Bonjour

Ouverture d'un nouveau sujet suite a problème de monté en version d'un erl3 je pensais avoir des problème particulier sur la config.boot d'ou mes plusieurs post ici :
https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/msg542380/#msg542380

Actuellement la config fonctionne parfaitement en v1.10.1 seulement si je laisse "dnsmasq en disable" si je démarre en enable patatra la Livebox ne veux pas ce connecté et si par SSH je passe le paramètre en disable par :
configure
set service dhcp-server use-dnsmasq disable
commit
save
exit
d'un coup la box ce connecte au réseau orange directement après.

Voila le config.boot
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth2
                }
            }
            log enable
            protocol icmp
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "bro -> eth0.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 VERS LIVEBOX"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.2.1/24
            description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth0.838 LIVEBOX (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth1 {
        description "eth1 ONT (FIBRE RJ45)"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 (INTERNET + VOIP + CANAL 2)"
            dhcp-options {
                client-option "send vendor-class-identifier "sagem";"
                client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-auth code 90 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth1.838 (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.10.1/24
        description "eth2 LOCAL LAN SWITCH"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    lan-interface eth2
    rule 1 {
        description Xxxxxx
        forward-to {
            address 192.168.10.xxx
            port XXXX
        }
        original-port XXX
        protocol tcp
    }
    rule 89 {
        description Xxxxxxx
        forward-to {
            address 192.168.10.xxx
            port XXXXX
        }
        original-port XXX
        protocol tcp
    }
    wan-interface eth1.832
}
protocols {
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"
        hostfile-update disable
        shared-network-name LAN_ETH2_DHCP {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                domain-name lan.prive
                lease 86400
                start 192.168.10.3 {
                    stop 192.168.10.254
                }
            }
        }
        shared-network-name LIVEBOX_ETH0_DHCP {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 81.253.149.9
                dns-server 80.10.246.1
                domain-name orange.fr
                lease 86400
                start 192.168.2.30 {
                    stop 192.168.2.50
                }
                static-mapping LIVEBOX {
                    ip-address 192.168.2.2
                    mac-address xx:xx:xx:xx:xx:xx
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
                subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface eth1.832 {
                service dyndns {
                    host-name xxxxxxx.dyndns.org
                    login xxxxxxxx
                    password ICIsecret
                }
                web dyndns
            }
        }
        forwarding {
            cache-size 400
            listen-on eth2
            name-server 9.9.9.9
            name-server 149.112.112.112
        }
    }
    gui {
        http-port 80
        https-port 443
        listen-address 192.168.10.1
        listen-address 192.168.2.1
        older-ciphers disable
    }
    nat {
        rule 5010 {
            description "MASQ: WAN"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        listen-address 192.168.10.1
        listen-address 192.168.2.1
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    domain-name lan.prive
    host-name ubnt
    login {
        user root {
            authentication {
                encrypted-password mypasse
                plaintext-password ""
            }
            full-name "User Root"
            level admin
        }
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
                plaintext-password ""
            }
            full-name "User Ubnt"
            level admin
        }
    }
    name-server 127.0.0.1
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            vlan enable
        }
        ipv6 {
            forwarding disable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi enable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.1.5067571.180305.1750 */



Deuxième problème totalement lier a dsnmasq en enable

DHCP LIVEBOX je spécifie "domain-name orange.fr" si j’essaie de check orange.fr avec le routeur en SSH impossible, si j'essaie à partir d'un pc X sur le réseau 192.168.10.0/24 connecté à ETH2 impossible non plus mais si je modifie les dns manuellement dans la machine en spécifiant 9.9.9.9 ou 8.8.8.8 par exemple la ça fonctionne, si je supprime tous bêtement le "domain-name " ça fonctionne aussi et si je change "domain-name orange.fr" par "domain-name google.fr" en laissant tous en config IP et DNS auto sur le Windows ou sur le routeur (et nettoyage du cache !) du coup orange est accessible mais google.fr ne l'est plus pour simplifier le domaine insérer dans "domain-name " de DHCP LIVEBOX sur ETH0 serra bloqué après validation (et nettoyage du cache).



