ICMPv6 expliqué : le protocole qui fait fonctionner IPv6

ICMPv6 n'est pas optionnel#

Dans IPv4, ICMP gère le diagnostic. Vous pouvez le bloquer et la plupart des choses fonctionnent toujours. IPv6 ne fonctionne pas ainsi.

ICMPv6 est le système nerveux d'IPv6. Il gère les rapports d'erreurs, les diagnostics, la découverte de voisins, la découverte de routeurs et la résolution d'adresses. Bloquez les mauvais types de messages ICMPv6 et vous casserez la connectivité de base, empêcherez les hôtes de trouver leur passerelle par défaut et causerez des blocages de connexion mystérieux qui prennent des heures à déboguer.

La spécification IPv6 ne traite pas ICMPv6 comme un ajout. C'est un composant obligatoire et intégral. Comprendre ICMPv6, c'est comprendre comment IPv6 fonctionne réellement.

ICMPv6 vs ICMP (IPv4)#

ICMPv6 a évolué à partir d'ICMP d'IPv4 mais a pris beaucoup plus de responsabilités.

La différence clé : ICMPv6 a absorbé des fonctionnalités qui utilisaient des protocoles séparés dans IPv4. ARP fonctionne en couche 2 dans IPv4. IPv6 n'a pas d'ARP — Neighbor Discovery utilise ICMPv6 à la place. IGMP gérait les groupes multicast dans IPv4. IPv6 utilise les messages Multicast Listener Discovery (MLD) dans ICMPv6.

Cette consolidation a simplifié la pile de protocoles mais a rendu ICMPv6 absolument essentiel. Vous ne pouvez pas le bloquer sans casser des fonctionnalités de base.

Structure du type de message#

Les messages ICMPv6 ont une structure simple : type, code, checksum et données spécifiques au message. Le champ type détermine la catégorie du message.

Plages de numéros de type :

• 0-127 : Messages d'erreur
• 128-255 : Messages informationnels

Cette division facilite le filtrage. Les messages d'erreur signalent des problèmes de livraison de paquets. Les messages informationnels gèrent les requêtes, les réponses et la découverte de voisins/routeurs.

Types de messages courants#

Protocole Neighbor Discovery (NDP)#

Le protocole Neighbor Discovery remplace ARP d'IPv4 et ajoute des capacités qu'IPv4 gérait via plusieurs protocoles. NDP fonctionne entièrement sur ICMPv6 et gère cinq fonctions critiques :

1. Résolution d'adresse – Mapper les adresses IPv6 aux adresses MAC (remplace ARP)
2. Découverte de routeur – Trouver les routeurs locaux sans configuration
3. Découverte de préfixe – Apprendre les préfixes réseau pour l'auto-configuration
4. Découverte de paramètres – Obtenir MTU, limite de saut et autres paramètres
5. Détermination du saut suivant – Identifier le meilleur routeur pour une destination

Les cinq types de messages NDP#

Router Solicitation (Type 133)#

Envoyé par les hôtes pour demander aux routeurs de s'annoncer immédiatement au lieu d'attendre la prochaine Router Advertisement programmée.

Quand il est envoyé :

• L'hôte démarre
• L'interface est mise en ligne
• L'hôte veut une configuration rapide

Format :

Source : Adresse link-local ou ::
Destination : ff02::2 (multicast all-routers)
Hop Limit : 255

Les Router Solicitations permettent aux hôtes d'obtenir la configuration réseau en quelques secondes au lieu d'attendre les annonces périodiques.

Router Advertisement (Type 134)#

Envoyé par les routeurs pour annoncer leur présence, annoncer les préfixes pour SLAAC et fournir des paramètres de configuration.

