Auteur Sujet: [FTTH] Remplacer sa BBox FTTH par un routeur Fortigate  (Lu 12800 fois)

0 Membres et 1 Invité sur ce sujet

Slothy

  • Abonné Bbox fibre
  • *
  • Messages: 1 169
  • 2x FTTH 1 Gb/s sur Le Plessis-Trévise (94)
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #24 le: 22 juillet 2020 à 21:41:02 »
Le DHCP Bouygues n'aimerait pas la plage d'adresses MAC du FGT ?

Si on met l'adresse MAC du Mac sur le FGT ?
Si on met l'adresse MAC du FGT sur le Mac ?

Après sinon c'est un bug sur les 30E je pense. J'en ai en prod en DHCP côté WAN mais pas avec Bouygues.

elaine_

  • Abonné Bbox fibre
  • *
  • Messages: 7
  • LYON
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #25 le: 22 juillet 2020 à 21:50:19 »
Je vais essayer mais je penche plus pour un bug sur le 30E, car j'avais deja essayé de spoof la mac en mettant celle de la box, mais allez soyons fou je ne suis plus à ca pres...

SI ca marche pas je pense que je vais abandonner, de toute facon je devais me former sur les Mikrotik, ce sera l'occasion

Edit: Bon ba c'est ce que je pensai, @mac du FORTI sur le MAC > aucun souci / @mac du MAC sur le FORTI > KO
sachant que je ne suis pas la seule à avoir un 30E qui se comporte de la meme manière, ca ressemble bien à un souci sur ce modèle...

Je vais me faire une raison...

En tout cas merci pour l'aide ;)
« Modifié: 22 juillet 2020 à 22:24:03 par elaine_ »

Slothy

  • Abonné Bbox fibre
  • *
  • Messages: 1 169
  • 2x FTTH 1 Gb/s sur Le Plessis-Trévise (94)
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #26 le: 22 juillet 2020 à 22:25:14 »
Si il est sous contrat, toujours possible d'ouvrir un ticket. Sinon... Espérer à chaque changelog.

elaine_

  • Abonné Bbox fibre
  • *
  • Messages: 7
  • LYON
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #27 le: 22 juillet 2020 à 22:27:47 »
il est encore sous contrat jusqu'à septembre mais bon... si je trouve la motiv pendant les vacances j'essaierai d'ouvrir un case

cybergull

  • Abonné Bbox fibre
  • *
  • Messages: 27
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #28 le: 04 janvier 2021 à 10:11:55 »
Bonne année à tous !!!

Je tombe sur le même soucis - et j'ai les mêmes symptômes.

Avez-vous réussi à passer votre Fortigate sur le DHCP ?

Pour info, ma conf
FGT60F-6.4.4-FW-build1803-201209

    edit "wan2"
        set vdom "root"
        set type physical
        set role wan
        set macaddr 90:4d:4a:xx:xx:xx (Ma BBox MAC)
    next
    edit "INTERNET"
        set vdom "root"
        set mode dhcp
        config client-options
            edit 1
                set code 61
                set value "01904d4axxxxxx"
            next
            edit 2
                set code 60
                set type string
                set value "BYGTELIAD"
            next
        end
      set role wan
      set interface "wan2"
      set vlanid 100
    next
end
 
Rien d'autre - pas de firewall policy...



:35 make discover
:35 make dhcp message, code=1
:35 Insert option(255), len(0)
:35 Insert option(53), len(1)
:35 Insert max message len (1458)
:35 Insert option(57), len(2)
:35 Insert requested options
:35 Insert option(55), len(11)
:35 Insert customer options
:35 Insert option(60), len(9)
:35 Insert option(61), len(7)
:35 get_dhcp_msg_len, 289
:35 too small, extend to 548
:35 Sending discover!
:35 Send a packet out.
:35 add hw header
:35 set dst hw addr as: FF:FF:FF:FF:FF:FF
:35 src hw addr: 90:4D:4A:xx:xx:xx
:35 add ip udp header
:35 dhcpcd_send_packet,268:result:590, ifinde:21
:35 unregister timer:0x144d9f10
:35 register timer func=0x7a6700 arg=0x145107a0 name=send_discover -> send_discover
:35 Allocate a new timer
:35 Registered timer 0x144d9700 will expiry in 6 secs
:35 timer 0x144d9700(send_discover -> send_discover) will expire in 6 secs
:36 timer 0x144d9700(send_discover -> send_discover) will expire in 5 secs
:37 timer 0x144d9700(send_discover -> send_discover) will expire in 4 secs

Et jamais de DHCP Request...

Et je confirme bien qu'en plaçant un linux à la place, avec la même MAC, sur le même vLan 100, avec les mêmes options 60 et 61, j'obtiens bien une réponse DHCP.

J'ai un ticket chez Fortinet en cours - mais ils bloquent aussi.

Comment avez-vous fait de votre coté ?


