Auteur Sujet: Routeur en mode pont pour capturer le trafic Orange. (Lu 2135 fois)

basilix · « **Réponse #24 le:** 09 août 2024 à 16:57:33 »

Il n'y a que le pont qui fonctionne. Le filtrage ne fonctionne pas.

Bizarre... je ne comprends pas.

basilix · « **Réponse #25 le:** 10 août 2024 à 07:31:25 »

Je crois que mon hypothèse de départ est fausse.

En effet, je ne vois aucun flux vers le port 22 en activant nftrace dans nftables. De plus, je vois beaucoup de paquets passant par le crochet prerouting de
la couche IP alors qu'aucun paquet ne passe par le crochet forward de la couche Bridge (pont).

Je pense que je mélange plusieurs concepts associés : DSA (distributed switch architecture), commutateur matériel, pont réseau. En conséquence, je vais plutôt
repartir en me basant sur les deux cartes réseaux de la carte-mère du routeur : filtrer à la jonction de deux réseaux « wan » et « lan ».

basilix · « **Réponse #26 le:** 10 août 2024 à 15:39:09 »

Il faut regarder au microscope pour y comprendre quelque chose à ce système DSA !

On a un divers circuits intégrés complémentaires commutateur (C.I. PHYs), MAC. Le pilote Linux de l'interface Ethernet de gestion pilote le contrôleur Ethernet MAC.
Lequel est connecté au commutateur via une interface HSGMII. On est à la croisée des chemins entre l'électronique et l'informatique. La technologie DSA repose sur
une fonction incorporée dans le circuit intégré qui forme le commutateur. Les trames du commutateur sont envoyés au contrôleur Ethernet, que l'on a choisi d'appeler
« cpu » ou « master ». Par extension, le pilote Linux du contrôleur est appelé « master network device » (dispositif réseau maître) pour faire magiquement apparaître
une interface réseau maître, a.k.a. master interface (e.g. eth0). De même, la puce commutateur peut intégrer des tag dans les trames afin d'aider l'interface de gestion.
De là, on peut créer de nouvelles interfaces esclaves (slave interfaces) qui vont se charger chacune de « suivre » les trames d'un port en façade (relié électroniquement
au commutateur).

Sources

Distributed Switch Architecture

DSA switch configuration from userspace

basilix · « **Réponse #27 le:** 10 août 2024 à 21:21:44 »

Je ne suis pas certain de vraiment bien saisir les choses.

Citer

Example: Stateful bridge firewall

The following example shows how to deploy a stateful bridge firewall, this assumes the bridge interface has no IP address.

Assuming a bridge with two ports, eth0 and eth1.

A desktop computer is connected to bridge port eth0
A web server (with SSH for remote administrador) is connected to bridge port eth1
Uplink is bridge port eth2

The following policy allows for the desktop computer and the web server to initiate any connection. From the outside:
no connection can be initiated to the desktop computer
connections to the HTTP and SSH service to the server are allowed

From inside the bridge, the desktop computer and the web server can initiatiate connections to anywhere:

Code: [Sélectionner]
% nft add table bridge filter % nft add chain bridge filter forward '{type filter hook forward priority 0; }' % nft add rule bridge filter forward ct state established,related accept % nft add rule bridge filter forward iif { eth0, eth1 } oif eth2 ct state new accept % nft add rule bridge filter forward iif eth2 oif eth1 ct state new tcp dport { 22, 80, 443 } accept
Source : Bridge filtering (wiki.nftables.org)

Faut-il créer un premier pont avec les ports eth0, eth1 ?
Faut-il ensuite former un second pont reliant le premier pont « lan » (eth0, eth1) au port uplink « wan » eth2 ?

basilix · « **Réponse #28 le:** 11 août 2024 à 23:05:35 »

Il me semble que cela ne pourra pas fonctionner.

Après moult recherches et questions posées, j'en suis arrivé à penser que le commutateur matériel embarqué dans mon routeur réalise par lui-même la commutation.

Citer

MT7530 is a 7-ports Gigabit Ethernet Switch that could be found on Mediatek router platforms such as MT7623A or MT7623N which includes 7-port
Gigabit Ethernet MAC and 5-port Gigabit Ethernet PHY. Among these ports, the port from 0 to 4 are the user ports connecting with the remote devices
while the port 5 and 6 are the CPU ports connecting into Mediatek Ethernet GMAC.

The patch series integrated Mediatek MT7530 into DSA support which includes the most of the essential callbacks such as tag insertion for
port distinguishing, port control, bridge offloading, STP setup and ethtool operations to allow DSA to model each user port into independently
standalone netdevice as the other DSA driver had done.

