Auteur Sujet: Configuration RouterOS (Mikrotik) pour livebox (Lu 336073 fois)

zigjack · « **Réponse #624 le:** 04 mai 2019 à 11:45:19 »

Bon je continue...

J'ai essayé de capturer les tentatives DHCP du Mikrotik, mais je ne capture jamais les tentatives de mon VLAN 832, je ne parviens a capturer que celle de mon interface WAN standard, donc sans les options spécifiques et CoS 6... J'en déduis que mon Mikrotik ne tente meme pas d envoyer des trames DHCP.
J'avoue que je suis un peu perdu... $:-\$
Est ce qu une ame charitable qui utilise cette config pourrait me faire des captures d ecran de :
Interface List / Interface
Interface List / VLAN
Bridge / Bridge
Bridge / Filters
DHCP Client / DHCP Client
DHCP Client / DHCP Client options

J'avoue que ca pourrait m'aider...
Merci par avance!

EDIT: je rajoute ma config si ca peut aider...

Code: [Sélectionner]

# may/04/2019 11:51:50 by RouterOS 6.44.2
# software id = 6DZP-Q4TF
#
# model = RB4011iGS+
# serial number = AAAF09CD4344
/interface bridge
add admin-mac=B8:69:F4:F2:13:DF auto-mac=no comment=defconf name=bridge
add disabled=yes fast-forward=no frame-types=\
    admit-only-untagged-and-priority-tagged name="bridge CoS6" pvid=832 \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
/interface vlan
add interface="bridge CoS6" name=vlan832-internet use-service-tag=yes \
    vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=77 name=userclass value="0x2b46535644XXXXXXXXXXXXXXXXXXXXXXXXXXXXX\
    6e65742e736f66746174686f6d652e4c697665626f7834"
add code=90 name=authsend value="0x00000000000000000000001a0900000558010341010\
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\
    e7f724a6ff319c3ee55c63d"
add code=60 name=vendor-class value=0x736167656d
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=set-priority chain=output disabled=yes dst-port=67 ip-protocol=udp \
    mac-protocol=ip new-priority=6 out-bridge="bridge CoS6" out-bridge-list=\
    all passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge="bridge CoS6" interface=ether1-WAN
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-WAN list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip arp
add address=192.168.88.118 interface=bridge mac-address=54:C9:DF:CD:C8:B0
add address=192.168.88.151 interface=bridge mac-address=D8:80:39:EC:01:0B
add address=192.168.88.114 interface=bridge mac-address=84:F3:EB:4E:2B:7C
add address=192.168.88.251 interface=bridge mac-address=00:1E:06:34:3D:F9
add address=192.168.88.112 interface=bridge mac-address=70:EE:50:00:71:C6
add address=192.168.88.113 interface=bridge mac-address=50:A0:09:93:31:71
add address=192.168.88.115 interface=bridge mac-address=F4:60:E2:B3:10:B0
add address=192.168.88.116 interface=bridge mac-address=08:9E:08:48:E3:77
add address=192.168.88.117 interface=bridge mac-address=54:60:09:DB:58:C8
add address=192.168.88.119 interface=bridge mac-address=E4:F0:42:44:3D:57
add address=192.168.88.120 interface=bridge mac-address=34:EA:34:90:FA:78
add address=192.168.88.121 interface=bridge mac-address=84:A9:3E:D3:D7:F4
add address=192.168.88.146 interface=bridge mac-address=C0:EE:FB:F4:5C:D8
add address=192.168.88.147 interface=bridge mac-address=04:CF:8C:97:D3:21
add address=192.168.88.148 interface=bridge mac-address=04:CF:8C:9B:1E:0F
add address=192.168.88.149 interface=bridge mac-address=00:28:F8:3E:5B:9D
add address=192.168.88.217 interface=bridge mac-address=34:CE:00:EA:E6:DA
add address=192.168.88.108 interface=bridge mac-address=EC:9B:F3:C0:90:EF
add address=192.168.88.150 interface=bridge mac-address=B4:FB:E4:F3:76:23
add address=192.168.88.153 interface=bridge mac-address=10:FE:ED:42:15:11
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1-WAN
add dhcp-options=authsend,clientid,hostname,userclass interface=\
    vlan832-internet
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat connection-type="" disabled=yes log=yes \
    out-interface="bridge CoS6"
/ip ssh
set allow-none-crypto=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name="MikroTik RB4011"
/system logging
add topics=dhcp,debug
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