Quand il est envoyé :

• Périodiquement (toutes les quelques minutes)
• En réponse à Router Solicitation
• Quand la configuration du routeur change

Ce qu'il contient :

• Durée de vie du routeur (combien de temps utiliser ce routeur)
• Préfixe(s) réseau et leur validité
• Recommandation MTU
• Suggestion de limite de saut
• Flags pour SLAAC et DHCPv6

Format :

Source : Adresse link-local du routeur
Destination : ff02::1 (multicast all-nodes) ou hôte sollicitant
Hop Limit : 255

Les Router Advertisements sont comment les hôtes apprennent leur configuration réseau automatiquement. Pas besoin de DHCP — les routeurs diffusent tout ce dont les hôtes ont besoin pour se configurer.

Neighbor Solicitation (Type 135)#

L'équivalent IPv6 des requêtes ARP. Envoyé pour découvrir l'adresse MAC d'un voisin ou vérifier qu'un voisin est toujours accessible.

Quand il est envoyé :

• Résolution d'une adresse IPv6 en adresse MAC
• Vérification qu'un voisin est toujours accessible
• Duplicate Address Detection (vérifier si une adresse est déjà utilisée)

Format :

Source : Adresse de l'expéditeur (ou :: pour DAD)
Destination : Adresse multicast solicited-node ou adresse cible
Hop Limit : 255

Les messages Neighbor Solicitation utilisent des adresses multicast solicited-node au lieu de broadcast. Cela réduit le traitement inutile — seul l'hôte cible et les hôtes avec des adresses similaires reçoivent le paquet.

Neighbor Advertisement (Type 136)#

Réponse à Neighbor Solicitation. Fournit l'adresse MAC de l'expéditeur ou confirme l'accessibilité.

Quand il est envoyé :

• Réponse à Neighbor Solicitation
• Annonce non sollicitée d'un changement d'adresse

Format :

Source : Adresse link-local ou globale de l'expéditeur
Destination : Adresse du solliciteur ou multicast all-nodes
Hop Limit : 255

Redirect (Type 137)#

Envoyé par les routeurs pour informer les hôtes qu'un meilleur routeur de premier saut existe pour une destination spécifique.

Quand il est envoyé :

• L'hôte envoie un paquet au routeur
• Le routeur connaît un meilleur saut suivant sur le même lien
• Le routeur transmet le paquet ET envoie une redirection

Format :

Source : Adresse link-local du routeur
Destination : Expéditeur original
Hop Limit : 255

Les redirections optimisent le routage sans que les hôtes aient besoin de maintenir des tables de routage complexes.

Comment fonctionne la résolution d'adresse#

Quand un hôte a besoin d'envoyer un paquet à une autre adresse IPv6 sur le lien local :

1. Vérifier le cache de voisins – L'adresse MAC est-elle déjà connue ?
2. Envoyer Neighbor Solicitation – Sinon, envoyer NS à l'adresse multicast solicited-node
3. Recevoir Neighbor Advertisement – La cible répond avec l'adresse MAC
4. Mettre à jour le cache – Stocker le mappage pour une utilisation future
5. Envoyer le paquet – Livrer le paquet original

L'adresse multicast solicited-node est calculée à partir de l'adresse IPv6 cible :

ff02::1:ff + 24 derniers bits de l'adresse IPv6
 
Exemple :
IPv6 : 2001:db8::a4b2:c3d4:e5f6:7890
Solicited-node : ff02::1:ff:f6:7890

Cette approche multicast réduit le trafic réseau par rapport à l'ARP basé sur broadcast d'IPv4.

Découverte de routeur en détail#

Les routeurs annoncent eux-mêmes et la configuration réseau via des messages Router Advertisement. Les hôtes écoutent et s'auto-configurent en fonction de ces annonces.

Contenu de Router Advertisement#

Un RA typique contient :

Informations du routeur :

• Durée de vie du routeur (0-9000 secondes, 0 signifie « pas un routeur par défaut »)
• Temps d'accessibilité (combien de temps considérer un voisin accessible)
• Timer de retransmission (délai entre les sollicitations de voisins)

Informations de préfixe :

• Préfixe réseau (par ex., 2001:db8:1234::/64)
• Durée de vie valide (combien de temps les adresses sont valides)
• Durée de vie préférée (combien de temps utiliser pour les nouvelles connexions)
• Flags :
  • L (On-link) : Le préfixe est sur le lien local
  • A (Autonomous) : Utiliser pour SLAAC

