La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Bbox par un routeur => Discussion démarrée par: mirtouf le 21 février 2019 à 22:49:43
-
Chères lectrices, chers lecteurs,
voici quelques informations techniques utiles pour quiconque souhaiterait utiliser un autre routeur que la bbox fournie.
Comme depuis la fin d'année 2018, tout ce qui est nécessaire pour l'usager passe sur le VLAN 100.
Mon cas se base sur l'utilisation d'un routeur F@st 5330b-r1 et d'une Miami 4k (Brooklyn) et d'un bridge (les plus fortunés utiliseront un tap) pour savoir ce qui sort de la bbox.
- Séquence de démarrage
- Remarques générales
- Accès internet
- TV
- Replays
- Téléphone
- Bugs et limitations
- Anti-rejeu
- FAQ
1. Séquence de démarrage
Le routeur suit l'ordre de séquence suivant à la mise sous tension (grandes lignes):
- Requêtes ICMP v6 (RA et MLD v2 notamment) sur les VLAN 100 (le VLAN usager), VLAN 10 (maintenance des équipements réseaux ?) et sans VLAN
- Requête DHCP v6 (PD)
- Requête DHCP puis obtention du bail sur le VLAN 100
- Requête DNS sur le serveur TR-069 aCS.boUYgueSboX.fR et level3.com
- Requêtes http sur 67.26.133.252 puis https sur le serveur TR-069 194.158.119.72
- Requêtes DNS sur www.ams-ix.net www.tatacommunications.com ASBCIDF11.fai.bouygtel.net (de façon générale le registraire SIP)
- Initiation session SIP (cf point 6)
- Requêtes DNS sur www.neotelecoms.com (laule)
DNS www.google.fr
DNS www.lyonix.net
DNS www.leaseweb.com
DNS www.bouyguestelecom.fr webiad.bouyguesbox.fr
DNS www.apple.com
DNS www.facebook.com
DNS www.leboncoin.fr
DNS acs.bouyguesbox.fr
DNS webiad.bouyguesbox.fr
DNS wikipedia.org
DNS sharepoint.com
DNS connectivitycheck.gstatic.com 194.158.122.15
DNS connectivitycheck.android.com 172.217.22.142
DNS clientservices.googleapis.com
DNS secure.bouygtel.fr
DNS… - Plein de ping
- Encore du DHCPv6
- Plein de requêtes http(s) sans doute pour s'assurer que la connexion est bonne
J'exclus pour le moment les requêtes IGMP nécessaires pour la STB.
2. Remarques générales
802.1p
La première chose remarquée est que le routeur utilise IEEE 802.1p (https://fr.wikipedia.org/wiki/IEEE_802.1p) pour prioriser son trafic ce qui est normal puisque des flux multicast (y compris IGMP) et RTP pour la voix vont transiter sur le réseau.
Toutefois, certaines choses sont plus difficiles à comprendre. Certaines requêtes http(s) sont p6 en sortie de la bbox (cf capture jointe), les requêtes DNS en sortie vers les DNS Bouygues sont p6 alors que les requêtes vers d'autres serveurs sont p0 !
De manière générale:
- p6 pour les requêtes DHCP(v6)
- p5 en sortie et entrée pour IGMP
- p6 pour ICMP en sortie lorsque les paquets sont générés par la box, p0 dans les autres cas
- les flux multicast arrivent p5
- p5 pour les sessions SIP et RTP
- ...
DHCP
Contrairement à Orange, Bouygues ne discrimine pas les requêtes DHCP qui ne sont pas marquées p6.
TR-069
Le serveur en charge de la maintenance et du déploiement des firmwares est 194.158.119.72
Il se connecte sur les ports 51005 (bbox) et 52005 (Miami via une règle UPnP), la bbox le contacte via https à chaque démarrage.
Passerelle
Bouygues utilise VRRP (https://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol) pour annoncer ses passerelles. Je ne sais pas quelle est l'influence au niveau du routage (unicast et multicast).
3. Accès internet
Pourvu que le bail précédent a été correctement libéré, une simple requête DHCP non priorisée sur le VLAN 100 permet d'obtenir une adresse IP routable.
Sans libération propre du bail précédent, il faudra cloner l'adresse MAC de la bbox ou attendre au maximum 1 heure.
4. TV
Ce qui est obligatoire:
- marquage p5 des paquets IGMP via la cos (interface WAN)
- possibilité de forcer IGMPv2
- un proxy IGMP qui ne traîne pas de bugs impactant (notamment un bon support des VLAN) le bon fonctionnement du multicast
Comme déjà plus ou moins énoncé les flux sont distribué par multicast (224.0.0.0/4 en destination) et les routes sont annoncées via IGMP.
Les préfixes distribuant les flux sur les ports 8200 ou 49152:
- 89.86.96.0/24
- 89.86.97.0/24
- 176.165.8.0/24 (pas encore vu chez moi, annonce ByTel mobile ?)
- 193.251.97.0/24
Peut-être que les préfixes peuvent être plus réduits (à voir).
Les ports en entrée sont 1234, 8200 ou 8202 en UDP.
igmpproxy.conf
##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave
phyint igb0.100 upstream ratelimit 0 threshold 1
altnet 193.251.97.0/24
altnet 89.86.97.0/24
altnet 176.165.8.0/24
altnet 89.86.96.0/24
phyint igb1 downstream ratelimit 0 threshold 1
altnet 192.168.1.0/24Si vous avez 2 Miami chez vous, je vous conseille de désactiver le quickleave.
Pour la partie IGMP, il s'agit d'annonces IGMP v2 dont l'annonce peut provenir de 0.0.0.0 et c'est là que les choses se compliquent pour certaines personnes malgré une règle autorisant tout le trafic IGMP en entrée. En effet igmpproxy ou mcroute n'arrivent pas à mettre à jour la table de routage (constaté chez moi).
Le dirty workaround consiste à lancer pimd mal configuré, le tuer puis relancer igmpproxy et tout fonctionne ! Il subsiste toutefois un problème lorsque la Miami est en veille, au bout d'un certain temps (pas encore mesuré), il faut refaire la bidouille pour que cela refonctionne.
Je rappelle que igmpproxy agit en proxy et donc les règles de filtrage se font uniquement en entrée WAN.
La Miami 4k a, a priori, besoin de UPnP pour fonctionner (difficile à vérifier) et avoir accès au service TR-069.
5. Replays
Pour les replays il s'agit de flux UDP émis (prestataire http://bytel.prod.spideo.com/) par les préfixes (à réduire ?):
- 212.195.48.0/24
- 212.195.244.0/24
- 62.34.201.0/24
- 194.158.119.0/24
- 195.36.152.0/24
sur l'intervalle de ports 20000-30000 qu'il faudra natté vers la Miami.[/s]
ByTel a migré tout ou partiellement vers de l'unicast, la solution ne semble plus nécessaire.