Je veux absolument dnsmasq sur le router pour géré les ShortName grâce au DHCP-Server le réseau ETH2 (lan.prive)
Comment je peux faire pour que le réseau LiveBox ignore dnsmasq pour que je puisse faire marché la livebox pour avoir le téléphone et accessoirement la TV ?


Récapitulatif :

-Je voudrais un System qui enregistre le nom des mappages statiques DHCP dans le résolveur DNS et aussi mais accessoire qui enregistre le nom des baux DHCP dans le résolveur DNS
-je voudrais avoir un moyen facile de faire du FailOver load balancing manuel ou auto grâce a un script (en rapport avec phrase du dessus).
-Je voudrais forwarder toutes les requêtes DNS sortant vers le serveur 9.9.9.9 (Quad9) grâce à dnsmasq+paramètre "dns { forwarding {} }" du fichier config.boot seul moyen que je connaisse actuellement pour Forwarder les requêtes DNS arrivant sur le router.
-Je voudrais pouvoir créer un enregistrement "DNS menteur".

Hello @konki

oui effectivement j'ai supprimé la trentaine de machines de la config cité mais oui a part peux être les tels portables qui circule librement sinon tous est en IP fixé quelque minute après raccordement sur réseau privé seulement le réseau wifi de la livebox est libre.

Je ne l'avais pas forcement précisé.

Malheureusement c'est pas ça qui bloque, ce weekend j'installe la v1.10.3 pour voir si cela change quelque chose, déjà cela réglera le problème affichage des baux dhcp dans interface web.

t'es pas censé avoir besoin de dnsmasq pour la résolution locale des noms courts sur lan.prive.

depuis la 1.9.7 c'est géré en principe (correction d'un bug de régression introduit a la 1.9.1).

Hello @kgersen

Merci du renseignement effectivement j'avais même pas tcheck avec le HostName des machines dédié ou des vps effectivement cela fonctionne mais n'est vraiment pas idéal car cela veux dire pas possible de passé d'une machine a une autre rapidement sans modifier le nom machine et effectuer un reboot, alors qu'avec un serveur dns light comme "dnsmasq" un simple changement dans le DHCP (automatisation encore a créer par script) cela est plus simple et j'avoue que rajouter un serveur HW/VPS sur le réseau lan.prive juste pour ça cela m’embête alors que j'ai déjà ce service qui devrais être possible dans le cœur du réseau qui est mon routeur Erl-3 prochainement Erl-6P surement.

Mais cette info va effectivement m’être utile dans d'autre circonstance surement merci bien.

Mais je comprend pas pourquoi le dnsmasq ne ce contient pas seulement au interface spécifié et agit sur ton le router.

je ne capte pas bien ce que tu veux dire par 'serveur dns light comme "dnsmasq" un simple changement dans le DHCP' ...
le dhcp de base fait cela aussi non ?

Ce que veux dire par "dns light" petit serveur dns ne faisant que le strict nécessaire c'est a dire dns, dhcp, et surement deux trois autre bricole et qui est simple a configurer et super lèger mais pas récursif par rapport a un serveur dns complet je vais prendre le plus connu mais ce n'est pas le seul : BIND qui lui offrira une multitude de services mais que je vois mal mettre directement sur le routeur cause lourdeur du service surtout que cette fonction dhcp n'est pas directement inclut dans BIND si je dit pas de bêtise.

