La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Bbox par un routeur => Discussion démarrée par: CreepyPoltry le 19 mai 2018 à 18:04:01
-
Bonjour,
Quelqu'un pourrait il indiquer les information de connexion générale pour le FTTH, pas pour un équipement particulier ?
Quel est le VLAN pour internet ? Les options particulières etc
-
(https://lafibre.info/images/bbox_fibre/201805_BboxFibre_migration_vers_vlan100.png)
Bouygues Telecom a fusionné le VLAN 100 (TV) et 200 (Internet) pour certains clients et cela semble en cours de généralisation.
Le seul VLAN utilisé aujourd'hui pour les clients migré est le VLAN 100 et il faut donc utiliser le VLAN 100 pour accéder à Internet. La Bbox a géré ce changement de manière transparente. Pour ceux qui n’utilisent plus leur Bbox, mais un équipement connecté directement à l'ONT, il faut faire ces modifications à la main.
Le Vendor Class Identifier (nécessaire pour récupérer l'IP avec un PC connecté directement à l'ONT) a lui aussi légèrement changé :
- sur le VLAN 200 c'est byteliad_data
- sur le VLAN 100 c'est BYGTELIAD
Tutoriel pour connecter un PC Ubuntu directement sur l'ONT avec le VLAN 100 :
Le "Vendor Class Identifier" a spécifier lors de la requête DHCP serait BYGTELIAD.
Il faut remplacer tous les eth0 par le nom de votre interface (merci systemd qui complique les tuto)
sudo apt install vlan
sudo nano /etc/dhcp/dhclient.conf
Rajouter à la fin :
interface "eth0.100" {
send vendor-class-identifier "BYGTELIAD";
}
sudo nano /etc/network/interfaces
auto eth0
iface eth0 inet manual
auto eth0.100
iface eth0.100 inet dhcp
hwaddress ether 00:12:3F:00:00:01
vlan-raw-device eth0
(https://lafibre.info/images/smileys/exclamation2.gif)N'oubliez pas de remplacer l'adresse MAC 00:12:3F:00:00:01 de ce tutoriel, par celle indiquée sur l'étiquette au dos de votre Bbox.
Il est possible de remplacer eth0 par enp4s0 avec ces deux lignes de commande :
sudo sed -i -e "s/eth0/enp4s0/g" /etc/dhcp/dhclient.conf
sudo sed -i -e "s/eth0/enp4s0/g" /etc/network/interfaces
Merci a Fenalex pour la capture Wireshark qui a permis de récupérer le bon Vendor Class Identifier sur le VLAN 100 :
(https://lafibre.info/images/bbox_fibre/201805_wireshark_bbox_ftth_vlan100.png)
-
Si tu encore sur le VLAN 200, voici un toto.
Tutoriel pour connecter un PC Ubuntu directement sur l'ONT avec le VLAN 200 :
Il faut remplacer tous les eth0 par le nom de votre interface (merci systemd qui complique les tuto)
sudo apt install vlan
sudo nano /etc/dhcp/dhclient.conf
Rajouter à la fin :
interface "eth0.200" {
send vendor-class-identifier "byteliad_data";
}
sudo nano /etc/network/interfaces
auto eth0
iface eth0 inet manual
auto eth0.200
iface eth0.200 inet dhcp
#hwaddress ether 00:12:3F:00:00:01
vlan-raw-device eth0
Il est possible de remplacer eth0 par enp4s0 avec ces deux lignes de commande :
sudo sed -i -e "s/eth0/enp4s0/g" /etc/dhcp/dhclient.conf
sudo sed -i -e "s/eth0/enp4s0/g" /etc/network/interfaces
J'ai mis en commentaire la ligne pour changer l'adresse mac de votre carte réseau : c'est nécessaire que dans un cas très particulier : si vous allez chez votre voisin lui aussi chez Bouygues FTTH avec votre PC : le DHCP de Bouygues n'acceptera pas la MAC sur un 2ème ONT, si elle est déjà utilisée pour votre ligne et que le BAIL DHCP n'est pas expiré.
-
Super, merci pour ta reponse.
Je vais essayer de transcrire ça sur un DD-WRT Tomato Shibby. Etant nouveau client, je pense avoir été "migré" d'office sur le VLAN 100 unique.
Je ferais des retour ici. Peut être que ça pourrait en aider d'autres.
(Merci pour le renommage du topic !)
-
Pour l'instant, je reste bloqué avec ces paramètres. J'oublie peut être quelque chose, je continue de creuser.
(https://i.imgur.com/m8V4ovm.png)
(https://i.imgur.com/BLxUGdy.png)
-
C'est quoi l'option Reduce packet size pour le DHCP ?
Su tu tente sur le VLAN 200, n'oublie pas de changer byteliad par byteliad_data
Tu n'as pas un PC avec deux cartes réseau pour connecter ta Bbox et sniffer le trafic quand elle monte la connexion ?
Même une carte réseau 100 Mb/s peut suffire pour faire la capture.
On va commencer par rajouter les paquets nécessaire. Dans la logithèque Ubuntu, il faut installer les logiciels suivants :
- bridge-utils (permet faire le switch virtuel)
- wireshark (pour faire une capture)
Configuration de Wireshark : Pour faire une capture avec wireshark sans le démarrer en root, copiez / collez ces 4 lignes dans un terminal :
sudo addgroup -quiet -system wireshark
sudo chown root:wireshark /usr/bin/dumpcap
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
sudo usermod -a -G wireshark VOTRE_LOGIN (Note : pensez a changer VOTRE_LOGIN par votre login ubuntu)
Configuration réseau :
Dans un terminal, taper la commande sudo nano -w /etc/network/interfaces
Cela permet d'éditer le fichier de configuration réseau en tant que super-utilisateur.
Le fichier est vide, car la configuration est laissée a un outil graphique plus simple. Pour faire un pont, on est obligé de passer par cet configuration en fichier texte.[/size]
# The loopback network interface
auto lo
iface lo inet loopback
#-------------- ETH 0
auto eth0
iface eth0 inet manual
#-------------- ETH 1
auto eth1
iface eth1 inet manual
#-------------- BRIDGE 0
auto br0
iface br0 inet manual
bridge_ports eth0 eth1
bridge_stp off
bridge_fd 0
bridge_maxwait 0
Capture Wireshark :
Tu lances la capture puis tu redémarre la Bbox.
Il est possible de faire des captures sur l'interface br0 mais aussi eth0 et eth1, cela ne change rien.
Filtre sur DHCP.
-
C'est quoi l'option Reduce packet size pour le DHCP ?
ca sert pour certains relais DHCP qui n'acceptent que les requetes DHCP d'une certaine taille max (configuration propre au relai).
-
J'ai changé le VLAN 200 en VLAN 100 et changé le vendor ID de byteliad_data à byteliad, résultat : une IP privée.
Donc je pense qu'il manque un truc, ou bien le changement n'est pas national.
-
IP privée = IP TV, donc tu n'est pas migré sur la nouvelle infrastructure.
-
j'obtiens aucune IP, sur le vlan 100 ou 200 :(
En essayant les deux vendor-class-identifier evidement.
J'ai pas de matos pour faire du wireshark... Juste un laptop.
-
décoche reduce packet size deja.
-
Même résultat.
-
Bouygues Telecom a fusionné le VLAN 100 (TV) et 200 (Internet).
Le seul VLAN utilisé aujourd'hui pour les clients migrés est le VLAN 100 et il faut donc utiliser le VLAN 100 pour accéder à Internet. La Bbox a géré ce changement de manière transparente. Pour ceux qui n’utilisent plus leur Bbox, il faut faire des modifications.
Donc cette phrase est inexacte.
-
J'ai réglé ce probleme chez moi
En effet la bbox n'utilise plus le vlan200. tout sur le 100
(cf https://lafibre.info/remplacer-bbox/ftth-help-config-bypass-bbox-avec-nouveau-parametrage-vlan100/)
Le nouveau vendor-class-identifier : BYGTELIAD
Mais comme vous une ip privée
J'ai du spoofer l'adresse mac de la bbox pour obtenir une ip publique alors que j'obtiens une privée sans.
(https://lafibre.info/images/bbox_fibre/201805_wireshark_bbox_ftth_vlan100.png)
(pour info nice ouest et nice centre ont migré cette semaine [perte du telephone comme symptomes - le vlan 200 restait cependant fonctionnel donc toujours le net])
PS:
d'ailleurs la bbox fait aussi des requêtes DHCPv6 (sans réponse) avec les mêmes options (sauf vendor-class-identifier qui n'est pas présent) sur vlan100
et des recherches de voisins ipv6 sur le vlan 10 (ICMPv6) avec une adresse mac différente d'un bit (dernier bit)
-
Merci, j'ai modifié le tutoriel en conséquence.
Donc cette phrase est inexacte.
Pourquoi ?
-
Visiblement, tous les clients n'ont pas été migrés, puisque le VLAN200 marche encore chez moi et que le VLAN100 me renvoie une IP privée.
-
j'ai trouvé un adapteur RJ45/USB et j'ai wiresharké.
La Bbox envoit un Vendor class identifier: byteliad_data.
Encore sur le VLAN 200 sur Paris 15 donc.
-
Je n'ai pas dit que toutes les lignes FTTH étaient mirés, c'est pour cela que j'ai donné deux tuto : un pour le VLAN 100 et un pour le vlan 200.
-
Je ne disais pas ça contre toi Vivien :)
J'ai toujours aucune IP en retour. Je dois me planter sur ma config tomato, je continue de ce coté maintenant.
J'ai cloné la MAC, est-ce un problème sur le vlan .200 et dois-je la retirer ?
-
Avec le VLAN 200, le clonage de MAC est nécessaire uniquement dans le cas où tu ne réalises pas de requête DHCP et que tu mets les info IP, masque, routeur en dur dans ta configuration : le réseau Bouygues ne laisser passer ton IP que si elle correspond à la MAC vu lors de la requête DHCP.
La cas où c'est utile : si ton routeur ne permet pas de passer l'option "Vendor Class Identifier" lors de la requête DHCP.
Dans ce cas là :
Étape N° 1 connecte un PC Linux directement à l'ONT (en suivant mon tuto pagé précédente). C'est nécessaire pour récupérer les informations.
Les informations à récupérer :
- Vlan : 100 ou 200
- address : xx.xx.xx.xx
- netmask : 255.255.xxx.0
- gateway : xx.xx.xx.xx
- dns-nameservers : 194.158.122.10 et 194.158.122.15
Étape N° 2 : Configure ton routeur avec VLAN, IP, masque, routeur, DNS en dur.
Subtilité : Il est nécessaire en plus de cloner l'adresse mac du dernier équipement qui a réalisé la requête DHCP, donc celle de ton PC.
Pour éviter d'avoir deux fois la même adresse mac, je te conseille de faire la requête DHCP avec ton linux en inventant une nouvelle adresse mac : c'est la ligne #hwaddress ether 00:12:3F:00:00:01 qu'il faut dé-commenter et éventuellement modifier. N'importe quelle MAC fonctionne tu peux t'amuser.
Ensuite, il faut cloner la mac inventée sur ton routeur.
Attention : si tu rebranche la Bbox, l'adresse mac va changer et cela sera celle de la Bbox (l'adresse mac du port WAN de la Bbox n'est pas forcèment celle sur l'étiquette à son dos, mais l'adresse mac sur l'étiquette +1 ou l'adresse mac sur l'étiquette +2.
Vu la complexité de l'opération, je ne le conseille que si ton routeur ne sait pas passer l'option "Vendor Class Identifier"
Édit suite aux retour de Fenalex :
Avec le VLAN 100 il semble que seul l'adresse mac indiquée au dos de la Bbox soit reconnu : il faut donc systématiquement spécifier cette adresse mac, que ce soit avec une ip en dur ou une requête DHCP.
-
Bon à savoir
-
J'ai tenté depuis une ubuntu avec le tuto pour le vlan 200, ça fonctionne nickel.
