Pages: 1 ... 46 47 48 49 50 [51] 52 53 54 55 56 ... 89   En bas

Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet  (Lu 161415 fois)

0 Membres et 1 Invité sur ce sujet

Tarkok

  • Abonné Orange Fibre
  • *
  • Messages: 209
  • Dunkerque (59)
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #600 le: 22 mars 2023 à 10:07:21 »
Citation de: breizyann le 22 mars 2023 à 10:03:00

@TarKok

En DHCPv4, l'option 61 devient obligatoire

Tu envoies bien l'option 61 qui devient obligatoire avec la migration.
Excuses moi si tu l'appliqais peut être déjà avant?

Hello, merci pour ta réponse. J'avais vu ça et j'ai vérifié, l'option 61 est bien dans ma configuration et je la vois passer dans mes captures. Je suis un peu à court d'idée...
IP archivée

breizyann

  • Abonné Orange Fibre
  • *
  • Messages: 55
  • Rennes (35)
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #601 le: 22 mars 2023 à 10:11:23 »
Citation de: Tarkok le 22 mars 2023 à 10:07:21
Hello, merci pour ta réponse. J'avais vu ça et j'ai vérifié, l'option 61 est bien dans ma configuration et je la vois passer dans mes captures. Je suis un peu à court d'idée...

Aussi pour lever le doute sur la chaine option 90, possibilité d'envoyer une chaine fixe générée par le script de @kgersen pour les tests:
https://jsfiddle.net/kgersen/3mnsc6wy/

Permettra de savoir s'il faut chercher de ce coté ou ailleurs...

Tu ne fais que de l' IPV4 pour l'instant ?
IP archivée

proap

  • Abonné MilkyWan
  • *
  • Messages: 568
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #602 le: 22 mars 2023 à 11:07:12 »
Citation de: cyayon le 06 mars 2023 à 14:45:29
Les rules bridge ou switch suffisent pour changer la COS.
Idéalement il faut aussi changer le DSCP, mais ce n'est pas obligatoire. Personnellement, je ne le fais pas.

Si tu y tiens vraiment, tu peux utiliser ça :

Pour changer le DSCP :
Code: [Sélectionner]
/ipv6 firewall mangle
add action=change-dscp chain=output comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange - DHCPv6 - DSCP to 6" dst-port=547 new-dscp=6 out-interface=vlan832-wan passthrough=yes protocol=udp src-port=546

Pour changer la COS (mais déjà fait avec les switch ou bridge rules) :
Code: [Sélectionner]
/ipv6 firewall mangle
add action=set-priority chain=output comment="Orange - icmpv6 (type 133 - RS) - COS to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=output comment="Orange - icmpv6 (type 136 - NA) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=output comment="Orange - icmpv6 (type 135 - NS) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=icmpv6
add action=set-priority chain=output comment="Orange - DHCPv6 - COS to 6" dst-port=547 new-priority=6 out-interface=vlan832-wan passthrough=yes protocol=udp src-port=546

merci @cyayon et @breizyann pour ces règles. Je m'y suis fortement inspiré  ;D
Juste une remarque: en DSCP le tag ne devrait pas être plutôt 48? Ca correspond à une priorité 6 en layer2. En tout cas, le serveur BAOAB d'orange répond de cette façon.

du coup, dans mon CCR2004, pour faire le DSCP + COS, ça donne ça:

DSCP:
Code: [Sélectionner]
/ipv6 firewall mangle
add action=change-dscp chain=output comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=48 out-interface=bridge_wan \
    passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=48 out-interface=\
    bridge_wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=48 out-interface=\
    bridge_wan passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange - DHCPv6 - DSCP to 6" dst-port=547 new-dscp=48 out-interface=bridge_wan passthrough=yes protocol=udp src-port=546

