OpenVPN et IPv6

didierg · 07/02/2018 19:58:30

Je me suis sans doute mal exprimé (outside versus through)

Je ne dis pas que ça sort par le VPN mais que le VPN étant actif mon adresse IPv6 reste visible de l'extérieur.

madko · 07/02/2018 20:15:56

pourquoi ne devrait-elle plus être accessible ?

Tu as une IP v6 publique sur une interface filaire qui n'a rien à voir avec ton VPN. Elle reste accessible mais uniquement via ta box et pas via le VPN. Donc je comprend pas le problème. Si tu fais un tcpdump sur tun0 tu vois tu trafic ipv6 vers/depuis ton ipv6 publique ??

tcpdump -i tun0 -ne ip6

didierg · 09/02/2019 15:44:52

Je déterre ce post vieux d'un an car mon problème n'est pas résolu.

Ma config est inchangée à savoir l'accès à un serveur VPN vyprvpn inclus dans mon abonnement Giganews auquel j'accède avec le client openvpn standard que je configure avec NetworkManager.

Ce que je souhaite c'est que les sites auxquels j'accède ne puisse connaitre que l'adresse IPv4 du serveur vyprvpn et pas mon adresse IPv6.

J'ai fait différents essais en utilisant https://test-ipv6.com/ et si mon adresse IPv4 est bien masquée, mon adresse IPv6 est toujours visible.

Est-il possible de masquer cette adresse IPv6 avec cette config ?

Faut-il changer de fournisseur VPN (vyprvpn) ?

Faut-il changer de client openvpn ?

vyprvpn supporte openvpn mais aussi PPTP. Faut-il changer de protocole ?

Merci pour votre aide.

madko · 09/02/2019 16:16:47

A priori vyprvpn a un avis assez tranché sur l'ipv6, ils n'en tiennent pas compte. Donc soit tu coupe ipv6 sur ton poste, soit tu trouve un tunnel pour la partie ipv6. Le mieux serait de leur poser la question.

didierg · 09/02/2019 23:14:50

Je suis fixé !

Hi, I am Giganews customer and I use Vyprvpn. Does it support IPv6 at this time ?
Didier

Hello, my name is Kyle. Thank you for contacting Golden Frog Support!
vyprVPN does not support IPv6 at this time.
Kyle

is it in project as most isp provide IPv6 now ?
Didier

We are looking into support IPv6.
Kyle

Ok thanks for your answer.
Didier

Il me reste à regarder quel fournisseur de VPN a prix abordable supporte IPv4 et IPv6.

madko · 10/02/2019 11:15:23

J'étais tombé sur un message similaire, mais datant de 2015... donc pas très sérieux...

didierg · 10/02/2019 17:58:31

Qui a un fournisseur de VPN sérieux proposant IPv6 à m'indiquer ?

madko · 11/02/2019 10:33:22

NordVPN qui est un des plus connu recommande toujours de couper l'ipv6 https://support.nordvpn.com/Connectivit … ordVPN.htm

ExpressVPN pareil. https://www.expressvpn.com/fr/support/v … pptp/#ipv6

Idem pour hideMyAss https://support.hidemyass.com/hc/en-us/ … OS-X-Linux

nouvo09 · 11/02/2019 12:53:16

Si les proxies ne fournissent pas de service en IPv6 ce n'est probablement pas un oubli de leur part. Il faut se souvenir que l'IPv6 attribue un numéro unique à chaque appareil connecté. Et là ça devient un casse tête.

madko · 11/02/2019 14:12:49

pas plus qu'avec l'ipv4. L'ip publique est forcément unique déjà avec ipv4. La difficulté ici c'est principalement qu'openvpn par ex ne fournit pas de configuration simple pour faire du tunnel ipv4+ipv6. Et que pour la plus part des clients de ces solutions VPN payantes, la solution la plus simple et la plus transparente, est de se passer d'ipv6.

didierg · 11/02/2019 14:14:26

madko a écrit :

NordVPN qui est un des plus connu recommande toujours de couper l'ipv6 https://support.nordvpn.com/Connectivit … ordVPN.htm
ExpressVPN pareil. https://www.expressvpn.com/fr/support/v … pptp/#ipv6
Idem pour hideMyAss https://support.hidemyass.com/hc/en-us/ … OS-X-Linux

La solution NordVPN présentée sur cette page https://nordvpn.com/fr/blog/nordvpn-imp … 1549886200 me conviendrait bien mais elle utilise un client VPN spécifique fourni par NordVPN.