https://www.bbox-mag.fr/box/firmware/17128158-mise-a-jour-des-decodeurs-4k-hdr-4k-et-miami-janvier-2023
6. Téléphone
Bouygues utilise du SIP pur jus avec certaines option anti-rejeu sans communiquer le mot de passe, voici un exemple en capture:
REGISTER sip:fai.bouygtel.net SIP/2.0
Via: SIP/2.0/UDP 176.134.1.254;rport;branch=z9hG4bK7e7ejSamy5vvg
Max-Forwards: 70
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
To: <sip:+33123456789@fai.bouygtel.net>
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
CSeq: 21 REGISTER
Contact: <sip:+33123456789@176.134.1.254;transport=UDP>
Expires: 1800
Min-Expires: 180
User-Agent: SagemCom Fast5330b 16.2.20
Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, PRACK, MESSAGE, NOTIFY, REFER, UPDATE, INFO, REGISTER
Supported: 100rel, replaces, path
Content-Length: 0
SIP/2.0 401 Unauthorized
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
Via: SIP/2.0/UDP 176.134.1.254;received=176.134.1.254;branch=z9hG4bK7e7ejSamy5vvg;rport=5060
To: <sip:+33123456789@fai.bouygtel.net>;tag=5a0df55c-5c2baa8933edb604
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
CSeq: 21 REGISTER
Date: Tue, 01 Jan 2019 17:59:37 GMT
WWW-Authenticate: Digest realm="ims.bouyguestelecom.fr",
nonce="a6c9036dbf3054vga940e5c2baa889703dc8f84c3249",
opaque="ALU:DbkRBthOEgEQAkgVEgwHRAIBHgkdHwQCQ4lFRkBWFxsvKzAndXdpIScsOS1jJyIjfzA8ISwxIj0qLlReVldaWxleSwobHlTH",
algorithm=MD5,
qop="auth"
Content-Length: 0
REGISTER sip:fai.bouygtel.net SIP/2.0
Via: SIP/2.0/UDP 176.134.1.254;rport;branch=z9hG4bK0mX9K72ttepZj
Max-Forwards: 70
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
To: <sip:+33123456789@fai.bouygtel.net>
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
CSeq: 22 REGISTER
Contact: <sip:+33123456789@176.134.1.254;transport=UDP>
Expires: 1800
Min-Expires: 180
User-Agent: SagemCom Fast5330b 16.2.20
Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, PRACK, MESSAGE, NOTIFY, REFER, UPDATE, INFO, REGISTER
Supported: 100rel, replaces, path
Authorization: Digest username="12345@ims.bouyguestelecom.fr", realm="ims.bouyguestelecom.fr", nonce="a6c9036dbf3054vga940e5c2baa889703dc8f84c3249", cnonce="8H6rAYiREjetmB7pln8UrE", opaque="ALU:DbkRBthOEgEQAkgVEgwHRAIBHgkdHwQCQ4lFRkBWFxsvKzAndXdpIScsOS1jJyIjfzA8ISwxIj0qLlReVldaWxleSwobHlTH", algorithm=MD5, uri="sip:fai.bouygtel.net", response="c42d9cc3dbddd70feca8fb3a8c681d56", qop=auth, nc=00000001
Content-Length: 0
SIP/2.0 200 OK
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
Via: SIP/2.0/UDP 176.134.1.254;received=176.134.1.254;branch=z9hG4bK0mX9K72ttepZj;rport=5060
To: <sip:+33123456789@fai.bouygtel.net>;tag=5a0df55c-5c2baa89385819f0
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
CSeq: 22 REGISTER
Allow-Events: reg
Contact: <sip:+33123456789@176.134.1.254;transport=udp>;expires=900
Date: Tue, 01 Jan 2019 17:59:37 GMT
Path: <sip:62.201.147.164:5060;lr;ottag=ue_term;bidx=63008798;access-type=ADSL>
P-Associated-URI: <sip:+33123456789@fai.bouygtel.net>
P-Associated-URI: <tel:+33123456789>
Content-Length: 0
REGISTER sip:fai.bouygtel.net SIP/2.0
Via: SIP/2.0/UDP 176.134.1.254;rport;branch=z9hG4bKttK2NNU1QQF0m
Max-Forwards: 70
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
To: <sip:+33123456789@fai.bouygtel.net>
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
CSeq: 23 REGISTER
Contact: <sip:+33123456789@176.134.1.254;transport=UDP>
Expires: 1800
Min-Expires: 180
User-Agent: SagemCom Fast5330b 16.2.20
Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, PRACK, MESSAGE, NOTIFY, REFER, UPDATE, INFO, REGISTER
Supported: 100rel, replaces, path
Authorization: Digest username="12345@ims.bouyguestelecom.fr", realm="ims.bouyguestelecom.fr", nonce="a6c9036dbf3054vga940e5c2baa889703dc8f84c3249", cnonce="8H6rAYiREjetmB7pln8UrE", opaque="ALU:DbkRBthOEgEQAkgVEgwHRAIBHgkdHwQCQ4lFRkBWFxsvKzAndXdpIScsOS1jJyIjfzA8ISwxIj0qLlReVldaWxleSwobHlTH", algorithm=MD5, uri="sip:fai.bouygtel.net", response="ed9168afc36a75bca0508345b3c14ce6", qop=auth, nc=00000002
Content-Length: 0
SIP/2.0 200 OK
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
Via: SIP/2.0/UDP 176.134.1.254;received=176.134.1.254;branch=z9hG4bKttK2NNU1QQF0m;rport=5060
To: <sip:+33123456789@fai.bouygtel.net>;tag=574e8e9c-5c2bad5a126e20f2
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
CSeq: 23 REGISTER
Contact: <sip:+33123456789@176.134.1.254;transport=UDP>;expires=900
Date: Tue, 01 Jan 2019 18:11:38 GMT
P-Associated-URI: <sip:+33123456789@fai.bouygtel.net>
P-Associated-URI: <tel:+33123456789>
Content-Length: 0
REGISTER sip:fai.bouygtel.net SIP/2.0
Via: SIP/2.0/UDP 176.134.1.254;rport;branch=z9hG4bKK89vQ3K8K082p
Max-Forwards: 70
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
To: <sip:+33123456789@fai.bouygtel.net>
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
CSeq: 24 REGISTER
Contact: <sip:+33123456789@176.134.1.254;transport=UDP>
Expires: 1800
Min-Expires: 180
User-Agent: SagemCom Fast5330b 16.2.20
Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, PRACK, MESSAGE, NOTIFY, REFER, UPDATE, INFO, REGISTER
Supported: 100rel, replaces, path
Authorization: Digest username="12345@ims.bouyguestelecom.fr", realm="ims.bouyguestelecom.fr", nonce="a6c9036dbf3054vga940e5c2baa889703dc8f84c3249", cnonce="8H6rAYiREjetmB7pln8UrE", opaque="ALU:DbkRBthOEgEQAkgVEgwHRAIBHgkdHwQCQ4lFRkBWFxsvKzAndXdpIScsOS1jJyIjfzA8ISwxIj0qLlReVldaWxleSwobHlTH", algorithm=MD5, uri="sip:fai.bouygtel.net", response="3e1a873733aa8eb3b162c3c9e9a33983", qop=auth, nc=00000003
Content-Length: 0
SIP/2.0 200 OK
Call-ID: d86e9675-8891-1237-84ac-1ee9967f14ac
Via: SIP/2.0/UDP 176.134.1.254;received=176.134.1.254;branch=z9hG4bKK89vQ3K8K082p;rport=5060
To: <sip:+33123456789@fai.bouygtel.net>;tag=5a0df55c-5c2bb02936b6dcc5
From: <sip:+33123456789@fai.bouygtel.net>;tag=54SyNNHZNB9vg
CSeq: 24 REGISTER
Allow-Events: reg
Contact: <sip:+33123456789@176.134.1.254;transport=udp>;expires=900
Date: Tue, 01 Jan 2019 18:23:37 GMT
Path: <sip:62.201.147.164:5060;lr;ottag=ue_term;bidx=63008798;access-type=ADSL>
P-Associated-URI: <sip:+33123456789@fai.bouygtel.net>
P-Associated-URI: <tel:+33123456789>
Content-Length: 0
La formule magique est la suivante :
ha1=`echo -n $username":"$realm":"$password | md5sum`
ha2=`echo -n $method":"$uri | md5sum`
response=`echo -n $ha1":"$nonce":"$nc":"$cnonce":"$qop":"$ha2 | md5sum`
où username est "12345@ims.bouyguestelecom.fr" (à capturer) / realm "ims.bouyguestelecom.fr" / password a priori inconnu / method "REGISTER" / uri "sip:fai.bouygtel.net" / nonce "a6c9036dbf3054vga940e5c2baa889703dc8f84c3249" (à capturer) / nc s'incrèmente à chaque requête ! / cnonce "8H6rAYiREjetmB7pln8UrE" (à capturer) / qop auth (option à configurer)
Je ne sais pas s'il est aisèment possible de déduire le mot de passe (seule inconnue) aisèment ; il existe des petits programmes pour calculer le mot de passe à partir de ha1 (ha1 et ha2 ne sont pas diffusés sur le réseau). En outre, Bouygues via le TR-069 peut changer le mot de passe comme bon leur semble, compliquant l'opération.
