1
Remplacer la LiveBox par un routeur / Remplacement de la Livebox par un routeur Openwrt
« Dernier message par fatpat le Aujourd'hui à 07:50:31 »Salut
et merci bcp pour toutes les informations. j'ai modifié un peu le contenu du fichier /etc/nftables.d/nft-prio6-rules.include afin de coller aux recos faite le thread durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire
En gros:
je suis en version 23.05.03
on peut check avec tcmpdump.
Avant, on voit bien une vlan priorité à 6 (p 6) mais un DSP CS0 (tos 0x00)
Après, on voit bien une vlan priorité à 6 (p 6) et un DSCP CS6 (tos 0xc0)
Enfin pour la compréhension générale, j'aurai rajouté le commentaire suivant pour expliquer les lignes egress_qos_mapping dans /etc/config/network[/ttl]:
j'ai galéré à comprendre comment les paquets ARP étaient taggé en vlan priority 6.
et merci bcp pour toutes les informations. j'ai modifié un peu le contenu du fichier /etc/nftables.d/nft-prio6-rules.include afin de coller aux recos faite le thread durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire
Citation de: levieuxatorange
La COS6 (et idéalement le pendant dscp) doit être appliqué :
Au DHCPv4v6 issu de la boxe
Au ARP issu de la boxe
A l'ICMPv6 code NS/NA issu de la boxe et à destination de l'ipv6 fe80::ba0:bab
A l'ICMPv6 code RS issu de la boxe et à destination de l'ipv6 multicast idoine (c'est ba0bab qui répond)
Rien d'autre ...
En gros:
- j'ai viré les parties icmp et igmp qui n'étaient pas utiles pour internet v4/v6 (pas sur que ça le soit pour la TV je n'ai pas creusé)
- j'ai limité les paquets icmpv6 aux types NS, NA vers fe80::ba0::bab et RS
- j'ai rajouté le DSCP CS6 en plus de la SKP priority 6
Code: [Sélectionner]
oifname "eth0.832" counter meta priority set 0:1
oifname "eth0.832" udp dport 67 counter meta priority set 0:6 ip dscp set cs6
oifname "eth0.832" udp dport 547 counter meta priority set 0:6 ip dscp set cs6
oifname "eth0.832" icmpv6 type { nd-neighbor-solicit, nd-neighbor-advert } ip6 daddr fe80::ba0:bab/128 counter meta priority set 0:6 ip6 dscp set cs6
oifname "eth0.832" icmpv6 type nd-router-solicit counter meta priority set 0:6 ip6 dscp set cs6
je suis en version 23.05.03
on peut check avec tcmpdump.
Avant, on voit bien une vlan priorité à 6 (p 6) mais un DSP CS0 (tos 0x00)
Code: [Sélectionner]
root@router:~# tcpdump -i eth0 -vv -n -s0 -e 'vlan 832 and ether src xx:xx:xx:xx:xx:xx and ether[14] >> 5 = 6'
06:13:35.154539 xx:xx:xx:xx:xx:xx > a4:7b:2c:30:c7:e2, ethertype 802.1Q (0x8100), length 444: vlan 832, p 6, ethertype IPv4 (0x0800), (tos 0x0, ttl 64, id 46380, offset 0, flags [DF], proto UDP (17), length 426)
Après, on voit bien une vlan priorité à 6 (p 6) et un DSCP CS6 (tos 0xc0)
Code: [Sélectionner]
root@router:~# tcpdump -i eth0 -vv -n -s0 -e 'vlan 832 and ether src xx:xx:xx:xx:xx:xx and ether[14] >> 5 = 6'
06:14:23.571699 xx:xx:xx:xx:xx:xx > a4:7b:2c:30:c7:e2, ethertype 802.1Q (0x8100), length 444: vlan 832, p 6, ethertype IPv4 (0x0800), (tos 0xc0, ttl 64, id 62412, offset 0, flags [DF], proto UDP (17), length 426)
Enfin pour la compréhension générale, j'aurai rajouté le commentaire suivant pour expliquer les lignes egress_qos_mapping dans /etc/config/network[/ttl]:
Code: [Sélectionner]
config device
option name 'eth0.832'
option type '8021q'
option ifname 'eth0'
option vid '832'
list egress_qos_mapping '1:0' # dans nft-prio6-rules.include on set la skp priority par défaut à 1 qu'on map en vlan priority 0 (COS 0). ca va matcher tous les paquets IPv4 et IPv6 (inet)
list egress_qos_mapping '6:6' # dans nft-prio6-rules.include on set la skp priority à 6 pour les pacquets DHCP et ICMPv6 spécifiques, qu'on map en prio vlan 6 (COS 6)
list egress_qos_mapping '0:6' # tout le reste (donc ce qui n'est pas inet (aka ipv4 or ipv6)) sera mappé en vlan prio 6 (COS 6), ce qui inclue ARP (exclusivement dans le cas présent).
option macaddr 'xx:x:xx:x:x:xx'
j'ai galéré à comprendre comment les paquets ARP étaient taggé en vlan priority 6.