Source : https://lwn.net/Articles/719278/

Citer

RTL8367, 88E6393X, 88E6191X, 88E6190, MT7621 and MT7531 switch chips can use HW offloaded vlan-filtering since RouterOS v7.

Source : https://help.mikrotik.com/docs/display/ROS/Basic+VLAN+switching

Citer

Add new support for MT7531:

MT7531 is the next generation of MT7530. It is also a 7-ports switch with 5 giga embedded phys, 2 cpu ports, and the same MAC logic of MT7530. Cpu
port 6 only supports HSGMII interface. Cpu port 5 supports either RGMII or HSGMII in different HW sku. Due to HSGMII interface support, pll, and
pad setting are different from MT7530. This patch adds different initial setting of MT7531.

Source : https://lkml.iu.edu/hypermail/linux/kernel/1912.1/01770.html

basilix · « **Réponse #29 le:** 12 août 2024 à 06:51:59 »

J'ai aussi trouvé une réponse à une question posée dont je n'arrivais pas à comprendre le sens.

Citer

You should get a device that has two “true” Ethernet interfaces. Some super cheap routers actually only have one Ethernet interface and use port-based VLANs on the built-in switch to split this one interface into multiple.
This will severely limit achievable throughput/bandwidth. Chances are you wouldn’t be able to use these anyway (no OpenWrt support).

[...]

You must make sure the device is connected to your existing network such that no traffic can bypass its CPU. On a typical router, you’d just connect the WAN port to the uplink router (your existing modem/router device)
and everything else to the LAN side.

[...]

Hardware offloading interferes with filters, because the switch chip deals with traffic internally. It should however not apply to bridges between physical interfaces on the CPU/SoC.

Bridge Fast forward may interfere with filters, too, and may have to be disabled.

Source : Daniel B. (Can OpenWRT serve with a switch and do IP filters and how? -- SuperUser.com)

Je crois que créer un pont entre les interfaces physiques eth1 et eth0 (interface maître) incorporées dans le routeur ne fonctionnera pas davantage.

Citer

Common pitfalls using DSA setups

Once a master network device is configured to use DSA (dev->dsa_ptr becomes non-NULL), and the switch behind it expects a tagging protocol, this network interface can only exclusively be used as a conduit interface. Sending packets directly through this interface (e.g.: opening a socket using this interface) will not make us go through the switch tagging protocol transmit function, so the Ethernet switch on the other end, expecting a tag will typically drop this frame.

Source : Linux Kernel Documentation : The DSA Architecture.

basilix · « **Réponse #30 le:** 12 août 2024 à 07:04:40 »

Mais je n'en suis pas certain car il y a trop de choses que je ne sais pas.

Exemple :

Le déchargement matériel (hardware offload) est-il activé de façon systématique et permanente ?
Quel type de déchargement matériel peut-être pris en charge par nftables ?

Lien

Netfilter's flowtable infrastructure
[BPI-R3] hardware offloading with flowtables

basilix · « **Réponse #31 le:** 12 août 2024 à 07:59:07 »

En résumé

Avec le noyau Linux, on peut établir un pont logiciel entre des interfaces physiques et esclaves. En effet, cela est effectué dans la configuration OpenWrt par défaut du BPI R3.
Donc, en pratique, je pense pouvoir créer un pont entre eth1 (port SFP « montant ») et lan1 (port du commutateur).

Niveau sécurité

Le plus simple est d'installer un équipement transparent sur le réseau (mode pont) et stocker les captures réseaux dans une unité de stockage du commutateur. Puis finalement
de débrancher l'équipement afin de pouvoir exploiter les données. Techniquement, l'équipement se situe dans un segment du réseau Orange. Mais logiquement, comme le
boîtier Internet, il se trouve chez l'abonné.

basilix · « **Réponse #32 le:** 12 août 2024 à 09:05:47 »

Mais ce n'est pas le plus pratique et le plus facile à réaliser.

On peut créer plusieurs ponts isolés sur un commutateur avec le système DSA.

Topologie envisagée (DSA)

Pont entre eth1 et wan. Ce sera la liaison entre le réseau Orange et la Livebox.
Pont n'ayant qu'un seul port e.g. lan1. Interface IP locale au lien vers le routeur en mode pont.

Note : wan est un port du commutateur.