Solution low cost pour le téléphone.
la bbox est bonne poire et accepte de se connecter en local mais surtout en IPv6 pour profiter du téléphone, il vous faut donc:
- un port libre sur votre routeur et la bbox connecté depuis son port WAN vers le routeur
- ledit port doit avoir un préfixe IPv6 (même un /63 on prend...) sur le VLAN 100
- un serveur dhcpv6 qui écoute sur le vlan 100
- des règles de firewall pour autoriser le trafic depuis la bbox vers la passerelle Bouygues
Cela ne fonctionne plus en IPv4 à cause vraisemblablement du renforcement des contrôles sur le client SIP.
7. Bugs et limitations
1. Je n'ai pas de méthode efficace pour garantir l'utilisation à 100% des flux multicast car même si certains ont le proxy igmp qui fonctionnent sans souci, pour d'autres (comme moi), il faut "ruser" pour obtenir les annonces des routes multicast. Il faudrait voir si pimd est utilisable en tant que tel ou creuse dans le fonctionnement d'igmp.
2. Pas de téléphonie possible à ce jour, la rétro-ingénierie reste à faire mais sans garantie que Bouygues ne change à intervalle régulier les mots de passe. De plus, je ne connais pas de clients qui sont capables toutes ces options (un plugin siproxd à réaliser ?). L'idéal serait que Bouygues mette à disposition un boîtier (type SPA 112) déjà configuré.
8. Anti-rejeu
ByTel a implémenté des solutions anti-rejeu:
DHCP: si le bail n'est pas libéré proprement par un équipement, il faut spoofer l'adresse MAC de cet équipement si le dernier renouvellement a eu lieu il y a moins de 1h.
DHCPv6: autrefois il suffisait d'indiquer le même client id pour obtenir un préfixe, il existe maintenant un contrôle plus poussé pas encore identifié.
Téléphone: le serveur mandataire doit regarder les informations fournies par le client ce qui implique notamment qu'on ne peut plus mettre la bbox derrière un routeur pour jouer le rôle de boîtier SIP.
9. FAQ
1. Pare-feu pour IGMP.
Si vous bloquez les requêtes depuis les bogon networks vous ne recevrez pas les annonces IGMP depuis 0.0.0.0 (l'OLT ?) indispensables pour la TV.
-
Utilisateurs ayant la TV et Internet sur VLAN 100
Guides d'utilisateur:
tivoli pour Ubiquiti ER-X: là (https://lafibre.info/remplacer-bbox/la-configuration-vlan100-qui-fonctionne-chez-moi-en-ligne-de-commande-sur-erx/)
gartox pour RouterOS: là (https://lafibre.info/remplacer-bbox/informations-de-connexion-ftth/msg596080/#msg596080) & là (https://lafibre.info/remplacer-bbox/informations-de-connexion-ftth/msg603592/#msg603592)
mon guide pour pfsense: là (https://lafibre.info/remplacer-bbox/ftth-vlan-100-reglages-pfsense-net-tv/)
mon autre guide pour OpenWRT: là pour ER-X (https://lafibre.info/remplacer-bbox/en-coursopenwrt-internet-et-tv-sur-er-x/) et là pour x86 (https://lafibre.info/remplacer-bbox/openwrt-x86-v22-03-net-tv-replays-et-telephone-avec-la-bbox/)
cmer pour Synology (Internet et TV): là (https://lafibre.info/remplacer-bbox/remplacer-bbox-ftth-par-synology-rt1900ac/msg613150/#msg613150)
kingstone33 pour Stormshield (Internet et TV): là (https://lafibre.info/remplacer-bbox/remplacer-bbox-ftth-par-routeur-stormshield/)
cmer pour Asus (Internet et TV): là (https://lafibre.info/remplacer-bbox/remplacer-la-bbox-par-asus-ac66u/msg573112/#msg573112) confirmé pour les firmware Merlin par anastas
srod pour Ubiquiti USG: là (https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-par-un-unifi-security-gateway-usg-vlan-100-tv/)
Informations générales:
Les données générales avec le passage VLAN 200 vers VLAN 100: là (https://lafibre.info/remplacer-bbox/informations-de-connexion-ftth/)
-
Si vous souhaitez compléter ce que j'ai écris, faites-le. ;D
-
Bonjour mirtouf, as tu réussi à faire fonctionner la télé sur un routeur pfSense ?
En effet, j'arrive à faire marcher la télévision avec un router ASUS en activant l'IGMP Proxy.
Cependant sur un pfSense même en activant l'IGMP Proxy, la télévision ne fonctionne toujours pas
merci d'avance
-
Le truc comme décrit plus haut est qu'il faut lancer pimd avec les bonnes interfaces, le tuer et relancer igmpproxy avec la configuration donnée.
Le reste est une affaire de firewall:
- autoriser le trafic IGMP sans activer le rejet des bogons (0.0.0.0 est une source)
- autoriser le trafic depuis les préfixes donnés (ou d'autres préfixes si certaines régions en utilisent d'autres) à destination de 224.0.0.0/4
J'autorise le trafic via des règles flottantes pour pouvoir taguer le trafic IGMP sortant p3.
-
merci pour ta reponse
j'ai decocher la case de bogon en wan,
pour le firewall voici ce que j'ai fait :
et voici ma config pour l'IGMP Proxy :
peux tu m'aider s'il te plait pour la configuration de PIMD ?
-
Il faut arrêter igmpproxy, lancer pimd, relancer igmpproxy avec les limitations qu'en cas d'arrêt de demande d'un flux multicast, il faut refaire la manipulation.
pimd.conf
# These two are only needed if pimd is stared with -N flag
phyint igb0.100 enable igmpv2
phyint igb1 enable igmpv2
# Used for more complex topologies, but is OK to keep anyway
spt-threshold packets 0 interval 100
# These two are requried in case more PIM routers are available
bsr-candidate priority 5
rp-candidate time 30 priority 20
-
merci pour ta reponse,
j'ai desactivé IGMP Proxy puis installé PIMD avec ta conf et relancé l'IGMP Proxy mais ca ne fonctionne toujours pas
-
Quel est la sortie de tcpdump -li igb0.100 igmp (interface à adapter) ?
20:37:49.009425 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
20:37:49.213769 IP 176-133-29-231.abo.bbox.fr > 224.0.0.252: igmp v2 report 224.0.0.252
20:37:50.413962 IP 176-133-29-231.abo.bbox.fr > 239.255.3.22: igmp v2 report 239.255.3.22
20:37:55.814834 IP 176-133-29-231.abo.bbox.fr > 224.0.0.251: igmp v2 report 224.0.0.251
20:37:57.017128 IP 176-133-29-231.abo.bbox.fr > 232.0.4.55: igmp v2 report 232.0.4.55
20:39:54.085786 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
20:39:54.861302 IP 176-133-29-231.abo.bbox.fr > 232.0.4.55: igmp v2 report 232.0.4.55
20:39:58.864061 IP 176-133-29-231.abo.bbox.fr > 224.0.0.252: igmp v2 report 224.0.0.252
20:39:58.864080 IP 176-133-29-231.abo.bbox.fr > 224.0.0.251: igmp v2 report 224.0.0.251
20:40:02.664679 IP 176-133-29-231.abo.bbox.fr > 239.255.3.22: igmp v2 report 239.255.3.22
20:41:59.137623 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
20:41:59.896128 IP 176-133-29-231.abo.bbox.fr > 232.0.4.55: igmp v2 report 232.0.4.55
20:42:01.496393 IP 176-133-29-231.abo.bbox.fr > 239.255.3.22: igmp v2 report 239.255.3.22
20:42:02.496550 IP 176-133-29-231.abo.bbox.fr > 224.0.0.251: igmp v2 report 224.0.0.251
20:42:06.897240 IP 176-133-29-231.abo.bbox.fr > 224.0.0.252: igmp v2 report 224.0.0.252
20:44:04.224666 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
20:44:08.996852 IP 176-133-29-231.abo.bbox.fr > 239.255.3.22: igmp v2 report 239.255.3.22
20:44:09.596973 IP 176-133-29-231.abo.bbox.fr > 224.0.0.252: igmp v2 report 224.0.0.252
20:44:09.796991 IP 176-133-29-231.abo.bbox.fr > 224.0.0.251: igmp v2 report 224.0.0.251
20:44:12.597440 IP 176-133-29-231.abo.bbox.fr > 232.0.4.55: igmp v2 report 232.0.4.55
20:46:09.294391 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
20:46:11.835529 IP 176-133-29-231.abo.bbox.fr > 239.255.3.22: igmp v2 report 239.255.3.22
20:46:13.835858 IP 176-133-29-231.abo.bbox.fr > 224.0.0.252: igmp v2 report 224.0.0.252
20:46:17.636461 IP 176-133-29-231.abo.bbox.fr > 232.0.4.55: igmp v2 report 232.0.4.55
20:46:19.236744 IP 176-133-29-231.abo.bbox.fr > 224.0.0.251: igmp v2 report 224.0.0.251
Il manque l'"IP options" à cocher pour le firewall (WAN et LAN).
