Auteur Sujet: Config OpenWRT derrière ONT Bouygues (Lu 1820 fois)

nico1881 · « **le:** 30 janvier 2024 à 22:49:13 »

Pas évident de trouver la bonne config derrière un ONT (Huawei) Bouygues, mais avec beaucoup de patience...
La solution qui a marché pour moi recoupe plusieurs autres proposées sur ce forum. Je poste ici les morceaux pertinents de /etc/config/network et /etc/config/dhcp si ça peut servir à d'autres.

La configuration WAN doit être sur VLAN 100 et spoofing de l'adresse MAC de la box (que l'on trouve sur un sticker en dessous de la box).
Pas besoin d'envoyer un DUID construit avec l'adresse MAC, OpenWRT le fait déjà par défaut (en version 23.05.2).
Penser à changer le DNS avec l'adresse d'un serveur local, le nom du device, et l'adresse MAC de la bbox à remplacer.

Les options qui m'ont pris du temps à trouver sont reqaddress=try et reqprefix=64. L'ONT répond avec un /60, ce qui permet d'assigner des IPv6 aux ports LAN et WAN. Avec un /64 on serait contraint de faire du NAT, ce qui est un peu ballot.
L'option norelease=1 permet d'éviter de se faire blacklister pendant 1h en faisant trop de solicitations. C'est surtout cela qui m'a fait perdre du temps.

/etc/config/network (juste la partie WAN)

Code: [Sélectionner]

config interface 'wan'
	option device 'wan.100'
	option proto 'dhcp'
	option vendorid 'BYGTELIAD'
	option peerdns '0'
	list dns '192.168.1.1' <-- remplacer par serveur DNS LAN
	list dns_search 'lan'
	option hostname '*'

config interface 'wan6'
	option device '@wan'
	option proto 'dhcpv6'
	option reqaddress 'try'
	option reqprefix '64'
	option ip6assign '64'
	option norelease '1'
	option peerdns '0'
	list dns '192.168.1.1' <-- remplacer par serveur DNS LAN
	list dns_search 'lan'

config device
	option type '8021q'
	option ifname 'eth1' <-- remplacer par le bon device
	option vid '100'
	option name 'wan.100'
	option mtu '1500'
	option macaddr 'xx:xx:xx:xx:xx:xx' <-- remplacer par MAC de la box

La partie /etc/config/dhcp définit comment OpenWRT distribue les IPv6 sur le LAN à partir du préfixe obtenu.

Avec cette configuration c'est OpenWRT qui distribue les IPv6 avec des adresses moins moches que SLAAC, mais l'autoconfiguration est possible, ça marche avec iOS et Android. Les machines Debian récupèrent une adresse en prefixe::ABC (trois chiffres hexa).

Anecdotique: avec cette configuration OpenWRT distribue également des adresses en ULA si ULA prefix est défini dans /etc/config/network. Ceci permet d'avoir des adresses fixes non routables en IPv6 sur le réseau local, similaires à RFC1918 (les adresses en 192.168.x.x et 10.x.x.x et autres). Ca fait hurler les puristes IPv6 mais c'est bien pratique d'avoir des adresses fixes sur un LAN quand le préfixe IPv6 délégué peut changer n'importe quand. Mon serveur DNS est toujours visible sur qqch comme fd00:dada::1.

Code: [Sélectionner]


config dhcp 'lan'
	option interface 'lan'
        ... options DHCPv4 LAN non affichées ici
	option dhcpv6 'server'
	option ra 'server'
        option ndp 'relay'
	option ra_management '0'
        list ra_flags 'managed-config'
        list ra_flags 'other-config'

config dhcp 'wan'
	option interface 'wan'
	option ignore '1'

config dhcp 'wan6'
	option interface 'wan6'
	option ra 'relay'
	option dhcpv6 'relay'
        option ndp 'relay'
	option master '1'
        option ignore '1'

Sous Debian pour récupérer une adresse courte:

/etc/network/interfaces

Code: [Sélectionner]

iface eth0 inet6 dhcp
    autoconf 0

Je n'ai pas touché à la configuration par défaut du firewall. Il est déjà configuré pour laisser passer les messages nécessaires pour faire du DHCPv6 avec WAN.
Pas mal de soucis aussi quand j'édite la configuration simultanément avec Luci et en ligne de commande. Mieux vaut éditer les fichiers de config à la main et ne pas hésiter à re-démarrer le routeur pour être sûr d'avoir une conf cohérente.

C'est probablement pas la conf la plus optimale mais elle fonctionne sur OpenWRT 23.05.2. Si qqn d'autre peut confirmer que ça marche pour lui/elle ce serait super!

Mah0 · « **Réponse #1 le:** 15 mars 2024 à 22:42:10 »

Salut ! Je viens de déménager et de changer d'opérateur et j'ai malheureusement que Bouygues offrait très peu d'options avec leur box à deux balles !! Impossible d'avoir un DNS custom (car écrasé par l'ipv6 qui est pas désactivable), un peu compliqué aussi au niveau du dhcp et tout.