Me reste a transcrire ça pour un fw tomato ou dd-wrt
-
Le VLAN 200 fonctionne toujours chez moi pour l’instant.
Sinon il y a une raison a cette bascule ?
-
Le clonage de MAC est nécessaire uniquement dans le cas où tu ne réalises pas de requête DHCP et que tu mets les info IP, masque, routeur en dur dans ta configuration : le réseau Bouygues ne laisser passer ton IP que si elle correspond à la MAC vu lors de la requête DHCP.
Pas forcement d'accord avec cette phrase.
Chez moi depuis la migration :
- la vlan 200 me donne toujours une ip publique avec les anciens vendor class, mais impossible d'avoir le telephone, la box ne prends pas d'IP sur le vlan 200 / mais internet fonctionnait toujours (mon routeur avaot son ip publique sur le 200)
- le vlan 100 :
-- donne aucune ip sans vendor class
-- une ip privee type 10.0.0.0/8 si vendor class seulement
-- mon ip publique si vendor class ET clonage de l'adresse mac de la bbox
Et je distribue une ip privee via dhcp a ma bbox sur son vlan 100 (qui n'attends plus d'IP sur le 200 )
Tout ceux qui obtiennent une ip privee devraient cloner l'adresse mac pour tester
-
Merci, c'est donc un changement supplèmentaire de la nouvelle architecture.
Dans l'ancienne, je n'avais pas besoin de cloner l'adresse mac, sauf si ne réalisait pas de requête DHCP.
Il est probable que le VLAN 200 sera coupé dans quelques mois, donc cela signifie que d'autres vont devoir cloner la MAC, or ils n'ont pas de quoi sniffer la MAC.
L'adresse MAC à utiliser est celle de l'étiquette ? celle de l'étiquette +1 ? celle de l'étiquette +2 ?
-
Celle de l'étiquette :)
-
J'utilise l'adresse MAC notée sur la bbox
Dans les dumps wireshark, voici ce que je retrouve :
- sur le vlan 100, (quasi toutes les communications), DHCP et DHCPv6 -> adresse mac notée au dos de la bbox
- sur le vlan 10 (quelle est son utilité ? ), je retrouve uniquement des paquets ICMPv6 (neighbor solicitation[135], routeur solicitation [133] et multicast listener repport[143]), auxquels personne ne répond. Et sur ce vlan, la MAC +1 est utilisée
(Et pour avoir la mac de la bbox sans sniffer, il suffit de la connecter au routeur, lui attribuer une ip avec dhcp et dans openwrt, l'adresse mac remonte dans la liste des baux dhcp)
-
Merci,
J'ai mis à jour le tutoriel :
Tutoriel (à valider) pour connecté un PC Ubuntu directement sur l'ONT avec le VLAN 100 :
Le Vendor Class Identifier a spécifié lors de la requête DHCP serait BYGTELIAD.
Il faut remplacer tous les eth0 par le nom de votre interface (merci systemd qui complique les tuto)
sudo apt install vlan
sudo nano /etc/dhcp/dhclient.conf
Rajouter à la fin :
interface "eth0.100" {
send vendor-class-identifier "BYGTELIAD";
}
sudo nano /etc/network/interfaces
auto eth0
iface eth0 inet manual
auto eth0.100
iface eth0.100 inet dhcp
hwaddress ether 00:12:3F:00:00:01
vlan-raw-device eth0
(https://lafibre.info/images/smileys/exclamation2.gif)N'oubliez pas de remplacer l'adresse MAC 00:12:3F:00:00:01 de ce tutoriel, par celle indiquée sur l'étiquette au dos de votre Bbox.
Pour l'IPv6, il ne devrait pas tarder a arriver, ce n'est pas étonnant de commencer à voire des choses....
-
Et si besoin, voici une config pour openWRT / turris omnia
(sur mon routeur :
WAN <-> eth0
eth1 <-> lan
eth2 <-> bbox
ethX a adapter selon l'interface connectée)
fichier /etc/config/network
config interface 'wan'
option proto 'dhcp'
option delegate '0'
option ifname 'eth1.100'
option vendorid 'BYGTELIAD'
option macaddr 'xx:xx:xx:xx:xx:xx'
config interface 'bbox'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.10.2.254/24'
option gateway '10.10.2.254'
option delegate '0'
option ifname 'eth2.100'
fichier /etc/config/dhcp
config dhcp 'wan'
option interface 'wan'
option ignore '1'
config dhcp 'bbox'
option interface 'bbox'
option start '100'
option limit '150'
option leasetime '12h'
list dhcp_option '6,194.158.122.10,194.158.122.15' #je distribue via option dhcp les dns (option 6) bouygues à la bbox qui ne les recevait pas et donc pas de connectivité
#pour attribuer une ip toujours fixe à la box :
config host
option name 'bbox'
option ip '10.10.2.1'
option mac 'xx:xx:xx:xx:xx:xx'
Et via interface graphique (Luci): cf images jointes
(je n'ai pas détaillé le firewall, mais bien sur attribuer l'interface WAN (eth0.100) à une zone 'wan' et l'interface vers la bbox (eth2.100) à une autre zone (que j'ai mise différente de mon lan personnellement - elle n'a pas besoin d'acceder au lan)
on peut idéalement fixer une ip à la bbox dans la plage réseau que l'on a attribué à l'interface via les 'Static Leases' dans les parametrages DHCP (associer MAC <-> IP fixée)
-
A noter qu'on plusieurs retours de clients FTTH avec des débits descendant mauvais et des débits montants catastrophiques (1 Mb/s). Un débit montant de seullement 1 Mb/s bride automatiquement le débit descendant donc il est possible que ce soit une limite uniquement en montant.
Selon Slothy, replacer la Bbox par un routeur Tiers permet de ne plus avoir de limitation de débit :
Perso pbme résolu en virant la Bbox et utilisation d'un routeur tiers sur le VLAN100. C'est cette dernière qui a mal gérée la migration on dirait.
Fenalex, toi qui as une Bbox sur le VLAN 100, le débit est bon avec ta Bbox ?
Pour tester, je te recommande un SpeedTest en utilisant le serveur de Massy en île-de-France. Un test nPerf est aussi possible (il consomme plus de CPU, donc un débit moindre est possible si tu n'as pas un PC 4 cœurs)
-
Tests de débit iperf speedtest massy
PC -> Routeur -> ONT 927/253 939/253
PC -> Bbox -> Rteur -> ONT 924/253 939/255
PC -> Bbox -> ONT 916/150 939/254
commande iperf : 'iperf3 -c bouygues.iperf.fr' (UP) et 'iperf3 -c bouygues.iperf.fr' -R (DOWN)
débits identiques quelquesoit la connexion bbox ou routeur sur ONT
(sauf legere baisse de debit montant iperf seulement si bbox en direct ??)
d'ailleurs je crois avoir gagné en débit, il me sembre avoir été sur du 500/100 avant
-
Merci pour tes tests.
Les pb de débit avec le VLAN100 ne sont donc pas systématiques.
iperf3 est un très bon logiciel pour tester le débit, sans avoir besoin d'un gros CPU.
-
Ca permet d'améliorer quelques chose de leur coté de passer du vlan200 au 100 ?
-
apporter l'ipv6 ? depuis qu'on l'attend ...
non ça ne doit pas changer grand chose.. (d'un point de vue technique)
-
Bonsoir,
Grace à Fenalex, j'ai réussi à mettre le NET sur mon WRT160NL de test en LEDE (OpenWRT)
ONT (Vlan 100) -> WRT160NL -> LAN
Miami TV
config interface 'lan'
option type 'bridge'
option ifname 'eth0'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.1.1'
config interface 'wan'
option proto 'dhcp'
option delegate '0'
option ifname 'eth1.100'
option vendorid 'BYGTELIAD'
option macaddr 'xx:xx:xx:xx:xx:xx'
option igmp_snooping "1"
config interface 'wan6'
option ifname 'eth1'
option proto 'dhcpv6'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4'
Pour la TV, installation de l'IGMP
https://wiki.openwrt.org/doc/howto/udp_multicast
Merci
-
Je pense que mes reglages sont bons, mais je dois oublier quelque chose, je n'obtiens toujours pas d'IP de l'ONT
-
Change le vender class par : BYGTELIAD
Et le port au lieu de 0.200 passe le en eth0.100
-
Non je suis encore sur le vlan 200
-
bonsoir,
A ceux qui ont migré sur le vlan100, arrivez vous à avoir la tv?
j'ai bien une ip publique et internet ok, débit ok (>900), mais toujours pas de tv...
je suis sur un routeur edgelite, j'ai bien modifié le vendor class et mis l'@mac de la box, mais là je seche :-\
-
bonsoir,
A ceux qui ont migré sur le vlan100, arrivez vous à avoir la tv?
j'ai bien une ip publique et internet ok, débit ok (>900), mais toujours pas de tv...
je suis sur un routeur edgelite, j'ai bien modifié le vendor class et mis l'@mac de la box, mais là je seche :-\
il faut adapter ta config au niveau igmp aussi.
-
il faut adapter ta config au niveau igmp aussi.
oui bien sur j'ai adapté au bon vlan, mais rien n'y fait..
C'est pour cela que je voulais savoir si certains avaient une config ok avec tv ok, même avec d'autres type de routeur, auquel cas je dois continuer à fouiller dans mes réglages, ou si la solution n'a pas encore été trouvée.
-
bonsoir,
A ceux qui ont migré sur le vlan100, arrivez vous à avoir la tv?
Oui.
-
C'est pas gentil de ne pas donner la solution. ;D
-
Elle a été donnée plus haut, il faut adapter au bon VLAN, il y'a pas de secret ;D
-
Bonjour
Je reviens sur la question de la TV , je viens de migrer d'orange vers bouygues , la config de mon ERL pour internet (vlan100) est ok mais je n'arrive pas à avoir la TV
(TV connecté sur le LAN)
Ma config pour le proxy igmp
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1.100 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
Mais pas de flux TV sur la box android
-
j'en suis arrivé au même stade, parfois tf1 fonctionnait quelques secondes, mais pas les autres chaines...
je suis sur qu'il manque pas grand chose!
Cela dit, comme toi, je suis nouveau client venant de d'orange, et je n'ai donc jamais eu de config sur l'ancien vlan.
j'ai un peu laisser tomber et rebranché le routeur officiel le temps de profiter le cdm en 4k ;D, mais je me remet dessus bientôt.
-
Bonsoir,
Grace à Fenalex, j'ai réussi à mettre le NET sur mon WRT160NL de test en LEDE (OpenWRT)
ONT (Vlan 100) -> WRT160NL -> LAN
Miami TV
config interface 'lan'
option type 'bridge'
option ifname 'eth0'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.1.1'
config interface 'wan'
option proto 'dhcp'
option delegate '0'
option ifname 'eth1.100'
option vendorid 'BYGTELIAD'
option macaddr 'xx:xx:xx:xx:xx:xx'
option igmp_snooping "1"
config interface 'wan6'
option ifname 'eth1'
option proto 'dhcpv6'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4'
Pour la TV, installation de l'IGMP
https://wiki.openwrt.org/doc/howto/udp_multicast
Merci
Salut, j'ai un Wrt3200
pour la partie internet a priori il faut dont tagger le vlan 100 si j'ai bien compris la discussion dans le forum Orange/openwrt (merci pour tes recherches)
pour la partie tv est-elle fonctionelle et si oui peut tu indiquer la config necessaire de l'igmp ?
en te remerciant
-
29 Juillet et je suis toujours en vlan 200 sur mon USG Unifi (Paris 18).
En gros ça va couper net le jour ou ils vont migrer sur le vlan 100 ? Ou je peux déjà tester le changement de vlan, de vender class et clone de la MAC addr ?