-
j'ai uniquement ça :
[2.4.4-RELEASE][admin@pfSense.localdomain]/root: tcpdump -li igb0.100 igmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0.100, link-type EN10MB (Ethernet), capture size 262144 bytes
20:58:29.673406 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
21:00:34.674855 IP 0.0.0.0 > all-systems.mcast.net: igmp query v2
en changent de chaine je vois bien le programme mais toujours pas d'image
-
Si l'option "Allow IP options" est cochée côté WAN et LAN, il faut vérifier que les préfixes sont les bons via les logs du firewall (flux UDP bloqué).
-
Que ceux qui utilisent un routeur ASUS veuillent bien m'indiquer s'il est possible:
- d'avoir la TV avec un firmware stock
- d'avoir la TV avec un firmware Merlin
J'ai vu passé des résultats positifs sur l'ancienne archi (VLAN 100+200) mais sur la nouvelle c'est plus compliqué a priori.
J'avais essayé chez moi sur un firmware stock mais j'avais échoué.
-
avec un ASUS AC87U et un firmware merlin, l'internet et la tele fonctionne
-
merci pour le retour.
-
Un grand merci mirtouf, j'ai enfin la télévision qui marche avec un pfsense
-
Je t'en prie, as-tu eu besoin de ma bidouille pour recevoir les annonces IGMP ou le setup de base était-il suffisant ?
-
non pas eu besoin de bidouille, j'avais installé auparavant le paquet PIMD, mais je l'avais supprimer, en suivant ce tuto : https://lafibre.info/remplacer-bbox/ftth-vlan-100-reglages-pfsense-net-tv/ (https://lafibre.info/remplacer-bbox/ftth-vlan-100-reglages-pfsense-net-tv/) en s’arrêtant au replay ca marche du premier coup
-
Tant mieux pour toi, je ne sais pas ce qui bloque de mon côté.
-
Question bête, pour la TV il n'y a pas de Vlan spécifique comme pour la pzrtie WAN ?
Donc avec ma conf en PF je peux mettre la box tv sur le LAN directement en Vlan 1 ?
-
Il n'y a plus de VLAN 200, tout passe par le VLAN 100. Il est préférable d'implèmenter une fonction d'IGMP snooping pour éviter de bombarder certains clients avec des paquets UDP.
Pour le VLAN 1, si j'ai bien compris, il s'agit du VLAN natif des switches Cisco auquel sont assignées les trames non marquées ?
-
La TV aussi passe par le VLAN 100 ?
Je vais peut être dédier une interface physique à la TV pour le coup, mon switch ne gère pas les Vlan..
Le Vlan 1 est le Vlan par défaut.
-
C'est "sans vlan coté lan" ce n'est pas le vlan 1 ;)
-
Autant pour moi ;)
-
J'ai ajouté la solution lowcost pour le téléphone, la bbox devenant un "gros" adaptateur SIP.
-
Bonjour Mirtouf, j'ai suivi tes indications pour la mise en place de la téléphonie. Les appels sortant passent bien mais les appels entrant ne fonctionnent que par intermittence (pendant 15-30 mn 4-5 fois par jour).
Pourrais-tu détailler un peu plus ta configuration pour la téléphonie ?
De mon côté :
+ Bouygues
|
|
++-+
|FO|
++-+
| Wan IP (vlan 100)
+----+------------+
| PfSense |
++--------------+-+
| .1 | .1
| | 192.168.16.0/24 (vlan 100)
| | .10
| +--+----+
| | Bbox |
| +-+---+-+
| | |
+--+----+ | +-+---+
192.168.8.0/24 | 192.168.1.0/24
LAN | (vide)
Tél
Au niveau du routeur PfSense:
- Rules : Bbox --> accès complet à internet
- NAT : forward SIP entrant vers Bbox
- DNS Bouygues utilisés
- Pas de configuration TV, IGMP,…
Merci d'avance,
-
Salut,
Il ne me semble pas avoir fait du NAT.
Je recommande de déconnecter les éventuels autres adaptateurs SIP ou logiciels SIP.
J'avais testé 3 appels entrants avec 3 numéros différents et cela avait fonctionné, je n'avais pas testé la configuration sur une grande durée, je vais rebrancher la bbox et regarder comment cela se passe.
Une capture tcpdump lancée via un screen permettrait d'avoir de bonnes indications du moment où cela cesse de fonctionner.
-
Merci pour ton retour.
J'avais commencé sans NAT entrant vers la BBox. J'avais eu quelques appels entrants mais ça ne durait pas plus de 30 min... avant de revenir quelques heures plus tard. Sinon 80-90% du temps, les appels entrants arrivent directement sur la messagerie vocale. En attendant je fais une redirection des appels entrants vers mon mobile.
Je vais essayer de me renseigner un peu plus sur le fonctionnement de la téléphonie pour comprendre comment se fait la signalisation des appels entrants et voir ce qui pourrait manquer dans ma configuration.
J'avais ajouté une règle de NAT entrante sur le protocole SIP car je voyais des connexions rejetées d'une adresse IP Bouygues dans les logs firewall PfSense.
Ce qui m'agace le plus c'est que ça fonctionne par intermittence. C'est plus facile de trouver la solution quand ça fonctionne ou pas du tout.
Je ferai des captures tcpdump demain.
-
Je n'arrive pas à reproduire pour le moment. Tous mes appels entrants sont un succès.
-
Merci pour ton retour.
Je vais continuer à investiguer. De mon côté, ça peut même me couper une communication en cours.
Je vais aussi supprimer les flux entrants car ça fonctionne bien chez toi sans. En dernier recours, je reprendrais la configuration depuis zéro.
-
Peux-tu m'indiquer à partir de quelle durée les appels peuvent couper ?
Je n'ai jamais testé au-delà de 2 minutes pour le moment.
-
Bonjour Mirtouf,
Je suis nouveau sur le forum et novice dans la programmation.
C'est possible de me donner un coup de main j'ai un asus RT-AX88U
-
Désolé, je n'ai pas ce genre de matériel, il faudra tester et faire des captures.
-
J'ai ajouté en rouge, les points bloquants dans le premier post pour obtenir la TV.
-
Attention, mise à jour Miami 6.30.13: plus de replays en UDP (ceux en unicast via une application dédiée fonctionnent toujours).
https://www.bbox-mag.fr/forum/viewtopic.php?f=149&t=2859
EDIT: Un reboot solutionne le problème.
-
De mon coté impossible de faire marcher les flux TV (Erreur F3411).
J'ai beau avoir configuré le IGMP proxy et tagger les paquets DSCP 34 (Qui je crois est équivalent COS 3 comme Mikrotik ne permet pas de set la COS),
je vois bien les paquets sortir de ma mon routeur over vlan 100 mais aucune réponse.
J'ai attaché une capture de mes paquets IGMP, voir si ça vous parle ?
Je suis sur du Mikrotik.