Autres options :

• Recommandation MTU
• Serveurs DNS (option RDNSS)
• Domaines de recherche DNS (option DNSSL)

Formation d'adresse SLAAC#

Quand un hôte reçoit un RA avec le flag A activé :

1. Prendre le préfixe – par ex., 2001:db8:1234::/64
2. Générer l'identifiant d'interface – 64 bits dérivés de MAC ou aléatoires
3. Les combiner – 2001:db8:1234::a4b2:c3d4:e5f6:7890
4. Exécuter Duplicate Address Detection – S'assurer que personne d'autre ne l'utilise
5. Configurer l'adresse – Ajouter à l'interface
6. Définir la route par défaut – Utiliser le routeur comme saut suivant

Cela se produit automatiquement sans intervention de l'utilisateur ou serveurs DHCP.

Flags qui contrôlent la configuration#

Les Router Advertisements incluent des flags qui indiquent aux hôtes comment se configurer :

• M (Managed) : Utiliser DHCPv6 pour les adresses (pas SLAAC)
• O (Other) : Utiliser DHCPv6 pour autre configuration (DNS, NTP, etc.)

Combinaisons courantes :

La plupart des réseaux utilisent M=0, O=0 (SLAAC pur) ou M=0, O=1 (SLAAC + DHCPv6 pour DNS).

Path MTU Discovery#

Les routeurs IPv6 ne fragmentent pas les paquets. La source doit envoyer des paquets assez petits pour tenir sur tout le chemin. C'est là que ICMPv6 type 2 devient critique.

Comment fonctionne PMTUD#

1. L'hôte envoie un paquet – Utilise le MTU de l'interface (typiquement 1500 octets)
2. Le routeur rencontre un MTU plus petit – Ne peut pas fragmenter en IPv6
3. Le routeur abandonne le paquet – Envoie un message ICMPv6 Packet Too Big en retour
4. Le message inclut le MTU – Indique à l'expéditeur la taille maximale autorisée
5. L'hôte réduit la taille du paquet – Retransmet avec un MTU plus petit
6. La connexion continue – En utilisant la taille de paquet appropriée

Format du message Packet Too Big :

Type : 2
Code : 0
MTU : 1280 (ou ce que le saut suivant supporte)
Paquet original : Première partie du paquet abandonné

Le MTU IPv6 minimum est de 1280 octets. Tous les liens doivent supporter au moins cette taille. Les paquets plus grands nécessitent que PMTUD fonctionne.

Que se passe-t-il quand vous bloquez le type 2#

Symptômes de connexion quand les messages Packet Too Big sont bloqués :

• La connexion initiale fonctionne – Les paquets SYN, SYN-ACK, ACK sont petits
• Le transfert de données se bloque – Les gros paquets sont abandonnés silencieusement
• Pas de messages d'erreur – La connexion se bloque simplement
• Timeout après des minutes – TCP finit par abandonner

C'est l'un des problèmes les plus frustrants à déboguer car la connexion s'établit avec succès avant d'échouer.

Scénario réel :

$ curl -6 https://example.com/
# La connexion se bloque après la poignée de main TLS
# Le navigateur affiche « Chargement... » indéfiniment
# SSH se connecte mais se bloque pendant l'échange de bannière

Tout cela parce qu'une middlebox a bloqué ICMPv6 type 2.

Echo Request et Echo Reply (Ping)#

Type 128 (Echo Request) et Type 129 (Echo Reply) fonctionnent exactement comme le ping IPv4.

Format :

Type : 128 (request) ou 129 (reply)
Code : 0
Identifier : Arbitraire (correspond request/reply)
Sequence : Incrémente avec chaque ping
Data : Charge utile arbitraire

Utilisations diagnostiques#

Ping est le test de connectivité le plus simple :

# Ping basique
ping6 2001:4860:4860::8888
 
# Spécifier l'adresse source
ping6 -I 2001:db8::10 2001:4860:4860::8888
 
# Gros paquets pour tester PMTUD
ping6 -s 1400 google.com
 
# Flood ping (nécessite root)
sudo ping6 -f 2001:4860:4860::8888

Considérations de limitation de débit#

Beaucoup d'administrateurs limitent le débit de ping pour empêcher la reconnaissance et les attaques DoS. C'est raisonnable pour les serveurs de production, mais le blocage complet rend le dépannage plus difficile.

