Auteur Sujet: [FTTH - VLAN 100] Réglages pfsense net + TV  (Lu 40591 fois)

0 Membres et 2 Invités sur ce sujet

fennec

  • Abonné Orange Fibre
  • *
  • Messages: 20
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #96 le: 03 janvier 2023 à 12:18:26 »
Salut

Je viens de passer de Sosh à BBox

IPV4 impec

par contre j'aimerais obtenir une IPV6, il y a une config spécial à mettre en place ?

Ma Box obtient bien une ipv6

Jan 3 14:49:52   dhcp6c   12039   Sending Solicit
Jan 3 14:49:50   dhcp6c   12039   status code for NA-0: no addresses
Jan 3 14:49:50   dhcp6c   12039   dhcp6c Received REQUEST
Jan 3 14:49:50   dhcp6c   12039   Sending Request
Jan 3 14:49:49   dhcp6c   12039   Sending Solicit
Jan 3 14:49:47   dhcp6c   12039   status code for NA-0: no addresses
Jan 3 14:49:47   dhcp6c   12039   dhcp6c Received REQUEST
Jan 3 14:49:47   dhcp6c   12039   Sending Request
Jan 3 14:49:46   dhcp6c   12039   Sending Solicit
Jan 3 14:49:44   dhcp6c   12039   status code for NA-0: no addresses
Jan 3 14:49:44   dhcp6c   12039   add an address 2001:861:xxxx:xxxx:xxx:xxxx:xxxx:d15b/64 on re1
Jan 3 14:49:44   dhcp6c   12039   dhcp6c Received REQUEST
Jan 3 14:49:44   dhcp6c   12039   Sending Request
Jan 3 14:49:43   dhcp6c   12039   Sending Solicit
Jan 3 14:49:42   dhcp6c   11486   skip opening control port
Jan 3 14:49:42   dhcp6c   11486   failed initialize control message authentication
Jan 3 14:49:42   dhcp6c   11486   failed to open /usr/local/etc/dhcp6cctlkey: No such file or directory

depuis pfsense

ping6 google.fr
PING6(56=40+8+8 bytes) 2001:861:xxxx:xxxx:xxx:xxxx:fe1d:d15b --> 2a00:1450:4007:813::2003
16 bytes from 2a00:1450:4007:813::2003, icmp_seq=0 hlim=120 time=12.262 ms
16 bytes from 2a00:1450:4007:813::2003, icmp_seq=1 hlim=120 time=12.250 ms
16 bytes from 2a00:1450:4007:813::2003, icmp_seq=2 hlim=120 time=12.318 ms
16 bytes from 2a00:1450:4007:813::2003, icmp_seq=3 hlim=120 time=12.372 ms
16 bytes from 2a00:1450:4007:813::2003, icmp_seq=4 hlim=120 time=12.406 ms

mais rien depuis client

Merci

« Modifié: 03 janvier 2023 à 14:53:03 par fennec »

fennec

  • Abonné Orange Fibre
  • *
  • Messages: 20
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #97 le: 03 janvier 2023 à 14:59:33 »
Ca fonctionne avec ces paramètres


vgauthier

  • Abonné Bbox fibre
  • *
  • Messages: 10
  • 91
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #98 le: 06 mars 2023 à 18:15:33 »
J'ai finalement réussi à configurer l'IPv6 de Bouygues sur mon routeur Pfsense, après beaucoup de tâtonnement...

Pour faire simple, il semble que les serveurs DHCPv6 de Bouygues n'acceptent que les Requests DHCPv6 seulement avec l'option ia-pd (requête de délégation de préfix). Si on demande dans la même requête un préfixe et une adresse IPv6 pour l'interface WAN (le cas général) avec l'option ia-na (demande d'adresse IPv6) activé alors on reçoit une réponse DHCPv6 avec l'option NoAddressAvailable et sans préfix. Dans les faits les serveurs DHCPv6 de Bouygues sont configurés pour utiliser la rfc6603 (cf. ref[4] et cf. le texte de la rfc ci-dessous), autrement dit la délégation de préfixe avec l'option OPTION_PD_EXCLUDE. Cela implique que le routeur demandant un préfix est en charge d'assigner une adresse IPv6 à l'interface WAN. Exemple, lors d'un échange DHCPv6 suivant la rfc6603, si un routeur reçoit un préfix /60 avec l'option OPTION_PD_EXCLUDE et il doit réserver un /64 dans son /60 afin d'assigner une adresse IPv6 a son interface WAN. 

