La Fibre
Datacenter et équipements réseaux => Routeurs => 
Cisco => Discussion démarrée par: o.tos le 14 mars 2016 à 15:08:26
-
Bonjour à tous,
Tout d'abord, un grand merci pour ce merveilleux post sur lequel j'ai appris plein de choses.
J'ai, comme tout le monde, bien suivi les étapes afin d'avoir au moins internet. En revanche, pour ma part, ce qui diffère de ce tutoriel, c'est que je n'utilise pas un Pfsense en frontal mais un Firewall Cisco ASA 5515-X.
J'ai en très peu de temps, en créant une sous interface avec le tag 835, réussi à avoir internet.
Concernant la partie TV. J'ai quelques petits soucis et quelques questions ?
D'après ce que j'ai pu lire pour la partie TV:
- Vlan 838 pour l'authent et dhcp
- vlan 840 pour les flux TV (pas Vod)
Partant de ce constat-là, ai-je vraiment besoin de faire une interface bridge pour ces deux vlan ? puis-je me contenter de configurer ma sous interface 838 avec les bonnes infos dhcp afin de recevoir IP juste sur cette dernière ? Puis après en redirigent les flux multicast de la sous interface 840 vers le décodeur, normalement cela devrait être bon.
si je dis ça, c'est simplement parce que mon firewall ne gère pas le bridge de vlan en mode routed.
Ensuite, je pense me mélanger les pinceaux avec les options du DHCP.
de ce que j'ai vu, lorsque l'interface envoie sa requête DHCP, on inclut une option supplèmentaire "User-Class" afin de montrer patte blanche auprès d'orange et ainsi recevoir une IP sur cette interface.
Or quand je regarde les captures de trames WireShark je constate qu'il y a trois options:
-Option 61: Client-ID
-Option 12: Class Identifier
-Option 77 User-Class.
Dois-je mettre les trois ?
Merci par avance pour vos réponses.
-
Partant de ce constat-là, ai-je vraiment besoin de faire une interface bridge pour ces deux vlan ? puis-je me contenter de configurer ma sous interface 838 avec les bonnes infos dhcp afin de recevoir IP juste sur cette dernière ? Puis après en redirigent les flux multicast de la sous interface 840 vers le décodeur, normalement cela devrait être bon.
si je dis ça, c'est simplement parce que mon firewall ne gère pas le bridge de vlan en mode routed.
non pas besoin de bridger. le vlan 840 ne transporte que de l'IGMP et les multicast TV.
Ensuite, je pense me mélanger les pinceaux avec les options du DHCP.
de ce que j'ai vu, lorsque l'interface envoie sa requête DHCP, on inclut une option supplèmentaire "User-Class" afin de montrer patte blanche auprès d'orange et ainsi recevoir une IP sur cette interface.
Or quand je regarde les captures de trames WireShark je constate qu'il y a trois options:
-Option 61: Client-ID
-Option 12: Class Identifier
-Option 77 User-Class.
Dois-je mettre les trois ?
Merci par avance pour vos réponses.
l'option 12 n'est pas nécessaire. La Livebox inclut aussi l'option 60 (vendor-class, valeur "sagem").
-
Merci de ta réponse.
Du coup je vais faire comme ceci:
GigabitEthernet0/4 unassigned YES unset up up
GigabitEthernet0/4.835 86.X.X.X YES CONFIG up up ---> DHCP
GigabitEthernet0/4.838 unassigned YES unset up up ---> DHCP
GigabitEthernet0/4.840 unassigned YES unset up up ---> RIEN
la 835: Internet Ok
la 838: en DHCP avec les bonnes options. Du coups je dois renseigner quels options sur cette interfaces ? la 61 et 77 ? et ces options, quelles sont les infos ?
dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx; c'est la mac de la livebox ou du décodeur ? cela a du certainement être déjà dit des millions de fois mais ça m'échappe.
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3"; par contre le user-class j'ai aucune idée ou je peux le trouver.
Pour faire clair, quels sont les options que je dois envoyer lors de mes requests DHCP sur l'interface 838 ?
et faire redescendre les flux multicast sur le décodeur côté LAN.
-
mac de la livebox
l'user-class est commun a tout le monde.
la requete qu'on fait avec un ERL:
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
l'option rfc3442 (option 121) est sensé être "gérée": on est sensé sortir sur le VLAN 838 que pour ces réseaux la.
chez moi la réponse DHCP recu indique:
Option: (121) Classless Static Route
Length: 93
172.23.12.0/22-10.85.247.254
172.20.224.167/32-10.85.247.254
172.19.20.0/23-10.85.247.254
193.253.67.88/29-10.85.247.254
80.10.117.120/31-10.85.247.254
81.253.206.0/24-10.85.247.254
81.253.210.0/23-10.85.247.254
193.253.153.228/32-10.85.247.254
193.253.153.227/32-10.85.247.254
81.253.214.0/23-10.85.247.254
80.10.204.0/22-10.85.247.254
Ca veut dire: pour joindre 172.23.12.0/22 il faut passer par 10.85.247.254. et pas la route par défaut (sortie NAT via le 835).
