Hello tout le monde !
Merci à tous ceux qui se donnent du mal pour aider, qui expliquent et qui partagent leur expérience.
Je suis débutant et j’essaye de comprendre comment paramétrer mon routeur pfsense avec le boitier ONT d’orange.
Si j’ai bien compris il va falloir que je paramètre mon WAN en DHCP avec authentification pour avoir une adresse IP publique v4 et v6 et pouvoir accéder à internet.
### edit4 : j’ai donc réussi et je détaille ici l’ensemble de ce que j’ai fait pas à pas. Mon matos :
Un vieux ThinkCentre et une Intel i350T4v2. L’objectif est d’établir une connexion VPN cryptée (NordVPN) sans sacrifier trop le débit.
J’ai un contrat fibre FTTH Sosh 300 Mo/s symmétrique et une LiveBox5 livrée avec ONT intégrée.
Je propose une synthèse de tout ce que j’ai lu (ce post en entier + Remplacer sa Livebox par un routeur pfSense - NET + TV, le guide de Hakujou : [
https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/msg518065/#msg518065] et divers autres posts).
Préliminaires :– Obtenir l’ONT seul ( « boitier fibre » ) -> contacter la messagerie Sosh et prétexter que « c’est pas pratique le boîtier PTO est mal placé, mon logement neuf est déjà câblé en RJ45. je souhaiterais l’utiliser pour mettre ma box où ça m’arrange et ne pas ajouter de câbles », il faut ensuite les rappeler pour qu’ils le whitelist.
## edit2 : fait en 1 min avec la messagerie sosh. Il faut leur filer le SN et PROD ID – obtenir ses identifiants fti & mot de passe – les contacter si on ne les a pas.
– obtenir le MAC de la Box, je vais appeler cette chaîne $2
– utiliser le site
https://jsfiddle.net/kgersen/3mnsc6wy pour générer un code dont on se servira plus tard, je vais appeler ce code $1
Sur ce site, deux cases SALT et Byte que je n’ai pas bien comprises. Apparemment on pourrait laisser les valeurs par défaut ? (1234567890123456 et A)
Je fais l’hypothèse que Orange applique une certaine fonction dessus et qu’ils remontent à nos identifiants.
## edit2 : SALT de base et Byte A fonctionne Paramétrer pfsense.1. Il faut obtenir des binaires patchés (sous pfsense 2.4 est-ce toujours d’actualité ?), la source la plus récente (2020/08/22 ?) semble être celle-ci :
https://wiki.virtit.fr/doku.php/kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense – elle détaille aussi l’essentiel de la procédure.
Ce wiki donne deux fichiers dhcp6c et dhclient (pour pfsense <2.4.4), qu’il faut déposer aux endroits suivants /usr/local/sbin/dhcp6c et /sbin/dhclient.
J’ai lu qu’il fallait leur attribuer les droits 777 (ce qui me semble bizarre c’est un bon moyen de péter des trucs de tout donner à des fichiers systèmes).
Ces binaires seraient utiles pour ajouter l’option 77 de DCHPv6
# edit : des posts assez récents ne le font pas : je suppose que ce n’est plus nécéssaire sous pfsense 2.7 CE ?
## edit2 : j’ai fait que le dhcp6c Pour remplacer le fichier, il faut desactiver l’interfce WAN sinon le file est busy, pas besoin de changer les droits. Les fichiers fournis par wiki.virt fonctionnent toujours en 05/2024 2. Créer un VLAN avec le tag 832 sur l’interface qui recevra l’ethernet de l’ONT.
Certains parlent de lui donner une priorité 6, d’autres mentionnent que ça diminuera le débit et que c’est pas une bonne idée.
## edit 2 : j’ai mis la prio à 0 3. Donner au WAN cette VLAN comme interface.
4. Paramétrer le WAN comme suit
General Configuration :
IPv4 Configuration Type : DHCP
IPv6 Configuration Type : DHCP6
DHCP Client Configuration :
- cocher advanced
- cocher DHCP VLAN Priority et choisir Internetwork Control (IC, 6)
Lease Requirements and Requests
Send options
dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox[b]X[/b]", option-90 $1, dhcp-client-identifier 01:$2
J’ai vu « option 90 » être remplacé par « rfc3118-auth ». Je suppose que c’est la variante obsolète.
