Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 163846 fois)

Strangelovian · « **Réponse #96 le:** 07 décembre 2022 à 11:25:42 »

Citation de: cyayon le 07 décembre 2022 à 11:14:22

Hello,

ne faudrait-il pas :

1. de temps à autre, regénerer la chaine de caractères ?
2. spoofer / copier / utiliser l'adresse mac de la livebox sur l'interface du vlan832 ?

ce script génère un salt random: https://xavier.kindwolf.org/2018-orange-dhcp/auth

cyayon · « **Réponse #97 le:** 07 décembre 2022 à 11:40:05 »

Merci pour l'info sur la mac address (inutile de spoofer).

Perso, j'utilise ce script shell :

Code: [Sélectionner]

#!/bin/bash
#
#

[ -z "$2" ] && echo "usage : $0 '<fti/login>' '<passwd>'" && exit 1

login="$1" ; pass="$2"

tohex() {
  for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}

addsep() {
  echo $(echo $1 | sed "s/\(.\)\(.\)/:\1\2/g")
}

r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5sum | cut -c1-16)
id=${r:0:1}
h=3C12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5sum | cut -c1-32)
str=$(addsep $(tohex ${login})${h})

echo "# dhclient"
echo "## in ipv4 config :"
echo "send user-class \"+FSVDSL_livebox.Internet.softathome.Livebox4\";"
echo "send vendor-class-identifier \"sagem\";"
echo "send dhcp-client-identifier 01:<livebox_mac>;"
echo "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str};"
echo "## in ipv6 config :"
echo "send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;"
echo "send dhcp-client-identifier 00:03:00:<livebox_mac>;"
echo "send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str};"

echo
echo "# systemd-networkd"
echo "## [DHCPv4]"
str2=`echo "00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str}" | sed 's/^/\\\x/ ; s/:/\\\x/g'`
echo "ClientIdentifier=mac"
echo "SendOption=90:string:${str2}"
echo "ClientIdentifier=mac"
echo "## [DHCPv6]"
echo "DUIDType=link-layer"
echo "SendOption=11:string:${str2}"
echo "SendOption=16:string:\x00\x00\x04\x0e\x00\x05\x73\x61\x67\x65\x6d"

Je pense que cela fait la même chose ?

Strangelovian · « **Réponse #98 le:** 07 décembre 2022 à 11:57:06 »

Citation de: cyayon le 07 décembre 2022 à 11:40:05

Merci pour l'info sur la mac address (inutile de spoofer).

Perso, j'utilise ce script shell :

Code: [Sélectionner]
#!/bin/bash # # [ -z "$2" ] && echo "usage : $0 '<fti/login>' '<passwd>'" && exit 1 login="$1" ; pass="$2" tohex() { for h in $(echo $1 | sed "s/$.$/\1 /g"); do printf %02x \'$h; done } addsep() { echo $(echo $1 | sed "s/$.$$.$/:\1\2/g") } r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5sum | cut -c1-16) id=${r:0:1} h=3C12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5sum | cut -c1-32) str=$(addsep $(tohex ${login})${h}) echo "# dhclient" echo "## in ipv4 config :" echo "send user-class \"+FSVDSL_livebox.Internet.softathome.Livebox4\";" echo "send vendor-class-identifier \"sagem\";" echo "send dhcp-client-identifier 01:<livebox_mac>;" echo "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str};" echo "## in ipv6 config :" echo "send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;" echo "send dhcp-client-identifier 00:03:00:<livebox_mac>;" echo "send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str};" echo echo "# systemd-networkd" echo "## [DHCPv4]" str2=`echo "00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str}" | sed 's/^/\\\x/ ; s/:/\\\x/g'` echo "ClientIdentifier=mac" echo "SendOption=90:string:${str2}" echo "ClientIdentifier=mac" echo "## [DHCPv6]" echo "DUIDType=link-layer" echo "SendOption=11:string:${str2}" echo "SendOption=16:string:\x00\x00\x04\x0e\x00\x05\x73\x61\x67\x65\x6d"
Je pense que cela fait la même chose ?

en effet ça ressemble à la même chose en script shell.
Donc si ça marche pas c'est que ces scripts qui trainent à droite à gauche sur ce forum, sont légèrement incorrects pas rapport à ce qu'attendent les serveurs DHCP d'orange, va falloir regarder plus finement

levieuxatorange · « **Réponse #99 le:** 07 décembre 2022 à 14:17:47 »

Bonjour

Petits rappels :

1) FFFFFFFFFFFF n'est PAS une @MAC valide ...

2) On ne met PAS deux routeurs en même temps derrière un accès ONT ...

Y'en a un qui doit sévèrement relire sa conf.

LeVieux

cyayon · « **Réponse #100 le:** 07 décembre 2022 à 14:20:51 »

Citation de: levieuxatorange le 07 décembre 2022 à 14:17:47

Bonjour

Petits rappels :

1) FFFFFFFFFFFF n'est PAS une @MAC valide ...

