes 5084 (4.9 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 37 bytes 5084 (4.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.2.12.34 netmask 255.255.255.0 destination 10.2.12.34
inet6 fe80::abcd:8791:eff7:bb9c prefixlen 64 scopeid 0x20<link>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 15 bytes 3593 (3.5 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 21 bytes 3587 (3.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
En ligne
En ligne
Le ifconfig montre clairement que l'ipv6 n'est pas portée sur ton tun0, donc je comprend pas?? Ton ipv6 2a01:abcd:abc:ec00:15b1:29ed:a089:abcd comme dit plus haut, est fourni par ta box, pas par ton client VPN.
A la vue de la table de routage, comment tu peux affirmer que le trafic ipv6 est routé sur le tunnel ? C'est clairement en contradiction avec ce que t'affiche le kernel
2a01:abcd:276:ec00::/64 dev enp3s0 proto ra metric 100 pref medium <=== fournit par ta box sur interface filaire donc pas le VPN
fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium <=== à ignorer car adresse type local
fe80::/64 dev enp3s0 proto kernel metric 256 pref medium <=== à ignorer car adresse type local
fe80::/64 dev tun0 proto kernel metric 256 pref medium <=== à ignorer car adresse type local
default via fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium <=== route par defaut via interface filaire donc pas par le VPN
Dernière modification par madko (07/02/2018 11:09:23)
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne
A la vue de la table de routage, comment tu peux affirmer que le trafic ipv6 est routé sur le tunnel ? C'est clairement en contradiction avec ce que t'affiche le kernel
Je n'ai jamais affirmer cela et c'est bien là le problème:
- le serveur VPN ne supporte pas l'IPv6
- l'IPv4 est correctement routé vers le tunnel
- l'IPv6 n'est ni routé vers le tunnel ni bloqué
- l'adresse IPv6 2a01 est donc exposée à tous
En ligne
If VPN server does not provide IPv6 support, IPv6 traffic is not blocked but routed outside of the VPN.
This is definitely a VPN leak.
Tu dis bien que ça sort par le VPN. Hors ce n'est pas ce que dit ta table de routage. Donc comment affirmes tu cela ? j'essaye de comprendre.
- l'adresse IPv6 2a01 est donc exposée à tous
Idem
Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 29 x86_64 sur HP 850 G5 et Dell Latitude E5440
Hors ligne