De cette manière, on peut lancer manuellement une capture tcpdump locale sur le routeur en mode pont, de sa station (à distance).

xp25 · « **Réponse #33 le:** 12 août 2024 à 11:09:22 »

Le GS108Tv3 permet déjà de faire du port mirroring (page 428 à 430 du manuel) :
https://www.modesdemploi.fr/netgear/gs108tv3/mode-d-emploi?p=428

Extrait traduit :
Configurer la mise en miroir des ports

La mise en miroir des ports vous permet de sélectionner le trafic réseau de ports de commutation spécifiques pour analyse par un analyseur de réseau. Vous pouvez sélectionner de nombreux ports de commutation comme ports sources, mais un seul port de commutation comme port de destination. Vous pouvez configurer la manière dont le trafic est mis en miroir sur un port source en sélectionnant les paquets reçus, transmis ou les deux.

Un paquet copié sur le port de destination est au même format que le paquet d'origine sur le câble. Cela signifie que si le miroir copie un paquet reçu, le paquet copié est étiqueté VLAN ou non étiqueté comme il a été reçu sur le port source. Si le miroir copie un paquet transmis, le paquet copié est étiqueté VLAN ou non étiqueté comme il est transmis sur le port source.

Pour activer globalement la mise en miroir des ports, spécifiez le port de destination et spécifiez un ou plusieurs ports sources :

1. Connectez votre ordinateur au même réseau que le commutateur. Vous pouvez utiliser une connexion Wi-Fi ou filaire pour connecter votre ordinateur au réseau, ou vous connecter directement à un commutateur hors réseau à l'aide d'un câble Ethernet.
2. Lancez un navigateur Web.
3. Dans le champ d'adresse de votre navigateur Web, saisissez l'adresse IP du commutateur.

Se lancer dans la conversion d'un routeur en Switch non manageable par souhait de le rendre injoignable de l'extérieur pour éviter une attaque dessus est complètement absurde, à quel moment il serait joignable de l'extérieur dans cette configuration :

Arrivé Fibre <-> SFP <-> GS108Tv3 <-> LiveBox
|
|⟶ Station

Dans cette configuration ton GS108Tv3 est complètement transparent et ta station connectée dessus n'est en rien connectée à internet, ce qui est connecté à internet c'est tout ce qui est derrière la LiveBox, là ton GS108Tv3 est en amont de celle-ci et opère comme un Switch et encore, je pense même pas qu'on puisse appeler ça Switch dans cette configuration puisqu'on crée une connexion de pont entre 2 ports physiques pour relier 2 appareils avec un miroir de cette connexion de pont pour capturer le trafic.

basilix · « **Réponse #34 le:** 12 août 2024 à 12:22:11 »

@xp25 :

Mon commutateur GS108Tv3 n'a pas de cage SFP. On ne peut pas le brancher à la prise optique murale sans adaptateur.
De plus, je dispose déjà du matériel (BPI R3 + ONU) et des ressources logicielles (OpenWrt), ainsi que les connaissances
nécessaires pour le faire (j'ai passé un temps énorme dessus à travers des livres, des documentations, recherches Web).

Cela pourrait se mettre en place en un temps éclair une fois que l'on saisit bien ce que l'on fait. Si je convertis le routeur
en commutateur c'est par efficacité et coût. Je n'ai jamais prévu d'investir dans un commutateur uniquement pour pouvoir
le brancher sur la prise optique du réseau Orange. Je voulais un commutateur avec des fonctionnalités IPv6 et VLAN pour
segmenter mon réseau local et ajouter de nouveaux ports RJ45. Disposer de cela avec un port SFP aurait grandement
augmenté le prix d'achat. D'autant plus que c'est le routeur de substitution (BPI R3) qui est censé être branché sur la
prise optique du réseau Orange.

Le but de la manœuvre est de créer un pont transparent par sécurité et simplicité au niveau de la topologie. Je n'aurai
pas de pont filtrant (ou transparent) mais deux ponts isolés. Le second pont offrant un accès local (résidentiel) au routeur
ayant le rôle de pont.

basilix · « **Réponse #35 le:** 14 août 2024 à 17:19:31 »

La Livebox envoie des paquets DHCPv4 Discover et DHCPv6 Solicit. Je les capture avec tcpdump (je suis connecté à mon routeur) sur l'interface reliée au module optique.
Malheureusement, aucune réponse du réseau Orange. Mon module optique est le GPON de fs.com. L'état de l'ONU est O5. Mon routeur est le BPI R3. Et d'autres gens ont
réussi à avoir une connexion Orange en utilisant le même module sur ce routeur.

Je n'ai aucune idée de là où pourrait se situer le problème. Il me semble que ce n'est pas un problème de configuration... puisque c'est la Livebox qui réalise la connexion.