Du coup j'avais un mini pc, je lui ai foutu openwrt (bon sniff par contre j'ai perdu tous mes docker, mon samba, ...) et en copiant collant ta config, ça fonctionne nickel

En effet plus facile de passer en ssh car j'ai l'impression que y'a pas tout via la webui.

Par contre, impossible de faire fonctionner l'iptv (box bouygues via ça), j'ai vu que c'était un peu compliqué donc y'a probablement des choses à adapter

nico1881 · « **Réponse #2 le:** 15 mars 2024 à 22:58:50 »

Tu n'es pas forcé d'installer openwrt comme seul OS sur ton PC/routeur en bare-metal. Il est relativement facile de virtualiser openwrt et d'instancier d'autres VM qui peuvent se spécialiser NAS, Docker host, etc. Le forum openwrt a quelques bons tutorials sur le sujet: https://openwrt.org/docs/guide-user/virtualization/start. Beaucoup de gens recommandent Proxmox, FreeBSD+bhyve marche très bien, ou sinon TrueNAS, et sans doute encore d'autres, incluant la possibilité de faire tourner openwrt dans un container docker! L'essentiel est de pouvoir dédier deux interfaces réseau à openwrt, de préférence en PCI passthrough pour de bonnes performances. On peut le faire également avec une seule interface réseau (router on a stick) mais cela divise par deux la bande passante adressable.
Virtualiser openwrt n'est pas idéal: quand l'hôte est éteint tu perds ton routeur (virtuel) en même temps. Cela dit j'ai eu des routeurs openwrt virtuels qui ont ronronné pendant des années sans problèmes. Le mieux est quand même de dédier une petite machine avec openwrt en bare metal si tu peux.

Content de voir que ma config fonctionne pour toi! J'avoue effectivement ne pas avoir regardé comment laisser passer les flux TV, je n'ai pas de TV ni de box TV et n'utilise pas non plus le téléphone fixe. Si quelqu'un a essayé des solutions on pourrait mettre à jour ce tuto avec les instructions qui vont bien.

Mah0 · « **Réponse #3 le:** 15 mars 2024 à 23:13:56 »

Si je peux faire tourner mes conteneurs docker dessus franchement ça serait pas mal et beaucoup plus simple pour moi, le soucis étant que j'ai seulement deux interfaces physiques sur ce mini PC. Si la solution me plait, j'investirais peut-être sur quelque chose de plus balaise.

nico1881 · « **Réponse #4 le:** 16 mars 2024 à 06:16:21 »

Il existe aussi l'option inverse: faire tourner docker sur openwrt.
https://openwrt.org/docs/guide-user/virtualization/docker_host
En général on conseille de laisser le routeur ne faire qu'une seule chose: router (firewall, DHCP, DNS, VPN, ...). Mais avec un PC suffisamment musclé ça peut se tenter.

basilix · « **Réponse #5 le:** 16 mars 2024 à 08:23:23 »

Citation de: nico1881

Ceci permet d'avoir des adresses fixes non routable en IPv6 sur le réseau local, similaires à RFC1918 (les adresses en 192.168.x.x et 10.x.x.x et autres). Ça fait hurler les puristes IPv6 mais c'est bien pratique d'avoir des adresses fixes sur un LAN quand le préfixe IPv6 délégué peut changer n'importe quand.

C'est de faire croire que tel et tel mécanisme sont à équivalence par simple méconnaissance du sujet qui fait hurler les puristes.

Mah0 · « **Réponse #6 le:** 16 mars 2024 à 22:20:11 »

Bon, alors j'ai fait quelques recherches ce soir.

Apparemment, d'après ce qui se dit sur les autres postes, notamment ici https://lafibre.info/remplacer-bbox/exigences-tv/ pour l'IPTV, il faut
> Forcer IGMPV2 : simple
> Optionnellement pour éviter de spammer son réseau, activer igmp_snooping : simple
> Troisième et dernière chose, marquer en P5 (ou P3) les paquets IGMP sur l'interface WAN : c'est ici que je bloque, je ne sais pas comment cela peut-être possible sur openwrt... Peut-être via un vlan dédié ?

Pour l'instant sans ça, j'ai la 1 et la 10 qui fonctionnent, pour le reste j'ai une belle erreur F3411.

TTR6214 · « **Réponse #7 le:** 22 mars 2024 à 21:55:28 »

Citation de: Mah0 le 16 mars 2024 à 22:20:11

Bon, alors j'ai fait quelques recherches ce soir.

Apparemment, d'après ce qui se dit sur les autres postes, notamment ici https://lafibre.info/remplacer-bbox/exigences-tv/ pour l'IPTV, il faut
> Forcer IGMPV2 : simple
> Optionnellement pour éviter de spammer son réseau, activer igmp_snooping : simple
> Troisième et dernière chose, marquer en P5 (ou P3) les paquets IGMP sur l'interface WAN : c'est ici que je bloque, je ne sais pas comment cela peut-être possible sur openwrt... Peut-être via un vlan dédié ?

