Auteur Sujet: Reverse Engineering : Nouveau système de génération de l'option 90 DHCP (Lu 220527 fois)

nonosch · « **Réponse #156 le:** 02 octobre 2018 à 10:56:47 »

Citation de: Florian le 02 octobre 2018 à 10:44:30

Question, remplace la sfr box, c'est plus simple qu'Orange ? )

Pour Sfr le net c'est très simple : il suffit d'envoyer un vendor class id -ipv6 c'est un tunnel l2tp , (ipv6 natif en cours ?= - pour la tv aucune idée

https://bitsofnetworks.org/utiliser-ipv6-chez-sfr-sans-la-neufbox-fr.html

Pour Bouygues (si déjà...) vendor class id et adresse mac de la box . Pour ma part juste tv en streaming (pas de replay ou iptv fonctionelle) pas d'ipv6

petrus · « **Réponse #157 le:** 02 octobre 2018 à 11:15:03 »

Je ne sais pas trop quoi répondre à tout ça. Ces modifications d'ingénierie ne sont bien sûr pas faites pour empêcher les utilisateurs de se connecter avec un routeur tiers, mais en prévisions d'évolution de plateformes ou de réseau de collecte. Certes, cela complique un peu les choses quand il y a un changement. Mais ce n'est pas tous les jours quand même !

J'ai demandé à ma hiérarchie, bien concernée par ces modifications d'architecture de collecte, s'il était possible de communiquer par exemple sur assistance.orange.fr sur les paramètres à envoyer au dhcp. J'attends une réponse.

Quoi qu'il en soit, je ne pense pas qu'il faille s'inquiéter pour l'instant. Il y a une solution statique qui fonctionne et qui ne demande pas de hook ou autre dans les clients dhcp, et a priori ça va fonctionner comme ça pendant un bon bout de temps.

(Avant on avait du pppoe et des ipv4 dynamiques, les gens se plaignaient. Orange fournit un service dual stack natif avec des ipv4 et v6 stables, et les gens se plaignent toujours...)

computman · « **Réponse #158 le:** 02 octobre 2018 à 11:18:39 »

Citation de: zoc le 02 octobre 2018 à 10:32:15

Idem.

D'ailleurs, en parlant de ça, je vois ce matin (mon premier RENEW a eu lieu hier soir, donc je ne sais pas si c'est lié à ça...) que je ne dépasse plus les 120 Mbits/sec. en débit descendant (Sur une offre Jet), aussi bien e IPv6 qu'en IPv4. J'ai par contre toujours les 300 Mbits/sec. montants... Je ne sais pas si c'est juste moi ou une nouvelle fourberie d'Orange (et malheureusement chez moi en FTTH c'est soit Orange soit rien).

testé avec iperf3

Je touche du bois pour le moment on va dire (Je suis en région parisienne dans le 77)

Vincent13 · « **Réponse #159 le:** 02 octobre 2018 à 12:13:34 »

Citation de: petrus le 02 octobre 2018 à 11:15:03

Je ne sais pas trop quoi répondre à tout ça. Ces modifications d'ingénierie ne sont bien sûr pas faites pour empêcher les utilisateurs de se connecter avec un routeur tiers, mais en prévisions d'évolution de plateformes ou de réseau de collecte. Certes, cela complique un peu les choses quand il y a un changement. Mais ce n'est pas tous les jours quand même !

J'ai demandé à ma hiérarchie, bien concernée par ces modifications d'architecture de collecte, s'il était possible de communiquer par exemple sur assistance.orange.fr sur les paramètres à envoyer au dhcp. J'attends une réponse.

Quoi qu'il en soit, je ne pense pas qu'il faille s'inquiéter pour l'instant. Il y a une solution statique qui fonctionne et qui ne demande pas de hook ou autre dans les clients dhcp, et a priori ça va fonctionner comme ça pendant un bon bout de temps.

(Avant on avait du pppoe et des ipv4 dynamiques, les gens se plaignaient. Orange fournit un service dual stack natif avec des ipv4 et v6 stables, et les gens se plaignent toujours...)

Sans vouloir troll, la vraie question c'est pourquoi nous devons arriver à tout ce "cinéma"...
Je n'ai pas remplacé la Livebox par pur plaisir de bidouiller, mais simplement pour avoir accès à des fonctionnalités basique d'un routeur.

Pour ce qui est de la documentation c'est une bonne chose si cela abouti.
Aussi, je rejoins les autres contributeurs ici en incitant Orange à contribuer avec les constructeurs pour intégrer leurs éventuelles spécificités.
La communauté peut avoir un certains poids auprès de solutions ouvertes, mais cela reste assez long quand on fait cavalier seul...

zfil · « **Réponse #160 le:** 02 octobre 2018 à 12:21:23 »

Citation de: zoc le 02 octobre 2018 à 10:32:15

Idem.