RFC6603 Prefix Exclude Option for DHCPv6-based Prefix Delegation
"
   This specification defines a new DHCPv6 option, OPTION_PD_EXCLUDE
   (67), that is used to exclude exactly one prefix from a delegated
   prefix.  The OPTION_PD_EXCLUDE is included in the OPTION_IAPREFIX
   IAprefix-options field.  There can be at most one OPTION_PD_EXCLUDE
   option in one OPTION_IAPREFIX option. The OPTION_PD_EXCLUDE option
   allows prefix delegation where a requesting router is delegated a
   prefix (e.g., /56) and the delegating router uses one prefix (e.g.,
   /64) on the link through which it exchanges DHCPv6 messages with the
   requesting router with a prefix out of the same delegated prefix set.
"

Pour résumer, afin d'obtenir un préfix IPv6 chez Bouygues voici ci-dessous la configuration a appliquer:
1. Spoofer l'adresse MAC de la box
2. S'assuer que le DUID (DHCP Unique Identifier) correspond bien à l'adresse MAC de la bbox et activer IPv6 dans pfsense
    * System/Advanced/Networking check Allow IPv6
    * System/Advanced/Networking DHCP6 DUID sélectionner DUID-LL
    * System/Advanced/Networking DUID-LL: l'adresse MAC de la box
    * System/Advanced/Networking Do not allow PD: uncheck
3. Configurer DHCPv6 sur l'interface WAN (cf. figure ci-dessous):
    * Request only an IPv6 prefix check (Option IA_PD sans l'option IA_NA dans la requête DHCPv6)
    * DHCPv6 Prefix: 60
    * Send IPv6 prefix hint: check
    * Do not wait for a RA: check
    * DHCP6 VLAN Priority: check (IC6)

Maintenant il ne reste plus qu'a configuré DHCPv6 sur les autres interfaces de tel sorte qu'elles track l'interface WAN et le tour est joué. Vous devriez recevoir un préfix IPv6 et chaque interface interne à maintenaient une adresse IPv6 globale. Cependant, l'interface WAN elle par contre n'a toujours pas d'adresse globale. Une adresse Ipv6 globale est facultative sur l'interface WAN, car c'est l'adresse de lien local (fe80) est ce qui est utilisé pour la passerelle pour effectuer le routage dans ipv6. Là le problème est plus lié a Pfsense, qui n'assigne pas automatiquement une adresse à l'interface WAN quand il reçoit un préfix (cf. ref[1] pour plus d'information). Il semble que Pfsense plus 23.01 à de nombreux bugs plus ou moins liés à IPv6 qui seront corrigés dans la prochaine release (cf. ref[3]) et il semble que l'option DHCPv6 OPTION_PD_EXCLUDE ne soit pas encore prise en compte dans les implémentations du client DHCPv6 dans Pfsense/Freebsd, mais devrait être prochainement (cf. ref[5]).

Afin d'assigner une adresse IPv6 globale a l'interface WAN, il suffit de se connecter en ssh sur le firewall et d'assigner manuellement une adresse a l'interface WAN, seul solution que j'ai trouvé pour l'instant (mais plus d'info dans ref[1] et ref[2]).

