La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Bbox par un routeur => Discussion démarrée par: nico1881 le 30 janvier 2024 à 22:49:13
-
Pas évident de trouver la bonne config derrière un ONT (Huawei) Bouygues, mais avec beaucoup de patience...
La solution qui a marché pour moi recoupe plusieurs autres proposées sur ce forum. Je poste ici les morceaux pertinents de /etc/config/network et /etc/config/dhcp si ça peut servir à d'autres.
La configuration WAN doit être sur VLAN 100 et spoofing de l'adresse MAC de la box (que l'on trouve sur un sticker en dessous de la box).
Pas besoin d'envoyer un DUID construit avec l'adresse MAC, OpenWRT le fait déjà par défaut (en version 23.05.2).
Penser à changer le DNS avec l'adresse d'un serveur local, le nom du device, et l'adresse MAC de la bbox à remplacer.
Les options qui m'ont pris du temps à trouver sont reqaddress=try et reqprefix=64. L'ONT répond avec un /60, ce qui permet d'assigner des IPv6 aux ports LAN et WAN. Avec un /64 on serait contraint de faire du NAT, ce qui est un peu ballot.
L'option norelease=1 permet d'éviter de se faire blacklister pendant 1h en faisant trop de solicitations. C'est surtout cela qui m'a fait perdre du temps.
/etc/config/network (juste la partie WAN)
config interface 'wan'
option device 'wan.100'
option proto 'dhcp'
option vendorid 'BYGTELIAD'
option peerdns '0'
list dns '192.168.1.1' <-- remplacer par serveur DNS LAN
list dns_search 'lan'
option hostname '*'
config interface 'wan6'
option device '@wan'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix '64'
option ip6assign '64'
option norelease '1'
option peerdns '0'
list dns '192.168.1.1' <-- remplacer par serveur DNS LAN
list dns_search 'lan'
config device
option type '8021q'
option ifname 'eth1' <-- remplacer par le bon device
option vid '100'
option name 'wan.100'
option mtu '1500'
option macaddr 'xx:xx:xx:xx:xx:xx' <-- remplacer par MAC de la box
La partie /etc/config/dhcp définit comment OpenWRT distribue les IPv6 sur le LAN à partir du préfixe obtenu.
Avec cette configuration c'est OpenWRT qui distribue les IPv6 avec des adresses moins moches que SLAAC, mais l'autoconfiguration est possible, ça marche avec iOS et Android. Les machines Debian récupèrent une adresse en prefixe::ABC (trois chiffres hexa).
Anecdotique: avec cette configuration OpenWRT distribue également des adresses en ULA si ULA prefix est défini dans /etc/config/network. Ceci permet d'avoir des adresses fixes non routables en IPv6 sur le réseau local, similaires à RFC1918 (les adresses en 192.168.x.x et 10.x.x.x et autres). Ca fait hurler les puristes IPv6 mais c'est bien pratique d'avoir des adresses fixes sur un LAN quand le préfixe IPv6 délégué peut changer n'importe quand. Mon serveur DNS est toujours visible sur qqch comme fd00:dada::1.
config dhcp 'lan'
option interface 'lan'
... options DHCPv4 LAN non affichées ici
option dhcpv6 'server'
option ra 'server'
option ndp 'relay'
option ra_management '0'
list ra_flags 'managed-config'
list ra_flags 'other-config'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
config dhcp 'wan6'
option interface 'wan6'
option ra 'relay'
option dhcpv6 'relay'
option ndp 'relay'
option master '1'
option ignore '1'
Sous Debian pour récupérer une adresse courte:
/etc/network/interfaces
iface eth0 inet6 dhcp
autoconf 0
Je n'ai pas touché à la configuration par défaut du firewall. Il est déjà configuré pour laisser passer les messages nécessaires pour faire du DHCPv6 avec WAN.
Pas mal de soucis aussi quand j'édite la configuration simultanément avec Luci et en ligne de commande. Mieux vaut éditer les fichiers de config à la main et ne pas hésiter à re-démarrer le routeur pour être sûr d'avoir une conf cohérente.
C'est probablement pas la conf la plus optimale mais elle fonctionne sur OpenWRT 23.05.2. Si qqn d'autre peut confirmer que ça marche pour lui/elle ce serait super!