Et ce que j'ai de config lié a ca :
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether2-100
add alternative-subnets=0.0.0.0/0 interface=ether1-wan-inet upstream=yes
/ip firewall address-list
add address=89.86.96.0/24 list=bytel_tv
add address=89.86.97.0/24 list=bytel_tv
add address=176.165.8.0/24 list=bytel_tv
add address=193.251.97.0/24 list=bytel_tv
/ip firewall filter
add action=accept chain=input comment="Allow IGMP Inputs" protocol=igmp
add action=accept chain=forward comment="Allow multicast forwarding" dst-address=224.0.0.0/4
add action=accept chain=forward comment=TV in-interface-list=WAN log=yes protocol=udp src-address-list=bytel_tv
/ip firewall mangle
add action=change-dscp chain=output log-prefix=COS new-dscp=34 out-interface=ether1-wan-inet passthrough=yes protocol=igmp
-
Je suis sûre d'une chose, il faut de l'IGMPv2 pour que cela fonctionne. Je n'ai jamais testé de la DSCP mais je suis intéressé par le retour.
-
Ah oui c'est du v3 la... Je crois pas qu'on puisse forcer en v2 sur Mikrotik :(
https://forum.mikrotik.com/viewtopic.php?t=55797
-
Effectivement, en utilisant PIMd on peut forcer IGMPv2, c'est ce que je faisais avec pfSense.
On peut forcer IGMPv2 sur les systèmes GNU/Linux et dérivés tels OpenWRT.
Il me semble qu'EdgeOS envoie des requêtes IGMPv2.
-
J'essaye de voir comment configurer ca sur le Mikrotik, il y a bien une option PIM qui permet l'IGMPv2, par contre comment configurer cette partie, j'y connais pas grand chose en multicast :-X
-
Moi non plus, je lançais pimd quelques secondes, je le tuais et ensuite en relançant igmpproxy j'avais de l'IGMPv2.
-
Tenté mais malheureusement: 'igmp-proxy,error failed to start IGMP proxy, you probably some PIM interfaces configured'
-
Bonjour,
J'ai fait quelques captures, mais je ne vois pas de vlan 100 sur ma bbox. Est ce que c'est toujours d'actualité ? je vais brancher mon Turris a la place j'aimerai que ca marche du premier coup ;)
Pour le SIP, je vais chercher cela m'interesse bien. Le password a l'air assez solide en tout cas, le brute force n'a pas marché (malgré un dictionnaire de 15Go). Il va falloir etre un peu plus technique, je pense que je vais essayer plutot de décrypter la conversation TLS avec le serveur TR-069 194.158.119.72, mon petit doigt me dit que ce serveur de conf envoi les mots de passe à chaque box.
Merci pour vos réponses
-
Pour voir son VLAN ainsi que le marquage 802.1p, il faut utiliser un bridge et pas simplement tcpdump ou équivalent.
La bbox a un jeu de certificats racines dans sa mémoire et le mitm ne passera pas de façon simple.
Il faudrait spoofer l'IP du serveur de mise à jour, copier son arborescence, copier le fichier de mise à jour de la bbox incluant ses propres certificats racines (et disposer au préalable du SDK qui va bien) pour faire du mitm en espérant que les mises à jour de Bytel ne sont pas signées.
Effectivement, le serveur TR-069 envoie la configuration à chaque démarrage, cela inclut le mot de passe SIP mais je tiens à souligner que l'implémentation SIP réalisée par ByTel inclut un mécanisme anti-rejeu qui est aussi à implémenter pour pouvoir utiliser la téléphonie.
-
Une vidéo tres sympa sur le TR-069 :
https://youtu.be/XXhV7zpc6m8
Ca a quelques années mais bon ...
Concernant l'acs de bouygues il est plutôt bien implementé a priori.
-
Y'a un certificat protégé par mot de passe pour s'authentifier sur le serveur + validation des certificats a minima pour empêcher du MITM.
-
Hello
Je me demandais pour le téléphone si le mot de passe ne serait pas le SLID de la BBOX justement.
-
Solution low cost pour le téléphone.
la bbox est bonne poire et accepte de se connecter en local pour profiter du téléphone, il vous faut donc:
- un port libre sur votre routeur et la bbox connecté depuis son port WAN vers le routeur
- ledit port doit avoir une adresse IP (hors du LAN) non routable sur le VLAN 100
- un serveur dhcp qui écoute sur le vlan 100
- du forward IPv4
- des règles de firewall pour autoriser le trafic depuis la bbox vers la passerelle Bouygues
Salut,
Est-ce que quelqu'un aurait plus d'infos sur cette config ? J'ai un er-x-sfp, j'ai connecté le port WAN, créé un serveur DHCP (vlan 100). Au tcpdump je ne vois pas des masses de trucs. En // sur le forward IPv4 mentionné et les règles firewall je ne vois pas trop quoi configurer encore :-\
Merci !
-
Un er-x avec EdgeOS ou OpenWRT ?
-
J'utilise EdgeOS (firmware 2.x) pour l'instant, je viens juste de recevoir le matos.Internet Ok, et j'utilise la bbox comme point d'accès wifi. Si je peux avoir le téléphone en plus, tant mieux (je n'utilise pas la TV).
-
Sur OpenWRT on a truc du genre:
network
config interface 'telephone'
option proto 'static'
option ipaddr '192.168.9.1'
option netmask '255.255.255.0'
option device 'br-telephone'
config device
option name 'br-telephone'
option type 'bridge'
list ports 'br-lan.100'
option igmp_snooping '1'
option igmpversion '2'
dhcp
config dhcp 'telephone'
option start '100'
option leasetime '12h'
option limit '150'
option interface 'telephone'
config host
option mac '28:9E:FC:cc:bb:aa'
option name 'bbox'
option dns '1'
option ip '192.168.9.2'
firewall
config zone
option network 'telephone'
option input 'ACCEPT'
option name 'telephone'
option output 'ACCEPT'
option forward 'ACCEPT'
config forwarding
option dest 'wan'
option src 'telephone'
config rule
option dest_port '51005'
option src 'wan'
option name 'TR-069'
option target 'ACCEPT'
list proto 'tcp'
option dest 'telephone'
list dest_ip '192.168.9.2'
config redirect
option dest_port '51005'
option src 'wan'
option name 'TR-069'
option src_dport '51005'
option target 'DNAT'
option dest_ip '192.168.9.2'
list proto 'tcp'
option dest 'telephone'
config rule
option dest_port '5060'
option src 'wan'
option name 'SIP'
option dest 'telephone'
list dest_ip '192.168.9.2'
option target 'ACCEPT'
option family 'ipv4'avec les helpers SIP actifs (je n'ai que la bbox comme passerelle VOIP).
-
Merci pour les infos :) C'est bien ce que j'avais cru comprendre en lisant les différentes docs ici et la. En revanche la bbox, sur son port WAN, ne récupère aucune IP du serveur dhcp que j'ai configuré sur le vlan 100. Il faut que je me pose 2 min pour faire des tcpdumps !
-
Bon, pas moyen d'obtenir une IP depuis la bbox. Le serveur DHCP sur le vlan 100 fonctionne, j'ai testé avec un portable connecté au routeur pour vérifier.
Il y a quelque chose de spécial à faire sur la bbox à part plugger le port WAN ? Je n'ai rien d'autre de connecté sur le switch intégré, et le wifi est off.
Au tcpdump je ne vois pas du tout de trafic DHCP : un peu de port 9431, un peu de STP, pas grand chose :o Je continue à fouiller.
-
Est-ce que le port est tag ou untag ?
-
Sur le routeur le port est taggé (via le switch0). Mais je connais assez mal EdgeOS donc je suis peut-être face un problème PEBCAK ::)
J'ai essayé aussi sans tag, pas mieux ! Je vais laisser infuser un peu tout ça, relire la doc, potasser la cli et reprendre à tête reposée. Mais si quelqu'un a une idée ::)
-
J'ai fait cette bidouille sur OpenWRT et pfSense, pas EdgeOS.
-
Je vais continuer à creuser ;)
Sinon, tu utilises le switch intégré de la box ? le wifi ? Ca peut pas foutre la grouille ?
-
J'ai désactivé le wifi sur la bbox et aucun équipement n'est connecté dessus.
