Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet  (Lu 176510 fois)

0 Membres et 3 Invités sur ce sujet

hj67

  • Abonné Orange Fibre
  • *
  • Messages: 361
  • 67
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #420 le: 25 février 2023 à 12:07:28 »
70 octets pour l’option 90 ça me parait bien court…
Bonjour,

C'est pas bête.
Pour info j'ai moi-même une longueur similaire avec une chaîne directement repompée avec Wireshark depuis une capture Livebox 5 récente (cad décembre 2022).
Et je viens de checker avec l'outil kgersen : celui-ci génère en effet une chaîne un peu plus longue.

En synthèse (et je parle uniquement de la valeur d'auth) :
- Repompé Livebox : 118 digits hexa (mais peut être induit par le dissecteur ?)
- Outil kgersen : 126 digits hexa

8 digits hexa d'écart, donc 4 octets.
Si ça peut poser problème alors va falloir que je fasse de la spéléo pour retrouver le mdp fti :)

EDIT (en mode 'captain obvious') : en fait la longueur de la valeur générée par l'outil kgersen dépend de celle du hash entrée dans le même outil
Si on laisse la valeur exemple c'est plus long (tel que décrit plus haut dans ce post), si on met une valeur réelle de hash on retombe bien sur 118 digits hexa

A+
Cette valeur de 70 est correcte. C'est ce qui est généré par le script de kgersen indiqué en page 1 avec les valeurs par défaut et c'est ce qui est est envoyé également par la LB (LB4 dans mon cas).

frozeus

  • Abonné Orange Fibre
  • *
  • Messages: 128
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #421 le: 25 février 2023 à 13:45:36 »
Hello,

Je viens de faire une comparaison bit a bit entre un RENEW sur mon USG PRO et une REQUEST sur mon UDM PRO SE
Je pense que l'option 90 est bien setté.

Analyse différence entre

USG PRO 4 vs UDM PRO SE
Frame: 453 Bytes vs 442 bytes
Layer MAC: Bit exact
        VLAN Bit exact
Layer IP:
        ToS set sur UDM PRO à 0xC0
        Total frame 435 vs 424
        TTL 128 vs 64
Layer UDP:
        Length 415 vs 404
Layer DHCP:
        DHCP Request vs DHCP Discover
        Option12: présente sur USGPRO pas sur UDM PRO SE  obligatoire ?
        Option50: Request IP Address sur USGPRO
        Option57: max DHCP size présente sur UDM PRO SE pas USGPRO
        Option55: champs 119/120/125 en plus sur UDM PRO SE
        Ordre différents
        Option90/60/61/77: identique

Voyez vous quelques chose qui pourrait expliquer la non réponse en face ?

Je veux bien envoyer mes 2 PCAPs en perso. :)
« Modifié: 25 février 2023 à 14:13:05 par frozeus »

arnaudf

  • Abonné Orange Fibre
  • *
  • Messages: 88
  • Cachan (94)
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #422 le: 25 février 2023 à 14:19:53 »
Elle n'est a priori pas obligatoire l'option 12.
Par contre quand tu dis RENEW ou REQUEST c'est quoi la différence vu de ta fenêtre ?

"En vrai" selon RFC c'est une DHCP Request qui est attendue.

frozeus

  • Abonné Orange Fibre
  • *
  • Messages: 128
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #423 le: 25 février 2023 à 14:24:55 »
Coté UDM PRO SE,

Je ne vois que des DHCP DISCOVER (Option 53 Length 0x1 Value 0x1) envoyé a 2s d'interval pas de DHCP REQUEST.

UDP PRO SE utilse udhcpc de busybox vs dhclient3 de iscdhcp pour USG PRO4

EDIT: avec un Release coté USG PRO j'ai aussi un DISCOVER qui recoit bien une Offer que n'a pas l'UDM PRO :( 



« Modifié: 25 février 2023 à 15:03:56 par frozeus »

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #424 le: 25 février 2023 à 14:38:04 »
Au vu de ta capture, le réseau ne répond pas à ces DHCP Discover. Le routeur pense qu'il n'y a pas de serveur DHCP en face et fait des Discover en boucle en attendant qu'un serveur lui réponde.