-
Salut ! Je viens de déménager et de changer d'opérateur et j'ai malheureusement que Bouygues offrait très peu d'options avec leur box à deux balles !! Impossible d'avoir un DNS custom (car écrasé par l'ipv6 qui est pas désactivable), un peu compliqué aussi au niveau du dhcp et tout.
Du coup j'avais un mini pc, je lui ai foutu openwrt (bon sniff par contre j'ai perdu tous mes docker, mon samba, ...) et en copiant collant ta config, ça fonctionne nickel :) En effet plus facile de passer en ssh car j'ai l'impression que y'a pas tout via la webui.
Par contre, impossible de faire fonctionner l'iptv (box bouygues via ça), j'ai vu que c'était un peu compliqué donc y'a probablement des choses à adapter
-
Tu n'es pas forcé d'installer openwrt comme seul OS sur ton PC/routeur en bare-metal. Il est relativement facile de virtualiser openwrt et d'instancier d'autres VM qui peuvent se spécialiser NAS, Docker host, etc. Le forum openwrt a quelques bons tutorials sur le sujet: https://openwrt.org/docs/guide-user/virtualization/start (https://openwrt.org/docs/guide-user/virtualization/start). Beaucoup de gens recommandent Proxmox, FreeBSD+bhyve marche très bien, ou sinon TrueNAS, et sans doute encore d'autres, incluant la possibilité de faire tourner openwrt dans un container docker! L'essentiel est de pouvoir dédier deux interfaces réseau à openwrt, de préférence en PCI passthrough pour de bonnes performances. On peut le faire également avec une seule interface réseau (router on a stick) mais cela divise par deux la bande passante adressable.
Virtualiser openwrt n'est pas idéal: quand l'hôte est éteint tu perds ton routeur (virtuel) en même temps. Cela dit j'ai eu des routeurs openwrt virtuels qui ont ronronné pendant des années sans problèmes. Le mieux est quand même de dédier une petite machine avec openwrt en bare metal si tu peux.
Content de voir que ma config fonctionne pour toi! J'avoue effectivement ne pas avoir regardé comment laisser passer les flux TV, je n'ai pas de TV ni de box TV et n'utilise pas non plus le téléphone fixe. Si quelqu'un a essayé des solutions on pourrait mettre à jour ce tuto avec les instructions qui vont bien.
-
Si je peux faire tourner mes conteneurs docker dessus franchement ça serait pas mal et beaucoup plus simple pour moi, le soucis étant que j'ai seulement deux interfaces physiques sur ce mini PC. Si la solution me plait, j'investirais peut-être sur quelque chose de plus balaise.
-
Il existe aussi l'option inverse: faire tourner docker sur openwrt.
https://openwrt.org/docs/guide-user/virtualization/docker_host (https://openwrt.org/docs/guide-user/virtualization/docker_host)
En général on conseille de laisser le routeur ne faire qu'une seule chose: router (firewall, DHCP, DNS, VPN, ...). Mais avec un PC suffisamment musclé ça peut se tenter.
-
Ceci permet d'avoir des adresses fixes non routable en IPv6 sur le réseau local, similaires à RFC1918 (les adresses en 192.168.x.x et 10.x.x.x et autres). Ça fait hurler les puristes IPv6 mais c'est bien pratique d'avoir des adresses fixes sur un LAN quand le préfixe IPv6 délégué peut changer n'importe quand.
C'est de faire croire que tel et tel mécanisme sont à équivalence par simple méconnaissance du sujet qui fait hurler les puristes. >:(
-
Bon, alors j'ai fait quelques recherches ce soir.
Apparemment, d'après ce qui se dit sur les autres postes, notamment ici https://lafibre.info/remplacer-bbox/exigences-tv/ pour l'IPTV, il faut
> Forcer IGMPV2 : simple
> Optionnellement pour éviter de spammer son réseau, activer igmp_snooping : simple
> Troisième et dernière chose, marquer en P5 (ou P3) les paquets IGMP sur l'interface WAN : c'est ici que je bloque, je ne sais pas comment cela peut-être possible sur openwrt... Peut-être via un vlan dédié ?
Pour l'instant sans ça, j'ai la 1 et la 10 qui fonctionnent, pour le reste j'ai une belle erreur F3411.
