OpenVPN et IPv6

didierg · 20/01/2018 20:47:05

Bonjour,

Je viens de découvrir une chose qui me dérange quand j'utilise un VPN OpenVPN.....

Avant de démarrer le VPN je me connecte aux sites:

https://www.geoiptool.com/fr/
https://www.iplocation.net/
https://www.displaymyhostname.com/
https://whatismyipaddress.com/

Ces sites m'affichent mon adresse IPv4 publique, le dernier étant le seul à m'afficher mon adresse IPv6 publique.

Je démarre un VPN utilisant OpenVPN.

Après connexion, mon adresse IPv4 publique réelle est bien masquée et j'ai bien l'adresse qui m'est attribuée par la passerelle VPN qui s'affiche.

En revanche, le site https://whatismyipaddress.com/ continue à m'afficher la même adresse IPv6.

J'ai essayer de désactiver IPv6 dans les paramètres de ma connexion OpenVPN mais ça ne change rien.

Any help ?

Pour ceux qui ont un VPN, obtenez-vous la même chose si vous faites le test à l'identique ?

EDIT: Autre site de test: http://www.monipv6.org/

Dernière modification par didierg (21/01/2018 00:01:35)

nouvo09 · 20/01/2018 22:36:13

compte tenu de la philosophie de l IPv6 conçu pour être l'internet des objets, l'adresse n'est-elle pas attachée a la carte réseau et transmise avec les données ?

madko · 21/01/2018 14:00:47

ipv6 a été conçu avant l'internet des objects d'aujourd'hui.

je pencherais plutôt pour un trafic ipv6 non routé par le VPN.

Compare tes routes une fois ton vpn connecté.

ip r
ip -6 r

Ensuite quel niveau est ton VPN ? Niveau 2 ou niveau 3 (et donc routage ipv4)?

didierg · 22/01/2018 16:07:20

J'utilise le VPN de Giganews qui est commercialement présenté comme étant un VyrpVPN sauf que si je récupère les fichiers de config *.ovpn sur le site VyrpVPN ça ne fonctionne pas, je doit utiliser la config indiqué par Giganews.

didierg · 22/01/2018 23:35:32

Client Orange, je viens de tomber sur cette page qui a actualisé mes connaissances:

https://assistance.orange.fr/livebox-mo … 182-760947

M'étant jamais vraiment intéressé à IPv6 avant de découvrir ce leak avec mon VPN je découvre comment sont formées les adresses IPv6:

IP v6 (Internet Protocol Version 6) : l'adresse IP est composée de 8 groupes de 4 caractères hexadécimaux, notés de 0 à 9 et de A à F, et séparés par le symbole deux-points (exemple : 2001:db8:17d4:e800:ee56:9889:ff50:4e9a). C'est le successeur de l'IPv4. Son déploiement est progressif et n'est utilisé que pour les adresses IP publiques :
Attribution des adresses IPv6 publiques :
Adresse IPv6 de la Livebox : en fonction du modèle de votre Livebox (Livebox Play, Livebox 4) et de votre connexion (ADSL, VDSL2, Fibre), Orange peut attribuer à votre Livebox une adresse IPv6 publique en plus de son adresse IPv4 publique.
Adresse IPv6 publique des sites internet : de plus en plus de sites internet et de services utilisent une adresse IPv6 en plus de leur adresse IPv4.
Attribution des adresses IPv6 locales :
Adresse IPv6 de la Livebox : contrairement à la norme IPv4, la Livebox ne possède pas d’adresse IP locale spécifique pour échanger les données avec vos équipements. Le réseau local est constitué à partir des premiers groupes de l’adresse IPv6 publique de la Livebox, c'est-à-dire son préfixe (exemple : adresse IPv6 de la Livebox : 2a01:cb04:0534:cb10:213a:e56b:55ee:09cd ; préfixe de la Livebox : 2a01:cb04:0534:cb10).
Adresse IPv6 de vos équipements compatibles : l’adresse est constituée à partir du préfixe IPv6 de la Livebox puis de 4 autres groupes supplémentaires (exemple : 2a01:cb04:0534:cb10:56ed:7c45:84ec:05ae).

Ma compréhension est que l'adresse IPv6 privée allouée par la Livebox à mon ordinateur permet à minima d'identifier la connexion utilisée.

Est-ce bien cela ?