Slothy

  • Abonné Bbox fibre
  • *
  • Messages: 1 169
  • 2x FTTH 1 Gb/s sur Le Plessis-Trévise (94)
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #29 le: 04 janvier 2021 à 11:26:28 »
J'ai un 60F en 6.4.4, je n'ai pas eu besoin d'options :

config system interface
    edit "wan1.100"
        set vdom "root"
        set mode dhcp
        set allowaccess ping https
        set alias "FTTH Bouygues 1 Gb/s"
        set device-identification enable
        set estimated-upstream-bandwidth 500000
        set estimated-downstream-bandwidth 950000
        set monitor-bandwidth enable
        set role wan
        set snmp-index 29
        config ipv6
            set ip6-mode dhcp
            set ip6-allowaccess ping https
            set dhcp6-prefix-delegation enable
        end
        set dns-server-override disable
        set interface "wan1"
        set vlanid 100
    next
end

Il faut essayer de redémarrer l'ONT une fois connecté au FGT, des fois ça aide.

cybergull

  • Abonné Bbox fibre
  • *
  • Messages: 27
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #30 le: 04 janvier 2021 à 13:59:03 »
Aucune option ?
Sais-tu me dire si on est sur le même DHCP server ? Peux-tu me passer l'info en MP ?

Tu ne spoof même pas la MAC de ta box ?

Slothy

  • Abonné Bbox fibre
  • *
  • Messages: 1 169
  • 2x FTTH 1 Gb/s sur Le Plessis-Trévise (94)
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #31 le: 04 janvier 2021 à 17:13:05 »
Non, pas besoin de spoof la mac, il faut juste laisser le bail expirer (1h chez moi) si la box (ou autre équipement) était connectée avant.

Le serveur DHCP qui me répond est 212.194.36.5

Je vais t'envoyer en MP la capture du paquet request et ack pour que tu puisses comparer.

cybergull

  • Abonné Bbox fibre
  • *
  • Messages: 27
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #32 le: 22 janvier 2021 à 13:35:50 »
Bonjour a tous

Je suis bloqué et arrivé au bout des investigations - voila mes conclusions, validées par le support Fortinet.

FortiOS n’est pas compatible avec les DHCP Relay de Bouygues Fibre, suivant les zones. Certains des DHCP relay pouvant effectivement fonctionner parfois.
Voici plus précisément le symptôme.

FortiOS envoie sa requête DHCP Discover (la première demande) avec le Bootp Flag à 1 (Broadcast).
Or le DHCP relay n’y répond pas.
Si vous prenez un Linux, un BSD, un Windows, un OpenWRT, un checkpoint, un Cisco, et j’en passe, ils envoient leur requête avec le Bootp flag à 0 (Unicast).
J’ai testé sur le même lien avec d’autres systèmes et effectivement l’IP est obtenue immédiatement (pas besoin d’attendre 1h), et toutes les manipulations DHCP sont efficace (release, renew). Mais elles sont en unicast (sur ff:ff:ff:ff:ff:ff:ff:ff ou 255.255.255.255 bien sûr, mais avec ce bit de « bootp flag » à zéro.

Donc effectivement, pas besoin de spoof MAC, pas besoin d’ID client et autre. Juste le VLAN.100 et un Bootp flag à 0
Quelques détails ici https://superuser.com/questions/472594/dhcp-broadcast-flag

Je partage volontiers plus de détails en MP si vous le voulez. C’est de la discussion autours des RFC DHCP...

Le fin mot de l’histoire est que Fortinet ne corrigera pas sauf à obtenir une NFR (New Feature Request), auprès de leur R&D. Autant dire que cela n’arrivera pas.

Et Bouygues ne bougera pas d’une oreille même si leur DHCP relay ne sont pas conformes aux RFC, puisqu’ils disent que le problème vient du routeur et qu’avec une Bbox, ça marche...

Bref - je vais regarder sérieusement pFsense ou openwrt... dommage.

eahlys

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 1 099
  • Shadow AS64476 & AS396919
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #33 le: 22 janvier 2021 à 14:21:03 »
Est-ce qu'il est possible de faire une sorte de MITM pour modifier à la volée ce flag DHCP ?

Slothy

  • Abonné Bbox fibre
  • *
  • Messages: 1 169
  • 2x FTTH 1 Gb/s sur Le Plessis-Trévise (94)
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #34 le: 22 janvier 2021 à 16:04:35 »
Merci pour cette investigation, ça explique pourquoi chez certaines personnes ça fonctionne et d'autres non.
Oui chez Forti il faut passer par son revendeur autorisé pour faire une feature request il me semble, c'est casse bonbon.
Tout espoir n'est pas perdu, ça faisait des années que j'espérais voir les options pour le client DHCP arriver, elles sont bien arrivés un jour ;D

cybergull

  • Abonné Bbox fibre
  • *
  • Messages: 27
[FTTH] Remplacer sa BBox FTTH par un routeur Fortigate
« Réponse #35 le: 22 janvier 2021 à 20:34:01 »
Est-ce qu'il est possible de faire une sorte de MITM pour modifier à la volée ce flag DHCP ?
C’est une bonne idée. J’ai essayé, mais je n’ai pas trouvé comment.
Le client dhcp est le fortigate, son interface wan... il n’y a pas moyen de faire du mitm avant la sortie du paquet.
Il y aurait une possibilité en ajoutant un dhcp relay entre l’ONT et le Forti, mais cela perd de l’intérêt - autant passer sur pFsense.
Quelqu’un saurait comment faire ce type de mitm ?