-
Bon, alors j'ai fait quelques recherches ce soir.
Apparemment, d'après ce qui se dit sur les autres postes, notamment ici https://lafibre.info/remplacer-bbox/exigences-tv/ pour l'IPTV, il faut
> Forcer IGMPV2 : simple
> Optionnellement pour éviter de spammer son réseau, activer igmp_snooping : simple
> Troisième et dernière chose, marquer en P5 (ou P3) les paquets IGMP sur l'interface WAN : c'est ici que je bloque, je ne sais pas comment cela peut-être possible sur openwrt... Peut-être via un vlan dédié ?
Pour l'instant sans ça, j'ai la 1 et la 10 qui fonctionnent, pour le reste j'ai une belle erreur F3411.
Ci-dessous ma configuration qui fonctionne avec igmpproxy.
Je l'ai adapté d'une configuration Openwrt TV Orange.
Au début je marquais toutes les trames sortantes en q5, je recevais bien la TV mais j'ai eu une perte de débit sur mes équipements.
Donc j'ai seulement gardé la règle 7:5 en egress.
Nouveau souci, j'ai des freezes de la TV lors des tests de débit ???
Si quelqu'un a des idées, je suis preneur ;)
config device
option name 'br-lan'
option type 'bridge'
list ports 'lan2'
list ports 'lan3'
list ports 'lan4'
option igmp_snooping '1'
config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.10.253'
option netmask '255.255.255.0'
option ip6assign '60'
list dns '8.8.8.8'
config device
option name 'wan'
option macaddr 'XXXXXXX'
config interface 'wan'
option device 'wan.100'
option proto 'dhcp'
option vendorid 'BYGTELIAD'
option hostname '*'
config interface 'wan6'
option device 'wan.100'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix '64'
option norelease '1'
option peerdns '0'
list dns '1.1.1.1'
option ip6assign '64'
config device
option type '8021q'
option ifname 'wan'
option vid '100'
option name 'wan.100'
option macaddr 'MACBBOX'
option igmpversion '2'
list egress_qos_mapping '7:5'
config igmpproxy
option quickleave 1
# option verbose [0-3](none, minimal[default], more, maximum)
config phyint
option network wan
option zone wan
option direction upstream
list altnet '0.0.0.0/0'
config phyint lan
option network lan
option zone lan
option direction downstream
config rule
option target 'ACCEPT'
option name 'igmp'
option family 'ipv4'
option proto 'igmp'
option src 'wan'
config rule
option target 'ACCEPT'
option name 'Allow-Multicast'
option family 'ipv4'
option proto 'udp'
option src 'wan'
option dest 'lan'
option dest_ip '224.0.0.0/4'
-
Vous n'avez rien remarqué depuis le changement d'heure la nuit dernière ? Impossible d'avoir un renew fonctionnel sur la wan ipv4. Il faut aller jusqu'à la fin du lease pour avoir une séquence discover fonctionnelle... Le problème s'est présenté sur mes deux 2 accès Bouygues, l'un en openwrt 19.07 et l'autre en 22.03, très éloigné géographiquement, cela ne peut être une coïncidence... Du coup, perte de connexion toutes les 2h.
22:23:27.811504 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:23:50.275097 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:03.721529 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:08.201539 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:10.411542 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:11.501471 IP 176.187.67.xx.xx > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:12.001603 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:12.024664 IP i16-les02-ix2.net.bbox.fr.67 > 176.187.67.xx.xx: BOOTP/DHCP, Reply, length 323
22:24:12.111635 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from e8:be:81:96:xx:xx (oui Unknown), length 300
22:24:12.145074 IP i16-les02-ix2.net.bbox.fr.67 > 176.187.67.xx.xx: BOOTP/DHCP, Reply, length 323
-
Je confirme, y a quelque chose depuis la nuit du samedi à dimanche.