-
Bon, la bbox ne passe pas ce stade :
Requêtes ICMP v6 (RA et MLD v2 notamment) sur les VLAN 100 (le VLAN usager), VLAN 10 (maintenance des équipements réseaux ?) et sans VLA
J'ai bien du VLAN 10, genre :
root@erx:/var/log# tcpdump -i eth2 -nn -vvv -e vlan
tcpdump: listening on eth2, link-type EN10MB (Ethernet), capture size 262144 bytes
19:47:42.019579 8c:c5:b4:24:50:50 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 10, p 6, ethertype PPPoE D, PPPoE PADI [Service-Name] [Host-Uniq 0xAB080000]
19:48:56.714149 8c:c5:b4:24:50:50 > 33:33:00:00:00:16, ethertype 802.1Q (0x8100), length 114: vlan 10, p 0, ethertype IPv6, (hlim 1, next-header Options (0) payload length: 56) :: > ff02::16: HBH (rtalert: 0x0000) (padn) [icmp6 sum ok] ICMP6, multicast listener report v2, 2 group record(s) [gaddr ff02::1:ff24:5050 to_ex { }] [gaddr ff02::2 to_ex { }]
19:48:56.904166 8c:c5:b4:24:50:50 > 33:33:00:00:00:16, ethertype 802.1Q (0x8100), length 114: vlan 10, p 0, ethertype IPv6, (hlim 1, next-header Options (0) payload length: 56) :: > ff02::16: HBH (rtalert: 0x0000) (padn) [icmp6 sum ok] ICMP6, multicast listener report v2, 2 group record(s) [gaddr ff02::1:ff24:5050 to_ex { }] [gaddr ff02::2 to_ex { }]
19:48:57.104278 8c:c5:b4:24:50:50 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 10, p 6, ethertype PPPoE D, PPPoE PADI [Service-Name] [Host-Uniq 0x8E080000]
19:48:57.574263 8c:c5:b4:24:50:50 > 33:33:ff:24:50:50, ethertype 802.1Q (0x8100), length 82: vlan 10, p 6, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 24) :: > ff02::1:ff24:5050: [icmp6 sum ok] ICMP6, neighbor solicitation, length 24, who has fe80::8ec5:b4ff:fe24:5050
Mais après plus rien, aucune requête DHCP n'est envoyée par le box, ça switche sur le traffic LAN standard (192.168.1.0/24). J'ai collé une alixboard avec OpenWRT au cul de la box, pas mieux ! Le port est untagged vu que y'a qu'un seul VLAN. La box est en firmware .178 et la config est standard (wifi off, conf firewall par défaut, etc). Je dois louper un truc :o
-
Par hasard, ta box dispose de quel firmware ? Je suis en .178 de mon côté.
-
es-tce que quelqu'un sait s'il est possible de donner une addresse WAN locale sur le VLAN100 à la nouvelle Bbox ULTYM? Je crains que ce ne soit plus possible, le seul port WAN semble être celui avec le SFP pour la fibre...
-
Je crois que le port 10G est aussi un port WAN en failback, sauf erreur
-
Vous savez quelle ip "teste" la bbox tv 4k de temps en temps, et qui entraine l'affichage du message "cable ethernet non connecté" alors que tout continu de fonctionner ? A noter qu'apres ce message et durant un court laps de temps, la souscription iptv n'est plus sur "on" mais grisé en inconnue, puis cela revient sur "on".
-
Vous savez quelle ip "teste" la bbox tv 4k de temps en temps, et qui entraine l'affichage du message "cable ethernet non connecté" alors que tout continu de fonctionner ? A noter qu'apres ce message et durant un court laps de temps, la souscription iptv n'est plus sur "on" mais grisé en inconnue, puis cela revient sur "on".
ma tele sony androidtv me fait la meme de temps en temps ..
-
Salut,
J'arrive pas à avoir la tv . J'ai une erreur f3411 . Aucune ne semble fonctionner a part TF1
Je suis sur un edgerouter erx . J'ai forcer le igmp en v2 et le cos a 3.
Voila la frame qui sort du routeur, je vois pas ce qui peut encore manquer
la meme frame pour tf1 fonctionne mais avec une autre adresse ip de destination.
-
Bon après avoir cherché pendant heures :P :P :P
Bytel a encore changé les param pour la TV
Donc il faut:
- forcer l'igmp sur V2 et non V3 (attention les nouveaux firmware Erx sont en V3 par défaut)
- La priorité n'est plus 3 mais p5 sur la signalisation igmp
voila ma petite contribution
-
merci vbir,
Cependant de mon côté toujours impossible de faire fonctionner la TV sur RT6600ax :-(
-
J'ai ajouté des précision en première page.
-
Juste à titre d'information (cela peut toujours servir à d'autres…)
J'avais mis mon routeur en Frontal (OpenWrt), effectué le reroutage des ports SIP vers le routeur BBOX et cela fonctionnais parfaitement ;) jusqu'à la "récente" mise à jour Anti-rejeu ou j'ai perdu le téléphone.
Je ne me suis intéressé au problème que récemment suite au harcèlement de madame… (Et grâce au Forum, je sais pourquoi cela ne fonctionne plus ;) )
Ma solution est clairement la solution du pauvre, mais comme la BBOX était déjà branché pour avoir le téléphone…
J'ai inversé mon routeur et BBOX:
- Désactivé tous (wifi inclus évidement) sur la BBOX (C'était déjà le cas en fait).
- Mis le Routeur en DMZ.
Actuellement pour mon utilisation, cela fait le taf.
-
Sans vouloir être désagréable, je pense que tout le monde ici se doute qu'en mettant la bbox comme routeur, les fonctions de base fonctionnent...
-
Quand j'aurai un peu de temps j'essaierai de comprendre quelles pourraient être les vérifications supplémentaires faites chez ByTel sur la téléphonie.
-
Comme confirmé un peu partout, uniquement du p5 pour l'IGMP maintenant.
-
Petite question:
Si l'on veux utiliser la box TV (Miami 4k) *uniquement* en utilisant les app (netflix, prime, fichiers sur le nas) mais _pas_ le direct, on peut se passer du multicast ?
Ou bien la box est inutilisable dans ce cas ?
Une des raisons que j'ai pour ça est le fait qu'au démarrage, sur l'écran d'accueil, la dernière chaine regardée se met immédiatement en route, avec le son (y compris si la box avait été arrêtée précédemment en mute ou appairée avec un casque sans fil) => Idéal pour réveiller les enfants si difficilement endormis le soir.
(La box k-net que j'utilise également a la décence d'avoir un android TV "stock" qui ne fait pas ça, mais qui oblige à utiliser Kodi pour netflix. Par contre elle galère en 4k)
Personne chez nous ne regarde plus la TV en direct désormais.
-
De mémoire, la box fonctionne quand même sans les flux multicast et affichera une erreur F3411 (ou tout autre code) et de façon sûre, la bbox redémarre directement sur la TV depuis une sortie de veille.
-
Oui, tu auras juste un code d'erreur genre f3411 sur les chaines, mais les apps sont toujours accessibles.
EDIT : je n'avais pas vu la précédente réponse >_<
-
De mémoire, la box fonctionne quand même sans les flux multicast et affichera une erreur F3411 (ou tout autre code) et de façon sûre, la bbox redémarre directement sur la TV depuis une sortie de veille.
Oui, tu auras juste un code d'erreur genre f3411 sur les chaines, mais les apps sont toujours accessibles.
Parfait merci beaucoup c'est exactement le comportement que je cherchais ;-)
-
Est-ce que certains ont réussi à faire fonctionner la box tv 4K en abonnement Ultym ? J'ai essayé les cos P3 et P5, igmpproxy ou pimd, je vois bien les requêtes IGMP en V2 sortir de IGMPPorxy ver WAN mais jamais les trames UDP en retour sur le port 8200 ou 8202... (j'ai tenté en openwrt, en debain avec firewall, meme en debian sans firewall pour être certain qu'il n'y aucun filtrage udp/IGMP, vérifier les mc_forward, ip_forward, rp_filter ... idem) J'ai pas essayé uPNP est-ce que c'est la clé à recevoir les trames UDP ?
Question subsidiaire, quel serait le moyen de "tracer" les trames envoyées par le bbox wifi 6E quand elle est branchée en SFP? Ce qui serait le seul moyen pour moi de vérifier que tout ce que je fais est iso à ce que fait la bbox.