Dernière modification par didierg (23/01/2018 05:00:17)

madko · 23/01/2018 09:23:37

J'ai pas compris ta question, mais Orange sait forcément à qui appartient telle IP publique (v4 ou v6). Pour ton histoire de vpn sans réponse de ta part on ne pourra guère t'aider plus que ça.

didierg · 23/01/2018 13:01:40

VPN non connecté

$ ip r
default via 192.168.1.1 dev enp3s0 proto static metric 100 
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.10 metric 100 

$ ip -6 r
2a01:abcd:276:ec00::/64 dev enp3s0 proto ra metric 100 pref medium
fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium
fe80::/64 dev enp3s0 proto kernel metric 256 pref medium
default via fe80::924d:abcd:fea4:eb70 dev enp3s0 proto static metric 100 pref medium

VPN connecté

$ ip r
default via 10.10.139.1 dev tun0 proto static metric 50 
default via 192.168.1.1 dev enp3s0 proto static metric 100 
10.10.139.0/24 dev tun0 proto kernel scope link src 10.10.139.158 metric 50 
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.10 metric 100 
192.168.1.1 dev enp3s0 proto static scope link metric 100 
216.123.12.123 via 192.168.1.1 dev enp3s0 proto static metric 100 

$ ip -6 r
2a01:abcd:276:ec00::/64 dev enp3s0 proto ra metric 100 pref medium
fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium
fe80::/64 dev enp3s0 proto kernel metric 256 pref medium
fe80::/64 dev tun0 proto kernel metric 256 pref medium
default via fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium

Après pour ma question incomprise celle-ci peut se résumer à: alors que derrière une box Orange les adresses IPv4 sont purement locales, les adresses IPv6 elles sont composées à partir d'une partie qui est unique et publique ?

Dernière modification par didierg (23/01/2018 13:22:22)

piolet · 23/01/2018 14:50:53

bonjour,
j'utilise une livebox et j'ai désactivé ipv6 dans le paramétrage de celle-ci.
pas de problème de fuite de mon ip à travers le vpn.
bien sûr c'est pas l'avenir !

Dernière modification par piolet (23/01/2018 14:51:59)

madko · 23/01/2018 15:06:06

chaque ip(v4 ou v6) si elle doit être publique doit être unique.

Après derrière une box orange je peux pas savoir ce qu'ils utilisent comme paramétrage (étant chez Free), mais habituellement, et c'est même l'intérêt principale d'IPV6 c'est de fournir des ip publiques sur tous les équipement (vu que maintenant avec ipv6 on est plus autant limité en nombre).

2a01:abcd:276:ec00::/64 ressemble fortement à du publique. Alors que les ipv6 en fe80 sont reservées pour les adresses locales (dont une partie se base sur l'adresse MAC). C'est aussi une des grosses nouveautés d'ipv6 de pouvoir en quelques sorte s'autoconfigurer.

En tout cas à la vue de tes routes, la partie ipv6 n'est pas impactée par ton VPN donc le traffic v6 sortira par ta box et non par le VPN. A voir avec ton fournisseur si c'est possible de faire aussi passer le v6 via le VPN.

didierg · 23/01/2018 15:44:49

madko a écrit :

En tout cas à la vue de tes routes, la partie ipv6 n'est pas impactée par ton VPN donc le traffic v6 sortira par ta box et non par le VPN. A voir avec ton fournisseur si c'est possible de faire aussi passer le v6 via le VPN.

Pour le coup tu parles bien du fournisseur de la gateway VPN a savoir Giganews, Orange et OpenVPN n'étant pas concernés ?

Dernière modification par didierg (23/01/2018 18:57:53)

madko · 23/01/2018 17:15:58

oui tout à fait je parlais du fournisseur du VPN. Voir si c'est du L2 ou L3 (tun ou tap). Pour ipv6 faut du tap si on en croit la doc openvpn https://community.openvpn.net/openvpn/w … AndRouting
Donc déjà si dans la conf openvpn qu'ils te fournissent il y a dev tun ça va être dur.

didierg · 23/01/2018 19:12:04

Par défaut dans les fichiers ovpn de Vyrpvpn c'est TUN et par défaut quand je crée une connexion avec l'interface graphique c'est aussi TUN.