In a nutshell, if a NordVPN customer were to have an IPv6 IP address, their IPv6 interface would be blocked and only IPv4 traffic would be rerouted and encrypted with NordVPN, which ensures that your real IP address never leaks.

Le client openvpn standard fourni avec Fedora que j'utilise avec Vyprvpn ne me semble pas offrir cette possibilité. Existe-t-il un autre client openvpn qui saurait faire ça ?

J'ai par ailleurs essayé la solution proposée par HydeMyAss qui consiste à ajouter ces trois lignes à la fin de /etc/sysctl.conf mais en testant sur https://test-ipv6.com/ c'est sans effet même après avoir rebooté.

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

madko · 11/02/2019 14:18:07

essaye d'ajouter ipv6.disable=1 à tes options de boot du kernel. si la commande

ip a

ne se sort plus la pile inet6 c'est gagné.

didierg · 11/02/2019 15:47:09

madko a écrit :

essaye d'ajouter ipv6.disable=1 à tes options de boot du kernel.

Selon https://test-ipv6.com/ cette solution fonctionne en attendant de passer chez un fournisseur de VPN supportant IPv6.....

Testez votre connectivité IPv6.
Pour le support technique
Résumé Résultats des tests Partagez les résultats / Contact
Votre adresse IPv4 sur l'Internet semble être 128.90.144.xxx
Votre Fournisseur d'Accès Internet (FAI) semble être PHMGMT-AS1 - Powerhouse Management, Inc.
Pas d'adresse IPv6 détectée [plus d'info]
Il semble que vous n'êtes capable que d'aller sur la partie IPv4 de l'Internet seulement. Vous n'êtes pas capable de visiter des sites qui sont seulement IPv6.
To ensure the best Internet performance and connectivity, ask your ISP about native IPv6. [plus d'info]
We are sometimes unable to detect Teredo and 6to4 when using HTTPS. [plus d'info]
HTTPS support on this web site is in beta. [plus d'info]
Votre serveur DNS (qui est peut-être chez votre FAI) semble avoir un accès IPv6 à Internet.

nouvo09 · 11/02/2019 18:21:32

madko a écrit :

pas plus qu'avec l'ipv4. .

Ha bon ? J'ai du louper un truc alors car je n'ai pas vu de NAT avec l IPv6

madko · 11/02/2019 18:34:44

Oui tu as du louper un truc ou deux

http://mirrors.bieringer.de/Linux+IPv6- … ter6..html
https://oldwiki.archive.openwrt.org/doc/howto/ipv6.nat6

Vu qu'on peut avoir des adresses privées en ipv6, il y a forcément du masquerading etc. Moins utile mais quand même.

didierg · 12/11/2019 23:20:00

J'ai trouvé une solution pour apporter de la sécurité à ma connexion VPN qui ne supporte qu'IPv4: je disable IPv6 au lancement de celle-ci et je l'enable quand j'arrête celle-ci.

J'ai trouvé ce script 99-vpn-ipv6-switch à placer dans /etc/NetworkManager/dispatcher.d qui fait bien le job:

#!/bin/sh
# Network Manager Dispatcher Hook:
# enables/disables ipv6 on vpn-down/vpn-up respectively
#
# Copyright (c) 2017 ooknosi
# Apache License 2.0

# Args
INTERFACE="$1"
ACTION="$2"

case $ACTION in
    vpn-up)
    # vpn connected; disable ipv6
    sysctl -w net.ipv6.conf.all.disable_ipv6=1
    ### UNCOMMENT AND EDIT BELOW IF NECESSARY
    ## add pi-hole nameserver
    #echo -n "nameserver 192.168.1.1" | /sbin/resolvconf -a "tun0.openvpn"
    ### UNCOMMENT AND EDIT ABOVE IF NECESSARY
    ;;

    vpn-down)
    # vpn disconnected; enable ipv6
    sysctl -w net.ipv6.conf.all.disable_ipv6=0
    ### UNCOMMENT AND EDIT BELOW IF NECESSARY
    ## remove pi-hole nameserver
    #/sbin/resolvconf -d "tun0.openvpn"
    ### UNCOMMENT AND EDIT ABOVE IF NECESSARY
    ;;
esac

exit 0

La commande

$ ip a

et une visite du site https://test-ipv6.com/ permettent de s'assurer que ce script fait bien son job.