-
Il faut :
- sortir les trames IGMP avec un marquage p5 (je pense que le p3 n'est plus valide)
- forcer l'IGMP en v2
- configurer son fw pour accepter les flux entrants MC
- ne pas bloquer les paquets avec pour source 0.0.0.0
Pour valider la configuration, je conseille de la tester avec un ONT HG8010H plus ou moins contrefait disponible sur aliexpress. Certains ONT ont du mal avec le multicast (exemple de l'UI nano G).
-
Il faut :
- sortir les trames IGMP avec un marquage p5 (je pense que le p3 n'est plus valide)
- forcer l'IGMP en v2
- configurer son fw pour accepter les flux entrants MC
- ne pas bloquer les paquets avec pour source 0.0.0.0
Pour valider la configuration, je conseille de la tester avec un ONT HG8010H plus ou moins contrefait disponible sur aliexpress. Certains ONT ont du mal avec le multicast (exemple de l'UI nano G).
Bon je vais mettre en pause les test sur le telekom modem 2 et commander un GPON de base type HG8010H pour confirmer si les trames 0.0.0.0 ne passent pas tout simplement ... et me rassurer sur le setup sur l'IPTV, on verra ensuite. Merci Mirtouf pour ta réponse.
-
Bonjour,
J'ai une bbox derrière un pfsense et j'ai également plus de sip sur la box >:(
J'ai lu le fil et si je comprends bien c'est l'anti-rejeu qui bloque le sip.
Il y a possibilité de faire un downgrade du firmware ? reset usine ?
Merci
-
Bonjour,
Lorsque je branche la Bbox derrière mon routeur et que je lui attribue une IP locale, elle réussit à se connecter au serveur SIP.
Cependant, les communications ne passent pas. Ça me laissait plutôt penser un problème de routage que d'anti-rejeu.
C'est pareil chez-vous aussi ?
Sinon, peut-être qu'une solution serait d'attribuer un préfixe IPv6 à la box puisqu'elle se connecte au serveur SIP en IPv6 lorsque c'est possible.
Ceci dit, elle a l'air capricieuse et n'a pas l'air d'accepter n'importe quoi ou alors, je m'y suis mal pris.
-
Quels domaines, adresses en IPv6 ?
La bbox demande un préfixe IPv6 via DHCPv6, les RA ne fonctionneront pas seuls.
-
Quels domaines, adresses en IPv6 ?
La bbox demande un préfixe IPv6 via DHCPv6, les RA ne fonctionneront pas seuls.
Oui, j'ai très rapidement essayé de lui proposer quelque chose via un serveur DHCPv6.
Une tentative qui demande à être un peu plus aboutie à priori.
-
Bon, j'ai refait mes tests un peu plus correctement.
Sur mon routeur, je récupère le /60 que Bouygues m'attribue. Ensuite, j'attribue un /64 à la BBox.
À partir de là, la BBox récupère la connectivité IPv6, y compris au serveur SIP, ce qui permet de récupérer une téléphonie fonctionnelle.
-
Très bien !
Peux-tu partager le configuration pour référence ?
-
Je confirme que cela passe en IPv6.
Ma configuration n'étant pas propre, je ferai le tri ce vendredi.
-
Peux-tu partager la configuration pour référence ?
Bonjour,
Je suis sous RouterOS (Mikrotik). La configuration est assez simple.
Je ne détaille pas la configuration du client DHCP permettant de récupérer le préfixe alloué par Bouygues.
Il faut juste noter que ce dernier est nommé GUA-Pool-Bouygues.
La patte WAN de la BBox est branchée sur le port ether5. Sur ce dernier, est créée une interface VLAN nommée fake-byt-net. Le VLAN ID étant configuré à 100.
Le port ether5 ne fait partie d'aucun bridge.
J'alloue une adresse à l'interface fake-byt-net provenant du pool GUA-Pool-Bouygues.
/ipv6 address
add address=::4266:6b65 from-pool=GUA-Pool-Bouygues interface=fake-byt-net advertise=yes
Le Neighbor-Discovery est configuré sur l'interface fake-byt-net. Les DNS Bouygues sont annoncés.
/ipv6 nd
add dns=2001:860:b0ff:1::1,2001:860:b0ff:1::2 interface=fake-byt-net managed-address-configuration=yes other-configuration=yes
Ensuite, le serveur DHCP est mis en place.
/ipv6 dhcp-server
add address-pool=GUA-Pool-Bouygues dhcp-option=option23 interface=fake-byt-net name=server1
L'option 23 est configurée pour annoncer les DNS (c'est peut-être redondant avec l'annonce faite dans les RA).
/ipv6 dhcp-server option
add code=23 name=option23 value="'2001:860:b0ff:1::1''2001:860:b0ff:1::2'"
Enfin, optionnellement, on peut configurer le préfixe qui sera annoncé à la BBox. À défaut, le premier préfixe disponible dans le pool GUA-Pool-Bouygues sera utilisé.
/ipv6 dhcp-server binding
add address=2001:db8:873e:3c3f::/64 duid=0x289efce21108 iaid=4242673928 life-time=3d prefix-pool=GUA-Pool-Bouygues server=server1
-
Merci,
j'ai fait plus ou moins la même chose avec OpenWrt et en collant la bbox dans une DMZ. De toute façon, elle ne servira que de gros adaptateur SIP.
-
Bonjour
Vous arrivez à faire fonctionner la téléphonie ? Chez moi avec un pfsense, j'obtiens ue ipv6 sur ma patte bbox, une ip v6 et les dns sur la bbox, j'accède à l'interface d'administration en ipv6 mais la téléphonie passe pas.
tcpdump me dit ca (IPV4) :
IP: REGISTER sip:fai.bouygtel.net SIP/2.0
SIP: SIP/2.0 403 IP Not Allowed
J'ai du louper un truc … une idée ? merci
-
En IPv4, la BBox se connecte au serveur SIP, cependant les communications ne passent pas (pas de son).
En IPv6, tout fonctionne correctement.
Il faut que la BBox se connecte au serveur SIP en IPv6 donc, soit ne pas lui donner d'adresse IPv4, soit bloquer le protocole SIP en IPv4.
-
Par défaut, le client SIP privilégie IPv6. Cela permet de quand même d'avoir une bbox avec un IPv4 non routable.
-
Ce n'est pas ce que j'ai constaté.
Chez moi, lorsque la BBox avait les deux, elle s'est systématiquement connecté en IPv4.
-
Intéressant, c'est quel modèle ?
Ma F@st 5330b-r1 préfère IPv6.
-
Modèle F@st 5330b-r1
en coupant l'ipv4 -> pas de connexion internet (voyant @ rouge)
en bloquant le port 5060 -» pas de téléphonie
dans tous les cas rien vers l'ipv6
-
Je me suis trompé. La connexion SIP privilégie bien l'IPv6.
J'ai vérifié ma première capture et j'en ai refait une, ce matin.
J'ai fait trop de capture, je me suis mélangé les pinceaux.
en coupant l'ipv4 -> pas de connexion internet (voyant @ rouge)
C'est normal. Si la Bbox a une connectivité IPv6 mais pas IPv4, le voyant reste rouge.
Si elle obtient une IPv4, même non routée, le voyant passera au blanc normalement.
Que donne la partie IPv6 dans l'onglet diagnostic de la box ?
-
Dans le diagnostic tout est vert.
J'ai coupé le nat sortant pour bloquer le routage de l'ipv4 (bonne solution ?) :
- voyant @ clignote rouge
- message : PAS D'ACCÈS INTERNET Merci de patienter, votre Bbox teste la connexion Internet.
- diagnostic : ping et http en V4 rouge. DNS v4 vert tout en vert pour v6
Elle ne veut pas utiliser l'ipv6 …
Les configs ip en pièce jointe
-
As-tu moyen de faire une capture depuis le firewall sur l'interface connectée à la box pour voir ce qu'elle essaye de faire? Je ne serai pas surpris si c'était simplement des requetes DNS faites en IPv4 qui timeout et causent le souci.
