Effectivement, bonne idée pour le salt renew a chaque fois

Pour peu que ça n'entraine pas un redémarrage complet du client DHCP et donc un RELEASE puis DISCOVER, où que le changement soit ignoré jusqu'à un renew manuel... Perso j'ai comme un doute que ça soit faisable sans l'aide de Mikrotik.

Pour peu que ça n'entraine pas un redémarrage complet du client DHCP et donc un RELEASE puis DISCOVER, où que le changement soit ignoré jusqu'à un renew manuel... Perso j'ai comme un doute que ça soit faisable sans l'aide de Mikrotik.

La modification des options DHCP (/ip(v6)/dhcp-client/option/set) n'entraine pas de redémarrage du client. C'est au moins un bon point.
Quant aux feature-requests Mikrotik, bon courage

Perso, j'ai pas bien compris comment générer le hash md5...

https://github.com/merlinthemagic/MTM-RouterOS-Scripting/blob/main/src/v7/Documentation/Tools/Hashing/MD5.md c'est pas très clair pour moi. la fonction n'est pas native Mikrotik.

Salut,

Je ne comprends pas trop la motivation technique derrière ça. Quel est l'intérêt pour Orange d'empêcher le rejeu ?
Empêcher les gens d'utiliser autre chose que la Livebox ?

Hello

Pas du tout, ici c'est une pure question sécurité.
Le fait que la séquence soit rejouable offre un point de faiblesse.
Mais comme pour l'exploiter, il faut avoir été chez le client pour capturer la trame entre le routeur et l'ONT, cela limite SERIEUX la capacité d'un attaquant d'exploiter cela.
Mais comme (dans le cas de la chauve souris) c'est exploitable, on le tient à l'oeil et on peut déclencher un contrôle dessus.

J'ai plein d'idée comment contrer cela, mais pour l'instant le besoin n'est pas avéré (de part le point précédent).
Les attaquants sont en général des gens bons à très bons pour certain. Mais autrement que ceux qui font cela pour la beauté de la chose, ils attaquent plutôt par les points plus facile. Sniffer entre votre LB et votre ONT est, comment dire, ... complexe, surtout si vous avez un ONT interne ...

LeVieux

Ci-joint une ébauche de script Mikrotik pour générer l'option 90/11 de manière aléatoire,

• les identifiants orange sont à renseigner dans le script
• solitaire, il ne prend aucun paramètre, il ne lit aucune variable d'environnement
• autonome, il ne dépend d'aucune librairie type MTM-RouterOS, les fonctions utiles (pompées sur MTM) sont re-déclarées localement
• prudent, il procède à la mise en place des valeurs, si et seulement si, elle portent une valeur nulle arbitraire = 0x00

Pourquoi cette condition (0x00) ? Il y a deux cas d'utilisation de ce script,

- fonctionnement régulier, après consommation d'une chaîne qui devient invalide, renouvellement auto via l'option script des dhcp-client
pour mettre en place : /ipv6/dhcp-client/set 0 script="{ /ipv6/dhcp-client/option/set [find where code=\"11\"] value=\"0x00\" ; /import WIP-MTK-generateOrangeAuth.rsc }"On évite donc de toucher aux deux options (v4 & v6) à chaque transaction.

- watchdog ipv4/6 qui détecte une connexion cassée, il appartient donc à ce script parent d'invalider les deux options et lancer le présent script
/ip/dhcp-client/option/set [find where code="90"] value="0x00"
/ipv6/dhcp-client/option/set [find where code="11"] value="0x00"
/import WIP-MTK-generateOrangeAuth.rsc
Corrections bienvenues si j'ai laissé des bourdes, ou si quelqu'un voit plus simple/plus efficace

Bonjour,

J'ai été migré cette nuit vers 3h. J'avais normalement préparé la migration mais y a un truc qui n'est pas passé semble t-il.

Je suis parqué sur une ip privée en 172. Quand je tcpdump les échanges avec le DHCP j'ai l'option 125 suivante en retour.

T125 Option 125, length 17: 0.0.5.88.12.1.10.0.1.0.2.1.0.0.0.0.0
J'ai essayé de mettre en lien avec les infos de LeVieux, mais j'ai du mal à lire les infos formés comme elles le sont avec un tcpdump -v ...

Le canal retour :
Dans la réponse DHCP il y a un canal de retour du réseau.
C'est l'option 125 en DHCPv4, l'option 17 en DHCPv6
Le contenu (attention, les entêtes des options sont différentes, voir les RFC) est le même et dans le format suivant avec en rouge 2 octets de code d'information : 0001000000ffffffffff
Les grandes classes de réponses sont :
- 00xx : OK vu du réseau Orange et tout doit fonctionner. Si ce n'est pas le cas le problème vient de chez vous.
- 01xx : Le modèle de box, le firmware ou votre ligne est bloquée (0102 ce qui peut arriver si le comportement de votre routeur est trop agressif ...) 0199 en cas de mauvaise COS sur le DHCP
- 02xx : erreur de Login ou de Mot de passe ou d'encodage
- 03xx : compte ou service probablement résilié
- 04xx : problème de règlement de la facture avec de possibles limitation de débit ou blocage.

Je serais donc dans le cas 2 ?

J'utilises un script bash pour générer l'option 90 et je suis sur de mon mot de passe.

#!/bin/bash

login='fti/xxxx'
pass='pass'

tohex() {
  for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}

addsep() {
  echo $(echo $1 | sed "s/\(.\)\(.\)/:\1\2/g")
}

r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5sum | cut -c1-16)
id=${r:0:1}
h=3C12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5sum | cut -c1-30)

echo 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d$(addsep $(tohex ${login})${h})
J'ai essayé avec cut -c1-30 ou cut -c1-32 pour la définition de h, comme vu sur certains échanges, mais ça ne fonctionne pas.

Quelqu'un aurait-il une piste pour m’aiguiller ?

Merci beaucoup !