-
je dirais qu'il vaut mieux attendre la coupure.
je ne pense pas que tu puisse le changer en avance
-
Je l'ai changé sans attendre d'être coupé. :)
-
Ok je ferai un test ce WE pour voir ce que ça donne :)
-
Après plusieurs essai j'ai cette config fonctionnelle pour le net (merci à tout ceux qui ont posté sur ce site et au forum Openwrt)
j'ai du rajouté le client-id pour que cela fonctionne
par contre pas de tv pour l'instant
Bouygues en ZMD Orange
Openwrt 18.06
Router Wrt32x (même que Wrt3200ac)
config interface 'lan'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'
option ifname 'eth0.1'
config interface 'wan'
option proto 'dhcp'
option delegate '0'
option clientid 'XXXXXXXXX' # adresse mac de la box sans les :
option vendorid 'BYGTELIAD'
option macaddr 'XX:XX:XX:XX:XX:XX' # (adresse mac de la box)
option ifname 'eth1.100'
config interface 'wan6'
option proto 'dhcpv6'
option auto '0'
option ifname 'eth1.100'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 5t'
config switch_vlan
option device 'switch0'
option vlan '2'
option vid '100'
option ports '4t 6t'
-
Pour la tv :
installation de igmpproxy
en utilisant le lien donné par zode94 avec "list altnet 0.0.0.0/0" et "option igmp_snooping "1"" sur le lan (comme indiqué sur le site Openwrt et en forcant igmp v2 dans /etc/sysctl.conf
firewall paramétré comme indiqué sur le site
j'ai tf1 la 2 et la 3 en Hd mais toutes les autres chaines en erreur F3411 et pas de replay....
en attendant mieux, sans igmpproxy, il suffit de forcer le flux en streaming (au lieu de iptv Hd) dans les paramétres TV de la box 4k (ou miami) pour au moins avoir accès au chaînes en sd (pas de replay, sauf par les applis dédiées et pour canal smart : appli MyCanal)
je ne vois pas pourquoi j'ai 3 chaines avec igmpproxy alors que les auters chaines sont en erreur F3411.
si quelqu'un a une idée je suis preneur
-
Il va falloir faire une capture avec une chaîne qui fonctionne parmi les 3 et comparer avec une autre capture réalisée avec une chaîne non fonctionnelle et constater les différences afin de pouvoir ajuster la configuration.
-
Il va falloir faire une capture avec une chaîne qui fonctionne parmi les 3 et comparer avec une autre capture réalisée avec une chaîne non fonctionnelle et constater les différences afin de pouvoir ajuster la configuration.
L'igmpproxy et l'igmp_snooping provoque aussi des souci sur mon wifi (réseau non fonctionnel)
il y a un paquet" mcproxy" qui poutrai être intéressant à étudier en lieu et place d igmpproxy mais pour l'instant c vacances :-)
-
Et si besoin, voici une config pour openWRT / turris omnia
(sur mon routeur :
WAN <-> eth0
eth1 <-> lan
eth2 <-> bbox
ethX a adapter selon l'interface connectée)
fichier /etc/config/network
config interface 'wan'
option proto 'dhcp'
option delegate '0'
option ifname 'eth1.100'
option vendorid 'BYGTELIAD'
option macaddr 'xx:xx:xx:xx:xx:xx'
config interface 'bbox'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.10.2.254/24'
option gateway '10.10.2.254'
option delegate '0'
option ifname 'eth2.100'
fichier /etc/config/dhcp
config dhcp 'wan'
option interface 'wan'
option ignore '1'
config dhcp 'bbox'
option interface 'bbox'
option start '100'
option limit '150'
option leasetime '12h'
list dhcp_option '6,194.158.122.10,194.158.122.15' #je distribue via option dhcp les dns (option 6) bouygues à la bbox qui ne les recevait pas et donc pas de connectivité
#pour attribuer une ip toujours fixe à la box :
config host
option name 'bbox'
option ip '10.10.2.1'
option mac 'xx:xx:xx:xx:xx:xx'
Et via interface graphique (Luci): cf images jointes
(je n'ai pas détaillé le firewall, mais bien sur attribuer l'interface WAN (eth0.100) à une zone 'wan' et l'interface vers la bbox (eth2.100) à une autre zone (que j'ai mise différente de mon lan personnellement - elle n'a pas besoin d'acceder au lan)
on peut idéalement fixer une ip à la bbox dans la plage réseau que l'on a attribué à l'interface via les 'Static Leases' dans les parametrages DHCP (associer MAC <-> IP fixée)
Est ce que l'on peut transposer cette configuration sur un ERL 3 ?
je ne pense pas qu'elle le soit sur un Wrt32x (juste port eth0 et eth1) ?
-
Hello,
est-ce qu il traine sur le forum un tuto sous linux pour remplacer la BBOX serveur par un serveur linux tout en gardant la box TV fonctionnelle ?
Merci
-
Bonjour tout le monde,
Apres avoir etre passer sur la version 18.06.1 LEDE avec mon Archer C7, plus de TV mis a part les 3 première chaines
Apres plusieurs rechercher je suis tomber sur ce forum italien
https://foro.seguridadwireless.net/openwrt/(tutorial)-movistar-ftth-con-openwrt-(voip-e-imagenio)/msg361453/?PHPSESSID=b4aac96d6105ff49c052ac9f81e9e4ff#msg361453 (https://foro.seguridadwireless.net/openwrt/(tutorial)-movistar-ftth-con-openwrt-(voip-e-imagenio)/msg361453/?PHPSESSID=b4aac96d6105ff49c052ac9f81e9e4ff#msg361453)
Et en bas de page, ont parle de modules pour ethernet
En me disant cuit pour cuit j'ai installé les packages suivant
kmod-br-netfilter
kmod-ipt-physdev
kmod-ipt-core (natif dans la version 18.06.1)
Petit reboot et par magie revoilà toutes mes chaines
Par contre tjrs pas de replay
Je ferai un REX de ce problème mais plus tard ;D
-
Bonjour A tous,
Je souhaite vous faire parvenir quelques tests que j'ai effectué savoir une offre Bbox ultym FTTH.
(https://image.noelshack.com/fichiers/2018/34/7/1535305296-grafana-latency-stats-vaping-exporter.png)
Je suis très étonné sur la stabilité qu'apporte le passage sur le vlan 100.
Tous mes services TV sont actifs, le seul problème que je rencontre actuellement c'est que le CPU du routeur n'est pas au-delà de 700 Mb/s
-
Il y a peut-être une optimisation de la latence dans le sens ONT => OLT.
En effet la gestion tu temps de parole est très complexe pour ceux qui sont sur un OLT Alcatel-Lucent (les ONT parlent les un après les autres sur l'arbre)
Il est possible que Bouygues Telecom ait optimisé la gestion lors de cette migration.
Pour le vérifier, il suffit de lancer un nombre de ping important vers une cible proche (par exemple bouygues.testdebit.info) sur le VLAN 100 et sur le VLAN 200.
Le ping minimum devrait être le même dans les deux cas, mais le ping moyen et ping max plus faible si il y a eu optimisation.
-
Hello,
j ai l impression que le dhcp repond sur le VLAN 100 et le VLAN 200, c est possible ?
Sachant que j ai bien le net par le vlan 100..
-
Bien sûr, tant que l'on est en période transitoire.
-
ah ok, et aucune chance que le VLAN 100 et le VLAN 200 ne soient pas "bridés" de la meme facon (genre debit >500Mbit/s en must)
EDIT: nan pareil :)
-
Bon bah moi je viens de migrer en vlan100 aussi, j'avais un débit d'ADSL sur le vlan200. Tellement étrange comme soucis.
-
Le VLAN 200 ne doit plus être utilisé.
C'est peut-être une étape intermédiaire avant la coupure.
-
Bonjour tout le monde,
Apres avoir etre passer sur la version 18.06.1 LEDE avec mon Archer C7, plus de TV mis a part les 3 première chaines
Apres plusieurs rechercher je suis tomber sur ce forum italien
https://foro.seguridadwireless.net/openwrt/(tutorial)-movistar-ftth-con-openwrt-(voip-e-imagenio)/msg361453/?PHPSESSID=b4aac96d6105ff49c052ac9f81e9e4ff#msg361453 (https://foro.seguridadwireless.net/openwrt/(tutorial)-movistar-ftth-con-openwrt-(voip-e-imagenio)/msg361453/?PHPSESSID=b4aac96d6105ff49c052ac9f81e9e4ff#msg361453)
Et en bas de page, ont parle de modules pour ethernet
En me disant cuit pour cuit j'ai installé les packages suivant
kmod-br-netfilter
kmod-ipt-physdev
kmod-ipt-core (natif dans la version 18.06.1)
Petit reboot et par magie revoilà toutes mes chaines
Par contre tjrs pas de replay
Je ferai un REX de ce problème mais plus tard ;D
Bon c'est pas de l'italien mais de l'espagnol :) ce qui m'arrange guère plus, mais je suis clairement beaucoup plus motivé maintenant pour shooter bbox sachant qu'on peut récupérer tout les flux TV live. Merci pour le partage.
Pour les replay, a part en sniffant une requête venant de la box TV on trouvera difficilement la solution.
Mon idée bête sans vraiment avoir bosser sur le sujet serai un problème de DNS.
Quels sont les serveur DNS source que vous utilisez ? ceux de Bouygues ou d'autres publiques comme ceux de Google ou openDNS ?
Il est possible que les ressources appelées par la BOX TV pour accéder au Replay soient des nom DNS qui ne sont pas publiques. Ainsi, ils ne sont pas connus par les DNS de Google par exemple, mais uniquement dans le réseau Bouytgtel.
Il faudrait juste passer les upstream DNS de votre openwrt sur ceux de Bouygtel pour tester. Ou simplement les ajouter en plus de ceux que vous utilisez déjà.
c'est juste une idée, à tester.
-
Salut les gens!
J'ai posté il y a quelques jours dans la partie incident FTTH Bouygues au sujet de pertes de débit et de paquets. J'utilise un routeur pfsense (le problème existant également avec la box).
En voyant le message de psm plus haut qui avait des problèmes similaires, je me dis que la situation pourrait s'améliorer en passant au VLAN100.
En revanche, j'ai bien internet sur le VLAN 200 avec le vendor-class-identifier byteliad_data mais impossible de faire fonctionner le VLAN 100 avec le vendor-class-identifier BYGTELIAD. Y a-t-il un paramètre supplèmentaire à ajouter dans cette configuration ? Ou bien le VLAN 100 n'est-il pas fonctionnel pour tous les clients ?
-
Je pense que depuis que le temps que la migration a démarrée, le VLAN 100 devrait être déployé partout.
Tu pourrais faire un test avec un PC Linux sur le VLAN 100, en suivant ce que j'ai indiqué dans mon premier message ?
Si cela ne fonctionne pas, je contacterais Bouygues Telecom pour savoir si le VLAN 100 est bien accessible de tous les clients FTTH.
-
Je viens d'essayer le vlan100 je ne recois pas d'ip dessus et mon vlan200 est toujours rapide.
J'ai recu un nouvel ONT il y a un mois je ne sais pas si cela a un rapport
-
+1 à Lyon. VLAN200 marche nickel, VLAN100, pas d'IP publique de quelque manière que ce soit
-
En revanche, j'ai bien internet sur le VLAN 200 avec le vendor-class-identifier byteliad_data mais impossible de faire fonctionner le VLAN 100 avec le vendor-class-identifier BYGTELIAD. Y a-t-il un paramètre supplèmentaire à ajouter dans cette configuration ? Ou bien le VLAN 100 n'est-il pas fonctionnel pour tous les clients ?
Salut,
je suis sous vlan 100 (Mulhouse) et pour avoir une ip j'ai du indiquer les options vendorid, clientid macaddr (Openwrt)
config interface 'wan'
option proto 'dhcp'
option delegate '0'
option clientid 'xxxxxxxxx' # adresse mac sans les :
option vendorid 'BYGTELIAD'
option macaddr 'xx:xx:xx:xx:xx:xx'
option ifname 'eth1.100'
option peerdns '0' # non necessaire
option dns '1.1.1.1 1.0.0.1 9.9.9.9' # pas necessaire
-
Rien à faire de mon côté avec ces paramètres, le VLAN 100 ne semble pas passer. (Pas d'IP publique)
Pendant ce temps sur Paris, les débits sont catastrophiques (en tout cas sur le VLAN 200), chute libre le soir et perte de paquets. Je suis étonné qu'il n'y ait pas plus de gens qui se plaignent sur dans la rubrique incident FTTH Bouygues.