# On assigne manuellement une adresse a notre WAN dans le /60 que nous avons recut de l'opérateur
$ ifconfig WAN.100 inet6 2000:xxxx:xxxx:xxxf::1 prefixlen 64
# On restart l'interface Pfsense
$ php -r 'include("gwlb.inc"); setup_gateways_monitor();' 


Références
1. https://forum.netgate.com/topic/174980/fios-getting-56-pd-via-dhcp6-but-no-v6-is-assigned-to-wan/
2. https://github.com/luckman212/assign-gua-from-iapd
3. https://redmine.pfsense.org/projects/pfsense/roadmap
4. https://www.rfc-editor.org/rfc/rfc6603.html
5. https://redmine.pfsense.org/issues/13296
« Modifié: 06 mars 2023 à 20:30:53 par vgauthier »

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #99 le: 06 mars 2023 à 18:35:38 »
Le fait qu'aucune GUA ne soit assignée à l'interface WAN pose-t-il problème ? J'ai la même chose sur un routeur OpenWRT (chez Orange, pour le coup) et ca ne pose pas de souci particulier.
Pour les connexions initiées par le routeur lui-même (ICMPv6, NTP, résolution DNS, etc.), une adresse GUA configurée sur l'une des pattes LAN est utilisée.

Là, tu attribues un /64 jentier uste pour la patte WAN, c'est presque dommage. Ceci dit, si tu n'as pas besoin de ce /64, ca ne doit pas être bien méchant :)

vgauthier

  • Abonné Bbox fibre
  • *
  • Messages: 10
  • 91
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #100 le: 06 mars 2023 à 18:59:59 »
Le fait qu'aucune GUA ne soit assignée à l'interface WAN pose-t-il problème ? J'ai la même chose sur un routeur OpenWRT (chez Orange, pour le coup) et ca ne pose pas de souci particulier.

Tu as raison le faite qu'aucune GUA ne soit assignée à l'interface WAN ne pose pas de problème particulier étant donné que le routage s'effectue sur la base dune adresses de Liens Local. Cependant, il peut être utile par exemple de pouvoir effectuer un ping sur l'adresse WAN depuis un réseau externe pour tester la connectivité de ton interface WAN (traceroute, etc). Mais comme tu le soulignes au prix d'un /64 pour adressé une interface....   >:(


mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #101 le: 06 mars 2023 à 20:21:07 »
Merci pour les précisions, au moins on sait précisément où on est avec les pratiques de ByTel.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #102 le: 07 mars 2023 à 18:00:46 »
Cependant, il peut être utile par exemple de pouvoir effectuer un ping sur l'adresse WAN depuis un réseau externe pour tester la connectivité de ton interface WAN (traceroute, etc). Mais comme tu le soulignes au prix d'un /64 pour adressé une interface....   >:(

En fait je sais même pas si c'est nécessaire. Puisque qu'on peut très bien atteindre le routeur de l'extérieur même si la GUA est du côté LAN.

La RFC 7404, qui discute de l'utilisation de link local uniquement entre routeurs semble confirmer qu'une seule GUA configurée sur l'interface de loopback (ou autre) suffit au bon fonctionnement :

The sending of ICMPv6 [RFC4443] error messages ("packet-too-big",  "time-exceeded", etc.) is required for routers.  Therefore, another interface must be configured with an IPv6 address that has a greater scope than link-local.  This address will usually be a loopback interface with a global scope address belonging to the operator and part of an announced prefix (with a suitable prefix length) to avoid being dropped by other routers implementing ingress filtering [RFC3704].  This is implementation dependent.  For the remainder of this document, we will refer to this interface as a "loopback interface".

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #103 le: 07 mars 2023 à 20:56:44 »
En fait je sais même pas si c'est nécessaire. Puisque qu'on peut très bien atteindre le routeur de l'extérieur même si la GUA est du côté LAN.

Oui, je te confirme qu'on peut bien pinger mon routeur en utilisant les interfaces GUA configurées sur ses pattes LAN. Et il s'en sert aussi comme adresse source pour envoyer les ICMP error messages.

vgauthier

  • Abonné Bbox fibre
  • *
  • Messages: 10
  • 91
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #104 le: 07 mars 2023 à 22:00:53 »
Citer
En fait je sais même pas si c'est nécessaire. Puisque qu'on peut très bien atteindre le routeur de l'extérieur même si la GUA est du côté LAN.