Approche recommandée :

• Autoriser echo request/reply
• Limiter le débit pour empêcher les abus
• Journaliser les tentatives excessives

Exemple Linux :

# Autoriser ping mais limiter le débit
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 128 \
  -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 128 -j DROP

Cela autorise 10 pings par seconde avec des rafales jusqu'à 20, abandonnant le trafic excessif.

Considérations de pare-feu#

Le filtrage ICMPv6 nécessite de comprendre quels types sont essentiels et lesquels sont optionnels.

Doit autoriser (casse la connectivité)#

Type 2 : Packet Too Big

• Direction : Entrant et sortant
• Raison : La découverte Path MTU casse sans lui
• Portée : Toutes les connexions

Types 133-136 : Neighbor Discovery

• Direction : Link-local uniquement (hop limit 255)
• Raison : La résolution d'adresse et la découverte de routeur échouent
• Portée : Réseau local uniquement

Type 1 : Destination Unreachable

• Direction : Entrant (réponses à votre trafic)
• Raison : TCP a besoin de savoir quand les ports/routes n'existent pas
• Portée : Toutes les connexions

Devrait autoriser (casse les diagnostics)#

Type 3 : Time Exceeded

• Direction : Entrant
• Raison : Traceroute échoue sans lui
• Impact : Impossible de diagnostiquer les problèmes de routage

Types 128-129 : Echo Request/Reply

• Direction : Les deux
• Raison : Ping est le principal test de connectivité
• Impact : Impossible de vérifier l'accessibilité de base

Peut bloquer (informationnel uniquement)#

Types 130-132 : Multicast Listener Discovery

• Portée : Réseau local uniquement
• Impact : Le multicast pourrait ne pas fonctionner de manière optimale

Type 137 : Redirect

• Impact : Routage sous-optimal sur le réseau local
• Sécurité : Certains administrateurs bloquent pour éviter la manipulation de routes

Exemples de règles iptables#

Pare-feu hôte minimal :

# ICMPv6 essentiel
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 1 -j ACCEPT   # Destination Unreachable
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 2 -j ACCEPT   # Packet Too Big
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 3 -j ACCEPT   # Time Exceeded
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 128 -j ACCEPT # Echo Request
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 129 -j ACCEPT # Echo Reply
 
# Neighbor discovery (link-local uniquement, hop limit 255)
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT

La vérification de hop limit (--hl-eq 255) garantit que les paquets neighbor discovery proviennent du lien local. Le NDP légitime utilise toujours hop limit 255. Les paquets des routeurs auraient des valeurs décrémentées.

Équivalent nftables :

# ICMPv6 essentiel
nft add rule ip6 filter input icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, echo-request, echo-reply } accept
 
# Neighbor discovery avec vérification hop limit
nft add rule ip6 filter input icmpv6 type { nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } ip6 hoplimit 255 accept

Dépannage avec ICMPv6#

Lire les messages d'erreur#

Quand les connexions échouent, vérifiez les messages d'erreur ICMPv6 avec tcpdump :

# Capturer tout ICMPv6
sudo tcpdump -i eth0 -n ip6 and icmp6
 
# Types spécifiques
sudo tcpdump -i eth0 -n 'ip6 and icmp6 and ip6[40] == 1'  # Type 1 (Destination Unreachable)
sudo tcpdump -i eth0 -n 'ip6 and icmp6 and ip6[40] == 2'  # Type 2 (Packet Too Big)

Scénarios d'erreur courants :

Type 1, Code 1 : Communication administratively prohibited

# Pare-feu bloquant le trafic
18:23:45.123456 IP6 2001:db8::1 > 2001:db8::10: ICMP6, destination unreachable,
  administratively prohibited, length 68

Pare-feu ou liste de contrôle d'accès bloquant la connexion.