10.85.247.254 étant dans le meme réseau que l'IP recu par cette requete DHCP, ca sortira en NAT via cette IP.
C'est comme ca que la livebox 'route' le trafic du décodeur TV (et de tout le lan a priori): suivant l'adresse de destination tout ne sort pas sur l'IP public, certain réseaux, meme publics, doivent sortir via l'IP privée reçue en 838.
Si on veut faire un remplacement qui marche correctement il faut géré cela.
-
ps: pour 840, il faut juste qu'il soit l'upstream IGMP.
-
j'ai séparé ceci du sujet d'origine.
Il y a déjà un sujet sur Cisco ici: https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-cisco-ios/
Quand o.tos aura sa config en place et qui marche, on avisera pour presenter ca au mieux en évitant trop de sujets.
-
voila un petit schema pour mieux comprendre:
(https://drive.google.com/uc?id=0B5ma-el6j-bDSjNEdzlxQjA2T0U)
NAT: on partage 1 IP (NAPT many-to-one ) différente sur chaque VLAN
C'est comme si on avait 2 connexions Internet en fait: la bleue et la jaune. Par défaut on sort toujours sur la bleue sauf si la destination est dans la liste reçue par le DHCP jaune via l'option 121 (c'est du routage normal donc avec bleu en route par défaut).
Pour l'IGMP sortant il faut une IP coté WAN: soit on bridge le jaune pour 'profiter de son IP' soit on met une IP privée 'verte' (exemple (https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg308343/#msg308343))
-
Merci kgersen pour tes réponses
Parfait concernant la partie WAN (835) tout est ok pour moi. j'ai bien une IP qui m'est fournit par orange et j'ai bien internet et même très bien.
afin de mettre les choses au clair, voici la config de mon interface OUTSIDE, relié à l'ONT.
interface GigabitEthernet0/4
nameif OUTSIDE-2
security-level 0
no ip address
!
interface GigabitEthernet0/4.835
description *** OUTSIDE-1---VLAN-835 ***
vlan 835
nameif OUTSIDE-1---VLAN-835
security-level 0
pppoe client vpdn group ONT-ORANGE
ip address pppoe setroute
!
interface GigabitEthernet0/4.838
vlan 838
nameif TV-1---VLAN-838
security-level 0
ip address dhcp setroute
!
interface GigabitEthernet0/4.840
description *** TV-2--VLAN840 ***
vlan 840
nameif TV-2--VLAN840
security-level 0
no ip address
pour info, la commande setroute dans le vlan 838 (option 121):
setroute: Keyword to set the default route using the default gateway
parameter the DHCP server returns
La route par défaut avec la NAT qui va bien : S* 0.0.0.0 0.0.0.0 [1/0] via 193.X.X.X, OUTSIDE-1---VLAN-835
Pour commencer, je propose d'arriver à recevoir une IP sur la sous interface 0/4.838 afin de régler cette histoire de dhcp. Le reste en découlera...
Actuellement, je reçois strictement rien (normal aucune option est configuré)
lorsque je vais dans ma sous interface voici les options qui me sont à dispositions pour le DHCP:
ASA5510(config-subif)# dhcp-client ?
configure mode commands/options:
broadcast-flag Configure client to send packets with broadcast flag set
client-id (Optional) Specifies the use of the mac-addr for the client
identifier (option 61).
update Configure automatic updates
Avec l'option client-id, vais-je recevoir une ip sur cette sous interface ?
Petite précision:
Voici la configuration de l'interface de mon firewall sur laquelle je branche le décodeur TV orange directement dessus. Sur cette interface j'ai configuré un lease dhcp et crée une règle de NAT pour NAT sur la sous interface vlan 838. En résumé, tout ce qui part du décodeur sortira sur l'ip que je recevrai en DCHP sur le vlan 838.
interface GigabitEthernet0/0
description *** DECODEUR ORANGE ***
speed 1000
duplex full
nameif DECODEUR-TV
security-level 100
ip address 172.22.60.254 255.255.255.0
ipv6 address autoconfig
-
il ne faut pas traiter de facon spéciale le décodeur TV ni faire une règle NAT spécifique pour lui. pas besoin non plus de le mettre sur un port LAN (=inside) dédié, on peut mais ca ne change rien.