La RFC 7404, qui discute de l'utilisation de link local uniquement entre routeurs semble confirmer qu'une seule GUA configurée sur l'interface de loopback (ou autre) suffit au bon fonctionnement

Oui, en effet tu as raison. On peut parfaitement se passer d'avoir la GUA sur l'interface WAN. Je souhaitais juste signifier ici qu’avoir une GUA sur l'interface WAN est plus d'un choix d'architecture qu'un choix strictement  fonctionnel. Par exemple, tu veux vouloir vouloir avoir un VPN qui répond uniquement sur l'interface WAN (et pas sur les autres interfaces internes), avoir un serveur DNS avec deux zones, une interne qui répond sur les interfaces internes, une externe qui répond sur l'interface WAN. Je ne suis pas certain d'avoir choisi les meilleurs exemples, mais il me semble que dans certains cas de figure on peut trouver des configurations qui nécessitent une GUA sur l'interface WAN. Cela n'enlève rien au fait que ce qui est préconisé par la RFC 7404 est tout à fait légitime, voir même le plus couramment utilisé que ce qui est préconisé par la RFC 6603.

thelasky

  • Abonné Bbox fibre
  • *
  • Messages: 1
  • Lyon 69009
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #105 le: 09 mars 2023 à 20:59:30 »
Hello!

Tuto toujours aussi simple, pas de changements entre le moment ou il a été fait et ajd.

Pour la partie TV,

J'ai mes requetes IGMP qui passent sans soucis (jsuis sur opnsense)
Ma question: C'est possible de mettre en cache les requetes IGMP?

J'ai bien l'impression qu'a chaque reboot de la box TV il doive refaire ses requetes...

Ou alors y a t-il un moyen d'accéder plus rapidement aux chaines via IGMP?
Par ce que niveau rapidité, autant passer par l'iptv, mais avec un viel écran c'est pas possible  ;D

EDIT: j'ai mis tousles parametres P6 la ou je pouvais les mettre et ca fonctionne mieux

Par contre toutes les 5 minutes, j'ai un cut qui se fait, la box détecte une déconnexion ethernet, le direct se stoppe, son avant vidéo, puis je suis obligé de refresh via la télécommande, des idées ?


« Modifié: 09 mars 2023 à 23:17:53 par thelasky »

dylanT

  • Abonné Bbox fibre
  • *
  • Messages: 3
  • Brest 29
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #106 le: 18 août 2023 à 18:19:32 »
Bonjour a toutes et tous,

Bbox, vient de me demander de changer de box internet parce que l'ancienne (2016) n'était plus compatible avec la télé, sur la mise à jour du 14 août 2023 (environ) (plus de TV.).

Je viens de procéder à son remplacement et j'ai toujours la même adresse ip public, donc je pense que l'adresse ip public est lié à l'ONT qui lui n'a pas été changer.

Au dernier test de changement de la box vers une PFsense, j'avais des problèmes de flux TV qui se coupait toutes les 1 à 5 minutes. J'ai lu quelque part que cela pouvait venir de l'ONT. Aucun problème de blocage de port TCP/UDP, je n'ai rien dans les logs du firewall.

Quelqu'un a trouver une solution ? mise a part pimd

EMP83

  • Abonné Free fibre
  • *
  • Messages: 8
  • Les Ulis (91)
[FTTH - VLAN 100] Réglages pfsense net + TV
« Réponse #107 le: 19 octobre 2023 à 16:17:36 »
Bonjour à tous,
Je viens de passer de free à bouygues.
J'ai configuré mon pfsense comme je l'ai vu sur la première page mais pfsense me montre que je suis hors ligne et avec des latences élevées.

Malheureusement, je ne suis pas autorisé à spoofer l'adresse Mac. Le terrain est bloqué.

Avez-vous une idée de l'erreur que j'ai commise ?