2) On ne met PAS deux routeurs en même temps derrière un accès ONT ...

Y'en a un qui doit sévèrement relire sa conf.

LeVieux

Salut,

je ne comprends pas ? cela s'adresse à moi ?

levieuxatorange · « **Réponse #101 le:** 07 décembre 2022 à 14:27:46 »

Toi je ne sais pas, j'ai pas les liaisons complète nom / fti / Mac / nom sur le forum lafibre.info

Mais si ton fti est de la forme fti/q*****4 et que tu es sur Puteaux (au sens large, à porter de NRO) ... Oui c'est possible.

LeVieux

cyayon · « **Réponse #102 le:** 07 décembre 2022 à 14:29:21 »

Citation de: levieuxatorange le 07 décembre 2022 à 14:27:46

Toi je ne sais pas, j'ai pas les liaisons complète nom / fti / Mac / nom sur le forum lafibre.info

Mais si ton fti est de la forme fti/q*****4 et que tu es sur Puteaux ... Oui c'est possible.

LeVieux

Ok j'ai compris

Je croyais que tu réagissais par rapport à mon script...

Alors non, ce n'est pas pour moi..

Merci en tout cas !!

Strangelovian · « **Réponse #103 le:** 07 décembre 2022 à 14:47:10 »

Citation de: levieuxatorange le 07 décembre 2022 à 14:17:47

Bonjour

Petits rappels :

1) FFFFFFFFFFFF n'est PAS une @MAC valide ...

2) On ne met PAS deux routeurs en même temps derrière un accès ONT ...

Y'en a un qui doit sévèrement relire sa conf.

LeVieux

Merci, pas moi non plus

j'utilise ce dhclient.conf + le patch dhclient qui permet de scripter la generation (voir ici: https://xavier.kindwolf.org/2018-orange-dhcp)

Code: [Sélectionner]

option dhcp.auth code 90 = string;
option dhcp.domain-search code 119 = string;
option dhcp.sip-servers code 120 = string;

option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;

interface "enp1s0.832" 
{
    send dhcp-client-identifier 08:3E:5D:01:02:03; // ceci n'est pas la MAC de ma livebox 
    send vendor-class-identifier "sagem";
    send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
    send dhcp.auth = generate("/etc/orange/auth");

    send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
    send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
    send dhcp6.client-id 00:01:00:01:1e:bf:f5:9d:08:3E:5D:01:02:03; // ceci n'est pas non plus la MAC de ma livebox
    send dhcp6.auth = generate("/etc/orange/auth");
}

cyayon · « **Réponse #104 le:** 07 décembre 2022 à 15:06:13 »

Au fait, Il ne me semble pas qu'on ai parlé DUID sur ce topic.

Quelles sont les limitations misent en place et les choses à respecter de ce coté ?

Perso, j'ai eu besoin, quelques fois de débrancher la fibre (ou d'éteindre l'ONT) pour pouvoir récupérer à nouveau mon prefix ipv6 et même m'authentifié tout court sur le réseau Orange. Très certainement à cause du DUID qui changeait lors des différents essais/tests au début ou même des changement d'équipement (de routeurs ou de clients DHCP).

Des infos la-dessus ?

merci

Fibroberto · « **Réponse #105 le:** 07 décembre 2022 à 15:16:00 »

Pour ma part j'ai perdu la connexion cette nuit mais je ne suis pas sur puteaux (je suis dans le 06). Je pensais mon option 90 correcte mais probablement pas. J'ai remis la livebox en catastrophe (télétravail).
Quand j'aurai un peu de temps je vais creuser, mon IPv4 est correcte et marchait très très bien (1 an sans aucune coupure), ma conf IPv6 est en vrac par contre c'est peut-être ça qui bloque. Merci en tout cas pour l'info levieuxatorange, dommage que j'ai pas vu le post plus tôt

Je vais peut-être en profiter pour passer à openwrt 22 du coup (au lieu de 19).

levieuxatorange · « **Réponse #106 le:** 07 décembre 2022 à 15:21:18 »

Citation de: Fibroberto le 07 décembre 2022 à 15:16:00

Pour ma part j'ai perdu la connexion cette nuit mais je ne suis pas sur puteaux (je suis dans le 06).

Cannes ? Fait (partiellement) parti du périmètre de la nuit dernière.

LeVieux

Fibroberto · « **Réponse #107 le:** 07 décembre 2022 à 15:33:31 »

Yep bien vu !

Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 163846 fois)

Strangelovian

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

cyayon

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

Strangelovian

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

levieuxatorange

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

cyayon

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

levieuxatorange

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

cyayon

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

Strangelovian

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

cyayon

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

Fibroberto

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

levieuxatorange

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire

Fibroberto

Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire