Auteur Sujet: Bbox remplacée par OPNsense (Lu 6751 fois)

Olivier34 · « **le:** 08 mars 2025 à 11:55:13 »

Bonjour,
Après avoir eu quelques difficultés, que j'ai pu résoudre avec le site. Je vous partage ma configuration d'OPNSense.
Quelques remarques :

IPv4, IPv6 et la TV fonctionne
OPNsense tourne dans une VM qui est sous Proxmox
j'ai choisi de renseigner l'adresse MAC de la Bbox.
j'ai une offre fibre classique avec ONT externe

Etape optionnelle - Création de la VM sous Proxmox
Lors de la création de la VM, les points d'attentions sont :

Fenêtre OS, mettre Other pour le type du Guest OS
Fenêtre Network, j'ai mis le type "VirtIO (paravirtualized)" car avec la valeur par défaut (E1000 il me semble) j'avais des débits ridicules.

Une fois la machine créée, il faut rajouter une autre interface Ethernet. J'ai choisi de renseigner la MAC de la Bbox directement ici, sinon c'est aussi possible plus tard sous OPNsense.

Etape 1 - Configuration du VLAN et des interfaces
Dans Interfaces: Devices: VLAN, créer un nouveau VLAN avec les paramètres suivants :

Device : vlan01.100 (par exemple)
Parent : l'interface réseau cotée WAN, vtnet1 chez moi
VLAN tag : 100
VLAN priority : Best Effort (0, default)

Dans Interfaces: Assignments, puis assigner l'interface WAN au VLAN créé précédemment.

Etape optionnelle - Modification de l'adresse MAC
Si vous souhaiter utiliser l'adresse MAC de la Bbox et que vous n'avez pas pu le faire précédemment.
Dans Interfaces: Assignments, il faut créer une nouvelle interface et l'assigner à la carte réseau qui sert pour le WAN (c'est le cas de mon interface "NotUsed")
Dans Interfaces: [NotUsed] :

Cocher la case pour activer l'interface
IPv4 Configuration Type : None
IPv6 Configuration Type : None
MAC address : l'adresse MAC de la Bbox xx:xx:xx:xx:xx:xx

Etape 2 - Activation IPv6
Dans Interfaces: Settings

Cocher la case Allow IPv6
DHCP Unique Identifier, mettre 00:03:00:01:xx:xx:xx:xx:xx:xx où xx:xx:xx:xx:xx:xx est l'adresse MAC de la Bbox

Etape 3 - Configuration du WAN
Dans Interfaces: [WAN] :

Cocher la case pour activer l'interface
Décocher la case Block bogon network (nécessaire pour la TV)
IPv4 Configuration Type : DHCP pour avoir l'IPv4 sinon None
IPv6 Configuration Type : DHCPv6 pour avoir l'IPv6 sinon None

Etape 3a - Configuration du WAN - IPv4
Dans Interfaces: [WAN] puis DHCP client configuration

Configuration Mode : Advanced
Use VLAN priority : Internetwtok Control (6)
Lease Requirements, Send Options : dhcp-class-identifier "BYGTELIAD", host-name ""
Lease Requirements, Request Options : subnet-mask, broadcast-address, routers, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-name, host-name, domain-name-servers, ntp-servers, www-server

Pour les Request Options, j'ai choisi de mettre ce que j'avais pu capturer sur les trames envoyées par la Bbox même si ce n'est à priori pas nécessaire.

Etape 3b - Configuration du WAN - IPv6
Dans Interfaces: [WAN] puis DHCPv6 client configuration

Use VLAN priority : Internetwtok Control (6)
Configuration Mode : Advanced
Interface Statement, Send Options: ia-pd 1, raw-option 6 00:1f:00:17
Identity Association, cocher la case Prefix Delegation
Identity Association, id-assoc pd ID : 1
Prefix Interface : 4, je ne me souviens plus si c'est nécessaire ou non

A la place de 1 pour ia-pd, si vous souhaiter faire comme la Bbox, il faut mettre les 4 derniers octets de l'adresse MAC de la Bbox. Par exemple si l'adresse MAC est xx:xx:ab:cd:ef:12, il faut renseigner 2882400018 au niveau des 2 champs ia-pd (dans Interface Statement, Send Options et dans Identity Association, id-assoc pd ID).

Etape 4 - Configuration du LAN
Dans Interfaces: [LAN] :

Cocher la case pour activer l'interface
IPv4 Configuration Type : Static IPv4
IPv6 Configuration Type : Track interface

Normalement, l'IPv4 et l'IPv6 sont fonctionelles.
Note : Mon parefeu OPNsense n'a pas d'IPv6 sur sa patte WAN par contre les équipements qui sont sur le LAN ont bien une ipv6.

Olivier34 · « **Réponse #1 le:** 08 mars 2025 à 11:55:29 »

Pour la partie TV, je ne refais pas les requis pour l'IGMP qui sont

IGMP v2
priotity 5

Etape 1 - Création des alias
Dans Firewall: Aliases, créer un 1er alias pour les ports:

Name: TV_port (par exemple)
Type : Port(s)
Content : 8200, 8202

Dans Firewall: Aliases, créer un 2eme alias pour les réseaux

Name: TV_network (par exemple)
Type : Network(s)
Content : 89.86.97.0/24, 89.86.96.0/24, 193.251.97.0/24, 176.165.8.0/24

Etape 2 - Création des régles du parefeu
Dans Firewall: Rules: Floating, ajouter une nouvelle régèle qui va taguer les flux IGMP avec la priorité 5.

Interface: WAN et LAN
Direction: any
TCP/IP Version: IPv4
Protocol: IGMP
Description: Set priority for IGMP
Clicker sur advanced option
cocher la case allow options
Set priority: Voice (5)

Dans Firewall: Rules: WAN, ajouter une nouvelle régle pour autoriser le flux TV :

Interface: WAN
Direction: in
TCP/IP Version: IPv4
Protocol: UDP
Source: TV_network qui est l'alias créer précédemment
Destination port range: TV_port
Description: Flux TV multicast

Etape 3 - Configuration d'IGMP proxy
Dans System: Firmware: Plugins, installer le plugin os-igmp-proxy.
Dans Services: IGMP Proxy, ajouter l'interface WAN, avec les paramètres :

Interface: WAN
Type: Upstream interface
Network(s) : 89.86.97.0/24, 89.86.96.0/24, 193.251.97.0/24, 176.165.8.0/24

Puis ajouter l'interface LAN, avec les paramètres :

Interface: LAN
Type: Downstream interface

Etape 4 - Forcer IGMPv2
Update du 05/03/2026 : A partir d'OPNsense 26.1.3 il suffit simplement de faire la modification ci-dessous.
Dans System: Settings: Tunables, ajouter une nouvelle entrée:

Tunable: net.inet.igmp.default_version
Value: 2

Etape 4a - Forcer IGMPv2 - Pimd
Pour forcer la version 2 d'IGMP, il y a plusieurs façon. L'une est d'utiliser pimd qui va envoyer des trames IGMPv2 et faire passer l'interface en v2. (voir le tuto pfsense avec la proposition de modification suivante pour voir qu'on est en igmpv3).

Code: [Sélectionner]

if ifmcstat -i vlan01.100 -f inet | grep -q "igmpv3"; then
    # Mettre le code pour arreter igmp proxy
    echo "Stopping IGMPproxy"

    sleep 3
    # Puis lancer pimd

    sleep 7
    # puis le tuer
    killall pimd
    sleep 1
    # Puis relancer igmp-proxy
    echo "Starting again IGMPproxy"

fi

Etape 4b - Forcer IGMPv2 - Compilation du noyau
Pour ma part, j'ai choisi de recompiler le kernel pour modifier la version IGMP directement dans OPNsense. Le gros point noir de cette technique est qu'il est nécessaire de recompiler le noyau à chaque fois qu'une nouvelle version sort.
Dans System: Settings: Tunables, ajouter une nouvelle entrée:

~~Tunable: net.inet.igmp.default_version~~
~~Value: 2~~

~~Pour la compilation du noyau, il faut monter une machine FreeBSD https://github.com/opnsense/tools, puis réaliser les commandes suivantes pour cloner le repository~~

Code: [Sélectionner]

pkg install git
cd /usr
git clone https://github.com/opnsense/tools

~~Update du 31/05/2025 : Le dépot de freebsd contient 2 commits qui ne sont pas sous OPNsense et qui permettent de rester en IGMPv2. On ajoute alors les dépots de freebsd en tant qu'upstream.~~

Code: [Sélectionner]

cd /usr/src
git remote add upstream https://github.com/freebsd/freebsd-src.git
git fetch upstream

Mettre à jour les dépots OPNsense en local, avec le dernier tag correspondant à la version ici 25.1. En cas de nouvelle version d'OPNsense, il est nécessaire de refaire toutes les étapes à partir d'ici avec la bonne version, par exemple 25.1.2 au lieu de 25.1

Code: [Sélectionner]

cd /usr/tools/
make update VERSION=25.1

~~Update du 31/05/2025: Il n'est plus nécessaire d'appliquer les modifications à la main comme ci-dessous mais on peut appliquer 2 commits directement depuis le dépot de freebsd~~
Avant de compiler le kernel et une fois que le dépots sont à jour, il faut modifier le fichier igmp.c qui est dans le dossier /usr/src/sys/netinet/, pour lui appliquer la correction https://github.com/freebsd/freebsd-src/commit/b94ec00ba73ef4769f62555bfcb840919143e198 et forcer l'utilisation de la v2 en modfiant la ligne

Code: [Sélectionner]

// Ce n'est plus nécessaire de faire la modification à la main. Voir commande plus bas pour le cherry-pick
VNET_DEFINE_STATIC(int, igmp_default_version) = IGMP_VERSION_3;
// Par cette nouvelle ligne pour forcer la v2
VNET_DEFINE_STATIC(int, igmp_default_version) = IGMP_VERSION_2;

~~La nouvelle commande est~~

Code: [Sélectionner]

cd /usr/src
git cherry-pick b94ec00ba73ef4769f62555bfcb840919143e198 d2c2d6d6b09e8a059dffd6b6c7513d0925a8753d

~~La commande suivante permet de compiler le kernel~~

Code: [Sélectionner]

make kernel

Le kernel est récupérable dans le dossier /usr/local/opnsense/build/25.1/amd64/sets. Il faut ensuite le copier sous ONsense, dans le dossier /home/ par exemple puis faire la mise à jour du kernel sous OPNsense avec la commande suivante :

Code: [Sélectionner]

opnsense-update -fikr 25.1 -l /home/[/s]

benoitm974 · « **Réponse #2 le:** 08 mars 2025 à 14:10:51 »

Merci beaucoup pour le tutoriel très propre, surtout pour moi le fait que tu aies pris du temps pour analyser les trames afin de confirmer les valeurs actuelles utilisées par la Bbox. Cela permet de rendre le tout un peu plus propre pour nous tous, c'est chouette. J'apprécie particulièrement les détails tels que celui de bien faire les requêtes DHCP en priorité 6, même si ce n'est pas obligatoire mais effectivement identique à ce que fait Bouygues, merci et bravo.

Le fait que tu arrives à avoir la télévision avec un ONT Bouygues renforce une idée que, je crois, @mirtouf avait soulevé à propos du fait que certains ONT (type Ubiquiti, ou Glassfiber, ...) pourraient poser problème dans la façon dont ils "gèrent" les flux multicast entrants. De mémoire, ces flux chez Bouygues arrivent depuis l'IP source 0.0.0.0, ce qui peut être mal interprété ou filtré par l'ONT... Du coup, cela expliquerait que certains du forum, malgré le COS 5 correcte et le setup d'un IGMP proxy en V2, voient bien les enregistrements multicast passer au niveau du proxy et des trames IGMP mais ne voient pas de flux multicast retour.

Cela serait intéressant qu'une personne avec un ONT Nokia XGS-PON confirme ou trace ces flux. Cela permettrait de concentrer l'effort sur comment configurer un ONT tiers (en tout cas ceux qui ont des firmware plus flexibles type WAS110 ou Huawei MA5671A ou SFP, qui présentent un intérêt de part leur format par rapport à garder une ONT fourni par Bouygues) pour qu'ils "laissent" passer les flux multicast...

B.

mirtouf · « **Réponse #3 le:** 08 mars 2025 à 14:40:34 »

Je suis ravi de voir que mon vieux truc q&d a encore eu un certain succès.

Pour la TV, avec pas mal d'ONT, on n'a rien et au pire, on a un crash de l'ONT ! (le LEOX par exemple). C'est en effet assez rageant de ne pas comprendre pourquoi un tel comportement mais en lisant les forums UI, un dev (il me semble) avait indiqué que le support multicast entre un couple OLT/ONT de marques différentes était compliqué à implémenter et peu fiable/performant.

nwks · « **Réponse #4 le:** 18 mars 2025 à 16:26:51 »

Hello et merci pour le sujet et tuto !

J'ai une offre Pure Fibre (sans TV) et je m'étais attaqué au remplacement de la BBox par un OPNsense virtualisé et un ONT "custom" (WAS-110) il y a quelques semaines, mais j'avais été confronté à des problèmes de débit et de fiabilité de la connexion, et j'avais mis le sujet en suspend faute de temps pour creuser.
J'ai fini par m'apercevoir que j'avais aussi ces problèmes en configuration "normale" (derrière la BBox), et qu'ils étaient en fait causés par les options "hardware offload" que j'avais bidouillé un jour et oublié de remettre à "disabled"...

Bref, ton sujet m'a motivé pour refaire le test en virant la BBox et effectivement ça fonctionne pour le moment.

Juste une question : est-ce que le monitoring de la gateway IPv4 fonctionne chez toi ?
Celle qui remonte par le DHCP chez moi (176.191.96.1) ne semble pas répondre aux pings...

Pas de problème sur IPv6 avec fe80::1 ...

mirtouf · « **Réponse #5 le:** 18 mars 2025 à 17:29:47 »

Encore heureux qu'une adresse link local réponde au ping.

Pour la passerelle IPv4 elle peut répondre ou non en ping, il vaut mieux trouver d'autres cibles pour surveiller sa connexion.

kerkhra · « **Réponse #6 le:** 03 juin 2025 à 22:32:45 »

Bonjour à tous.

Je me permets de ressortir un peu ce sujet, car j'y ai passé quelques heures hier, sans succès.
J'ai essayé beaucoup de choses, mais je ne chope pas d'IP (ni v4, ni V6). Je me dis que vous aurez peut-être une idée en plus.

État des lieux :
J'ai un OPNsense sur un Lenovo 910 avec 2 interfaces SFP+ sur lequel je voulais mettre un XGS-PON 8311, acheté sur aliexpress (pas un WAS-110)
Ce XGS-PON, je l'ai configuré via le branchement sur un switch et j'ai bien obtenu le statut : 05.01 en indiquant le SN de la box en respectant le code SMBSXX. Truc étrange, je garde le même statut même en changeant le SN. J'ai cru voir que cela arrivait.

Puis en mettant le XGS-PON sur le FW OPNsense, et en suivant ce tuto (j'ai recommencé de zéro 2 fois), je ne récupère jamais d'IP. J'ai checké en ssh et le SFP est bien vu.

J'ai forcément loupé quelque chose, mais je ne vois pas.

Est-ce que l'un de vous aurait une idée ?

Merci pour votre aide.

Olivier34 · « **Réponse #7 le:** 05 juin 2025 à 19:43:43 »

Bonjour,
si je ne me trompe pas, le VLAN100 et le dhcp-class-identifier "BYGTELIAD" sont suffisants pour récupérer l'IPv4. Donc au niveau de la configuration, il n'y a pas grand chose à faire pour l'IPv4.

Comme ça je n'ai pas trop d'idée mais je regarderai :

si la carte réseau est bien supportée par FreeBSD
si des trames peuvent être capturées au niveau de l'interface réseau

kerkhra · « **Réponse #8 le:** 14 juin 2025 à 09:58:42 »

Bonjour,

Je vous remercie pour votre réponse.
Je vais rééssayer lorsque ce sera stabilisé.

J'ai une petite question :
Je suis passé sur un ONT entre temps. C'était ok, j'usque hier 19h.
Est-il possible de s'être fait banni ? J'ai eu un incident physique hier (maj du kernel qui n'a plus voulu du SFP+ cuivre du jour au lendemain), j'ai galéré à trouver le problème et c'est resté comme cela pendant 3 heures. Lorsque j'ai réussi à revenir sur une conf fonctionnelle, OPNsense n'arrivait plus à récupérer d'IP. J'ai refait la conf intégralement sans succès.
En remettant la box, elle chope bien l'IP lorsque je rebascule via l'ONT, rien ne se passe.

Merci pour votre réponse.

kerkhra · « **Réponse #9 le:** 14 juin 2025 à 14:25:49 »

Je me réponds directement si cela peut aider quelqu'un.
J'avais mis la MAC de la box sur l'interface avec vlan et pas sur l'interface WAN. En changeant l'endroit de la MAC, j'ai récupéré instantanément l'IP.

Tom.exe · « **Réponse #10 le:** 03 janvier 2026 à 17:28:57 »

Hello,
J'ai remplacé ma BBOX par un routeur OPNSense et un ont Leox, Internet IP4 OK, IP6 en cours, et le plus important TV, j'ai le décodeur connecté, le proxy IGMP qui marche bien en V2, mais impossible d'avoir les flux sur le player Bygtel 4K, je lui ai mis les DNS de bouyguestel, et je reste sur un ecran noir sans flux, et a un moment, l'erreur F3411-1010 apparait

Chemain Réseau:
OPN --> Switch Ubiquiti 1 --> Switch Ubiquiti2 --> STB Bouygues

Avez vous une idée ?
Update: Je vois bien les call IGMP passer dans un TCPDump, comme si le trafic allait jamais dans le lan / le flux ne commentais jamais

benoitm974 · « **Réponse #11 le:** 03 janvier 2026 à 20:51:16 »

Je pense que leox ne fonctionne pas dans le config bouygues, tu vas bien voir les trames d'isncription IGMP partir mais tu ne vera pas le flux revenir sur le leox... Il me semble que @mirtouf avait même eu le support leox sur le sujet et ils avaient indiqué que ce ne serait pas possible ou simple de mémoire.