Dans les paramètres avancés l'interface graphique je peux cependant préciser:

- Configurer le type de device réseau TUN/TAP
- Activer IPv6 TUN link

J'arrive à activer le VPN en TAP mais ça ne semble rien changer quand je vérifie sur monipv6.org

CabSud · 23/01/2018 19:30:48

Salut,

Je ne voulais pas intervenir craignant de dire des bêtises mais c'est vrai qu'il faut vérifier la compatibilité des fournisseurs VPN avec ipv6 car la plupart ne sont qu'en ipv4.
Je viens de regarder et c'est le cas également pour VyprVPN, et cela fait visiblement longtemps que les utilisateurs réclament cette option.
https://forum.goldenfrog.com/t/vyprvpn/4188/4
https://forum.goldenfrog.com/search?q=o … est%20ipv6

@madko
On dirait que maintenant avec les versions openvpn >= 2.2 tun et tap sont compatibles avec l'ipv6.
https://openvpn.net/index.php/open-sour … works.html

Bon courage à toi.
@+

didierg · 23/01/2018 19:50:51

madko a écrit :

2a01:abcd:276:ec00::/64 ressemble fortement à du publique.

Dans la configuration de la LiveBox, je retrouve

"Le préfixe IPv6 est : 2a01:abcd:276:ec00::/56"

Il s'agit donc bien de la partie publique des adresses IPv6 connectées à cette LiveBox

Dernière modification par didierg (23/01/2018 19:58:36)

didierg · 05/02/2018 20:57:45

Je cherche des explications (fiables) sur les paramètres entourés sachant que comme dit précédemment le serveur VPN que j'utilise de gère pas (encore) l'IPv6:

Dernière modification par didierg (05/02/2018 20:59:01)

madko · 06/02/2018 12:31:14

désactiver => désactive la couche ipv6
N'utiliser cette connexion que pour les ressources sur ce réseau => évite de router tout le trafic via cette connexion (sûrement une mauvaise traduction car c'est pas très clair)
ipv6 tun link => permet de prendre en charge un tunnel supportant l'ipv6.

didierg · 06/02/2018 13:51:56

Merci pour ta réponse....

J'ai essayé de jouer avec "désactiver", mon fournisseur de VPN ne supportant pas IPv6:

- Je me connecte sans VPN à monipv6.org et je note les adresses IPv6 et IPv4

- Je modifie ma connexion VPN en cochant "Désactiver" pour IPv6
- je vérifie le contenu du fichier /etc/NetworkManager/system-connections/xxxxxxx et dans la section IPv6 j'ai bien le paramètre method=ignore
- j'active ma connexion VPN
- je me reconnecte à monipv6.org et je vérifie les adresses: IPv6 est inchangée par contre IPv4 est bien l'adresse de sortie du VPN

- je déconnecte le VPN
- Je modifie ma connexion VPN en décochant "Désactiver" pour IPv6
- je vérifie le contenu du fichier /etc/NetworkManager/system-connections/xxxxxxx et dans la section IPv6 j'ai bien le paramètre method=auto

Je ne vois pas ce que change "Désactiver" et ce paramètre "method"

madko · 06/02/2018 16:16:58

tu récupère quoi comme type d'ipv6 sur l'interface du VPN ? pas une fe80 ?

didierg · 06/02/2018 17:13:02

Non, avec "désactiver" coché et le VPN activé, je récupère toujours une adresse 2a01:abcd:276:ec00 comme dans mon post 7 https://forums.fedora-fr.org/viewtopic. … 75#p582275 ci-dessus.

Un peu comme si Durex vendait des capotes percées.

madko · 06/02/2018 19:24:02

mais enp3s0 c'est ton interface vpn ? car c'est elle qui porte 2a01:abcd:276:ec00

didierg · 06/02/2018 20:59:35

Non, enp3s0 est l'interface filaire avec laquelle je me connecte à ma LiveBox:

$ ifconfig
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.10  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::abcd:abc:1753:abcd  prefixlen 64  scopeid 0x20<link>
        inet6 2a01:abcd:abc:ec00:15b1:29ed:a089:abcd  prefixlen 64  scopeid 0x0<global>
        ether c8:60:00:12.34.56  txqueuelen 1000  (Ethernet)
        RX packets 560899  bytes 595731123 (568.1 MiB)
        RX errors 0  dropped 3140  overruns 0  frame 0
        TX packets 399091  bytes 61399511 (58.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 37  bytes 5084 (4.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 37  bytes 5084 (4.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.2.12.34  netmask 255.255.255.0  destination 10.2.12.34
        inet6 fe80::abcd:8791:eff7:bb9c  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 15  bytes 3593 (3.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 21  bytes 3587 (3.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

didierg · 07/02/2018 10:24:45

Voir aussi: https://bugzilla.redhat.com/show_bug.cgi?id=1228426

madko · 07/02/2018 12:02:40

Le ifconfig montre clairement que l'ipv6 n'est pas portée sur ton tun0, donc je comprend pas?? Ton ipv6 2a01:abcd:abc:ec00:15b1:29ed:a089:abcd comme dit plus haut, est fourni par ta box, pas par ton client VPN.