J’ai vu ajouter aussi « option-15, option-120, option-125 » ça n’a pas été nécéssaire pour moi.
## edit 2 : j’ai laissé la chaine de base : pas d’ option-15, option-120, option-125 Request options :
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90
Certains ajoutent « option-15,option-120,option-125 » et certains remplacent ici aussi « option-90 » par « rfc3118-auth ».
## edit 2 : j’ai laissé la chaine de base : pas d’ option-15, option-120, option-125 option modifiers :
send-interface "[Interface WAN]", vlan-id 832, vlan-pcp 6
certains remplacent « send-interface » par « vlan parent », d’autres mettent seulement « vlan-pcp 6 »
## edit 2 : j’ai tout mis en utilisant send-interface DHCP6 Client Configuration :
– cocher Request only an IPv6 prefix
– fixer DHCPv6 Prefix Delegation size à 64 (j’ai lu 53 ou 56 64 marche chez moi).
– cocher Do not wait for a RA
- cocher DHCP6 VLAN Priority et choisir Internetwork Control (IC, 6)
Sous Send Option pour DHCPv6
ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:[b]4c[/b]:69:76:65:62:6f:78:3[b]X[/b], raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 $1, raw-option 1 00:03:00:01:$2
X dans raw option 15 correspond au numéro de la box, 5 dans mon cas, il y a un débat 4c contre 6c (que j’a identifié en gras).
J’ai lu qu’il fallait ajouter une option 77 (équivalente à 15 en IPv4, mais je n’ai vu personne le faire en pfsense) et que la chaine associée était
4d2c2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f783X
mais j’ai aussi vu la variante plus courte
2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f783X
cette dernière est équivalente à la chaine de raw option 15 sans les :
J’ai lu qu’il fallait entrer le « DUID » (DHCP User IDentifier ?) de la box, que j’ai vu écrit comme suit 0003000144a6$2.
Il semble que ça soit la raw-option 1.
## edit 4 : On peut aussi rentrer $2 dans System/Advanced/Networking : DHCP6 DUID (sélectionner DUID-LL) mais j’arrive à avoir ipv6 sans le faire. J’ai lu que si on utilisait la raw-option 1 dans Send Option pour DHCPv6 ce n’était peut-être pas nécéssaire. J’ai vu ajouter une option 17, ça n’a pas été nécéssaire chez moi.
## edit 2 : j’ai laissé la chaine de base : pas d’ option 17, ni de 77, utiliser 4c et non 6c attention à remplacer le X par numéro de box – cocher Prefix Delegation
– id-assoc pd ID à 0
– Prefix Interface sla-id à 0
– sla-len à 8
– Prefix Interface : LAN
5. Save & apply
6. Dans System/Advanced/Networking :
– cocher « Do not allow PD/Adress release »
Il y a une variété d’approches fournies sur le forum (les diverses options que certains mettent d’autres non), celle que j’ai utilisé fonctionne pour IPv4 et 6.
Il m’a été assez utile de tomber sur des posts qui récapitulaient tout ce qu’il fallait faire et j’ai passé du temps à collecter toutes les infos donc ça en fera gagner à d’autres j’espère.
J’updaterait le post avec les clarifications ou je mettrait un lien vers une version nettoyée de ce post par la suite (avec des screenshots si j’arrive à le faire marcher).
## edit 4 : À ce stade je n’arrive pas à donner d’IPv6 à mes autres interfaces (la Intel i350T4v2 a 4 ports donc je me passe de switch puisque je n’ai besoin que de deux connexions filaires -> je me fais un LAN1 et un LAN2) Je compte ensuite brancher la LB5 en aval de mon routeur pfsense pour en faire un point d’accès wifi. J’ai vu qu’on pouvait paramétrer pfsense de sorte à lui faire croire qu’elle était connectée au réseau Orange direct, on va voir ça. Excellente soirée à tous