-
Quelqu'un a réussi à avoir la TV avec pfsense?
-
Pendant ce temps sur Paris, les débits sont catastrophiques (en tout cas sur le VLAN 200), chute libre le soir et perte de paquets. Je suis étonné qu'il n'y ait pas plus de gens qui se plaignent sur dans la rubrique incident FTTH Bouygues.
A voir si les débits sont les mêmes avec la box Bouygues... Si personne ne râle c'est que ça doit provenir peut être de la config des routeur tiers.
-
A voir si les débits sont les mêmes avec la box Bouygues... Si personne ne râle c'est que ça doit provenir peut être de la config des routeur tiers.
Je pense cela peu probable, ça fait maintenant quelques années que je bypass les box opérateur, et j’ai jamais constaté de problème (de baisse de débit) lié au fait de ne pas utiliser la box opérateur.
Si ça venait de ça je pense que on aurait tout simplement plus eu de connexion du jour au lendemain.
Certains sujet à ces ralentissements comme Uggsy on d’ailleurs testé avec la bbox et c’était le même constat :
Non, j'utilise pfsense comme seul routeur, la bbox est donc dans le carton. Cependant, j'ai fait des tests avec la box et le résultat est le même.
Si ils ont besoin de faire des tests, je peux la remettre pendant quelques jours.
Encore faut-il que je tombe sur quelqu'un qui souhaite investiguer le problème sérieusement et cela ne semble pas gagné !
Des pertes de paquets jusqu'à 10% est-il acceptable dans les clauses des opérateurs ?
On est quand même trois sur ce forum à avoir parlé de ces ralentissements qui surviennent en soirée (tous clients Bouygues FTTH sur Paris).
-
Hello !
Comment faites-vous pour avoir ne serait-ce qu'internet via un pfsense ?
Voici ce que j'ai fait:
Spoof de l'adresse MAC de la Bbox sur l'interface WAN
J'ai tenté avec l'interface WAN dans le VLAN 100 avec comme option dhcp-class-identifier "BYGTELIAD" : pas d'ip obtenue, idem avec vendor-class-identifier "BYGTELIAD"
Dans le Vlan 200 avec l'option vendor-class-identifier "byteliad_data": idem pas d'ip, avec dhcp-class-identifier "BYGTELIAD": idem
J'ai testé aussi vendorid "BYGTELIAD" mais pas mieux.
L'ensemble tourne sur une VM ESXi 6.5 sur un micro serveur HP Gen7 (N54L), carte réseau intégrée + une carte Intel en PCIe.
Mon PF est en 2.4.4, je n'ai rien touché d'autre mis à part spoof de la MAC, création du Vlan 100 ou 200, coché la case "Advanced configuration" dans les option de l'interface Wan.
J'ai inversé les 2 cartes réseaux (si jamais le Vlan n'est pas supporté par la carte Intel mais pas mieux)
Me suis inspiré de ce tuto: https://www.adrienfuret.fr/2017/12/16/bbox-ftth-pfsense/ et des infos trouvée sur ce forum.
Pouvez-vous poster des captures de votre conf PFsense svp ? Au moins pour voir s'il n'y a pas une casse à respecter ou des guillemets particuliers pour les options DHCP...
Merci pour votre aide :)
-
fait une capture de la requête dhcp émise par pfsense c'est le meilleur moyen de trouver le probleme.
Pour le vlan 100, les 2 points importants sont les options 60 et 61:
il faut èmettre l'option 61 avec la mac de la bbox.
Option: (61) Client identifier
Length: 7
Hardware type: Ethernet (0x01)
Client MAC address: Sagemcom_xx:xx:xx (ac:3b:77:xx:xx:xx)
et BYGTELIAD pour l'option 60:
Option: (60) Vendor class identifier
Length: 9
Vendor class identifier: BYGTELIAD
Pour le spoof de la mac, je ne suis pas convaincu que ce soit nécessaire c'est juste que certains client dhcp l'utilisent comme valeur par défaut pour 61. Mais si on met soi-meme la bonne valeur pour 61 y'a pas besoin de spoof la mac (ce point est a vérifier avec des tests).
-
Pour le spoof de la mac, je ne suis pas convaincu que ce soit nécessaire c'est juste que certains client dhcp l'utilisent comme valeur par défaut pour 61. Mais si on met soi-meme la bonne valeur pour 61 y'a pas besoin de spoof la mac (ce point est a vérifier avec des tests).
sous Edgeos (Er4) j'envoi juste
client-option "send vendor-class-identifier "BYGTELIAD";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
sous Openwrt j'envoyais
option clientid 'xxxxxxxxx' # adresse mac de la box sans les :
option vendorid 'BYGTELIAD'
option macaddr 'xx:xx:xx:xx:xx:xx'
pas de connexion sous Openwrt sans tout cela (mais j'avoue une fois la connexion ok j'ai pas cherché si des options étaient superflus)
à chaque fois la connexion internet était ok
la bbox, elle, envoie à l'ont les options dhcp : Client-Ethernet-Address - Vendor-Class Option 60 - Client-ID Option 61 et T125 Option 125 (tcpdump)
les options les plus adéquates pour le vlan 100 sont aussi discutées ici :
https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-par-un-edgerouter-x-er-x-tuto-et-tests-de-debits/12/
-
j'avais faux, après tests avec des captures:
- le spoof est obligatoire
- l'option 61 non
la vérification chez Bytel se fait donc sur l'adresse mac èmettrice des paquets et pas sur le contenu de l'option 61.
Le minimum requis est donc juste:
- vendor-class-identifier a "BYGTELIAD"
- adresse mac identique a la bbox
sous edgeos ca donne:
show interfaces ethernet ethX
mac ac:3b:77:xx:xx:xx
vif 100 {
address dhcp
dhcp-options {
client-option "send vendor-class-identifier "BYGTELIAD";"
}
}
ca valide bien le tuto Romain: https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-par-un-edgerouter-x-er-x-tuto-et-tests-de-debits/
-
j'avais faux, après tests avec des captures:
- le spoof est obligatoire
- l'option 61 non
la vérification chez Bytel se fait donc sur l'adresse mac èmettrice des paquets et pas sur le contenu de l'option 61.
Le minimum requis est donc juste:
- vendor-class-identifier a "BYGTELIAD"
- adresse mac identique a la bbox
sous edgeos ca donne:
show interfaces ethernet ethX
mac ac:3b:77:xx:xx:xx
vif 100 {
address dhcp
dhcp-options {
client-option "send vendor-class-identifier "BYGTELIAD";"
}
}
ca valide bien le tuto Romain: https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-par-un-edgerouter-x-er-x-tuto-et-tests-de-debits/
Euh. je comprends plus rien là............
quand je spoof la mac de la box d'origine je n'ai plus de net et une adress en 10.xx.xx
j'ai fait quelques test chez moi (Er4 EdgeOs) et reboot ONT à chaque fois
Modele BBox NG+R1
test 1
ip de type 10.xx.xx.xx pas de net
Er4 :
show interfaces ethernet ethx
duplex auto
mac 38:35:xx:xx:xx:xx
speed auto
vif 100 {
address dhcp
description Internet
dhcp-options {
client-option "request subnet-mask, routers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time;"
client-option "send vendor-class-identifier "BYGTELIAD";"
default-route update
default-route-distance 210
name-server update
test 2
ip de type 10.xx.xx.xx pas de net - ip de type 10.xx.xx.xx
Er4 :
show interfaces ethernet ethx
duplex auto
mac 38:35:xx:xx:xx:xx
speed auto
vif 100 {
address dhcp
description Internet
dhcp-options {
client-option "request subnet-mask, routers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time;"
client-option "send vendor-class-identifier "BYGTELIAD";"
client-option "send dhcp-client-identifier 1:38:35:xx:xx:xx:xx;"
default-route update
test 3
Internet OK - ip de type 17x.xxx.xxx.xxx
[code] duplex auto
speed auto
vif 100 {
address dhcp
description Internet
dhcp-options {
client-option "send vendor-class-identifier "BYGTELIAD";"
client-option "send dhcp-client-identifier 1:38:35:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time;"
default-route update
default-route-distance 210
name-server update
[/code]
Une idée ?
-
hum effectivement étrange. je vais refaire des tests plus complet demain.
Je n'ai peut-être pas "release" comme il faut les leases chez Bytel entre 2 tests.
Je ne pense pas qu'allumer/éteindre l'ONT est un impact.
-
ok j''ai fait des nouveaux tests.
avec ou sans spoof de la mac et avec ou sans "dhcp-client-identifier 1:mac" ... j'obtient toujours l'IP public..(reboot ERL et ONT).
a noter avec l'ERL:
"mac ac:3b:77:xx:xx:xx" sur l'interface ethX ne se propage sur l'interface ethX.100 qu'au boot.
il est donc plutôt recommandé de mettre "mac ac:3b:77:xx:xx:xx" directement sur l'interface ethX vif 100. Mais de toute façon ce n'est a priori pas nécessaire.
Je n'ai pas non plus pousser les tests sur la durée. le bail DHCP obtenu n'est valable qu'une heure et il y a peut-etre une vérification tout les heures ou un truc comme cela ou qu'avoir une bbox valide connectée peu de temps avant avait une influence.
donc par précaution il est mieux de faire comme le bbox et envoyer le "dhcp-client-identifier 1:mac"
Apres j'avoue que le cas de nonosch qui obtient une IP privée s'il ne met pas dhcp-client-identifier reste un mystère :)
et donc je ne vais pas généraliser mon cas. Peut-être que certains zones complètement migrées en vlan 100 ne nécessitent que l'option 60 "BYGTELIAD".
-
ps : c'est peut-être lié au type de bbox aussi. on n'a pas le meme début d'adresse MAC.
J'ai une Fast5330b-r1 firmware 15.4.4 avec un abo Ultym.
-
Je ne pense pas que le type de box change grand chose.
Fast5330b-r1 => même Bbox que la Fast5330b mais avec le WiFI 802.11ac
-
j'avoue ne pas comprendre non plus.
Le fait que je sois en zmd Orange ?
mauvaise manip de ma part ?
bref j'ai une connexion stable c'est l'essentiel :-)
-
...
Le fait que je sois en zmd Orange ?
...
Il n'y a rien à chercher de ce côté là. En FTTH, tu es de bout en bout sur le réseau de ton opérateur commercial (BT) A aucun moment tu ne passes dans un équipement actif de l'opérateur d'infrastructure (Orange)
-
Apres j'avoue que le cas de nonosch qui obtient une IP privée s'il ne met pas dhcp-client-identifier reste un mystère :)
et donc je ne vais pas généraliser mon cas. Peut-être que certains zones complètement migrées en vlan 100 ne nécessitent que l'option 60 "BYGTELIAD".
En fait en relisant ton post, le test (le 3) où j’obtiens une connexion ok c'est celle ou j'envoi le dhcp-client-identifier et pas l'adresse mac
Le problème c'est quand j'envoi l'adresse mac (test 2) (sur eth0 - pas sur eth0.100) et le client identifier que j'ai pas de connexion (test2)
en fait on arrive au mème conclusion : mettre l'option client -identiifer et l'option vendor-identifier (test 3)
-
A noter que Bouygues Telecom a des OLT Alcatel en ZTD et des OLT Huawei en ZMD.
Ce n'est pas lié la zone mais au fait que Bouygues a déployé au début des NRO uniquement en ZTD puis depuis 2 ans ne déploie plus que des nouveau NRO en ZMD et qu'entre temps le fournisseur à changé.
Coté ONT, en zone OLT Huawei, c'est du Huawei uniquement.
En zone OLT Alcatel, c'est du TECOM pour les anciens abonnés et du Huawei pour les nouveau clients.