zigjack · « **Réponse #625 le:** 06 mai 2019 à 18:44:18 »

Est ce que je dois déduire de l'absence de réponse que plus personne n'utilise ce type de solution?
Et si oui, pourquoi?

(Ou est ce que je suis trop un boulet?

)

zigjack · « **Réponse #626 le:** 06 mai 2019 à 22:02:02 »

J'ai un peu avancé...
Mon DHCP Client passe maintenant de searching a requesting

J'ai sniffé les packets et je trouve bien un DHCP Discovery, puis un Offer, puis un Request... et c'est tout... $:-\$
Je dois toujours avoir un probleme de settings par contre car je vois que les prio de ces 3 requetes reste a 0, mais si j'ai recu un DHCP Offer, ca veut dire que je fais parti d'un de ces fameuses zones ou la CoS a 6 n'est pas obligatoire, correct?
Quand je check les trames DHCP Discovery et Request, je vois que mon option 90 est surligné en jaune avec un "expert info (warning/undecoded) trailing stray characters"
du coup j ai revérifié mon option 90 avec l outil LiveboxInfo... et je m apercois que la valeur que j avais capturé le 16 Avril n'est plus la meme maintenant... plus précisemment ce sont les 34 derniers digits qui sont différents... (capture d'écran à l'appui)
Bon pour le moment, meme avec la nouvelle valeur de l option 90, ca ne marche toujours pas

mais pourquoi la valeur de cette option a changé en l espace de 3 semaines? Si j ai bien compris ca contient nos identifiants de connexion, donc normalement ca ne doit pas bouger, si?

zoc · « **Réponse #627 le:** 07 mai 2019 à 05:47:29 »

L’option 90 contient l’identifiant (fti/......) en clair, mais aussi un hash du mot de passe + un sel aléatoire (similaire au protocole d’identification CHAP utilisé en PPPoE). Ce sel change régulièrement donc il est normal que la chaîne de l’option 90 soit différente.

Ceci dit, Orange ne détecte pas le rejeu, il est donc possible d’utiliser une chaîne qui ne change jamais (j’utilise la même depuis la mise en place du système à l’automne dernier).

zigjack · « **Réponse #628 le:** 07 mai 2019 à 08:19:42 »

Merci pour ton retour zoc.

Tu me confirmes que si j ai deja eu un retour (DHCP Offer) en etant sur une prio a 0, cela veut bien dire qu a priori je n ai pas beoin de mettre la prio a 6? (et donc ca n a rien a voir avec le fait que je n obitenne pas le Ack pour le moment)
Ou alors c est un parametre qui ne serait pris en compte qu entre le Request et le Ack?

bob62 · « **Réponse #629 le:** 07 mai 2019 à 09:19:24 »

Citation de: zigjack le 06 mai 2019 à 18:44:18

Est ce que je dois déduire de l'absence de réponse que plus personne n'utilise ce type de solution?

Non, j'avais utilisé la méthode du bridge sur un hAP ac², avant de passer aux switch rules.
Donc ça doit fonctionner !