A la vue de la table de routage, comment tu peux affirmer que le trafic ipv6 est routé sur le tunnel ? C'est clairement en contradiction avec ce que t'affiche le kernel

2a01:abcd:276:ec00::/64 dev enp3s0 proto ra metric 100 pref medium    <=== fournit par ta box sur interface filaire donc pas le VPN
fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium      <=== à ignorer car adresse type local
fe80::/64 dev enp3s0 proto kernel metric 256 pref medium                                <=== à ignorer car adresse type local
fe80::/64 dev tun0 proto kernel metric 256 pref medium                                     <=== à ignorer car adresse type local
default via fe80::abcd:4aff:fea4:eb70 dev enp3s0 proto static metric 100 pref medium <=== route par defaut via interface filaire donc pas par le VPN

Dernière modification par madko (07/02/2018 12:09:23)

didierg · 07/02/2018 13:53:28

madko a écrit :

A la vue de la table de routage, comment tu peux affirmer que le trafic ipv6 est routé sur le tunnel ? C'est clairement en contradiction avec ce que t'affiche le kernel

Je n'ai jamais affirmer cela et c'est bien là le problème:

- le serveur VPN ne supporte pas l'IPv6
- l'IPv4 est correctement routé vers le tunnel
- l'IPv6 n'est ni routé vers le tunnel ni bloqué
- l'adresse IPv6 2a01 est donc exposée à tous

madko · 07/02/2018 19:43:04

Didier G a écrit :

If VPN server does not provide IPv6 support, IPv6 traffic is not blocked but routed outside of the VPN.
This is definitely a VPN leak.

Tu dis bien que ça sort par le VPN. Hors ce n'est pas ce que dit ta table de routage. Donc comment affirmes tu cela ? j'essaye de comprendre.

didierg a écrit :

- l'adresse IPv6 2a01 est donc exposée à tous

Idem

Fedora-Fr - Communauté francophone Fedora - Linux

#1 20/01/2018 20:47:05

OpenVPN et IPv6

#2 20/01/2018 22:36:13

Re : OpenVPN et IPv6

#3 21/01/2018 14:00:47

Re : OpenVPN et IPv6

#4 22/01/2018 16:07:20

Re : OpenVPN et IPv6

#5 22/01/2018 23:35:32

Re : OpenVPN et IPv6

#6 23/01/2018 09:23:37

Re : OpenVPN et IPv6

#7 23/01/2018 13:01:40

Re : OpenVPN et IPv6

#8 23/01/2018 14:50:53

Re : OpenVPN et IPv6

#9 23/01/2018 15:06:06

Re : OpenVPN et IPv6

#10 23/01/2018 15:44:49

Re : OpenVPN et IPv6

#11 23/01/2018 17:15:58

Re : OpenVPN et IPv6

#12 23/01/2018 19:12:04

Re : OpenVPN et IPv6

#13 23/01/2018 19:30:48

Re : OpenVPN et IPv6

#14 23/01/2018 19:50:51

Re : OpenVPN et IPv6

#15 05/02/2018 20:57:45

Re : OpenVPN et IPv6

#16 06/02/2018 12:31:14

Re : OpenVPN et IPv6

#17 06/02/2018 13:51:56

Re : OpenVPN et IPv6

#18 06/02/2018 16:16:58

Re : OpenVPN et IPv6

#19 06/02/2018 17:13:02

Re : OpenVPN et IPv6

#20 06/02/2018 19:24:02

Re : OpenVPN et IPv6

#21 06/02/2018 20:59:35

Re : OpenVPN et IPv6

#22 07/02/2018 10:24:45

Re : OpenVPN et IPv6

#23 07/02/2018 12:02:40

Re : OpenVPN et IPv6

#24 07/02/2018 13:53:28

Re : OpenVPN et IPv6

#25 07/02/2018 19:43:04

Re : OpenVPN et IPv6

Pied de page des forums