On a donc 3 combinaisons possibles :
- OLT Alcatel + ONT TECOM
- OLT Alcatel + ONT Huawei
- OLT Huawei + ONT Huawei
Le type de box ne devrait rien changer (5 Bbox différentes existent pour le FTTH).
-
pour info: quelques commandes pour l'ERL pour debug/trace:
En mode terminal (via ssh ou fenêtre CLI de l'interface web):
passer en mode admin:
sudo -i
capture/trace dhcp a l'écran (laissez tourner cela dans une autre fenêtre ssh par exemple):
tcpdump -vv -i ethX.100 -n port 67 or port 68
capture dans un fichier:
tcpdump -vv -i ethX.100 -w nomdufichier.cap -e -n port 67 or port 68
arrêter le client dhcp sur l'interface ethX.100:
release dhcp interface ethX.100
nettoyer les baux du client dhcp sur l'interface ethX.100:
rm /var/run/dhclient_ethX.100_lease /var/run/dhclient_ethX_100.leases
redémarrer le client dhcp sur l'interface ethX.100:
renew dhcp interface ethX.100
pour les tests il est recommandé de nettoyer les baux avant de relancer le client dhcp.
voir l'IP & mac de l'interface ethX.100:
ip addr show dev ethX.100
modifier la conf client dhcp directement sans EdgeOS:
vi /var/run/dhclient_ethX_100.conf (mini doc vi: https://vim.rtorr.com/lang/fr_fr/ )
-
pour info: quelques commandes pour l'ERL pour debug/trace:
En mode terminal (via ssh ou fenêtre CLI de l'interface web):
passer en mode admin:
sudo -i
capture/trace dhcp a l'écran (laissez tourner cela dans une autre fenêtre ssh par exemple):
tcpdump -vv -i ethX.100 -n port 67 or port 68
capture dans un fichier:
tcpdump -vv -i ethX.100 -w nomdufichier.cap -e -n port 67 or port 68
arrêter le client dhcp sur l'interface ethX.100:
release dhcp interface ethX.100
nettoyer les baux du client dhcp sur l'interface ethX.100:
rm /var/run/dhclient_ethX.100_lease /var/run/dhclient_ethX_100.leases
redémarrer le client dhcp sur l'interface ethX.100:
renew dhcp interface ethX.100
pour les tests il est recommandé de nettoyer les baux avant de relancer le client dhcp.
voir l'IP & mac de l'interface ethX.100:
ip addr show dev ethX.100
modifier la conf client dhcp directement sans EdgeOS:
vi /var/run/dhclient_ethX_100.conf (mini doc vi: https://vim.rtorr.com/lang/fr_fr/ )
Merci :-)
-
Je vous partage une manip' assez pratique.
Pour les propriétaires d'EdgeRouter configurés sur le VLAN 200, il est possible de passer sur le VLAN 100 très très rapidement.
Pour ça, il suffit d'aller directement modifier le fichier de config du routeur.
Ouvrez donc un terminal sur le routeur et passez en mode de configuration.
configure
Puis ouvrez le fichier de conf dans vi
vi /config/config.boot
Les lignes à modifier sont les suivantes (identifiées par -->) :
ethernet eth0 {
address dhcp
description WAN
duplex auto
--> vif 100 {
address dhcp
description Internet
dhcp-options {
--> client-option "send vendor-class-identifier "BYGTELIAD";"
default-route update
default-route-distance 210
name-server update
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description HTTPS
forward-to {
address 192.168.xx.xx
port 443
}
--> wan-interface eth0.100
}
}
nat {
rule 5000 {
description "Masquerade for WAN Vlan100"
log disable
--> outbound-interface eth0.100
protocol all
type masquerade
}
Ensuite, sauvegardez les modifs et quittez.
Enfin, pour charger la nouvelle conf (pas nécessaire de redémarrer le routeur) :
load /config/config.boot
commit
Détail supplèmentaire : chez moi, tout fonctionne très bien sur le VLAN 100 sans spoofer l'IP de la Bbox.
-
Etrange que ça fonctionne sans spoof de l'adresse MAC de la Bbox.
Quand j'ai fait la bascule du VLAN 200 à 100 j'ai justement du la spoof pour que ça fonctionne.
-
Etrange que ça fonctionne sans spoof de l'adresse MAC de la Bbox.
Quand j'ai fait la bascule du VLAN 200 à 100 j'ai justement du la spoof pour que ça fonctionne.
Sur l'USG, c'est pareil, pas besoin de l'adresse MAC, exemple sur ma conf : https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-par-un-unifi-security-gateway-usg-vlan-100-tv/
Donc c'est étrange en effet que certains en ai besoin et pas les autres.
-
Il serait intéressant de voir si c'est lié à la plaque : OLT Alcatel-Lucent ou OLT Huawei
Les nouvelles zones couvertes (toute la ZMD AMII sauf Palaiseau et toute la ZMD RIP) sont en Huawei.
Les zones couvertes depuis un petit moment (le gros de la ZTD) est en Alcatel-Lucent.
-
Mon avis le spoof est plutôt lié a un bail non libéré /expiré.
-
Pour info, j'ai du rebrancher ma BBox et la mettre a jour pour que mon routeur Mikrotik chope une IP Publique sur le VLAN100, avant ce n'était que de la privée. J'ai bien DHCP Release partout avant, mais ça ne change rien.
-
Moi aussi j'ai bien galéré, j'ai tenté de spoof la mac, modifier les options dans tous les sens, attendre... au final ça a fonctionné avec le Mikrotik sans spoof, sans reconnecter la bbox mais un peu par magie. Depuis, jamais eu de problème.
A l'inverse, sur une autre connexion, ça a fonctionné 2 jours avec l'IP publique sur le VLAN100 puis il est repassé en IP privée, même remettre la bbox ne permet pas d'avoir accès à internet, elle obtient aussi une IP privée :o. Du coup, pour que ça fonctionne, il faut un routeur alternatif sur le VLAN200. Wtf.
-
A l'inverse, sur une autre connexion, ça a fonctionné 2 jours avec l'IP publique sur le VLAN100 puis il est repassé en IP privée, même remettre la bbox ne permet pas d'avoir accès à internet, elle obtient aussi une IP privée :o. Du coup, pour que ça fonctionne, il faut un routeur alternatif sur le VLAN200. Wtf.
même après plusieurs heures ? LA bbox a bien récupéré la dernière mise à jour ? https://www.bbox-mag.fr/box/5070151-mise-a-jour-des-bbox-de-bouygues-telecom-en-septembre-2018/ (ou l'avant dernière https://www.bbox-mag.fr/box/4024999-nouvelles-mises-a-jour-bbox-en-cours-de-deploiement/ ) ?
-
Oui, elle était restée connectée plusieurs heures. Je ne me souviens plus si elle avait fait toutes les maj mais il me semble que oui. On verra bien ce qu'il se passera quand le VLAN200 sera éteint, en attendant, ça fonctionne, ça reste comme ça.
-
(les mises à jour ont souvent lieu la nuit chez Bouygues).
Certains qui n'avait pas connecté depuis un moment leur box avaient reçu un sms les invitant à la changer car défectueuse : https://lafibre.info/remplacer-bbox/ftth-routeur-sous-debian-mais-message-de-bouygues-bbox-defectueuse
Vivien conseillait de faire faire la mise à jour la nuit à la Bbox avant désactivation complète du VLan 200.
-
même après plusieurs heures ? LA bbox a bien récupéré la dernière mise à jour ? https://www.bbox-mag.fr/box/5070151-mise-a-jour-des-bbox-de-bouygues-telecom-en-septembre-2018/ (ou l'avant dernière https://www.bbox-mag.fr/box/4024999-nouvelles-mises-a-jour-bbox-en-cours-de-deploiement/ ) ?
la derniere version est la 16.2.20 d'octobre.
-
le déploiement du firmware de la BBOX est assez aléatoire j'ai l'impression.
Je suis en ADSL, avec le modele fast5330b et je suis en 15.1.2 alors que le FW déployé est le 15.3.6.
Il y a eu plusieurs reboot de box depuis septembre (par le support, a distance) et malgrè tout, pas de mise a jour.
Je sais pas trop comment ca fonctionne exactement.
-
J'ai du utiliser la methode de Hugues pour reussir à passer en vlan 200 : remettre la bbox et ensuite l'erl maintenant je suis en vlan 100
-
Hello,
Il s'est passé un truc bizarre cette nuit.
À 23h20, j'ai perdu mon IP publique, et elle a été remplacée par une IP privée.
Et à 2h49, j'ai perdu mon IP privée et retrouvé mon IP publique...
Mais comment est-ce qu'ils ont conçu leur réseau sérieux ?
-
??? j'avoue c'est WTF
-
Bonjour,
Petit tuto pour remplacer votre BBox par un router/switch Mikrotik.
J'utilise un CRS109-8G-1S-2HnD, qui est plus switch à la base sur lequel on a greffé un gros cpu pour faire du routage.
Donc si vous reprenez ce tuto pour une routerboard classique faudra ne pas prendre en compte la partie switch et faire attention aux noms des interfaces.
Ce switch dispose d'une cage SFP, j'y ai donc mis un SFP Cuivre dédié pour le coté ONT fibre.
Sur mikrotik, la cli est assez pertubante, je conseil d'utiliser la web interface (très bien faite), ou le client 'lourd' winbox également très bon.
J'utilise la dernière version stable 6.43.4
Pour info, je suis en ZMD dans la métropole Lilloise, déployé en fibre Orange en Février dernier et chez BouygTel depuis Juin.
Je ne sais pas quand je suis passé en vlan 100, tout ce que je sais c'est que j'ai viré la bbox il y a 3 semaines bientôt et j'ai aucun soucis depuis.
On commence par assigner la MAC de la BBox sur l'interface coté ONT (semble t il pas forcèment nécessaire, à tester) :
/interface ethernet
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="Fibre WAN" mac-address=34:6B:XX:XX:XX:XX
On créé l'interface vlan 100 sur l'interface physique :
/interface vlan
add interface=sfp1 name=Fibre_ByTel_vl100 vlan-id=100
On créé le vendorid BYGTELIAD :
/ip dhcp-client option
add code=60 name=vendorid value=0x42594754454c494144
Et on met l'interface wan en client dhcp :
/ip dhcp-client
add dhcp-options=vendorid disabled=no interface=Fibre_ByTel_vl100
Normalement à ce niveau si on branche l'interface WAN (sfp1 ici) sur l'ONT à la place de la bbox on doit avoir une IP publique :)
Ensuite pour le LAN on créé un bridge avec les ports restants :
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
On active dhcp snooping sur le bridge (c'est pour la box TV)
/interface bridge
add comment="Switch Bridge" igmp-snooping=yes name=bridge
On créé une interface pour le bridge :
/ip address
add address=192.168.1.1/24 comment=LAN_USR interface=bridge network=192.168.1.0
On créé un pool IP pour le DHCP local :
/ip pool
add name=dhcp_pool_lan ranges=192.168.1.20-192.168.1.50
On défini les carractéristiques du dhcp local :
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=domain.home gateway=192.168.1.1 netmask=24
Ici c'est une ruse pour spécifier les DNS au boitier bbox4k, avec une réservation dans le DHCP. (C'est pour que le replay fonctionne, enfin au moins les menus...):
Je fixe l'ip dhcp de la box par réservation DHCP avec la MAC (vous verrez ce sera utile plus tard). Puis je defini un network /32, pour lui donner les DNS Bouygues uniquement.