churail · 09/12/2019 15:18:30

J'ai tombé à la même situation, et j'ai cherché sur les forums, j'ai découvert qu'il n'y avait pas de VPN qui fournissent une protection contre les fuites ipv6, suaf ***VPN. Vous pouvez lire ici : https://www..com/features/ipv6-leak-protection

EDIT MODERATION: pas de pub, merci. Et pas de necrobump.

Fritzthecat · 13/04/2020 02:00:28

Bonjour messieurs

Je suis tombé par hasard sur ce post car j'ai également le même problème que toi Didierg :
Mon Fai est Orange.
Je souhaite tout simplement profiter de mon offre vpn sur linux Mint (je viens de windows 10 mais j'expérimente linux !).
J'ai installé les fichiers de configs .ovpn, ainsi que le certificat, network manager avec intégration open vpn etc.
Je me connecte sur un serveur.
Je fais un test en me connectant sur les sites de détection d'adresse IP : adresse Ipv4 publique différente de celle d'origine, très bien. MAIS adresse ipv6 identique.

J'essaye de désactiver la gestion de l'ipv6 dans les paramètres graphiques du network manager, cela ne change rien.

J'essaye la fameuse option "N'utiliser cette connexion que pour les ressources sur ce réseau", je retente de me connecter au vpn, j'essaye les sites de détection d'adresse Ip, et la miracle, je suis enfin localisé dans le pays souhaité sans divulguer mon adresse ipv6 !!

Je vous remercie sincèrement pour votre aide, je suis tout nouveau sur linux et je me sers beaucoup de l'interface graphique.

Didierg, en lisant tout tes posts, j'ai l'impression que tu as simplement évoqué l'option "N'utiliser cette connexion que pour les ressources sur ce réseau" sans l'avoir tester.
J'ai vu que tu avais finalement trouvé une solution alternative, c'est le principal.
En tout cas cela a marché pour moi ;)

Encore merci pour votre aide,

Cordialement,

Fritzthecat

madko · 13/04/2020 09:13:23

En dehors du VPN utilises tu l'ipv6 ? Si non, cf post #37

Fedora-Fr - Communauté francophone Fedora - Linux

#26 07/02/2018 19:58:30

Re : OpenVPN et IPv6

#27 07/02/2018 20:15:56

Re : OpenVPN et IPv6

#28 09/02/2019 15:44:52

Re : OpenVPN et IPv6

#29 09/02/2019 16:16:47

Re : OpenVPN et IPv6

#30 09/02/2019 23:14:50

Re : OpenVPN et IPv6

#31 10/02/2019 11:15:23

Re : OpenVPN et IPv6

#32 10/02/2019 17:58:31

Re : OpenVPN et IPv6

#33 11/02/2019 10:33:22

Re : OpenVPN et IPv6

#34 11/02/2019 12:53:16

Re : OpenVPN et IPv6

#35 11/02/2019 14:12:49

Re : OpenVPN et IPv6

#36 11/02/2019 14:14:26

Re : OpenVPN et IPv6

#37 11/02/2019 14:18:07

Re : OpenVPN et IPv6

#38 11/02/2019 15:47:09

Re : OpenVPN et IPv6

#39 11/02/2019 18:21:32

Re : OpenVPN et IPv6

#40 11/02/2019 18:34:44

Re : OpenVPN et IPv6

#41 12/11/2019 23:20:00

Re : OpenVPN et IPv6

#42 09/12/2019 15:18:30

Re : OpenVPN et IPv6

#43 13/04/2020 02:00:28

Re : OpenVPN et IPv6

#44 13/04/2020 09:13:23

Re : OpenVPN et IPv6

Pied de page des forums