Auteur Sujet: Ubiquiti poe 5 ports - Dual WAN fail-over Orange/Free (Lu 11885 fois)

supernovaes · « **le:** 19 janvier 2016 à 13:42:50 »

Bonjour à tous,
Je suis un petit nouveau sur le forum. Je m’adresse à vous car j’ai quelques petites questions à vous poser sur le paramétrage de mon ubiquiti poe 5 ports.
Grâce à ce forum, j’ai pu trouver grand nombre de réponse et tuto. Voici ma configuration :
Double WAN (Orange fibre et Free) avec load-balancing (WAN Free en failover).
-Port 1 : Livebox pour tv/téléphone + wifi.
-Port 2 : ONT orange.
-Port 3 : Freebox en mode bridge : 82.XXX.XXX.XXX
- Port 4 et 5 : en mode switch (192.168.1.0/24) sur lequel est branché (port 3) un CPL permettant de diffuser mon réseau local dans les autres pièces. Le freebox player est aussi branché en CPL sur se même réseau.
Voici un schéma de mon installation :

|eth4|---|mode | 192.168.1.0/24
|eth3|---|switch|---|CPL|--LAN
Freebox (bridge)--82.XXX.XXX.XXX--|eth2| |--Freebox Player
ONT Orange-----------------------------|eth1|
|eth0|-----|Libebox|---LAN 192.168.2.0/24 (Wifi)
|---TV
|---Téléphone

Voici le fichier de configuration de mon routeur (j’ai supprimé les infos « compromettantes ») :

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    modify WAN_POLICY {
        rule 10 {
            action modify
            modify {
                lb-group WAN_FAILOVER
            }
        }
    }
    name WAN_IN {
        default-action drop
        description "Internet to the LAN"
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "Internet to the router"
        rule 1 {
            action accept
            description WAN_ACCES
            destination {
                port 8889
            }
            log disable
            protocol tcp
            source {
            }
        }
        rule 2 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    bridge br2 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
        vif 100 {
            description "TV Freebox"
        }
    }
    ethernet eth0 {
        address 192.168.2.1/24
        description LIVEBOX
        duplex auto
        speed auto
        vif 835 {
            description FTTH
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description VoIP
        }
    }
    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password XXXXXXX
                user-id fti/XXXXXXX
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description TV
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description TV
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description VoIP
            egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
        }
    }
    ethernet eth2 {
        address dhcp
        description FREEBOX
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
        vif 100 {
            bridge-group {
                bridge br2
            }
            description "TV Freebox"
        }
    }
    ethernet eth3 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description SWITCH
        firewall {
            in {
                modify WAN_POLICY
            }
        }
        mtu 1500
        switch-port {
            interface eth3
            interface eth4
        }
        vif 100 {
            bridge-group {
                bridge br2
            }
            description "TV Freebox"
            mtu 1500
        }
    }
}
load-balance {
    group WAN_FAILOVER {
        interface eth2 {
            failover-only
        }
        interface pppoe0 {
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LIVEBOX {
            authoritative enable
            description LIVEBOX
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.100 {
                    stop 192.168.2.120
                }
            }
        }
        shared-network-name SWITCH {
            authoritative disable
            description HOME
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.100 {
                    stop 192.168.1.120
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on switch0
        }
    }
    gui {
        https-port 8889
    }
    mdns {
        reflector
    }
    nat {
        rule 5000 {
            description Orange
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
        rule 5001 {
            description Free
            log disable
            outbound-interface eth2
            protocol all
            type masquerade
        }
        rule 5002 {
            description "TV Freebox"
            log disable
            outbound-interface br2.100
            protocol all
            source {
                address 192.168.1.0/24
            }
            type masquerade
        }
    }
    pppoe-server {
        authentication {
            local-users {
                username fti/XXXXXXX {
                    password XXXXXXX
                }
            }
            mode local
        }
        client-ip-pool {
            start 192.168.2.10
            stop 192.168.2.20
        }
        dns-servers {
            server-1 80.10.246.2
            server-2 80.10.246.129
        }
        interface eth0.835
        mtu 1492
    }
    ssh {
        port 1234
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    upnp2 {
        listen-on eth0
        listen-on switch0
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user toto {
            authentication {
                encrypted-password blabla.
                plaintext-password ""
            }
            full-name Toto
            level admin
        }
    }
    name-server 208.67.222.222
    name-server 208.67.220.220
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi enable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */

Tout fonctionne sauf la freebox player. J’ai suivi ce tuto : https://lafibre.info/free-tutoriels/remplacer-sa-freebox-par-un-ubiquiti-edgerouter-poe-tv-inside/

Je ne comprends pas d’où vient le problème. Je remercie chacun d’entre vous pour votre aide.
Bonne fin de journée et à très bientôt et encore merci à vous pour l'aide que vous m'apporterez

Fuli10 · « **Réponse #1 le:** 19 janvier 2016 à 14:58:36 »

Hello,

J'ai une configuration avec seulement Free comme opérateur, sur un ERLite (donc 3 ports, pas de switch).
A un moment je faisait du failover entre freebox et modem connecté en bridge (sur la ligne Free, pour tester la configuration du modem

). J'ai la TV sans problème.
Ce que j'ai comme configuration actuellement (fw 1.8 beta2):

Code: [Sélectionner]

bridge br0 {
     aging 300
     bridged-conntrack disable
     hello-time 2
     max-age 20
     priority 0
     promiscuous enable
     stp false
 }
 ethernet eth0 {
     address 192.168.42.1/24
     description LAN
     duplex auto
     firewall {
         in {
             name LAN_OUT
         }
         out {
         }
     }
     speed auto
     vif 100 {
         bridge-group {
             bridge br0
         }
         description "Freebox TV"
         mtu 1500
     }
 }
ethernet eth1 {
     description Modem
     disable
     duplex auto
     speed auto
 }
 ethernet eth2 {
     address dhcp
     description Internet
     duplex auto
     firewall {
         in {
             name WAN_IN
         }
         local {
             name WAN_LOCAL
         }
     }
     speed auto
     vif 100 {
         bridge-group {
             bridge br0
         }
         description "Freebox TV"
         mtu 1500
     }
 }

En gros la principale différence c'est que je tag pas le bridge "vif 100" vu que c'est déjà fait dans la déclaration d'interface.
J'ai aussi le promiscuous d'activé et la priorité à 0.
Ca c'est pour le bridge sur le VLAN 100.
Ensuite, j'ai un setup avec la mini4K, donc je ne pense pas que tout s'applique pour la freebox revolution. Mais j'ai vu dans des dump que la box TV a besoin que ses DNS et son routeur par défaut soit la freebox. Rien n'est fait à ce niveau dans ta configuration (t'utilise quel DNS pour le forwarding ?). A mon avis c'est surtout ça qu'il te faut vérifier.
Cela doit surement être utilisé au niveau de l'authentification (vu que la box ment pour mafreebox.freebox.fr).
Après, je ne peux pas te dire plus d’où l'erreur peut venir vu mon environnement (mini4K + server en mode routeur).

kgersen · « **Réponse #2 le:** 19 janvier 2016 à 18:27:21 »

il faut:

- bridger le vlan 100 entre eth2 et eth3 (ca m'a l'air ok dans la config avec br2 entre eth2 et switch0).
- configurer le switch pour faire du trunking entre l'ERL et le CPL
- avoir un couple de boitiers CPL qui supportent et transportent les VLAN.

supernovaes · « **Réponse #3 le:** 20 janvier 2016 à 15:02:56 »

Bonjour à vous deux,
et merci à vous deux pour votre retour.

Citation de: Fuli10 le 19 janvier 2016 à 14:58:36

En gros la principale différence c'est que je tag pas le bridge "vif 100" vu que c'est déjà fait dans la déclaration d'interface.
J'ai aussi le promiscuous d'activé et la priorité à 0.
Ca c'est pour le bridge sur le VLAN 100.
Ensuite, j'ai un setup avec la mini4K, donc je ne pense pas que tout s'applique pour la freebox revolution. Mais j'ai vu dans des dump que la box TV a besoin que ses DNS et son routeur par défaut soit la freebox. Rien n'est fait à ce niveau dans ta configuration (t'utilise quel DNS pour le forwarding ?). A mon avis c'est surtout ça qu'il te faut vérifier.
Cela doit surement être utilisé au niveau de l'authentification (vu que la box ment pour mafreebox.freebox.fr).
Après, je ne peux pas te dire plus d’où l'erreur peut venir vu mon environnement (mini4K + server en mode routeur).