Je ne vois pas l'option DHCP clientid (61) positionnée à l'adresse MAC de ta Livebox (01 suivi de l'adresse MAC, donc 14 caractères) dans ta configuration.
Pour ma part j'envoie ces 4 :

alexpl0sif · « **Réponse #630 le:** 07 mai 2019 à 16:52:46 »

Code: [Sélectionner]

/interface bridge
add admin-mac=B8:69:F4:F2:13:DF auto-mac=no comment=defconf name=bridge
add disabled=yes fast-forward=no frame-types=\
    admit-only-untagged-and-priority-tagged name="bridge CoS6" pvid=832 \
    vlan-filtering=yes

Je me trompe peut-être mais ton interface bridge n'est pas activée dans ta configuration, "disabled=yes" au lieu de "disabled=no"

zigjack · « **Réponse #631 le:** 07 mai 2019 à 20:49:30 »

Citation de: bob62 le 07 mai 2019 à 09:19:24

Non, j'avais utilisé la méthode du bridge sur un hAP ac², avant de passer aux switch rules.
Donc ça doit fonctionner !

Je ne vois pas l'option DHCP clientid (61) positionnée à l'adresse MAC de ta Livebox (01 suivi de l'adresse MAC, donc 14 caractères) dans ta configuration.
Pour ma part j'envoie ces 4 :

En fait j ai checké les trames et cette option y est bien, mais c est le MAC du routeur, j ai changé par le MAC de la livebox, mais ca n a rien changé au final...
Mais il me semblait avoir lu que ce n'était pas une option indispensable...
Mais merci du retour quand meme

zigjack · « **Réponse #632 le:** 07 mai 2019 à 20:51:34 »

Citation de: alexpl0sif le 07 mai 2019 à 16:52:46

Code: [Sélectionner]
/interface bridge add admin-mac=B8:69:F4:F2:13:DF auto-mac=no comment=defconf name=bridge add disabled=yes fast-forward=no frame-types=\ admit-only-untagged-and-priority-tagged name="bridge CoS6" pvid=832 \ vlan-filtering=yes
Je me trompe peut-être mais ton interface bridge n'est pas activée dans ta configuration, "disabled=yes" au lieu de "disabled=no"

lol, non non je suis pas aussi blond

J ai fait mes captures sur ma config "qui marche" donc relié a la livebox et donc ce bridge désactivé

Mais merci a toi aussi

zigjack · « **Réponse #633 le:** 08 mai 2019 à 18:21:58 »

Bonsoir!

Je reviens sur mon option 90 avec mon message d'erreur, cf capture ci dessous. Je pense que ce n est pas normal et j'interprete le "trailing stray characters" comme une perte de caractere a la fin de la chaine... mais si je vérifie la chaine, elle est identique a ce que j ai pu prendre de LiveBoxInfo et donc a ce que j ai mis dans les settings (a la difference du 0x au début bien sur)
Des idées sur l origine de ce message d'erreur?
Ou est ce qu il n a rien a voir avec le fait que mon client DHCP reste en "requesting"?

D'avance, merci

bob62 · « **Réponse #634 le:** 08 mai 2019 à 18:32:10 »

Aucune idée quant au message d'erreur.
Tu peux cependant vérifier si ta chaine correspondant à l'option 90 fait bien 140 caractères de long (sans le 0x au début).

Et la COS 6 me semble désactivée également ?

Code: [Sélectionner]

/interface bridge filter
add action=set-priority chain=output disabled=yes dst-port=67 ip-protocol=udp \
    mac-protocol=ip new-priority=6 out-bridge="bridge CoS6" out-bridge-list=\
    all passthrough=yes

zoc · « **Réponse #635 le:** 08 mai 2019 à 19:14:12 »

Citation de: zigjack le 07 mai 2019 à 08:19:42

Tu me confirmes que si j ai deja eu un retour (DHCP Offer) en etant sur une prio a 0, cela veut bien dire qu a priori je n ai pas beoin de mettre la prio a 6?

Ca, je n'en sais rien, je n'ai jamais regardé comment l'infra d'Orange se comporte quand la CoS n'est pas à 6 chez moi.