Auteur Sujet: Reverse Engineering : Nouveau système de génération de l'option 90 DHCP (Lu 220278 fois)

hj67 · « **Réponse #372 le:** 23 novembre 2018 à 20:56:33 »

fttmeh> Je n'ai pas d'Edgerouter, mais pour moi, la ligne ci-dessous n'est pas correcte :

set service dhcp-server shared-network-name Network_Livebox subnet 192.168.20.0/24 domain-name 'orange.fr PUT.access.orange-multimedia.net'

orange.fr est le domaine-name , c'est OK (option 15)
Par contre, le XXX.access.orange-multimedia.net serait à mettre dans le domain-search list (option 119)

zoc · « **Réponse #373 le:** 23 novembre 2018 à 21:02:50 »

Oui, je suis d'accord, et d'ailleurs si on veut vraiment faire exactement ce que fait la box, on ne peut pas utiliser la commande "domain-name XXXXXX" d'EdgeOS, car ça va se transformer en "domain-name XXXXXX" et "domain-search XXXXXX" dans le fichier de config du serveur DHCP.

Du coup, moi je n'utilite plus "domain-name" directement, mais plutôt ça:

Code: [Sélectionner]

        shared-network-name VLAN_LIVEBOX_DHCP {
            authoritative enable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 80.10.246.3
                dns-server 81.253.149.10
                lease 172800
                start 192.168.10.30 {
                    stop 192.168.10.50
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4e:49:43:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
                subnet-parameters "option domain-search &quot;NIC.access.orange-multimedia.net.&quot;;"
                subnet-parameters "option domain-name &quot;orange.fr&quot;;"
            }
        }

fttmeh · « **Réponse #374 le:** 24 novembre 2018 à 18:12:42 »

Citation de: hj67 le 23 novembre 2018 à 20:56:33

fttmeh> Je n'ai pas d'Edgerouter, mais pour moi, la ligne ci-dessous n'est pas correcte :
Code: [Sélectionner]
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.20.0/24 domain-name 'orange.fr PUT.access.orange-multimedia.net'orange.fr est le domaine-name , c'est OK (option 15)
Par contre, le XXX.access.orange-multimedia.net serait à mettre dans le domain-search list (option 119)

Au fait, EdgeOS transforme ça :

Code: [Sélectionner]

domain-name "orange.fr PUT.access.orange-multimedia.net"

En (dans le fichier de config du serveur DHCP - /opt/vyatta/etc/dhcpd.conf ) :

Code: [Sélectionner]

                option domain-name "orange.fr";
                option domain-search "orange.fr", "PUT.access.orange-multimedia.net";

La seule façon d'avoir seulement XXX.access.orange-multimedia.net dans l'option domain-search (119) est de faire comme @zoc mentionne ci-haut.

Bien que faire de cette façon ne soit pas exactement ce qui fait la box, tout fonctionne correctement.

fttmeh · « **Réponse #375 le:** 24 novembre 2018 à 18:15:51 »

Citation de: zoc le 23 novembre 2018 à 21:02:50

Oui, je suis d'accord, et d'ailleurs si on veut vraiment faire exactement ce que fait la box, on ne peut pas utiliser la commande "domain-name XXXXXX" d'EdgeOS, car ça va se transformer en "domain-name XXXXXX" et "domain-search XXXXXX" dans le fichier de config du serveur DHCP.

C'est vrai, si on veut faire exactement ce que la box fait, il faut faire comme @zoc dit. EdgeOS utilise la valeur de l'option domain-name pour remplir les options 119 et 15 (Cf. mon post juste avant).

Enfin, pour l'instant tout fonctionne pour moi. Je vois peu de risque d'avoir deux search-domains pour la box, car c'est du Linux qui tourne dans la box et depuis longtemps Linux gère bien au moins deux search domains.

zfil · « **Réponse #376 le:** 24 novembre 2018 à 18:33:59 »

Citation de: fttmeh le 24 novembre 2018 à 18:15:51

C'est vrai, si on veut faire exactement ce que la box fait, il faut faire comme @zoc dit. EdgeOS utilise la valeur de l'option domain-name pour remplir les options 119 et 15 (Cf. mon post juste avant).

Enfin, pour l'instant tout fonctionne pour moi. Je vois peu de risque d'avoir deux search-domains pour la box, car c'est du Linux qui tourne dans la box et depuis longtemps Linux gère bien au moins deux search domains.

Perso je passe par dnsmasq, comme ça je peux faire ce que je veux ...

