Hello,

Comme je l'expliquais précédemment la capture ne tient pas compte de la priorité (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1004187/#msg1004187)
J'ai indiqué les règles de configuration de mon switch Mikrotik.

NB : le wan routeur entre sur le port 23, l'ont est lui branché sur le port 24.

Bonjour,

Je vais voir ce que je peux faire.

Après je n'aurais pas posté ici si la CoS n'était pas paramétrée à 6...
Ca fait 2 ans que j'ai le dispositif de remplacement de la LB5 et que sans CoS 6 ça ne fonctionnait pas, même avant le basculement.
Cela fonctionnait tout à fait bien jusqu'à, je suppose, le basculement côté Orange (où là le cas du renew semble poser problème).

Ok.
PI : j'ai lancé un nouveau tcpdump en tâche de fond.

Pour le reste @LeVieux, soit je spoofe la MAC Wan du routeur pour faire correspondre à l'option 61, soit l'inverse (modifier l'option 61 pour la faire correspondre à la Mac).
Je testerais ça ce we. Une approche est-elle meilleure que l'autre ?

EDIT : et pour IPv6 ?
Le problème c'est que je peux pas setter explicitement le clientId (l'option est réservée), juste l'iaid.

Hello,

Bon je viens de mettre la meme mac adresse entre mon USG-PRO4 et mon UDM ProSE, l'USG PRO4 tourne bien mais pas le UDM PRO SE

@Levieux tu pourrais me dire is tu vois quelque chose de mauvais dans ma config, je n'ai vraiment plus d'idée...

Bonjour,

C'est pas bête.
Pour info j'ai moi-même une longueur similaire avec une chaîne directement repompée avec Wireshark depuis une capture Livebox 5 récente (cad décembre 2022).
Et je viens de checker avec l'outil kgersen : celui-ci génère en effet une chaîne un peu plus longue.

En synthèse (et je parle uniquement de la valeur d'auth) :
- Repompé Livebox : 118 digits hexa (mais peut être induit par le dissecteur ?)
- Outil kgersen : 126 digits hexa

8 digits hexa d'écart, donc 4 octets.
Si ça peut poser problème alors va falloir que je fasse de la spéléo pour retrouver le mdp fti

EDIT (en mode 'captain obvious') : en fait la longueur de la valeur générée par l'outil kgersen dépend de celle du hash entrée dans le même outil
Si on laisse la valeur exemple c'est plus long (tel que décrit plus haut dans ce post), si on met une valeur réelle de hash on retombe bien sur 118 digits hexa

A+

Merci @arnaudf et @levieuxatorange pour m'avoir mis sur la piste du pourquoi le renew ne passait pas.
En effet seul le renew est fait en unicast, et n'utilise pas les meme mécanismes que le reste de dhclient (BPF) , j'ai donc  simplement ajouté une règle pf qui modifie la CoS 6 aux paquets RENEW unicast et ca fonctionne a présent!

Merci à toi de ce retour.
De mon point de vue ça permet aussi de montrer que cette conformité protocolaire est particulièrement difficile à respecter dans pas mal de situation qui ne sont pas "simplement" du Linux.

Typiquement je suis en train de travailler sur du routage à base de vpp (fd.io), donc sur du linux mais en dehors du noyau, et je suis très  content de ne pas être chez Orange pour ça :-)