Un échange normal ressemble à ca :
- le client émet un DHCP Discover
- le serveur répond par un DHCP Offer pour signaler son existence et proposer des paramètres de conf réseau,
- le client émet un Request pour confirmer son intérêt pour l'Offer qu'il vient de recevoir,
- le serveur répond par un ACK pour informer au client que l'adresse IP fournie lui est bien attribuée et qu'il peut dès lors l'utiliser.

Après ca, le client peut configurer l'IP sur l'interface.
En DHCPv6-PD, le principe est le même, les messages ont simplement des noms différents et le client demande un préfixe plutôt qu'une adresse IP unique.

Tu peux m'envoyer tes deux captures si tu veux que je jette un oeil.

arnaudf

  • Abonné Orange Fibre
  • *
  • Messages: 88
  • Cachan (94)
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #425 le: 25 février 2023 à 15:10:49 »
Hello,
J'avais eu ça à l'époque :
- Quand les options n'étaient pas bonnes
- Quand ce n'était pas taggué CoS 6

frozeus

  • Abonné Orange Fibre
  • *
  • Messages: 128
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #426 le: 25 février 2023 à 15:13:37 »
Possible que la CoS capturé par Wireshark ne soit pas celle en sortie de l'interface Phy ?

Sinon j'ai relu plusieurs fois et mes options match celle de mon USG PRO4 qui lui fonctionne très bien

arnaudf

  • Abonné Orange Fibre
  • *
  • Messages: 88
  • Cachan (94)
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #427 le: 25 février 2023 à 15:26:55 »
Pour la fiabilité de la capture, ça dépend de quelle manière a été prise la capture :
- Si c'est au niveau de l'ont
- Si tout le port est mirroré ou juste certains paquets via des règles

Histoire d'être sûr il est préférable de mirrorer tout le port relié à l'ONT.
L'interface réseau qui reçoit les paquets mirrorés devra tourner sous du Linux (sous Windows, tu oublies les infos VLAN).
« Modifié: 25 février 2023 à 17:08:26 par arnaudf »

frozeus

  • Abonné Orange Fibre
  • *
  • Messages: 128
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #428 le: 25 février 2023 à 15:29:40 »
Ouep j'ai aussi un gigabit network tap, je vais refaire une capture a ce niveau pour etre sur..

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #429 le: 25 février 2023 à 16:52:58 »
Tes requêtes sont bien tagguées CoS 6 sur les captures, c'est bon.

Peux-tu tenter de supprimer les options 119,120 et 125 du Parameters Request List (même si leur présence ne devrait pas gêner) sur le PRO SE?

Normalement, pas besoin de l'option 12 (Host name), il m'avait même fallu l'enlever pour coller à ce qu'envoyait la livebox il y a des années. Donc je ne pense pas qu'elle soit nécessaire.

Vu que tu testes sur la même ligne, fais tu bien un release sur le routeur qui marche avant de brancher le PRO SE et de faire un discover ?

As-tu moyen de changer la TTL et/ou le DSCP des paquets émis par le routeur? Peux-tu passer le TTL de 128 à 64? Je viens de comparer avec mon setup (qui marche): j'ai également un TTL à 64, et un DSCP à 0.

EDIT: tu peux également essayer de reboot l'ONT lorsque tu changes de routeur. On a jamais vraiment su si ca avait un impact sur les contextes actifs dans le BNG mais certains ici pensent que ca peut aider.
« Modifié: 25 février 2023 à 17:14:48 par simon »

arnaudf

  • Abonné Orange Fibre
  • *
  • Messages: 88
  • Cachan (94)
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #430 le: 25 février 2023 à 17:09:18 »
@Frozeus : si ça te dérange pas je peux aussi regarder tes captures.

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 175
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #431 le: 27 février 2023 à 10:06:53 »
Elle n'est a priori pas obligatoire l'option 12.
Par contre quand tu dis RENEW ou REQUEST c'est quoi la différence vu de ta fenêtre ?

"En vrai" selon RFC c'est une DHCP Request qui est attendue.
Hello

Du point de vu protocolaire bas en IPv4 :
- REQUEST (du cycle DORA) = REBIND = Broadcast
- RENEW  = Unicast vers le serveur qui a effectivement alloué l'adresse.

Donc dans les filtres et autres marquage, c'est à prendre en compte.

LeVieux