Fuli10, je viens de supprimer le vif100 sur mon bridge "br2" et activé le promiscuous sur ce même bridge.
Qu'entends tu par "t'utilise quel DNS pour le forwarding" ? Peux tu m'aider à ce sujet. As tu la config me permettant de rajouter ceci

Citation de: kgersen le 19 janvier 2016 à 18:27:21

il faut:

- bridger le vlan 100 entre eth2 et eth3 (ca m'a l'air ok dans la config avec br2 entre eth2 et switch0).
- configurer le switch pour faire du trunking entre l'ERL et le CPL
- avoir un couple de boitiers CPL qui supportent et transportent les VLAN.

Kgersen,
Les CPL que j'utilise sont ceux de free ainsi quedes devolo (les 650+). J’ignorais que les CPL devait supporter le 802.1Q. Il me semblait qu'ils ne faisaient que transiter tout les flux?
Il me semblait que je faisais déjà transiter mes VLAN tagged sur les CPL avec ma config actuelle.

Encore une grand merci à vous deux pour votre aide.
Bonne journée à vous.

Fuli10 · « **Réponse #4 le:** 20 janvier 2016 à 15:45:31 »

Est ce que t’arrive à faire un ping de mafreebox.freebox.fr depuis un PC connecté à la place de la freebox ?
A aller sur http://mafreebox.freebox.fr ?
Parce que je vois que le DNS forwarding est activé. En gros un PC recevra par DHCP comme serveur DNS l'IP du routeur (si tu as configuré le service DHCP pour donner d'autres DNS).
Donc tout PC (et en l’occurrence la freebox) en DHCP aura comme DNS par défaut le routeur (192.168.1.1). Une requête DNS sera donc reçu par le routeur, qui lui va faire du cache et si nouvelle entrée forwardera la requête aux DNS systèmes. Le problème c'est qu'il faut que le DNS de la freebox soit celui du modem, car le modem fait aussi cache DNS en plus de mentir pour certaines adresse (essaye par exemple quand le modem est déconnecté, tu verras que n'importe quel site pointera sur l'IP de la box avec comme message 'plus internet').

kgersen · « **Réponse #5 le:** 20 janvier 2016 à 16:41:24 »

Citation de: supernovaes le 20 janvier 2016 à 15:02:56

Les CPL que j'utilise sont ceux de free ainsi quedes devolo (les 650+). J’ignorais que les CPL devait supporter le 802.1Q. Il me semblait qu'ils ne faisaient que transiter tout les flux?
Il me semblait que je faisais déjà transiter mes VLAN tagged sur les CPL avec ma config actuelle.

a priori les CPL Free supportent le 802.1Q.
Dans ce cas ca pourrait être le switch. Il faut le configurer explicitement pour transporter vlan100 +vlan1 entre l'ERL et la CPL. Ca n'est pas par défaut.

supernovaes · « **Réponse #6 le:** 20 janvier 2016 à 16:56:58 »

Citation de: Fuli10 le 20 janvier 2016 à 15:45:31

Est ce que t’arrive à faire un ping de mafreebox.freebox.fr depuis un PC connecté à la place de la freebox ?
A aller sur http://mafreebox.freebox.fr ?
Parce que je vois que le DNS forwarding est activé. En gros un PC recevra par DHCP comme serveur DNS l'IP du routeur (si tu as configuré le service DHCP pour donner d'autres DNS).
Donc tout PC (et en l’occurrence la freebox) en DHCP aura comme DNS par défaut le routeur (192.168.1.1). Une requête DNS sera donc reçu par le routeur, qui lui va faire du cache et si nouvelle entrée forwardera la requête aux DNS systèmes. Le problème c'est qu'il faut que le DNS de la freebox soit celui du modem, car le modem fait aussi cache DNS en plus de mentir pour certaines adresse (essaye par exemple quand le modem est déconnecté, tu verras que n'importe quel site pointera sur l'IP de la box avec comme message 'plus internet').

Je vais vérifier tous cela.
La freebox est en mode bridge donc elle ne devrait plus stocker de serveur dns? A moins que je me trompe

Dès que je serais de retour à mon domicile, je ferais des tests de ping, mais il me semble, qu'en interne, à partir de mon LAN, je ne pouvais pas accéder à "http://mafreebox.freebox.fr". Je te confirme ça dès que possible.

Citation de: kgersen le 20 janvier 2016 à 16:41:24

a priori les CPL Free supportent le 802.1Q.
Dans ce cas ca pourrait être le switch. Il faut le configurer explicitement pour transporter vlan100 +vlan1 entre l'ERL et la CPL. Ca n'est pas par défaut.

