Auteur Sujet: Nouvelle mise à jour firmware livebox5 (Lu 238286 fois)

stanthewizzard · « **Réponse #156 le:** 16 mars 2022 à 12:40:46 »

Pour ceux que ca peut intéresser

Livebox 5 avec délégation ipv6
Opnsense (fonctionne sur pfSense presque pareillement)

Interfaces > Wan (chez moi forcement WanLivebox)
IPv6 Configuration Type > DHCPv6
en dessous
DHCPv6 client configuration
Basic
Request only an IPv6 prefix (coché)
Prefix délégation size (64)
Appliquer

Ce qui rend dispo dans services DHCPv6 et surtout Router Advertisements

DHCPv6 inactivé et la livebox attribue les IP
DHCPv6 activé et Opnsense attribue les ip
Perso je suis en Relay sur LAN vers Deux serveurs DHCP (hors livebox et hors opnsense)

Router Advertisements
LAN > Je suis en router Only (comme ça pas de DHCP ou DNS v6 Livebox)
Advertise Routes > Le prefix en 64
Use the DNS settings of the DHCPv6 server
Do not send DNS settings to clients
sont décochés

IPV6 fonctionnel dans le reseau
IPV6 attribué par un DHCP spécifique (pi-hole)
DNS specifique (pi-hole)

Pinkpurple · « **Réponse #157 le:** 16 mars 2022 à 13:59:57 »

Bonjour

Mise à jour reçue également cette nuit.

david0789 · « **Réponse #158 le:** 16 mars 2022 à 19:31:16 »

Bonjour,

Je vais bientôt avoir un accès fibre Orange avec un LB5.
C'est une bonne nouvelle cette nouvelle fonctionnalité de délégation de préfixe DHCPv6 sur le dernier firmware.

Du coup, pour ne plus avoir de double NAT en IPv4, il ne manquerai plus que la possibilité de positionner des routes statiques sur la LB5.
A ce que j'ai compris, cette fonctionnalité n'est actuellement pas présente sur la box.

Pourquoi Orange n'a pas déjà implémenté du routage statique sur sa box ?
La raison à cela, est qu’éventuellement, il ne souhaiterai pas concurrencer une offre plus professionnelle proposée par ailleurs (simple supposition, je ne connais pas les offres commerciales Orange).

Si ma supposition est fondée, ne risque-t-on pas d’attendre fort longtemps l'arrivée de cette fonctionnalité ?

A votre avis.

zoc · « **Réponse #159 le:** 16 mars 2022 à 19:40:00 »

Apparemment la LB Pro supporte l’ajout de routes statiques (et aussi le changement des serveurs DNS), donc ils savent faire. Choix marketing à mon avis.

MacMan · « **Réponse #160 le:** 16 mars 2022 à 19:47:35 »

Bonsoir,

Attention, c'est une délégation de préfixe très très limitée : il y a juste un préfixe /64 par appareil connecté. (enfin, c'est ce que j'ai vu)

Alors pour un routeur c'est très limité. Sauf bricolage, on peut sur le routeur éventuel connecté, router ce /64 sur un sous-réseau (pas plus).

Ou alors, je n'ai rien compris ...

iMarco27 · « **Réponse #161 le:** 16 mars 2022 à 21:48:45 »

Bon je suis peut-être une quiche en réseau, mais vous allez pouvoir me dire car je me casse la tête à comprendre en quoi le routage statique aide en quoi-que-ce-soit à pallier l'absence de mode bridge.

Je me suis fais un lab avec un routeur unifi, je branche son WAN sur le LAN de la LB, je lui affecte un bail statique sur le DHCP de la LB.