Sun Mar 31 21:08:43 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:10:36 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:11:32 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:12:00 2024 daemon.notice netifd: wan (13630): udhcpc: sending renew to server 212.194.37.142
Sun Mar 31 21:12:03 2024 daemon.notice netifd: wan (13630): udhcpc: broadcasting renew
Sun Mar 31 21:12:06 2024 daemon.notice netifd: wan (13630): udhcpc: broadcasting renew
Sun Mar 31 21:12:09 2024 daemon.notice netifd: wan (13630): udhcpc: broadcasting renew
Sun Mar 31 21:12:12 2024 daemon.notice netifd: wan (13630): udhcpc: lease lost, entering init state
-
Cela fait plaisir de voir que je ne suis pas le seul :)
Je viens de tester le marquage 802.1p à 6 + DSCP = CS6 des paquets renew (comme c'est le cas chez Orange je crois), pas mieux...
Franchement, je vois mal Bouygues faire une mise à jour de son ingénierie la nuit de samedi à dimanche... Je pense un effet de bord du changement d'heure dans les équipements.
-
Je suis étonné ne de pas trouver d'autres témoignages sur ce forum (ou ailleurs). L'impact est peut-être négligeable pour la plupart. De mon côté, le fait que l'interface wan est signalée down, même un instant, fait tomber les interfaces VPN, et je pense aussi que cela clear les connexions en cours.
-
C’est possible que cela concerne que certains clients dans une zone / région / pool IP / etc.
En tout cas pas de changement pour moi, toujours impossible de renew le bail dhcp et deco toutes les 2 heures.
-
Hello,
Je te déconseille de rebrancher la bbox pour "tester" car je viens de le faire et la partie IPv4 de ma connectivité est HS (y compris avec la bbox). Curieusement, cela coincide avec ce topic https://lafibre.info/incidents-ftth/panne-partielle-ipv4/msg1066157/#msg1066157
-
Hello,
J'ai appliqué la config et après reboot je n'arrivais plus à me connecter sur le routeur, j'ai dû le reset :x.
Deux questions :
- Je voulais importer la config avant de le brancher derrière l'ONT, est-ce possible ?
- list dns '192.168.1.1' <-- remplacer par serveur DNS LAN
J'ai bien un serveur DNS sur mon LAN mais l'adresse étant donné par le routeur, comment je peux connaitre l'IP ?
Bon, j'ai l'impression que c'est le mauvais jour pour me lancer dans cette modif, est-ce que je ferai pas mieux d'utiliser mon routeur en mode bridge le temps de faire tous les réglages ?
Bonne soirée !
-
Hello,
Je te déconseille de rebrancher la bbox pour "tester" car je viens de le faire et la partie IPv4 de ma connectivité est HS (y compris avec la bbox). Curieusement, cela coincide avec ce topic https://lafibre.info/incidents-ftth/panne-partielle-ipv4/msg1066157/#msg1066157
Merci pour ton retour, comme suivi sur l'autre topix, le problème est finalement résolu pour tout le monde.
-
J'ai tout config via le GUI, ça a marché 1h puis pu rien.
C'est marrant après j'ai remis la bbox : internet fonctionnait, j'ai mis à nouveau mon routeur à sa place et tout était réglé.
L'impression que je n'aurais pas le fin mot de l'histoire ! Bon, j'ai préféré laissé comme ça, j'ai pas l'IPv6 mais ça marche ^^'
-
Salut !
Même soucis de mon côté, j'ai configuré un nanopi r5c derrière l'ONT de Bouygues avec tous les réglages indiqué dans le premier message, ça a tenu un peu moins d'1h et paf coupure et impossible de me reconnecter. Obligé de remettre la bbox. J'ai tenté de ping plusieurs adresses mais en vain depuis le NanoPi
-
ça a tenu un peu moins d'1h et paf coupure et impossible de me reconnecter.
Probablement une option en trop ou pas assez dans ta config mais difficile à dire.
Est-ce que tu peux élaborer un peu ce que tu vois quand tu dis coupure et impossible de me reconnecter? Est-ce que c'est le routeur OpenWRT qui n'arrive plus à négocier son adresse via DHCP sur IPv4, IPv6, les deux? Regarde dans les logs pour voir s'il n'y aurait pas une erreur qu'on puisse pointer du doigt?
-
Bon, je suis un peu gêné...
C'était de ma faute, j'avais fait une config foireuse sur mon pare-feu et j'ai dû par mégarde enlever le réseau WAN de la zone pare-feu et du coup bloquer complètement l'accès au WAN aux réponses DHCP :-X
-
Ah la règle de firewall en trop, le grand classique :-) Content de voir que ça remarche!