COS6:
Code: [Sélectionner]
/ipv6 firewall mangle
add action=mark-packet chain=output comment="Orange - icmpv6 (type 133 - RS) - mark packet for COS6" dst-address=ff00::/8 icmp-options=133:0-255 new-packet-mark=na/ns \
    out-interface=bridge_wan passthrough=no protocol=icmpv6
add action=mark-packet chain=output comment="Orange - icmpv6 (type 136 - NA) - mark packet for COS6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-packet-mark=na/ns \
    out-interface=bridge_wan packet-mark="" passthrough=no protocol=icmpv6
add action=mark-packet chain=output comment="Orange - icmpv6 (type 135 - NS) - mark packet for COS6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-packet-mark=na/ns \
    out-interface=bridge_wan passthrough=no protocol=icmpv6
Code: [Sélectionner]
/interface bridge filter
add action=set-priority chain=output comment="DHCPv4 - COS6" dst-port=67 ip-protocol=udp log-prefix="[COS6] DHCP " mac-protocol=ip new-priority=6 out-bridge=bridge_wan out-interface=vlan832_wan passthrough=yes src-port=68
add action=set-priority chain=output comment="IPv6 NA/NS - COS6" mac-protocol=ipv6 new-priority=6 out-interface=vlan832_wan packet-mark=na/ns passthrough=yes
add action=set-priority chain=output comment="ARP - COS6" mac-protocol=arp new-priority=6 out-interface=vlan832_wan passthrough=yes
add action=set-priority chain=output comment="DHCPv6 - COS6" dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832_wan packet-mark=no-mark passthrough=yes
IP archivée

cyayon

  • Abonné Orange Fibre
  • *
  • Messages: 648
  • Cordon 74 - Orange Fibre Pro
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #603 le: 22 mars 2023 à 11:36:59 »
Hello,

Je ne change pas le DSCP, la COS suffit, donc je n'ai pas vraiment testé. Si en sniffant, ba0bab répond avec 48, alors tu as certainement raison.
Merci en tout cas, je mets à jour ma doc :) au cas où...

IP archivée

breizyann

  • Abonné Orange Fibre
  • *
  • Messages: 55
  • Rennes (35)
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #604 le: 22 mars 2023 à 12:04:38 »
Citation de: cyayon le 22 mars 2023 à 11:36:59
Hello,

Je ne change pas le DSCP, la COS suffit, donc je n'ai pas vraiment testé. Si en sniffant, ba0bab répond avec 48, alors tu as certainement raison.
Merci en tout cas, je mets à jour ma doc :) au cas où...

@cyayon @proap

DSCP:
Effectivement, personellement je mets la valeur 48  (qui est le codage élargi de la TOS) dans la nouvelle RFC.
Aussi je ne met pas la règle   NA (type 136)  car c'est une réponse au NS.
NA n'est pas en output wan de la box?

@cyayon est ce que tu peux nous confirmer ? Merci.
IP archivée

dmfr

  • Abonné Orange adsl
  • *
  • Messages: 275
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #605 le: 22 mars 2023 à 12:31:16 »
Citation de: cyayon le 22 mars 2023 à 09:27:08
Super script !
par contre, je n'ai bien compris le process d'install.
Avant tout, le script doit être placé (par FTP/sftp) sur le routeur (après avoir renseigné les identifiants).
On peut dire que c'est ça l'installation.

Lorsque c'est effectué, pour le lancer manuellement depuis la ligne de commande :
Code: [Sélectionner]
/import WIP-MTK-generateOrangeAuth.rsc
Si on veut tester en manuel, on "efface" les identifiants :
Code: [Sélectionner]
/ip/dhcp-client/option/set [find where code="90"] value="0x00"
/ipv6/dhcp-client/option/set [find where code="11"] value="0x00"on lance le script
Code: [Sélectionner]
/import WIP-MTK-generateOrangeAuth.rscon contrôle que les options sont bien générées
Code: [Sélectionner]
/ip/dhcp-client/option/print
/ipv6/dhcp-client/option/printet qu'elles sont acceptées par orange
Code: [Sélectionner]
/ip/dhcp-client/renew 0
/ipv6/dhcp-client/renew 0
(edit) pour voir ce qu'il se passe au niveau DHCP, il peut être utile d'activer les logs DHCP
Code: [Sélectionner]
/system/logging/add topics=dhcpet pour consulter
Code: [Sélectionner]
/log/print

Et ensuite, oui, on peut l'automatiser de la manière suivante
Code: [Sélectionner]
/ip/dhcp-client/set 0 script="{ /ip/dhcp-client/option/set [find where code=\"90\"] value=\"0x00\" ; /import WIP-MTK-generateOrangeAuth.rsc }"
/ipv6/dhcp-client/set 0 script="{ /ipv6/dhcp-client/option/set [find where code=\"11\"] value=\"0x00\" ; /import WIP-MTK-generateOrangeAuth.rsc }"pour regénérer les options après chaque consommation par le DHCP