Type 1, Code 4 : Port unreachable

# Service non en cours d'exécution
18:23:45.234567 IP6 2001:db8::10 > 2001:db8::1: ICMP6, destination unreachable,
  port unreachable, length 68

Rien n'écoute sur le port cible.

Type 2 : Packet too big

# Problème MTU
18:23:45.345678 IP6 2001:db8:1234::1 > 2001:db8::10: ICMP6, packet too big,
  mtu 1280, length 1240

Le Path MTU est plus petit que l'expéditeur l'a supposé. L'expéditeur devrait réduire la taille du paquet à 1280 octets.

Utiliser Wireshark pour NDP#

Wireshark facilite l'analyse NDP avec des filtres d'affichage :

# Tout ICMPv6
icmpv6
 
# Neighbor Discovery uniquement
icmpv6.type >= 133 && icmpv6.type <= 137
 
# Router Advertisements
icmpv6.type == 134
 
# Neighbor Solicitations pour une adresse spécifique
icmpv6.type == 135 && icmpv6.nd.ns.target_address == 2001:db8::10

Regardez les Router Advertisements pour voir quelle configuration votre réseau fournit :

# Filtrer les RA, développer la couche ICMPv6 dans les détails du paquet
# Vérifier :
# - Flags (M, O)
# - Informations de préfixe
# - Serveurs DNS (option RDNSS)
# - Option MTU

Problèmes courants et solutions#

Problème : L'hôte n'a pas d'adresse IPv6 globale, seulement fe80::*

Diagnostic :

# Vérifier les Router Advertisements
sudo tcpdump -i eth0 -n 'icmp6 && ip6[40] == 134'

Causes :

• Pas de routeur sur le réseau
• Le routeur n'envoie pas de RA
• Pare-feu bloquant le type 134

Solution : Activer IPv6 sur le routeur, vérifier la configuration RA, vérifier les règles de pare-feu.

Problème : Ping fonctionne mais les gros transferts se bloquent

Diagnostic :

# Tester avec de gros paquets ping
ping6 -s 1400 target.example.com

Causes :

• ICMPv6 type 2 bloqué quelque part
• Décalage MTU dans le chemin
• Pare-feu filtrant Packet Too Big

Solution : Autoriser le type 2 à travers tous les pare-feux, vérifier la configuration MTU.

Problème : Impossible d'atteindre les voisins sur le même sous-réseau

Diagnostic :

# Vérifier le cache de voisins
ip -6 neigh show
 
# Surveiller les Neighbor Solicitations
sudo tcpdump -i eth0 -n 'icmp6 && ip6[40] == 135'

Causes :

• Pare-feu bloquant les types 135/136
• Switch filtrant le multicast
• IPv6 désactivé sur la cible

Solution : Autoriser NDP à travers les pare-feux, vérifier la configuration multicast du switch.

Problème : Les hôtes ignorent les Router Advertisements

Diagnostic :

# Vérifier que les RA arrivent
sudo tcpdump -i eth0 -n 'icmp6 && ip6[40] == 134'
 
# Vérifier le paramètre accept_ra (Linux)
sysctl net.ipv6.conf.eth0.accept_ra

Causes :

• accept_ra désactivé (Linux)
• Transfert IPv6 activé sur l'hôte (désactive le traitement RA)
• RA a un hop limit invalide (!= 255)

Solution : Activer accept_ra, désactiver le transfert sur les hôtes finaux, vérifier la configuration du routeur.

Articles connexes#

• Les fondamentaux d'IPv6 – Apprenez les bases de l'adressage IPv6 et pourquoi IPv6 existe
• Configuration de pare-feu IPv6 – Configurez votre pare-feu pour autoriser les ICMPv6 essentiels tout en maintenant la sécurité
• Comment activer IPv6 – Faites fonctionner IPv6 sur vos appareils et réseau avec une configuration NDP appropriée

Questions fréquentes#