D'ailleurs, en parlant de ça, je vois ce matin (mon premier RENEW a eu lieu hier soir, donc je ne sais pas si c'est lié à ça...) que je ne dépasse plus les 120 Mbits/sec. en débit descendant (Sur une offre Jet), aussi bien e IPv6 qu'en IPv4. J'ai par contre toujours les 300 Mbits/sec. montants... Je ne sais pas si c'est juste moi ou une nouvelle fourberie d'Orange (et malheureusement chez moi en FTTH c'est soit Orange soit rien).

testé avec iperf3

Ecoute j’ai eu exactement le même problème mais avant le changement d’authentification, donc je ne pense pas que ce soit lié ...

xavierg · « **Réponse #161 le:** 02 octobre 2018 à 13:02:48 »

Citation de: Vincent13 le 02 octobre 2018 à 12:13:34

Aussi, je rejoins les autres contributeurs ici en incitant Orange à contribuer avec les constructeurs pour intégrer leurs éventuelles spécificités.

Avec les constructeurs et avec leurs clients : je n'aime pas l'idée qu'il faille être constructeur pour avoir le détail du contenu des options DHCP...

zoc · « **Réponse #162 le:** 02 octobre 2018 à 13:42:33 »

Citation de: zfil le 02 octobre 2018 à 12:21:23

Ecoute j’ai eu exactement le même problème mais avant le changement d’authentification, donc je ne pense pas que ce soit lié ...

Et ? C'est revenu tout seul au débit nominal ?

Hakujou · « **Réponse #163 le:** 02 octobre 2018 à 13:52:18 »

Internet est tombé ce matin chez moi, sans doute à cause d'un souci de renew DHCP (je ne suis pas sur place pour le moment).

J'utilisais la réponse complète (avec mot de passe salté etc) fournie par la LB4. D'autres personnes dans le même cas ? Je vais essayer de dépêcher quelqu'un sur place pour la redémarrer, voir si le renew DHCP se fait, mais sinon possible qu'ils commencent à utiliser le no-rekey sur certaines régions ?

EDIT : Revenu après redémarrage... Bizarre quand même, avant le changement côté Orange je n'ai jamais eu ce genre de soucis avec mon pfSense.

nivek1612 · « **Réponse #164 le:** 02 octobre 2018 à 16:14:55 »

Rfc3118

5.4 Key utilization

Each DHCP client has a key, K. The client uses its key to encode any
messages it sends to the server and to authenticate and verify any
messages it receives from the server. The client's key SHOULD be
initially distributed to the client through some out-of-band
mechanism, and SHOULD be stored locally on the client for use in all
authenticated DHCP messages. Once the client has been given its key,
it SHOULD use that key for all transactions even if the client's
configuration changes; e.g., if the client is assigned a new network
address.

Each DHCP server MUST know, or be able to obtain in a secure manner,
the keys for all authorized clients. If all clients use the same
key, clients can perform both entity and message authentication for
all messages received from servers. However, the sharing of keys is
strongly discouraged as it allows for unauthorized clients to
masquerade as authorized clients by obtaining a copy of the shared
key. To authenticate the identity of individual clients, each client
MUST be configured with a unique key. Appendix A describes a

Appendix A - Key Management Technique

To avoid centralized management of a list of random keys, suppose K
for each client is generated from the pair (client identifier [6],
subnet address, e.g., 192.168.1.0), which must be unique to that
client. That is, K = MAC(MK, unique-id), where MK is a secret master
key and MAC is a keyed one-way function such as HMAC-MD5.

Without knowledge of the master key MK, an unauthorized client cannot
generate its own key K. The server can quickly validate an incoming
message from a new client by regenerating K from the client-id. For
known clients, the server can choose to recover the client's K
dynamically from the client-id in the DHCP message, or can choose to
precompute and cache all of the Ks a priori.

By deriving all keys from a single master key, the DHCP server does
not need access to clear text passwords, and can compute and verify
the keyed MACs without requiring help from a centralized
authentication server.

To avoid compromise of this key management system, the master key,
MK, MUST NOT be stored by any clients. The client SHOULD only be
given its key, K. If MK is compromised, a new MK SHOULD be chosen
and all clients given new individual keys.

Flo_77 · « **Réponse #165 le:** 02 octobre 2018 à 16:44:26 »

Citation de: petrus le 02 octobre 2018 à 11:15:03

(Avant on avait du pppoe et des ipv4 dynamiques, les gens se plaignaient. Orange fournit un service dual stack natif avec des ipv4 et v6 stables, et les gens se plaignent toujours...)

Nan on se plaint juste qu'Orange restreint (volontairement ou non) l'utilisation d'un routeur tiers.
Comme dit un peu avant, s'il y avait des options avancées digne d'un routeur sur la livebox, il n'y aurait pas besoin de s'embêter à remplacer celle-ci $:-\$

renaud07 · « **Réponse #166 le:** 02 octobre 2018 à 17:06:41 »

Au vu des récents changements, est-ce le PPPoE va être arrêté plus rapidement que prévu ? Genre d'ici 1 an ? Ou il faudra avant ça éradiquer toutes les vieilles livebox à coup de MAJ ? (à la manière LB mini).

Hugues · « **Réponse #167 le:** 02 octobre 2018 à 17:08:28 »

Un truc qui se passe "Plus vite que prévu" chez Orange ?