Pour l'instant sans ça, j'ai la 1 et la 10 qui fonctionnent, pour le reste j'ai une belle erreur F3411.

Ci-dessous ma configuration qui fonctionne avec igmpproxy.
Je l'ai adapté d'une configuration Openwrt TV Orange.

Au début je marquais toutes les trames sortantes en q5, je recevais bien la TV mais j'ai eu une perte de débit sur mes équipements.
Donc j'ai seulement gardé la règle 7:5 en egress.
Nouveau souci, j'ai des freezes de la TV lors des tests de débit

Si quelqu'un a des idées, je suis preneur

Code: [Sélectionner]


config device
	option name 'br-lan'
	option type 'bridge'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'
	option igmp_snooping '1'

config interface 'lan'
	option device 'br-lan'
	option proto 'static'
	option ipaddr '192.168.10.253'
	option netmask '255.255.255.0'
	option ip6assign '60'
	list dns '8.8.8.8'

config device
	option name 'wan'
	option macaddr 'XXXXXXX'

config interface 'wan'
	option device 'wan.100'
	option proto 'dhcp'
	option vendorid 'BYGTELIAD'
	option hostname '*'

config interface 'wan6'
	option device 'wan.100'
	option proto 'dhcpv6'
	option reqaddress 'try'
	option reqprefix '64'
	option norelease '1'
	option peerdns '0'
	list dns '1.1.1.1'
	option ip6assign '64'

config device
	option type '8021q'
	option ifname 'wan'
	option vid '100'
	option name 'wan.100'
	option macaddr 'MACBBOX'
	option igmpversion '2'
	list egress_qos_mapping '7:5'

Code: [Sélectionner]

config igmpproxy
	option quickleave 1
#	option verbose [0-3](none, minimal[default], more, maximum)

config phyint
	option network wan
	option zone wan
	option direction upstream
	list altnet '0.0.0.0/0'

config phyint lan
	option network lan
	option zone lan
	option direction downstream

Code: [Sélectionner]

config rule
	option target 'ACCEPT'
	option name 'igmp'
	option family 'ipv4'
	option proto 'igmp'
	option src 'wan'

config rule
	option target 'ACCEPT'
	option name 'Allow-Multicast'
	option family 'ipv4'
	option proto 'udp'
	option src 'wan'
	option dest 'lan'
	option dest_ip '224.0.0.0/4'

nague · « **Réponse #8 le:** 31 mars 2024 à 22:46:27 »

Vous n'avez rien remarqué depuis le changement d'heure la nuit dernière ? Impossible d'avoir un renew fonctionnel sur la wan ipv4. Il faut aller jusqu'à la fin du lease pour avoir une séquence discover fonctionnelle... Le problème s'est présenté sur mes deux 2 accès Bouygues, l'un en openwrt 19.07 et l'autre en 22.03, très éloigné géographiquement, cela ne peut être une coïncidence... Du coup, perte de connexion toutes les 2h.

22:23:27.811504 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:23:50.275097 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:03.721529 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:08.201539 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:10.411542 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:11.501471 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:12.001603 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:12.024664 IP i16-les02-ix2.net.bbox.fr.67 > 176.187.67.xx.xx: BOOTP/DHCP, Reply, length 323
22:24:12.111635 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:12.145074 IP i16-les02-ix2.net.bbox.fr.67 > 176.187.67.xx.xx: BOOTP/DHCP, Reply, length 323

Antoinel · « **Réponse #9 le:** 31 mars 2024 à 22:51:34 »

Je confirme, y a quelque chose depuis la nuit du samedi à dimanche.

Code: [Sélectionner]

Sun Mar 31 21:08:43 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:10:36 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:11:32 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:12:00 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:12:03 2024 daemon.notice netifd: wan (13630): udhcpc: broadcasting renew
Sun Mar 31 21:12:06 2024 daemon.notice netifd: wan (13630): udhcpc: broadcasting renew
Sun Mar 31 21:12:09 2024 daemon.notice netifd: wan (13630): udhcpc: broadcasting renew
Sun Mar 31 21:12:12 2024 daemon.notice netifd: wan (13630): udhcpc: lease lost, entering init state

nague · « **Réponse #10 le:** 01 avril 2024 à 00:28:01 »

Cela fait plaisir de voir que je ne suis pas le seul

Je viens de tester le marquage 802.1p à 6 + DSCP = CS6 des paquets renew (comme c'est le cas chez Orange je crois), pas mieux...
Franchement, je vois mal Bouygues faire une mise à jour de son ingénierie la nuit de samedi à dimanche... Je pense un effet de bord du changement d'heure dans les équipements.

nague · « **Réponse #11 le:** 02 avril 2024 à 10:37:08 »

Je suis étonné ne de pas trouver d'autres témoignages sur ce forum (ou ailleurs). L'impact est peut-être négligeable pour la plupart. De mon côté, le fait que l'interface wan est signalée down, même un instant, fait tomber les interfaces VPN, et je pense aussi que cela clear les connexions en cours.