Si je garde le DHCP de base je ne peux malheureusement pas mettre deux host avec le même HostName et utilisé le DHCP standard car quand j'utiliserais le ShortName du host dans ce cas son HostName si il y a deux serveur avec le même HostName ça va coincé.
Alors qu'avec "dnsmasq" qui du coup gère le DHCP du routeur dans ce cas j'ai deux host avec deux HostName différent (normal jusque la !) et quand j'utilise le ShortName celui ci est le Nom donné lors de la création de la règles "static-mapping" sur interface du router car dnsmasq est relié le service DHCP



Exemple concret :

J'utilise le ShortName de mes serveurs grâce au "DHCP standard" en indiquant le HostName "Esxi3-Normal" dans mon serveur de monitoring appelons le "Monitor" celui pointe bien vers 192.168.10.203 grâce au retour de réponse tous marche bien maintenant je veux mettre en maintenance Esxi3-Normal, j'allume donc Esxi3-Secour qui a pour nom de HostName "Esxi3-Secour" mais maintenant "Monitor" ne vois plus "Esxi3-Normal" normale je l'ai mis en maintenance ! cela veux dire que je doit aller changé le nom HostName du serveur monitoré dans "Monitor" pour qui croie re ping de nouveau le serveur "Esxi3-Normal" alors qu'au finale il vois celui de secour mais je doit aussi modifier "Esxi3-Normal" par "Esxi3-Secour" sur ton les serveurs ou j'aurais indiqué "Esxi3-Normal" au départ.

Alors qu'avec les ShortName "DHCP dnsmasq" en indiquant le ShortName du DHCP "Esxi3-Normal" dans mon serveur de monitoring appelons le "Monitor" celui pointe bien vers 192.168.10.203 grâce au retour de réponse tous marche bien maintenant je veux mettre en maintenance Esxi3-Normal, j'allume donc Esxi3-Secour qui a pour nom de HostName "Esxi3-Secour" je supprime/modifie ma règles "static-mapping" pour "Esxi3-Normal" et l'ensembles du réseau qui pointe maintenant sur la bonne machine "Esxi3-Secour" sans changé quoi que ce soit d'autres.


Je vois déjà arriver tous le monde pour me dire (et pas a tors) :  "Ba pourquoi tu utilises pas PfSense sur une VM pour faire du FailOver en plus c'est automatique" car oui c'est exactement cela que je veux "FailOver" mais manuel pour le coup et bien tous simplement car je veux ne veux pas dépendre d'une autre VM ou machine physique je voudrais que ça soit le routeur qui face cette fonction même sans être automatique car je pense pouvoir faire un script pour automatisé la modification de la règles "static-mapping" plus tard.

Oh pétard !
J'ai strictement rien latté, ni à la problématique, ni à la solution.

Au moins tu m'a fait explosé de rire avec t'a phrase ! 

Que voudrais tu que je re explique exactement @Mark5 c'est du FailOver façon bidouille manuel ?


Pour te répondre :
problématique = impossible de faire fonctionné ce fameux dnsmasq sur seulement sur lan.prive et pas sur eth0 coté livebox orange
DHCP seul fait pas le boulot désiré

solution = utiliser dnsmasq qui est un combo DNS/DHCP et trouvé comment faire fonctionné dnsmasq sur une seule interface ou réussir a laissé passer les requêtes dns de orange sur leur serveur en direct.

non j'allais juste dire que ce tu décris est faisable directement sans recours a dnsmasq...y'a déja de base un DNS local (c'est un stub forwarder mais il sait resoudre localement).

soit avec

Code: [Sélectionner]

set system static-host-mapping host-name <hostname> inet <ip address>

soit en changeant le  /etc/hosts  du routeur.

il faut aussi indiquer au forwarder quel domaines sont locaux. ca se fait avec

Code: [Sélectionner]

set service dns forwarding options ... (cf la doc).

sinon pour du simple failover entre 2 machines il suffit d'utiliser une 3eme IP virtuelle et faire du keepalived. exemple: https://www.octopuce.fr/keepalived-vrrp-sous-linux-comment-faire-configuration-exemple/

t'as rien a configurer dans le routeur, l'IP ne change jamais elle se balade juste d'un serveur a l'autre quand le 1er est down.

Hello viens de voir ton message cela a première vue a l'air semblable a pfsense et le failover je vais regarder cela de plus près des demain car je pensais pas que c’était possible avec le routeur directement dans les ces conditions.
mais la trop naze pour travailler cette nuit je vous tiens au courant de la suite.