Je mets le routeur unifi en DMZ :

J'ajoute une route statique vers le LAN de l'unifi sur la LB :

Je vérifie sur mon ordi que je peux atteindre un PC dans le LAN de l'unifi depuis le LAN de la LB (traceroute Wi-Fi) :

Code: [Sélectionner]

~ % traceroute 192.168.1.116
traceroute to 192.168.1.116 (192.168.1.116), 64 hops max, 52 byte packets
 1  lan (10.1.1.1)  9.793 ms  1.790 ms  1.702 ms
 2  pc-16 (10.1.1.29)  1.902 ms  2.545 ms  1.658 ms
 3  192.168.1.116 (192.168.1.116)  2.411 ms *  6.243 ms

Sur le PC dans le LAN de l'unifi, un traceroute vers l'extérieur passe encore par 2 translations d'ip privées (saut 1 et 2) :

Code: [Sélectionner]

C:\>tracert 1.0.0.1

Détermination de l’itinéraire vers one.one.one.one [1.0.0.1]
avec un maximum de 30 sauts :

  1    <1 ms    <1 ms    <1 ms  unifi.localdomain [192.168.1.1]
  2    <1 ms    <1 ms    <1 ms  LIVEBOX [10.1.1.1]
  3     1 ms     2 ms     1 ms  80.x.x.x
  4     5 ms     4 ms     4 ms  ae109-0.ncrou101.rbci.orange.net [193.253.151.166]
  5     5 ms     5 ms     4 ms  ae44-0.niidf201.rbci.orange.net [193.252.98.242]
  6     6 ms     5 ms     5 ms  81.253.184.182
  7     5 ms     4 ms     5 ms  81.52.200.219
  8    12 ms     6 ms     6 ms  193.251.128.238
  9     6 ms     6 ms    11 ms  cloudflare-18.gw.opentransit.net [193.251.150.160]
 10     5 ms     5 ms     6 ms  one.one.one.one [1.0.0.1]

Itinéraire déterminé.

Pour tester l'UPNP sur le routeur unifi, je crée une règle manuellement avec upnpc avec le pc dans le LAN unifi :

Code: [Sélectionner]

PS C:\> .\upnpc-static.exe -a 192.168.1.116 5201 5201 tcp

List of UPNP devices found on the network :
 desc: http://192.168.1.1:40387/rootDesc.xml
 st: urn:schemas-upnp-org:device:InternetGatewayDevice:1

Found valid IGD : http://192.168.1.1:40387/ctl/IPConn
Local LAN ip address : 192.168.1.116
ExternalIPAddress = 10.1.1.29
InternalIP:Port = 192.168.1.116:5201
external 10.1.1.29:5201 TCP is redirected to internal 192.168.1.116:5201 (duration=0)

Liste des redirections UPNP :

Code: [Sélectionner]

PS C:\> .\upnpc-static.exe -l

List of UPNP devices found on the network :
 desc: http://192.168.1.1:40387/rootDesc.xml
 st: urn:schemas-upnp-org:device:InternetGatewayDevice:1

Found valid IGD : http://192.168.1.1:40387/ctl/IPConn
Local LAN ip address : 192.168.1.116
Connection Type : IP_Routed
Status : Connected, uptime=927276s, LastConnectionError : ERROR_NONE
  Time started : Sun Mar 06 03:31:14 2022
MaxBitRateDown : 1000000000 bps (1000.0 Mbps)   MaxBitRateUp 1000000000 bps (1000.0 Mbps)
ExternalIPAddress = 10.1.1.29
 i protocol exPort->inAddr:inPort description remoteHost leaseTime
 0 TCP  5201->192.168.1.116:5201  'libminiupnpc' '' 0
GetGenericPortMappingEntry() returned 713 (SpecifiedArrayIndexInvalid)

Vérification sur l'interface unifi :

Je lance iperf sur le PC dans le LAN unifi, et je teste depuis mon téléphone en 4G :

Donc OK les redirections de ports en UPNP semblent fonctionner.

Par contre, je fais un test avec l'application Xbox, voici le résultat quand je suis dans le LAN unifi :

Au contraire, dès que je me branche en direct sur le LAN de la LB, l'application devient contente directement :

Donc on voit bien que ce système n'est pas 100% propre, l'application semble détecter des soucis avec cette topologie réseau.

david0789 · « **Réponse #162 le:** 17 mars 2022 à 08:23:10 »

C’est juste un problème de routage de paquets IP.
Sans route statique ta LB ne connait que les réseaux auxquels elle est directement connectée.
Elle de pourra donc pas adresser de paquets à des réseaux qui sont derrière ton routeur interne (qui lui a sa fonctionnalité de NAT déactivée).
Pour que cela fonctionne, il faut l’informer vers quel routeur de prochain saut elle doit adresser les paquets (au moyen donc de routes statiques pointant le routeur interne pour les différents sous-réseaux existants derrière lui)

Ta LB , d’après ta capture d’écran, gère le routage statique, ce n’est donc pas une LB5 Orange ?

iMarco27 · « **Réponse #163 le:** 17 mars 2022 à 09:59:55 »

Ah oui je vois, il faut donc désactiver le NAT du sous routeur.