-
J'ai essayé de changer le dns (1.1.1.1) de désactiver le dhcp en v4 toujours pareil la box ne veut pas utiliser l'ipv6 …
-
J'ai essayé de changer le dns (1.1.1.1)
Je doute que cela ait une chance de fonctionner. Les box ont souvent besoin d'atteindre des noms de domaines "internes" au réseau de l'ISP que des résolveurs publics ne savent pas résoudre.
-
La box essaie de se connecter aux serveurs sip :
ntrasbcf02vims.fai.bouygtel.net et asbcfvims.fai.bouygtel.net.sip
Je ne trouve pas d'enregistrement AAAA pour ces noms…
Quels sont les serveurs sip sur lesquels vos box se connectent ?
-
$ host asbcfvims.fai.bouygtel.net.sip
Host asbcfvims.fai.bouygtel.net.sip not found: 3(NXDOMAIN)
$ host ntrasbcf02vims.fai.bouygtel.net
ntrasbcf02vims.fai.bouygtel.net has address 62.201.147.134
ntrasbcf02vims.fai.bouygtel.net has IPv6 address 64:ff9b::3ec9:9386
Et comme je le disais, ces noms ne sont pas nécessairement visibles dans le DNS public (ici, depuis une connexion Orange, mais ca importe peu: j'ai mon propre résolveur).
-
jerome@pc-jerome:~$ host asbcfvims.fai.bouygtel.net.sip
Host asbcfvims.fai.bouygtel.net.sip not found: 3(NXDOMAIN)
jerome@pc-jerome:~$ host ntrasbcf02vims.fai.bouygtel.net
ntrasbcf02vims.fai.bouygtel.net has address 62.201.147.134
jerome@pc-jerome:~$ host -t AAAA ntrasbcf02vims.fai.bouygtel.net
ntrasbcf02vims.fai.bouygtel.net has no AAAA record
C'est ca qui va pas. Vous avez les DNS 194.158.122.15,194.158.122.10 ?
-
Je donne les DNS ByTel à la bbox et j'ai collé celle-ci dans une DMZ pour être tranquille.
-
Tu peux me donner les dns, les nom et ip des serveurs sip de ta config ?
Merci
-
Une partie des serveurs sip Bouygues répondent en ipv6 (en rouge)
Ceux qui ont la téléphonie fonctionnelle peuvent me confirmer ?
Et comment on change ca :o
62.201.147.100 asbcf07.fai.bouygtel.net
62.201.147.102 ntrasbcf01vims.fai.bouygtel.net
62.201.147.132 asbcf08.fai.bouygtel.net
62.201.147.134 ntrasbcf02vims.fai.bouygtel.net
62.201.147.164 asbcf07.fai.bouygtel.net
62.201.147.166 asbcfvims.fai.bouygtel.net
62.201.147.168 andasbcf01vims.fai.bouygtel.net
62.201.147.196 asbcf04.fai.bouygtel.net
62.201.147.198 andasbcf02vims.fai.bouygtel.net
-
Les replays sont tous en unicast a priori, plus besoin de se prendre le chou sur les ports et sources en UDP.
-
Les replays sont tous en unicast a priori, plus besoin de se prendre le chou sur les ports et sources en UDP.
J’ai la même impression chez moi même si le multicast ne fonctionne pas le replay est ok.
-
Bonjour Mirtouf, j'ai suivi tes indications pour la mise en place de la téléphonie. Les appels sortant passent bien mais les appels entrant ne fonctionnent que par intermittence (pendant 15-30 mn 4-5 fois par jour).
Pourrais-tu détailler un peu plus ta configuration pour la téléphonie ?
De mon côté :
+ Bouygues
|
|
++-+
|FO|
++-+
| Wan IP (vlan 100)
+----+------------+
| PfSense |
++--------------+-+
| .1 | .1
| | 192.168.16.0/24 (vlan 100)
| | .10
| +--+----+
| | Bbox |
| +-+---+-+
| | |
+--+----+ | +-+---+
192.168.8.0/24 | 192.168.1.0/24
LAN | (vide)
Tél
Au niveau du routeur PfSense:
- Rules : Bbox --> accès complet à internet
- NAT : forward SIP entrant vers Bbox
- DNS Bouygues utilisés
- Pas de configuration TV, IGMP,…
Merci d'avance,
Bonjour à Tous,
J'ai également branché mon mikrotik directement sur la fibre de bouygue en supprimant la bbox ultym.
L'internet fonctionne très bien et je le trouve même beaucoup plus stable.
J'aimerais maintenant récupérer ma ligne téléphonique, cependant de ce que j'ai compris, je dois brancher le wan de ma bbox sur le lan de mon mikrotik car le vlan 100 est configuré sur mon mikrotik.
Mais je ne comprends pas la faisabilité. En effet la bbox ultym n'a qu'un port wan et il s'agit d'un SFP. Est-ce que utiliser un câble DAC entre la bbox et mon mikrotik peut fonctionner ? A savoir que j'ai déjà essayé avec deux modules optiques FS avec des doubles jarretières OM4 mais la bbox ne connait pas le module optique.
https://www.fs.com/fr/products/141729.html
https://www.fs.com/fr/products/74668.html
D'après ce qui a été dit, pour récupérer le SIP, il faut brancher le wan de la bbox sur le lan du routeur custom et ainsi la box récupère sur son wan une ip privée et une adresse ipv6. Et ne reste plus qu'à brancher le téléphone sur la bonne prise qui va bien sur la box.
Est-ce que quelqu'un peut me donner l'indication qui permet de raccorder le WAN de ma box vers le lan de mon mikrotik ? En sachant que ça passe forcément par le SFP et qu'il faut que la box reconnaisse le module.
-
Vu que je n'ai pas de réponse j'imagine que c'est impossible avec cette BOX :-\
-
Vu que je n'ai pas de réponse j'imagine que c'est impossible avec cette BOX :-\
Bonjour,
Tu as essayé de voir si l'un des ports ethernet pouvait servir de port WAN ?
-
Bonjour,
Tu as essayé de voir si l'un des ports ethernet pouvait servir de port WAN ?
Bonjour, si tu regardes la fiche technique de la bbox ultym tu verras qu'il n'y a qu'un seul port WAN et c'est uniquement un sfp, il n'y a aucun port ethernet pour du WAN c'est uniquement du LAN.
-
Bonjour,
Tu as essayé de voir si l'un des ports ethernet pouvait servir de port WAN ?
Tu as quelle référence de bbox ?
-
Tu as quelle référence de bbox ?
J'avais une fit.
Je n'en ai plus actuellement
-
J'avais une fit.
Je n'en ai plus actuellement
C'est facile pour la bbox fit car elle a un port ethernet wan dédier ce qui n'est pas le cas avec la bbox ultym.
J'essayerai prochainement de laisser l'ONU dans la bbox puis tirer un cable fibre vers un sfp simplex connecté au lan du mikrotik.
Je ne suis pas sûr que ça passe mais ça me parait pertinent d'essayer.
-
Bonjour à tous et toutes.
Je tente de virer la bbox pour mettre mon FW pfsense a la place et branché directement sur le ONT.
Sous Pfsense la conf des INT
Je voudrais bien refaire mon message mais l'ajout d'image ne fonctionne pas et les URL s'affichent mais pas les images.
merci pour votre aide
-
Bonjour, j'ai un box ulthym, je l'ais mise en dmz pour passer sur mon reseau unifi, mon probleme c'est que je ne pas utilise la tele qui propose par bouygues, avez vous une solution?
-
Hello,
Je nt'utilise pas la TV de bouygues. J'ai fait comme toi brancher en DMZ car je n'ai pas trouver comment faire directement derrière le ONT
-
salut @rjcab, comment tu a parramettre ta box bouygues?
-
Avec une configuration similaire et en branchant le wan de la bbox sur mon routeur La téléphonie de fonctionne plus depuis quelques mois. Quelqu'un arrive à faire fonctionner la tel avec la bbox derrière un routeur ?
-
Bonjour,
je confirme cela, je ne connais pas les raisons pour lesquelles la téléphonie n'est plus opérationnelle à l'heure actuelle.