Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 173346 fois)

rejo06 · « **Réponse #948 le:** 24 juin 2023 à 18:16:25 »

Bonjour,

config : mikrotik et fibre sosh sur port sfp du mikrotik. Tous fonctionnait bien jusqu'à il y a qq semaines.

J'ai maintenant des "coupures" réseau (plus de connectivité IPv4 ni IPv6) et ça repart quand je reboote le mikrotik.
En creusant les log, j'ai découvert que les DUID4 et DUID6 n'étaient pas cohérents.

Après remise en cohérence, le client dhcp6 ne récupère pas le prefix.

Si on sniffe le lien, dans le cas "ancien DUID" on a bien une séquence

Mikrotik Orange
> Sollicit >
< Advertise <
> Request >
< Reply <

mais après changement de DUID6, la séquence est par exemple

Mikrotik Orange
> Sollicit >
< Advertise <
> Request >
> Request >
< Neighbor Solicitation <
> Neighbor Advertisement >
> Request >

Le tout sur le VLAN 832 / Prio 6

Et ça s'arrête là. Pas de Reply Status: Error au niveau du dhcp-client.

D'où est ce que ça peut provenir ?

Si je reviens à la config avec l'ancien DUID6, je récupère la requête DHCP6 passe toujours bien.

jeremyp3 · « **Réponse #949 le:** 24 juin 2023 à 18:34:20 »

faire un release dhcpv6 avant de remettre en cohérence, ou attendre l'expiration de l'ancien DUID en ne faisant plus de requête

rejo06 · « **Réponse #950 le:** 24 juin 2023 à 18:40:43 »

ok. Merci

J'ai tenté la manip en "releasant" le bail avant de changer de duid. Mais ça n'a pas fonctionné (toujours pas de réponse au Request).
Je vais attendre "un bail" avant de relancer un Sollicit. "dhcp-client off" pour une semaine...

mrsparkle · « **Réponse #951 le:** 03 juillet 2023 à 11:30:29 »

Bonjour,
Ce matin, j'ai reçu une réponse "Invalide" à mon client DHCP. Tout fonctionnait bien avant. Je n'utilise que l'IPv4, et pour l'instant j'attends encore d'activer l'IPv6.
J'ai donc reconnecté ma Livebox, extrait la valeur de l'option 90, l'ai copiée sur l'option de mon client DHCP Mikrotik, et voilà, internet est de retour.
Est-il possible que la valeur de l'option 90 ait une date d'expiration ? Je me souviens que la dernière fois que j'ai modifié mes paramètres, c'était fin janvier ou début février, soit il y a environ 6 mois.

Bonne journée

zoc · « **Réponse #952 le:** 03 juillet 2023 à 18:09:47 »

J'utilise la même depuis au moins 3 ans.

renaud07 · « **Réponse #953 le:** 03 juillet 2023 à 20:51:58 »

Idem ici. C'est celle générée avec le salt par défaut du script de kgersen.

J'ai eu le renouvellent du bail il y a quelques heures, RAS.

levieuxatorange · « **Réponse #954 le:** 04 juillet 2023 à 14:15:16 »

Citation de: zoc le 03 juillet 2023 à 18:09:47

J'utilise la même depuis au moins 3 ans.

Bonjour

Je confirme, le protocole "A" n'a pas notion de temporel.

On a d'autre proto en stock (B et C ...) , mais pas de besoin de mettre en oeuvre pour le moment.

LeVieux

fgero · « **Réponse #955 le:** 05 juillet 2023 à 15:22:57 »

Si j'ai bien compris, la LB génère déjà des Auth (opt 90 v4 et opt 11 v6) différentes à chaque fois au renew ou au discover (ou à intervalles réguliers ?) - elle utiliserait donc des random seed vraiment random pour hasher les 16 derniers octets

Doit-on comprendre qu'un jour pas si lointain cela sera nécessaire de le reproduire avec nos clients dhcp sur routeur non-LB, et que donc si on le fait déjà c'est encore mieux que de générer des Auth fixes ?

simon · « **Réponse #956 le:** 05 juillet 2023 à 16:00:22 »

LeVieux disait il y a un bout de temps déjà, et réaffirme ici, qu'Orange ne fait pas d'anti-rejeu et n'a pas l'utilité de le faire. Donc pas besoin de les régénérer automatiquement.

fgero · « **Réponse #957 le:** 05 juillet 2023 à 17:11:44 »

Citation de: simon le 05 juillet 2023 à 16:00:22

LeVieux disait il y a un bout de temps déjà, et réaffirme ici, qu'Orange ne fait pas d'anti-rejeu et n'a pas l'utilité de le faire. Donc pas besoin de les régénérer automatiquement.

OK - simplement ça n'était pas si évident à comprendre lorsqu'on lit qu'il y a des "proto B et C" en stock

levieuxatorange · « **Réponse #958 le:** 06 juillet 2023 à 09:45:21 »

Citation de: fgero le 05 juillet 2023 à 17:11:44

OK - simplement ça n'était pas si évident à comprendre lorsqu'on lit qu'il y a des "proto B et C" en stock

Hello

On surveille les aspects sécu en continu.
On a des réponses dans la manche. Mais tant que pour exploiter les failles du protocole A (il y en a ...) il faut être physiquement chez le client, comment dire, y'a pas d'urgence ....

Donc, je confirme, on reste sur le protocole A pour le moment.

LeVieux

jeannot · « **Réponse #959 le:** 06 juillet 2023 à 11:08:54 »

au risque d'avoir raté une discussion sur le sujet, quand on parle du protocole A/B/C, c'est lié au Byte de l'option 90 que l'on laisse par défaut à A aujourd'hui?
S'il y a de la doc sur ce sujet pour la culture générale, je suis intéressé.

(je vais finir par me mettre une alerte quand levieux poste dans ce sujet

)