/ip dhcp-server network
add address=192.168.1.20/32 dns-server=194.158.122.10,194.158.122.15 domain=domain.home gateway=192.168.1.1 netmask=24
/ip dhcp-server lease
add address=192.168.1.20 mac-address=D0:05:XX:XX:XX:XX server=dhcp_lan
On active le DHCP serveur :
/ip dhcp-server
add address-pool=dhcp_pool_lan disabled=no interface=bridge name=dhcp_lan
On se défini des DNS correctes pour le dns local du Mikrotik (...et pour les clients dhcp autres que boitier TV) :
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
Après on fait du firewall :
On se met du NAT pour sortir :
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Fibre_ByTel_vl100 src-address=192.168.1.0/24
Et on filte en faisant gaffe aux flux TV :
/ip firewall filter
'Chaine INTPUT'
add action=accept chain=input in-interface=Fibre_ByTel_vl100 protocol=igmp
add action=accept chain=input src-address=192.168.1.0/24
add action=accept chain=input dst-port=8200,8202 in-interface=Fibre_ByTel_vl100 protocol=udp
add action=drop chain=input
'Chaine FORWARD'
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward protocol=udp
add action=accept chain=forward out-interface=Fibre_ByTel_vl100
add action=drop chain=forward
'Chaine OUTPUT'
Rien... Y'a tout qui sort
Info : si vous n'aviez pas Fastrack actif sur votre routerboard, il faudra l'activer puis rebooter et les règle fasttrack apparaitront. Ca doit pouvoir marcher sans, mais ca permet de gagner 10 à 20% de CPU.
A ce moment internet doit fonctionner sans restriction !
Enfin on active IGMP Proxy, pour récupérer le flux IPTV :
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=Fibre_ByTel_vl100 upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridge
Pour la partie wifi du router, j'ai opté pour la facilité, j'ai juste bridgé sur le switch. Je verrai plus tard pour mettre le wifi sur un subnet dédié.
Il restera à sécuriser davantage les flux firewall entrant pour la TV, car je trouve çà limite pour le moment. Apparemment la TV utilise les port UDP 8200 et 8202. A brider en INPUT et en FORWARD. J'aimerai bien réussir à filtrer les sources, mais faut que j'y travail...
Voilà avec çà, Internet OK, Wifi OK, TV OK (iptv toutes chaines) et Replay BofBof. Telephone NOK (mais je m'en sert pas, et je pense que sans bbox c'est impossible. A tenter BBox sur un port LAN avec le tel derrière ca peut ptet marcher).
Question performance j'ai pas trop tester, mais avec mon laptop qui ne fait que du 100M j'avais 100M en montant et descendant sur Speedtest.
En utilisation pour la TV par exemple le CPU monte à 30% avec 2 flux TV donc env 25 Mbps et un peu de download/upload.
Et là, c'est le debut de la liberté ! (vlan, VPN, filtrage, un truc sérieux :D)
Je posterai de nouveau les évolutions pour la partie firewall, car j'ai une solution pour le replay qui d'après les premiers tests fonctionne, mais qui est pas au top encore.
Egalement coté sécu, là j'ai donné le mini possible.
Si vous êtes sur mikrotik je vous conseil de suivre ce guide pour la sécurisation du router :
https://www.manitonetworks.com/networking/2017/7/25/mikrotik-router-hardening
a+
EDIT 04/01/2019 :
1) ne pas oublier d'ajouter le package multicast sur le mikrotik qui n'est pas installé par défaut sinon la config IGMP Proxy est pas possible :
> télécharger le zip "extra packages" du site mikrotik correspondant au hardware et à la version de routeros
> copier multicast.ppk sur la flash du router
> redémarrer
> repasser les blocs de config pour l'IGMP proxy si vous aviez oublier de faire cette install avant de vous lancer dans la config
2) partir d'une config vierge idéalement avant d'injecter cette config (modifiée en fonction de votre matériel)
- /system reset-configuration no-defaults skip-backup
==> Attention si vous faites cette action, le router ne sera administrable que par le câble console, jusqu'a ce que vous remettiez une config mini
==> A ne tenter que si vous avez le câble console et que vous êtes un minimum habitué à la CLI.
- sinon, passez par Winbox pour nettoyer un maximum (notamment règle de firewall) avant de vous lancer dans la reconfig.
3) Coté charge le CRS109 est env à 25-30% avec deux flux TV + Internet peu importe le débit grâce à Fasttrack ca tient la route. Mais faut pas lui en demander plus !!
Au delà on commence à perdre des paquets, et la TV fait des artéfact... le CPU galère.
=> partir sur une gamme RB un peu plus moderne semble plus adapté genre minimum un hEX (pas le lite, trop petit)
-
Salut les gens,
Juste pour mentionner que j'utilisais jusqu'ici le VLAN 200, le VLAN 100 étant inutilisable. Je suis rentré ce soir et je n'avais plus d'IP sur le VLAN 200. Je suis passé sur le 100 et tout marche impéccablement.
Il y a donc bien eu une transition de VLAN en tout cas chez moi. (Paris 16eme).
-
Coupure à 18h du VLAN200 ici aussi. L'authentification à base de VCI sur VLAN100 semble avoir été retirée, j'ai récupéré une IP sans rien paramétrer ! :)
-
Info : si vous n'aviez pas Fastrack actif sur votre routerboard, il faudra l'activer puis rebooter et les règle fasttrack apparaitront. Ca doit pouvoir marcher sans, mais ca permet de gagner 10 à 20% de CPU.
Ca permet surtout de gagner du débit (en pps donc pas nécessairement en Mbit/s, mais quand même.)
Pas besoin de reboot le routeur par contre :)
-
Coupure à 18h du VLAN200 ici aussi. L'authentification à base de VCI sur VLAN100 semble avoir été retirée, j'ai récupéré une IP sans rien paramétrer ! :)
Ça veut dire quoi VCI ? Tu as pas eu besoin de spoof l'adresse MAC de la Bbox ou de set le vendor-class-identifier ?
-
Ça veut dire quoi VCI ? Tu as pas eu besoin de spoof l'adresse MAC de la Bbox ou de set le vendor-class-identifier ?
La réponse est dans ta question.
Après vérification, l'adresse MAC de la Bbox est spoof, mais je ne suis pas certain que ce soit utile désormais.
-
Je viens vous partager mon retour d'expérience: mon VLAN 200 a cessé de fonctionner dimanche soir. Pour info, j'utilisais déjà le spoof des MAC sur le 100 et le 200. En modifiant le VLAN 100 avec le nouveau vendor id BYGTELIAD, je continue de recevoir une IP privée. C'est seulement en modifiant la MAC (juste le dernier digit), que j'ai immédiatement récupéré mon IP publique.
Du coup, j'ai une IP publique avec une MAC différente de celle ma BBox sur le 100. J'ai lu plus haut que certains avaient réussi à obtenir une IP publique en appliquant le spoof. Je pense plutôt que c'est le fait d'utiliser une MAC différente qui permet de l'obtenir immédiatement. En effet, je pense que l'équipement PE qui joue le rôle de BRAS chez Bytel maintient une correspondance MAC/IP sur la session bien plus longtemps que la durée du lease DHCP (1h). De cette façon, le PE n'a pas besoin d’interroger le RADIUS à chaque renew DHCP. Avec une MAC différente, cela force le PE à interroger le RADIUS.
Ceci explique:
- que ceux qui n'utilisaient pas le VLAN 100 avant n'ont eu aucun problème
- que cela fini par fonctionner en attendant pour certains (expiration de la session sur le PE)
-
Bonjour à tous,
J'utilisais une edgerouter lite en lieu de place de ma BBox depuis environ 2 ans maintenant, configuré en suivant ce tuto : https://lafibre.info/remplacer-bbox/remplacer-la-bbox-par-un-edge-router-lite-configuration-en-ligne-de-commande/
Jeudi 22 au soir j'ai perdu internet, en fouillant un peu je suis tombé sur ce topic et ait vite fait le rapprochement. J'ai tenté de reconfigurer sur le VLAN100 en suivant le tuto fait pour le Edgerouter X : https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-par-un-edgerouter-x-er-x-tuto-et-tests-de-debits/
Saut que je me retrouve face à un problème que je n'arrive pas à résoudre.
En branchant l'ONT sur l'ERL avec la nouvelle config en VLAN100 je reçois bien une IP publique (en 176.xxx.xxx.xxx) et depuis mon PC je peux bien accéder à l'interface d'administration de l'ERL en 192.168.1.1.
Toutefois, impossible d'avoir internet sur les appareils connectés au routeur.
Si je passes par le terminal de l'ERL pour pinger Google (via URL et IP) j'ai un retour positif mais le même teste depuis un PC connecté au routeur ne renvoi rien.
Une idée d'où ça peut venir ?
Merci d'avance,
Alex
-
Et le NAT ?
-
plus precisement l'interface du masquerade et les interfaces de firewall
-
Voilà des captures des vues en question
-
Bon, je confirme, plus besoin de VCI ou de spoof mac. On met le VLAN, on branche, ça marche.
-
Bon, je confirme, plus besoin de VCI ou de spoof mac. On met le VLAN, on branche, ça marche.
Ça change d'Orange ;D
Je me demande si je vais pas aller chez Bouygues rien que pour la simplicité de configuration. Dommage que je sois en zone étendue et que ça me plombe le prix...
-
@Kartouche : ipconfig / all sur tes pc clients te montre bien 192.168.1.1 en passerelle par defaut ?
-
https://lafibre.info/remplacer-bbox/la-configuration-vlan100-qui-fonctionne-chez-moi-en-ligne-de-commande-sur-erx/
-
Bon, je confirme, plus besoin de VCI ou de spoof mac. On met le VLAN, on branche, ça marche.
Pourquoi mon PFSense ne récupère toujours pas d'ip, quelque soit la conf appliquée :( :( :(
Si quelqu'un peut m'envoyer sa conf... :)
-
Bonjour,
Comme promis, j'ai travaillé les règles firewall pour avoir quelque chose d'assez sûr. Je pense qu'on est pas mal...
Ma seule crainte à ce sujet, c'est que potentiellement Bouygues peut changer ses IP de serveurs VOD et/ou TV à leur guise, donc du jour au lendemain çà peut se mettre à ne plus marcher et il faudra user de la règle deny+log pour voir d'où ca vient et compléter les listes.
L'idéal serait d'avoir un dump des règles firewall de la bbox, mais ca je sais pas si c'est possible et puis ils peuvent toujours passez une MAJ bbox avant de faire leur changement... bref le jeux du chat et de la souris...
Les listes d'IP ByTEL TV et VOD repérées sont les suivantes, j'ai mis des /24 plutôt que les IP des serveurs répérés, çà permet d'éviter trop de modifications en partant de l'hypothèse que si Bouygues change de serveur, ils prendront un ip dans le même réseau. Tous les réseaux vu sont bien attribués à Bouygues au niveau du RIPE :
/ip firewall address-list
add address=212.195.48.0/24 list=VODReplay
add address=212.195.244.0/24 list=VODReplay
add address=62.34.201.0/24 list=VODReplay
add address=194.158.119.0/24 list=VODReplay
add address=195.36.152.0/24 list=VODReplay
add address=192.168.0.0/24 list=MyNetworks
add address=192.168.1.0/24 list=MyNetworks
add address=192.168.254.0/30 list=MyNetworks
add address=193.251.97.0/24 list=TV
add address=89.86.97.0/24 list=TV
add address=176.165.8.0/24 list=TV
add address=89.86.96.0/24 list=TV
Du coup au niveau règle ca donne çà :
Ce premier bloc est facultatif, c'est pour tromper les scan de ports et autre syn flood.