Code: [Sélectionner]

    dns {
        forwarding {
            cache-size 1024
            listen-on lo
            listen-on eth0.1
            listen-on eth0.30
            name-server 8.8.8.8
            name-server 8.8.4.4
            options bogus-priv
            options domain-needed
            options rebind-localhost-ok
            options stop-dns-rebind
            options dhcp-option=tag:LIVEBOX,15,orange.fr
            options dhcp-option=tag:LIVEBOX,90,00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
            options dhcp-option=tag:LIVEBOX,119,PUT.access.orange-multimedia.net.
            options dhcp-option=tag:LIVEBOX,120,00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
            options dhcp-option=tag:LIVEBOX,125,00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
            options cname=library.invitro.lan,duosyn.invitro.lan
        }
    }

fttmeh · « **Réponse #377 le:** 24 novembre 2018 à 18:38:30 »

Citation de: zfil le 24 novembre 2018 à 18:33:59

Code: [Sélectionner]
dns { listen-on lo listen-on eth0.1 listen-on eth0.30 name-server 8.8.8.8 name-server 8.8.4.4

Je vois que tu n'utilises pas le VLAN 832 ni les serveurs DNS d'Orange (80.10.246.3 et 81.253.149.10). Utilises-tu la livebox pour ton téléphone fixe ?

zfil · « **Réponse #378 le:** 25 novembre 2018 à 00:55:52 »

Citation de: fttmeh le 24 novembre 2018 à 18:38:30

Je vois que tu n'utilises pas le VLAN 832 ni les serveurs DNS d'Orange (80.10.246.3 et 81.253.149.10). Utilises-tu la livebox pour ton téléphone fixe ?

Si si j'utilise le vlan 832 et les DNS orange ... Et oui j'utilise le fix de la LB.

Voici un plus gros fragment de ma config

Code: [Sélectionner]

interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "br0 -> eth2.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth2.840 LIVEBOX (multicast)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description LAN
        duplex auto
        speed auto
        vif 1 {
            address 192.168.0.1/24
            description LAN_HOME
            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix ::/64 {
                        autonomous-flag true
                        on-link-flag true
                        preferred-lifetime 14400
                        valid-lifetime 18000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }
    }
    ethernet eth1 {
        description ISP
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description ISP_DATA
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth XXXXXXXX;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-auth code 90 = string;"
                global-option "option SIP code 120 = string;"
                global-option "option V-I code 125 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    ipv6-name WAN6_IN
                    name WAN_IN
                }
                local {
                    ipv6-name WAN6_LOCAL
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth1.838 (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (multicast)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        description LIVEBOX
        duplex auto
        speed auto
        vif 832 {
            address 192.168.2.1/24
            description "eth2.832 LIVEBOX"
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth2.838 LIVEBOX (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth2.840 LIVEBOX (multicast)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    loopback lo {
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN_HOME {
            authoritative enable
            subnet 192.168.0.0/24 {
                default-router 192.168.0.1
                dns-server 192.168.0.1
				......
            }
        }
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 81.253.149.6
                dns-server 80.10.246.1
                lease 86400
                start 192.168.2.30 {
                    stop 192.168.2.50
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        forwarding {
            cache-size 1024
            listen-on lo
            listen-on eth0.1
            listen-on eth0.30
            name-server 8.8.8.8
            name-server 8.8.4.4
            options bogus-priv
            options domain-needed
            options rebind-localhost-ok
            options stop-dns-rebind
            options dhcp-option=tag:LIVEBOX,15,orange.fr
            options dhcp-option=tag:LIVEBOX,90,00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
            options dhcp-option=tag:LIVEBOX,119,PUT.access.orange-multimedia.net.
            options dhcp-option=tag:LIVEBOX,120,00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
            options dhcp-option=tag:LIVEBOX,125,00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
        }
    }

Et du coup l'ERL génère dans /etc/dnsmasq.conf

Code: [Sélectionner]

#
# autogenerated by vyatta-dns-forwarding.pl on Sat Nov 24 02:08:14 CET 2018
#
log-facility=/var/log/dnsmasq.log
interface=lo
interface=eth0.1
interface=eth0.30
cache-size=1024
server=8.8.8.8  # statically configured
server=8.8.4.4  # statically configured
bogus-priv
domain-needed
rebind-localhost-ok
stop-dns-rebind
dhcp-option=tag:LIVEBOX,15,orange.fr
dhcp-option=tag:LIVEBOX,90,00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
dhcp-option=tag:LIVEBOX,119,PUT.access.orange-multimedia.net.
dhcp-option=tag:LIVEBOX,120,00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
dhcp-option=tag:LIVEBOX,125,00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
no-resolv

Et dans /etc/dnsmasq.d/dnsmasq-dhcp-config.conf

Code: [Sélectionner]

#
# autogenerated by /opt/vyatta/sbin/dnsmasq-dhcp-config.pl on Thu Nov  8 01:53:13 CET 2018
#
dhcp-leasefile=/var/run/dnsmasq-dhcp.leases
domain=XXXX.lan

