Toutes les adresses IPv6 sont considérées comme publiques, le terme correct est adresses globales unicast, cela signifie que tous nos appareils sont visibles depuis Internet.
Dans IPv6, le concept de NAT (Network Address Translation) tel qu'il est connu dans IPv4 est, en effet, inutile en raison du vaste espace d'adressage disponible, permettant à pratiquement chaque appareil d'avoir une adresse unique au monde.
Cependant, dans certains scénarios, vous souhaiterez peut-être mettre en œuvre une forme d'isolement ou de contrôle d'accès similaire au NAT pour gérer le trafic entre un réseau « privé » et l'Internet « public » sur IPv6.
Nous décrivons ci-dessous comment configurer un scénario commun dans MikroTik pour gérer cette situation :
Étape 1 : attribution d'adresses IPv6
Tout d’abord, assurez-vous que votre fournisseur d’accès Internet (FAI) vous a attribué un bloc d’adresses IPv6. Vous utiliserez une partie de ce bloc pour votre réseau interne.
- Attribuer des adresses à l'interface WAN: Configurez votre interface WAN dans MikroTik pour recevoir une adresse IPv6 de votre FAI, soit de manière statique, soit via DHCPv6, selon la manière dont votre FAI fournit la connectivité IPv6.
- Attribuer des adresses au réseau interne: Définissez un segment de votre bloc IPv6 pour votre réseau local. Cela peut être fait dans MikroTik sous le menu IPv6, en attribuant des adresses statiques ou en utilisant le serveur DHCPv6 pour distribuer des adresses à vos appareils internes.
Étape 2 : configuration du pare-feu
Bien que le NAT ne soit pas nécessaire, le pare-feu joue un rôle crucial dans la sécurité de votre réseau IPv6, filtrant le trafic entrant et sortant selon vos politiques.
- Règles de pare-feu entrant: Configurez les règles dans le pare-feu MikroTik pour limiter les accès non autorisés depuis Internet à votre réseau interne. Cela peut inclure le blocage de certains ports ou protocoles et l'autorisation uniquement d'un trafic entrant spécifique vers des services définis.
- Règles de pare-feu sortant: De même, vous pouvez configurer des règles pour gérer le trafic sortant, même si par défaut, la plupart des pare-feu autorisent tout le trafic sortant.
Étape 3 : Configurer la délégation de préfixe (le cas échéant)
Si vous avez des appareils derrière votre routeur MikroTik qui ont également besoin d'adresses IPv6 globales, vous pouvez utiliser la délégation de préfixe pour distribuer des segments de votre bloc IPv6 attribué à ces appareils ou sous-réseaux.
Étape 4 : Configuration des extensions de confidentialité IPv6 (si vous le souhaitez)
Les extensions de confidentialité pour SLAAC (Stateless Address Autoconfiguration) permettent aux appareils de votre réseau d'utiliser des adresses IPv6 qui changent périodiquement, augmentant ainsi la confidentialité des utilisateurs.
Considérations supplémentaires
- Sécurité: Bien qu'IPv6 élimine le besoin de NAT pour la gestion des adresses, la sécurité ne doit pas être négligée. Assurez-vous de mettre en œuvre une stratégie de sécurité solide comprenant un pare-feu bien configuré.
- Prise en charge des appareils: Vérifiez que tous vos appareils prennent en charge IPv6. Bien que la plupart des appareils modernes le fassent, certains appareils plus anciens peuvent ne pas être compatibles.
La configuration d'IPv6 dans MikroTik pour un scénario de réseau « public » à « privé » implique principalement la gestion des attributions d'adresses et des configurations de pare-feu, garantissant ainsi la sécurité de votre réseau sans avoir besoin de NAT.
Cela démontre les progrès et les capacités améliorées qu'offre IPv6 par rapport à IPv4 en termes de gestion des adresses et de sécurité du réseau.
Il n'y a aucun tag pour ce message.