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=1d chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=tarpit chain=input comment="Drop to syn flood list" protocol=tcp src-address-list=Syn_Flooder
add action=tarpit chain=input comment="Drop to port scan list" protocol=tcp src-address-list=Port_Scanner
Pour la chaine INPUT :
/ip firewall filter
add action=accept chain=input comment="--- Accept Established / Related" connection-state=established,related in-interface=Fibre_ByTel_vl100
add action=accept chain=input comment="--- Accept IGMP for IPTV Multicast" in-interface=Fibre_ByTel_vl100 protocol=igmp
add action=accept chain=input comment="--- Accept IP Flow for IGMP Proxy" dst-port=8202,8200 in-interface=Fibre_ByTel_vl100 protocol=udp src-address-list=TV
add action=drop chain=input comment="--- Deny All / Drop -- INPUT" src-address-list=!MyNetworks
Pour la chaine FORWARD
/ip firewall filter
add action=fasttrack-connection chain=forward comment="--- FastTrack Forwarding Established / Related" connection-state=established,related
add action=accept chain=forward comment="--- Accept Established / Related" connection-state=established,related
add action=accept chain=forward comment="--- Accept IP Flow for IGMP Proxy" dst-port=8200,8202 protocol=udp src-address-list=TV
add action=accept chain=forward comment="--- Accept IP flow for VOD" dst-port=20000-30000 in-interface=Fibre_ByTel_vl100 protocol=udp src-address-list=VODReplay
add action=accept chain=forward comment="--- Accept Outgoing Client/DMZ Traffic Out to Internet" out-interface=Fibre_ByTel_vl100 src-address-list=MyNetworks
add action=accept chain=forward comment="--- Accept Outgoing Client Traffic Out to DMZ" dst-address-list=MyNetworks in-interface-list=LAN src-address-list=MyNetworks
add action=drop chain=forward comment="--- Deny All / Drop -- FORWARD" log=no
Et pour le NAT :
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Fibre_ByTel_vl100 src-address-list=MyNetworks
add action=dst-nat chain=dstnat dst-port=20000-30000 in-interface=Fibre_ByTel_vl100 protocol=udp src-address-list=VODReplay to-addresses=192.168.1.20
Donc voilà, rien de spécial pour la TV "Live" c'est du multicast, j'ai juste filtré les ports 8200 et 8202 ainsi que les serveurs source en input et forward pour que je proxy fasse le boulot. C'est plutôt propre et le proxy IGMP permet d'éviter les flux entrants non désirés.
Pour la VOD et Replay, c'était plus sioux, car en fait c'est du streaming old school, le flux audio/video n'est pas dans une session tcp, mais envoyé dans un flux udp complètement déconnecté de la session de commande et qui plus est sur un range de ports aléatoire entre 20000 et 30000 ! vive la sécu si on identifie pas les IP sources :D !
De là, il faut aussi faire un NAT entrant de votre interface externe vers votre box TV pour que çà marche. D'où l'intérêt de figer l'ip DHCP de votre box TV !
Ca fait bien 3 semaines que j'utilise ce jeu de règles, et j'ai aucun soucis ni en Replay ni en TV "Live" donc je pense que le schéma est bon ! J'utilise également l'option "Start by Canal" mais je regarde jamais de films en VOD... donc là faudra tester, car il peut y avoir des IP sources différentes à ajouter dans la liste VODReplay.
a+
-
Bien joué mais les claviers qui se blo
-
Bien joué mais les claviers qui se blo
Yes désolé, j'ai merdé en tapant le truc... J'ai modifé ! C'est en ordre.
-
Maintenant j'arrive à obtenir une IPv4 avec simplement une requête DHCP sans option 60 ou 61 sur le vlan 100.
-
Bonjour à tous,
Je suis très intéressé par le remplacement de ma BBOX par pfsense. Je me suis lance et je me suis cassé les dents...
J'ai commencé par:
1-Paramétré mon pfsense grâce au tutoriel de Adrien Furet (https://www.adrienfuret.fr/2017/12/16/bbox-ftth-pfsense/), mais rien, le pfsense n'arrive pas à obtenir l'ip.
2- En faisant quelques recherches sur le net je suis tombé chez vous et j'apprend que le VLAN 200 devient 100 et la commande dhcp-class-identifier « byteliad_data » change aussi.
Mais toujours rien, y a t'il un personne qui a réussi à paramètrer son pfsense avec ONT de BBOX?
Merci
-
Question technique pour ceux qui ont installé un tap ou un bridge entre l'ONT et la bbox, avez-vous du trafic uniquement ICMP v6 sur le vlan 10 ?
La bbox envoie des requêtes MLD v2 et RA sur le vlan 10, cela explique-t-il les difficultés à obtenir les flux TV ?
-
Question technique pour ceux qui ont installé un tap ou un bridge entre l'ONT et la bbox, avez-vous du trafic uniquement ICMP v6 sur le vlan 10 ?
La bbox envoie des requêtes MLD v2 et RA sur le vlan 10, cela explique-t-il les difficultés à obtenir les flux TV ?
oui y'a bien des ICMPv6 sur le VLAN 10. Mais je doute que c'est un lien avec la TV.
En fait la box envoi ces ICMPv6 sur 3 vlan : 10, 100 puis sans vlan.
-
D'abord je tiens à remercier les contributeurs du thread et plus particulièrement gartox, j'ai récemment switcher d'orange à bouygues j'ai pu garder mon mikrotik et juste saisir les conf proposées ici pour avoir uns installation fonctionnelle ! (on note que chez bouygues la bbox pose de vrai soucis de drop de connexion et de latence variable qui rende par exemple le jeu en ligne catastrophique malgré l'option 'JEU' qui a plus d'effet placebo chez certain qu'un aspect technique).
juste une remarque sur le script anti scan, si vous utilisez des outils de surveillance de votre réseau de l'extérieur, tout s'allume au rouge avec l'option tarpit, qui laisse croire à ces systèmes que tous les ports sont ouverts, ce n'est pas non plus pratique pour savoir si on n'a pas ouvert des ports sans le savoir/vouloir :)... pensez à désactiver les 2 règles de tarpit avant de faire vos tests et de les remettre ensuite.
-
Bonjour à tous,
nouveau client Bouygues je suis tombé sur ce fil un peu par hasard.
J'aimerais essayer de brancher mon PC en direct sur l'ONT sans passer par la box ou par un routeur en suivant le tuto en première page.
Je suis les étapes de la modification de "dhclient.conf" et "interfaces" mais il ne se passe rien, au final je n'accède pas à internet.
Je pense qu'il y a un bout d'information que je n'ai pas saisi car
Le Vendor Class Identifier a spécifié lors de la requête DHCP serait BYGTELIAD.
là je bloque. Quelle requête DHCP? comment et où spécifier un VCI?
merci de vos réponses
-
Si tu es sous inux, c'est bien expliqué :
sudo nano /etc/dhcp/dhclient.conf
Rajouter à la fin :
interface "eth0.100" {
send vendor-class-identifier "BYGTELIAD";
}
remplace juste eth0 par le nom de ton interface Ethernet.
-
J'ajoute que si le bail dhcp n'a pas été libéré proprement par la bbox (hard reboot), il faudra attendre 1h ou spoofer l'adresse MAC de la bbox pour récupérer une IP.
-
Quelle requête DHCP? comment et où spécifier un VCI?
merci de vos réponses
VCI c'est sur de l'ATM, non ? C'est plutôt VLAN dans le cas de l'Ethernet DHCP.
-
A priori je n'avais plus de flux TV depuis quelques jours, il semble que l'ip 212.194.36.24 soit à ajouter.
/ip firewall address-list add list=TV address=212.194.36.0/24
-
Salut,
quelles chaînes utilisent ce préfixe ?
-
A priori toutes les chaînes standards + tnt via la box ne fonctionnaient plus. Et j'avais un fwinputdrop sur cette ip de chez Bouygues en UDP
-
Je vérifierai chez moi s'il y a du changement.
Est-ce qu'un MTR vers cet IP montre un équipement hébergé chez TH2 ?
-
Je ne vois que ce step:
3.|-- sy.bsr01-zip.net.bbox.fr 0.0% 10 11.2 9.9 5.5 14.0 3.1
-
huh ?
Depuis OVH, j'atteris à TH2:
mtr -rwc100 212.194.36.24
Start: 2019-07-02T11:43:33+0200
HOST: plop Loss% Snt Last Avg Best Wrst StDev
1.|-- 178.32.219.252 93.0% 100 0.3 0.4 0.3 0.7 0.2
2.|-- be134.rbx-d2-a75.fr.eu 0.0% 100 0.3 0.3 0.3 0.5 0.0
3.|-- 10.95.64.2 0.0% 100 1.5 2.8 1.2 38.8 4.8
4.|-- be100-1044.gsw-1-a9.fr.eu 0.0% 100 4.6 4.4 4.0 8.9 0.6
5.|-- be100-2.th2-1-a9.fr.eu 0.0% 100 4.5 4.5 4.2 4.9 0.2
6.|-- ??? 100.0 100 0.0 0.0 0.0 0.0 0.0
-
Etrange depuis mon lan
mtr -rwc100 212.194.36.24
Start: Tue Jul 2 09:53:08 2019
HOST: linuxkit-025000000001 Loss% Snt Last Avg Best Wrst StDev
1.|-- router.lan 0.0% 100 5.4 5.3 2.3 12.8 2.5
2.|-- sy.bsr01-zip.net.bbox.fr 0.0% 100 3.7 10.9 3.6 68.6 7.8
En tout cas la télé fonctionne ...
-
Depuis chez moi j'ai un hôte intermédiaire qui ne répond pas.
En effet le principal est que tout fonctionne.
-
Hello :)
Update 21/05/2020.
Internet fonctionne avec VLAN 100 tagged + Adresse Mac de la Bbox Internet mise sur le routeur.
TV fonctionne en changeant mode IPTV vers Stream mode (réglages BBOX TV).
Merci à tous !! :D
Bonne journée a tous,
-
Bonjour,
Quel est l'avantage du mode stream sur iptv ? Est-ce que cela simplifie la gestion des règles du firewall ?
Benoit
-
TV fonctionne en changeant mode IPTV vers Stream mode (réglages BBOX TV).
Il me semble que tu perds des chaines et en qualité non ?
-
Il me semble que tu perds des chaines et en qualité non ?
Surtout en qualité oui, c'est du simple streaming.
Le mode IPTV c'est la qualité fibre.
-
huh ?
Depuis OVH, j'atteris à TH2:
mtr -rwc100 212.194.36.24
Start: 2019-07-02T11:43:33+0200
HOST: plop Loss% Snt Last Avg Best Wrst StDev
1.|-- 178.32.219.252 93.0% 100 0.3 0.4 0.3 0.7 0.2
2.|-- be134.rbx-d2-a75.fr.eu 0.0% 100 0.3 0.3 0.3 0.5 0.0
3.|-- 10.95.64.2 0.0% 100 1.5 2.8 1.2 38.8 4.8
4.|-- be100-1044.gsw-1-a9.fr.eu 0.0% 100 4.6 4.4 4.0 8.9 0.6
5.|-- be100-2.th2-1-a9.fr.eu 0.0% 100 4.5 4.5 4.2 4.9 0.2
6.|-- ??? 100.0 100 0.0 0.0 0.0 0.0 0.0
juste un petit hs pour préciser que ça ressemble a une ip pas annoncé sur internet. du coup, dès qu'on sors du réseau ovh par th2 en locurence ici, plouf, le trou noir. :) ça fera ça avec n'importe' quel opérateur.
-
Toujours pas de nouvelle de l'IPV6 ?
-
il y a de plus en plus de personnes en IPv6 FTTH chez Bouygues ( https://lafibre.info/bbox-ftth/ipv6-chez-bouygues-ftth/96/ ) , après pour une généralisation ...
Il faudrait voir quand l'ARCEP publiera les chiffres de transition pour l'IPv6 en France cette année (mi novembre ? décalé avec le confinement ?) car normalement Bouygues (comme les autres FAIs) fera un statut de sa situation sur la transition d'IPv6 au 30/06/20 et donnera ses prévisions pour les années à venir...
histoire de savoir si c'est en cours de généralisation étalé sur 6 mois ou 6 ans ...
-
Et du coup le passage à l'ipv6 ça craint pour ceux qui ont remplacé leur Bbox par un routeur autre ?
-
Non, Bouygues propose du dual stack, pas de 6rd pour le moment.
-
Il me semble que tu perds des chaines et en qualité non ?
Oui tu perds beaucoup de chaines.
-
FYI
je viens de passer chez Bouygues.
USG double WAN Orange / Bouygues.
niveau config. VLAN 100
pas de tag, pas de @mac, d'autres modif.
tout se passe bien pour le moment.