Le soucis c’est que beaucoup de routeurs grand public ne permettent pas cette fonction. Dans mon cas l’unifi c’est possible mais à la main dans la CLI linux. Pas top. Surtout que j’ai vu des sujets sur les forums Orange où la désactivation du NAT sur leur routeur perso et l’ajout d’un route statique ne fonctionne pas. Il faut que je teste.

C’est plutôt le NAT côté LB qui devrait sauter pour rendre la fonction utile.

Et si c’est juste une LB 5 Pro.

david0789 · « **Réponse #164 le:** 17 mars 2022 à 10:27:25 »

Oui c'est bien ça.

Sur ton routeur interne Le NAT dynamique avec surcharge (à n IP privées correspond une seule IP publique : celui utilisé par les Box Internet grand public) doit être désactivé.

Il n’y a donc plus besoin sur ce routeur de configurer du port forwarding (le NAPT : Network Address and Port Translation)
En revanche, suivant le paramétrage de son firewall, le routeur peut être configuré pour bloquer toutes les connexions entrantes.

Dans ce cas, le firewall du routeur doit être configuré pour faire passer le trafic vers certains ports sur certains protocoles vers certaines adresses LAN (suivant les besoins).

Tu peux faire cela soit :
- manuellement avec des règles de firewall définies sur le routeur.
- automatiquement et dynamiquement via les «pinhole » du protocole UPnP (avec toute la mauvaise réputation de ce protocole en terme de sécurité).

iMarco27 · « **Réponse #165 le:** 17 mars 2022 à 11:01:00 »

Je vois. J'ai trouvé comment désactiver le NAT sur unifi.

Je vais refaire le lab et voir le comportement.

Par contre ça ne résout pas le soucis pour ceux qui ont des plantages à cause de trop de sessions ou trop du flux et qui veulent utiliser un routeur plus costaud.

Je vois plus cette fonction faite pour des switches de niveau 3 et du routage entre VLAN plutôt que du bypass de routeur.

david0789 · « **Réponse #166 le:** 17 mars 2022 à 12:11:19 »

Correctif de mes précédents propos, après une petite réflexion

:

On a encore besoin sur le routeur interne de pouvoir configurer du port forwarding (le NAPT : Network Address and Port Translation).
Cela est nécessaire pour les flux initiés depuis Internet et arrivant sur l’interface WAN (qui est en DMZ de la LB5) du routeur interne.
En effet, l’adresse IP destination des paquets correspondant à ces flux est bien l’adresse IP de l’interface WAN….

david0789 · « **Réponse #167 le:** 18 mars 2022 à 13:26:17 »

Désactiver le NAT sur le routeur interne permet déjà de réduire la charge sur l’équipement.
Pour les protocoles non compatibles avec le NAT cela a aussi un avantage, bien que le NAT de la LB5 posera toujours problème, d’autant plus que je ne pense pas que l’on puisse déployer sur la LB5 des solutions à base ALG (Application Layer Gateway).
Les communications UPnP ne peuvent se faire qu’au sein d’un même sous-réseau. On ne peut donc pas traverser une chaine de Firewall/routeur NAT ne faisaient pas partie du même sous réseau.
Cependant dans notre contexte, cela ne pose pas de problème, avec la configuration de la LB5 et sa DMZ, puisqu’aucun flux n’a besoin d’être ouvert via UPnP sur la LB5.

Mettre la box opérateur en mode bridge, consistant à affecter l’adresse IPv4 publique à l’interface WAN du routeur interne, serait une meilleure solution pour laisser le routeur interne gérer les ALG (et tout le reste des services réseaux et de pare-feu…)

Existe-t-il des offres chez les autres opérateurs (Free, SFR, Bouygues…) permettant de passer la box opérateur en mode bridge tout en conservant opérationnel, d’une manière ou d’une autre, le service de téléphonie d’une part et le service de TV d’autre part ?