Il a besoin de sortir par GigabitEthernet0/4.835 ou GigabitEthernet0/4.838 suivant le destination qu'il doit joindre. Y'a rien de particulier à faire dans l'ASA pour le décodeur TV, il sera géré comme un poste du réseau local.
Ce qu'il manque:
- l'envoi des options supplèmentaires dans le client DHCP de GigabitEthernet0/4.838
- une ip pour l'interface GigabitEthernet0/4.840 (suffit de mettre 192.168.255.254 255.255.255.255 par exemple ou n'importe quoi qui n'entre pas en conflit avec ton plan d'adressage)
- la config IGMP proxy
A ce stade je ne sais si c'est possible avec un ASA 5515-X. il faut chercher dans la doc Cisco mais y'a peu de chance vu la 'rigidité' des Cisco en général...
-
La partie IGMP est ok j'ai bien fait la config en suivant ce guide et en prenant bien en compte que dans mon cas; sender---(0/4.838)ASA5515-X(0/0)----receiver (le décodeur): https://supportforums.cisco.com/document/64261/how-setup-stub-multicast-routing-asa
Dans mon cas, le sender c'est mon int out 0/4.838 et la receiver c'est l'interface 0/0 (le décodeur)
pour la partie IP de la sous interface 840 c'est ok aussi, j'ai mis la 192.168.255.254 255.255.255.0 (pour info n'importe quelle IP fait l'affaire pour cette interface ?)
pour la partie DHCP c'est la que ça risque de coincer un peut car comme tu dis, se n'est pas comme un Pfsense malheureusement. Il va falloir que je regarde si le code ASA autorise cette manip.
mqis en gros ce qui me manque pour la partie DHCP c'est uniquement le client identifier (qui est la mac de ma box orange si je me trompe pas).
Pour ma part, si je dédie une interface de mon firewall au décodeur c'est pour éviter de faire redescendre trop bas les flux multicast, car derrière cet ASA, j'ai un switch de coeur avec tous mes vlans derrière et mes serveurs.
-
mqis en gros ce qui me manque pour la partie DHCP c'est uniquement le client identifier (qui est la mac de ma box orange si je me trompe pas).
il faut envoyer le client identifier , le vendor-class-identifier, le user-class et gérer l'option 121.
-
Ok Ben là tu peux pas faire plus précis que ça ;D. Mais va falloir que je trouve une combien car ces options ne sont pas disponible sur l'ASA malheureusement. Il n'y que la 121 (pour recevoir les routes) qui est configurable avec la commande ip add dhcp setroute.
interface GigabitEthernet0/4.838
vlan 838
nameif TV-1---VLAN-838
security-level 0
ip address dhcp setroute
no pim
Par contre niveau IGMP je vois bien que le Proxy IGMP est Ok! :)
ASA5510# sh igmp groups
IGMP Connected Group Membership
Group Address Interface Uptime Expires Last Reporter
239.255.255.250 DECODEUR-TV 00:22:17 00:03:27 172.22.60.1
Alors après question un petit peut idiote mais, n'est-il pas possible d'attribuer de manière static l'IP pour l'interface 0/4.838 ?
les routes de l'option 121, nous pouvons les récupérer facilement.
Concernant l'IP en elle même si on connait le scop, on peut pas s'en attribuer une avec la bonne Gw ?
-
L'ip sur le vlan838 est bien dynamique. elle change à chaque démarrage. Je ne pense pas que ça soit une bonne solution.
J'avais un ASA 5520 réformé au boulot, je ne le trouve pas... Dommage...
Par contre il y a une autre solution intercaler un routeur (debian, bsd ...) pour la partie TV. Sinon je ne vois pas
-
Donc impossible de lui forcer en static :( bien dommage tout ça ....
Et de mon côté côté Wan impossible de forcer les options DHCP nécessaires au bon fonctionnement;
Donc ta solution serait de mettre un Pfsense entre l'ont et l'ASA juste pour le vlan 838 ? cela veut dire aussi avoir un switch en plus derrière l'ONT.
Tu sors les grands moyens pour récupérer la télé là ;)
-
Par forcement un switch en plus, ca peut être le meme switch que pour le LAN si y'a des ports dispos (il en faut 3).
Mieux encore l'ASA devrait pouvoir bridger les 2 VLANs vers un port a part sur lequel on branche le pfsense ou juste un livebox.
mais bon, a terme Orange va virer PPPoE donc de toute facon l'ASA ne marchera plus meme en data. Donc c'est du temporaire.
-
Ca va être très compliqué avec un ASA. Le gros problème ça va être les options dhcp..
C'est pour celà qu'en entreprise on a très souvent un routeur/switch de l'opérateur devant l'asa qui lui fait que du routage & Par feu.