IPv6 non activé pour le moment (@vivien pas tapé).
-
Bonjour,
Aujourd'hui une chose étrange s'est produite : j'ai perdu la connexion (plus de ping, host unreachable) et j'ai du faire un renew manuel du dhcp sur le wan pour obtenir de nouveau la connexion ... ?
J'ai un ONT branché sur un USG (VLAN 100) et ça fonctionnait bien depuis plusieurs mois (ipv6 y compris).
-
J'ai reçu un SMS de Bouygues m'indiquant une mise à niveau technique sur les installations. Peut-être que c'était simplement lié à une maintenance.
-
Les listes d'IP ByTEL TV et VOD repérées sont les suivantes, j'ai mis des /24 plutôt que les IP des serveurs répérés, çà permet d'éviter trop de modifications en partant de l'hypothèse que si Bouygues change de serveur, ils prendront un ip dans le même réseau. Tous les réseaux vu sont bien attribués à Bouygues au niveau du RIPE :
/ip firewall address-list
add address=212.195.48.0/24 list=VODReplay
add address=212.195.244.0/24 list=VODReplay
add address=62.34.201.0/24 list=VODReplay
add address=194.158.119.0/24 list=VODReplay
add address=195.36.152.0/24 list=VODReplay
add address=192.168.0.0/24 list=MyNetworks
add address=192.168.1.0/24 list=MyNetworks
add address=192.168.254.0/30 list=MyNetworks
add address=193.251.97.0/24 list=TV
add address=89.86.97.0/24 list=TV
add address=176.165.8.0/24 list=TV
add address=89.86.96.0/24 list=TV
Hello est-ce que certain se sont intéressés à l'évolution des plages IP nécessaires pour TV et Replay ? De mon coté j'avais eu une nouvelle plage à ajouter en Juin 2019, mais ce soir impossible de regarder la 2 et tf1 en hd sans rajouter une collection d'IP :( (j'ai mis des /16 dans la précipitation de raté l'euro :) ):
# LIST ADDRESS CREATION-TIME
0 TV 193.251.97.0/24 may/04/2019 02:15:32
1 TV 89.86.97.0/24 may/04/2019 02:15:32
2 TV 176.165.8.0/24 may/04/2019 02:15:32
3 TV 89.86.96.0/24 may/04/2019 02:15:33
4 TV 212.194.36.0/24 jun/30/2019 23:20:43
5 TV 193.46.255.0/24 jun/19/2021 15:38:30
6 TV 35.153.105.0/24 jun/19/2021 15:42:01
7 TV 91.213.0.0/16 jun/19/2021 15:43:27
8 TV 103.203.0.0/16 jun/19/2021 15:45:05
9 TV 46.101.0.0/16 jun/19/2021 15:46:17
10 TV 192.46.0.0/16 jun/19/2021 15:47:05
11 TV 17.248.0.0/16 jun/19/2021 15:47:45
12 TV 54.88.0.0/16 jun/19/2021 15:49:31
-
De mon côté, je n'ai toujours besoin que de 3 préfixes pour la TV.
-
De mon côté, je n'ai toujours besoin que de 3 préfixes pour la TV.
Est-ce que vous utilisez l'app Bouygues ou la Bboc tv directement ? Mes flux à rajouter ne concerne que les chaînes HD donc potentiellement non accessible à l'appli BBox sur téléphone ou android tv mais que sur la bbox tv.
Benoit
-
Non, ce sont bien les flux multicast.
193.251.97.0/24
89.86.97.0/24
89.86.96.0/24
-
Bonjour,
J'ai suivi les tutos sur La Fibre.info pour connecter directement un ASUS R7800 à l'ONT ByTel. J'avais besoin de récupérer le préfixe IPv6 /60 pour donner des adresses à des conteneurs sur plusieurs ordis.
Avec OpenWrt standard on perd en débit, mais c'est suffisant (180 Mbps up/down). Je n'ai pas testé les firmwares d'acwifidude utilisant le bypass hardware.
Tout fonctionnait bien jusqu'au 14 juillet. Les chaînes TV en direct ont cessé de fonctionner à peu près au milieu du défilé militaire.
Depuis Internet fonctionne bien (IPv4 et IPv6), les applications de la box aussi, mais plus de direct.
Une idée?
Jean-Marc
-
Bonjour,
il faut vérifier dans les outils système que la Miami est bien authentifiée.
J'ai des suspicions que ByTel a changé la méthode d'authentification, j'ai vu apparaître des erreurs chez moi.
-
Bonsoir,
Sur la BBox Miami il y a 3 authentifications à "ON" (Oauth, et deux autres plus spécifiques).
Correction: la télé marche en streaming. La panne ne concerne que l'IPTV qui est le mode automatique (IPTV HD).
Je n'ai pas testé l'IPTV normale, mais la qualité est déjà moins bonne en streaming qu'en IPTV.
L'IPTV est très liée aux VLAN et aux fonctions de CoS. J'ai testé fq_codel et cake et les deux semblaient fonctionner, au moins pour implémenter une fonction SQM.
Je n'ai strictement aucune idée de ce qui a changé. J'ai l'erreur F3411.
En fait, même avant de supprimer la BBox j'avais occasionnellement cette erreur sur la BoxTV et il fallait la redémarrer pour que l'erreur s'en aille. C'était même plus qu'occasionnel: cela se produisait à chaque fois que la BBox Miami se mettait en veille.
Il y a peut-être un hard reset de la BBox Miami à faire ?
Vous avez fait un travail incroyable sur ce forum.
Jean-Marc
-
Hello,
J'envisage de remplacer la box par un TP Link MR600. Est simple pour récupérer la connexion directement depuis l'ONT? Existe-t-il un guide pour les idiots?
Merci
-
Bonjour david42fr,
J'envisage de remplacer la box par un TP Link MR600.
Sur ce forum, mirtouf a fait des guides qui contiennent toutes les informations nécessaires.
Il vaut mieux chercher les instructions qui correspondent précisément au logiciel du routeur : pfSense, OpnSense, DD-WRT, OpenWrt.
Ce n'est pas un guide pour les nuls. Pour avoir de bonnes chances de succès il faut comprendre le plus possible de choses sur le fonctionnement des réseaux.
-
Il me semble que tu perds des chaines et en qualité non ?
Surtout en qualité oui, c'est du simple streaming.
Le mode IPTV c'est la qualité fibre.
Oui tu perds beaucoup de chaines.
Bonjour :)
Quelqu'un peut me confirmer que seul le mode streaming est proposé en cas de suppression de la BBOX ?
Je trouve cela étonnant qu'une seule personne le mentionne dans tous le sujet..
Merci !
-
A ma connaissance, non, la box tv fonctionne comme d'hab, pas uniquement en mode streaming, si tu as bien configurer ton routeur.
-
Merci car je commençais à douter :)
Vu que je n'arrivais qu'à faire fonctionner le mode streaming en ôtant la bbox...
-
Hélas pareil pour moi. Pas le temps de creuser en ce moment. Les apps de VOD passent par Internet de toute manière, donc ça n'impacte pas la qualité des films. Mais la TV en direct est dégradée.
-
Alors que je n'avais pas encore regardé la configuration igmp pour l'IPTV, je m'en suis occupé ce matin en suivant le post de mirtouf pour pfSense.
Mais un truc bizarre : alors que j'avais l'impression que cela ne fonctionnait pas du tout, j'ai en fait un fonctionnement très partiel : entendez par là, j'ai remarqué que France 2 fonctionne, mais à peu près aucune autre chaine (j'ai testé que la 1ère trentaine de chaines).
Une idée ? Avez-vous déjà observé ce comportement ?
-
Tu regardes les chaînes avec le décodeur TV et pas avec VLC ?
J'imagine que c'est selon la source utilisée : il y a plusieurs sources pour les flux TV. Une doit passer pas les autres.
Il faudrait une capture wireshark entre le décodeur et ton routeur pour voir l'IPv4 multicast utilisée.
-
Alors que je n'avais pas encore regardé la configuration igmp pour l'IPTV, je m'en suis occupé ce matin en suivant le post de mirtouf pour pfSense.
Mais un truc bizarre : alors que j'avais l'impression que cela ne fonctionnait pas du tout, j'ai en fait un fonctionnement très partiel : entendez par là, j'ai remarqué que France 2 fonctionne, mais à peu près aucune autre chaine (j'ai testé que la 1ère trentaine de chaines).
Une idée ? Avez-vous déjà observé ce comportement ?
Salut !
Je viens de me faire livrer la fibre Bouygues, la configuration a été ultra simple, rien à redire à ce sujet, la config d'internet, les doigts dans le nez.
Sauf que je galère sur la TV, et il n'y a effectivement QUE France 2 qui fonctionne aussi, les autres chaines, wallouh.
J'ai repris 18 fois la conf de mon pfSense en version 2.6.0 mais rien à faire, et j'étais deja chez Orange avant, tout fonctionnait parfaitement, je connaissais donc la technique de l'IGMP Proxy, etc.
As-tu réussi à résoudre ton problème ?
DinDon
EDIT : j'ai revérifié toute ma config hier en passant dans System Logs > Firewall.
J'ai fait pété les règles de filtrages, et je voyais bien une IP bloquée + l'IGMP bloqué.
En refaisant les règles correctement, plus de blocage, mais toujours que la 2 qui fonctionne.
Le VOD/Replay fonctionne parfaitement, et ce matin je vois que la 14 fonctionne aussi.
Je n'y comprends plus rien, et je n'arrive pas à vérifier l'IGMP en SSH comme vous le faites...
-
J'ai remis le décodeur miami en fonction chez moi hier, et j'ai bien la tv iptv udh qui fonctionne en multicast (pas testé les replay et vod).
Sur mon mikrotik , j'ai ces 3 règles pour l'iptv :
1 ;;; Flux TV Input
chain=input action=accept protocol=udp in-interface=Fibre_ByTel_vl100 dst-port=1234,8200,8202,49152 log=no log-prefix=""
2 ;;; Flux TV 2
chain=forward action=accept protocol=udp in-interface=Fibre_ByTel_vl100 dst-port=1234,8200,8202,49152 log=no log-prefix=""
(quasi sur que le 49152 ne sert pas, pas encore pris le temps de regarder les logs. Pareil pour les ips sources, pour le moment c'est open)
3 ;;; Flux TV IGMP
chain=input action=accept protocol=igmp in-interface=Fibre_ByTel_vl100 log=no log-prefix=""
Ensuite coté IGMP Proxy :
quick-leave: yes
query-interval: 2m5s
query-response-interval: 10s
et
0 U interface=Fibre_ByTel_vl100 threshold=1 alternative-subnets=0.0.0.0/0 upstream=yes
1 interface=sfp-sfpplus1 threshold=1 alternative-subnets=0.0.0.0/0 upstream=no
(sfp-sfpplus1 = mon lan)
Sur mon switch où est relié mon ONT (un G-010S-A), je mets les paquets igmp avec une CoS de 3, j'avais lu ça quelque part.
Sur mon switch "interne" coté LAN de mon mikrotik où est branché le décodeur, j'ai activé l'igmp snooping.
Dernière chose mais c'est déja indiqué dans le tuto, bien affecter les DNS de bouygues au décodeur.
Ensuite dans le décodeur, j'ai du forcer le profil iptv uhd, eeet ça fonctionne. La qualité est bien meilleur qu'en streaming, et je vois bien les stats igmp exploser quand la tv est en route. Au démarrage (vrai démarrage, pas juste une sortie de veille) j'ai l'erreur f3411 pendant 20-30 secondes, ensuite tout est ok, je suppose que c'est le temps de récupérer les droits ? Bref, tout est ok.
Il me reste à sécuriser les sources.
EDIT : Ok, de ce que je vois, le port 49152 est utilisé par la source, pas en destination. Du coup j'ai supprimé le port en destination dans les règles, mais je l'ai rajouté en source pour sécuriser un peu le bousin. Ca permet de ne pas être bloqué si BT utilise de nouvelles IP source (mais je ne pense pas que le port change).