###shared-network LAN_HOME

        #subnet 192.168.0.0/24
                dhcp-range=set:LANHOME,192.168.0.100,192.168.0.200,255.255.255.0,3600
                domain=invitro.lan,192.168.0.0/24,local
                dhcp-option=tag:LANHOME,option:domain-name,XXXX.lan
                dhcp-option=tag:LANHOME,option:router,192.168.0.1
                dhcp-option=tag:LANHOME,option:ntp-server,192.168.0.1
                dhcp-option=tag:LANHOME,option:dns-server,192.168.0.1

                #static reservations for subnet 192.168.0.0/24
                dhcp-host=50:C7:XX:XX:XX:XX,set:LANHOME,192.168.0.XX    #IBOZ
                host-record=IBOZ.XXXX.lan,192.168.0.XX,3600        #IBOZ.XXXX.lan
                .....
        #end of subnet 192.168.0.0/24

###end of shared-network LAN_HOME


###shared-network LIVEBOX

        #subnet 192.168.2.0/24
                interface=eth2.832      #automatically added for this dhcp subnet to work
                dhcp-range=set:LIVEBOX,192.168.2.30,192.168.2.50,255.255.255.0,86400
                dhcp-option=tag:LIVEBOX,option:router,192.168.2.1
                dhcp-option=tag:LIVEBOX,option:dns-server,81.253.149.6,80.10.246.1

                #static reservations for subnet 192.168.2.0/24
        #end of subnet 192.168.2.0/24

###end of shared-network LIVEBOX

#global settings depending on previous config
dhcp-ttl=1800   #this is half the smallest lease time found
dhcp-fqdn       #we have default domain, so we can use dhcp-fqdn
dhcp-authoritative      #at least one shared-network was declared authoritative

fttmeh · « **Réponse #379 le:** 25 novembre 2018 à 01:18:28 »

Citation de: zfil le 25 novembre 2018 à 00:55:52

Si si j'utilise le vlan 832 et les DNS orange ... Et oui j'utilise le fix de la LB.
Code: [Sélectionner]
interfaces { ethernet eth2 { description LIVEBOX duplex auto speed auto vif 832 { address 192.168.2.1/24 description "eth2.832 LIVEBOX" } service { dhcp-server { shared-network-name LIVEBOX { authoritative enable subnet 192.168.2.0/24 { default-router 192.168.2.1 dns-server 81.253.149.6 dns-server 80.10.246.1 lease 86400 start 192.168.2.30 { stop 192.168.2.50 } } } dns { forwarding { cache-size 1024 listen-on lo listen-on eth0.1 listen-on eth0.30 name-server 8.8.8.8 name-server 8.8.4.4 options bogus-priv options domain-needed options rebind-localhost-ok options stop-dns-rebind options dhcp-option=tag:LIVEBOX,15,orange.fr options dhcp-option=tag:LIVEBOX,90,00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30 options dhcp-option=tag:LIVEBOX,119,PUT.access.orange-multimedia.net. options dhcp-option=tag:LIVEBOX,120,00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00 options dhcp-option=tag:LIVEBOX,125,00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff } }
[/code]

OK, merci. Ce n'était pas très clair pour moi, car dans la conf /etc/dnsmasq.d/dnsmasq-dhcp-config.conf je ne vois pas les options 15,90,119 pour le réseau Livebox, et dans le fichier /etc/dnsmasq.conf je vois qu'il écoute que sur les interfaces eth0.1 et eth0.30.

Mais à la fin tu as bien dnsmasq comme serveur DHCP sur le réseau eth2.832, donc dnsmasq va prendre sa config tant du fichier /etc/dnsmasq.d/dnsmasq-dhcp-config.conf et /etc/dnsmasq.conf .

sxpert · « **Réponse #380 le:** 26 novembre 2018 à 10:43:03 »

Citation de: ochbob le 01 octobre 2018 à 08:27:07

Oh, ça, ça pu vraiment effectivement

Pourquoi il font ça ? Franchement...
(j'imagine que c'est d'un point de vue sécurité évidemment, m'enfin...)

le plaisir d'emm****** le monde... je vois que ca

sxpert · « **Réponse #381 le:** 26 novembre 2018 à 10:58:36 »

Citation de: obinou le 03 octobre 2018 à 11:29:54

Mhhh dans ce cas il faudrait que la clé privée + certif client soit bien planqué dans le firmware. Mais oui, c'est certain.

ils ont déja essayé ca avec les DVD et les BluRay... ca a pas tenu longtemps ;-)

petrus · « **Réponse #382 le:** 26 novembre 2018 à 10:59:24 »

sxpert, toujours aussi constructif, merci.

ochbob · « **Réponse #383 le:** 26 novembre 2018 à 13:33:51 »

Ces récentes modifications ne concernent que la téléphonie on est d 'accord ?

pas de modifications à faire si on n'a pas de config téléphone ?