Par contre je ne serai pas de dire si les devolo 650+ supportent le 802.1Q.
D'après toi, je dois aussi faire un vlan 1 sur l'interface switch0 du routeur?

Encore merci à vous deux, on progresse

Bonne soirée

kgersen · « **Réponse #7 le:** 20 janvier 2016 à 17:02:10 »

Citation de: supernovaes le 20 janvier 2016 à 16:56:58

D'après toi, je dois aussi faire un vlan 1 sur l'interface switch0 du routeur?

non vlan1 c'est le vlan par défaut (= sans VLAN donc).

je parle du switch externe entre le routeur et le CPL pas le switch virtuel dans le routeur (switch0):
celui en rouge sur ton schema:

Citer

|eth4|---|mode | 192.168.1.0/24
|eth3|---|switch|---|CPL|--LAN
Freebox (bridge)--82.XXX.XXX.XXX--|eth2| |--Freebox Player
ONT Orange-----------------------------|eth1|
|eth0|-----|Libebox|---LAN 192.168.2.0/24 (Wifi)
|---TV
|---Téléphone

ou ce n'est pas un switch ? et j'ai mal compris ton dessin ?

supernovaes · « **Réponse #8 le:** 20 janvier 2016 à 17:05:23 »

Ha ok, autant pour moi. On s'est mal compris.
Dans mon schéma, "mode switch" ne veut pas dire que j'ai un switch à cet endroit mais que mes ports eth3 et eth4 sont configuré comme switch. Donc entre eth3 et le cpl, c'est du direct

j'avoue que mon schéma n'est peut être pas assez explicite

kgersen · « **Réponse #9 le:** 20 janvier 2016 à 17:11:42 »

Oh d'acc

.

donc c'est peut-etre le CPL qui fait pas passé le VLAN100. le mieux est tester en direct sans mettre de CPL (c'est pas forcement facile à faire suivant les lieux).

Citation de: supernovaes le 20 janvier 2016 à 16:56:58

Par contre je ne serai pas de dire si les devolo 650+ supportent le 802.1Q.

T'as donc des Free et des devolo sur le meme circuit électrique ou ils sont séparés ?

Au besoin eteint les Devolo pour voir si la TV marche qu'avec les CPL Free.
d'apres la spec ils ne supportent pas les VLANs (ou alors c'est omis).

zoc · « **Réponse #10 le:** 20 janvier 2016 à 17:17:21 »

Citation de: kgersen le 20 janvier 2016 à 17:11:42

d'apres la spec ils ne supportent pas les VLANs (ou alors c'est omis).

Chez moi j'avais des devolo 1200+ et j'ai jamais réussi à faire passer un trunk (2 VLANS) entre 2 switchs dessus. Dés que j'ai remplacé le CPL par un cable Ethernet (10 mètres), c'est tombé en marche

Du coup j'ai négocié avec madame pour qu'elle me laisse faire passer le cable ethernet en travers du couloir, et elle a accepté du moment que le cable était caché par un passe fil au lieu du vieux scotch gris que j'avais mis au départ

.

supernovaes · « **Réponse #11 le:** 21 janvier 2016 à 10:03:25 »

Bonjour à vous deux,

En effet, j'ai actuellement deux type de CPL sur mon réseau: Free + devolo 650+: Un CP free sur la freebox player et un devolo 650+ sur le switch0 de mon routeur pour propager mon réseau (branché sur l'eth3).
Hier soir, j'ai dérangé madame quelques minutes en lui coupant la TV. J'ai branché, en direct, la freebox player sur mon switch0 (eth4). La TV n'a pas fonctionné.

Je ne parviens pas à faire un ping de "mafreebox.freebox.fr", ni du routeur, ni d'un poste sur mon réseau.

Concernant le forwarding DNS, voici la config que j'ai:

Code: [Sélectionner]

    dns {
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on switch0
        }
    }

La conf de mon serveur DHCP sur mon LAN:

shared-network-name SWITCH {
authoritative disable
description HOME
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.100 {
stop 192.168.1.120
}
}
}

Je pense en effet qu'il s'agit bien d'un problème de DNS vu que je n'arrive pas à joindre en interne ma freebox player (mafreebox.freebox.fr), même en branchant mon Player en RJ45 directement sur le switch du routeur.

Encore une fois, merci à vous pour le temps passé à m'aider