Concernant le "watchdog" c'est un autre script optionnel, qui n'existe pas chez tout le monde (loin de là)
Je pourrai éventuellement poster le mien prochainement.
« Modifié: 22 mars 2023 à 12:55:44 par dmfr »
IP archivée

cyayon

  • Abonné Orange Fibre
  • *
  • Messages: 648
  • Cordon 74 - Orange Fibre Pro
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #606 le: 22 mars 2023 à 14:00:28 »
Citation de: dmfr le 22 mars 2023 à 12:31:16
Avant tout, le script doit être placé (par FTP/sftp) sur le routeur (après avoir renseigné les identifiants).
On peut dire que c'est ça l'installation.

Lorsque c'est effectué, pour le lancer manuellement depuis la ligne de commande :
Code: [Sélectionner]
/import WIP-MTK-generateOrangeAuth.rsc
Si on veut tester en manuel, on "efface" les identifiants :
Code: [Sélectionner]
/ip/dhcp-client/option/set [find where code="90"] value="0x00"
/ipv6/dhcp-client/option/set [find where code="11"] value="0x00"on lance le script
Code: [Sélectionner]
/import WIP-MTK-generateOrangeAuth.rscon contrôle que les options sont bien générées
Code: [Sélectionner]
/ip/dhcp-client/option/print
/ipv6/dhcp-client/option/printet qu'elles sont acceptées par orange
Code: [Sélectionner]
/ip/dhcp-client/renew 0
/ipv6/dhcp-client/renew 0
(edit) pour voir ce qu'il se passe au niveau DHCP, il peut être utile d'activer les logs DHCP
Code: [Sélectionner]
/system/logging/add topics=dhcpet pour consulter
Code: [Sélectionner]
/log/print

Et ensuite, oui, on peut l'automatiser de la manière suivante
Code: [Sélectionner]
/ip/dhcp-client/set 0 script="{ /ip/dhcp-client/option/set [find where code=\"90\"] value=\"0x00\" ; /import WIP-MTK-generateOrangeAuth.rsc }"
/ipv6/dhcp-client/set 0 script="{ /ipv6/dhcp-client/option/set [find where code=\"11\"] value=\"0x00\" ; /import WIP-MTK-generateOrangeAuth.rsc }"pour regénérer les options après chaque consommation par le DHCP


Concernant le "watchdog" c'est un autre script optionnel, qui n'existe pas chez tout le monde (loin de là)
Je pourrai éventuellement poster le mien prochainement.

Merci, c'est plus clair pour moi maintenant !
IP archivée

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #607 le: 22 mars 2023 à 14:35:40 »
J'ai été migré cette nuit également avec perte de connectivité v6/v4 à la clef. Pas de perte de lien en sortie d'ONT, probablement juste un reset du BNG ou autre.

Un petit down/up de l'interface connecté à l'ONT (qui a eu pour effet de relancer les clients DHCP du routeur) et tout est rentré dans l'ordre. Bail de 7 jours pour mon /56.
IP archivée

breizyann

  • Abonné Orange Fibre
  • *
  • Messages: 55
  • Rennes (35)
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #608 le: 22 mars 2023 à 15:16:44 »
Citation de: simon le 22 mars 2023 à 14:35:40
J'ai été migré cette nuit également avec perte de connectivité v6/v4 à la clef. Pas de perte de lien en sortie d'ONT, probablement juste un reset du BNG ou autre.

Un petit down/up de l'interface connecté à l'ONT (qui a eu pour effet de relancer les clients DHCP du routeur) et tout est rentré dans l'ordre. Bail de 7 jours pour mon /56.

Bail de 7 jours, oui tout semble OK. Pour moi aussi c'est la durée du bail (pour les 2 stacks) depuis la migration.
« Modifié: 22 mars 2023 à 15:42:29 par breizyann »
IP archivée

Tarkok

  • Abonné Orange Fibre
  • *
  • Messages: 209
  • Dunkerque (59)
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #609 le: 22 mars 2023 à 19:20:57 »
Citation de: breizyann le 22 mars 2023 à 10:11:23
Aussi pour lever le doute sur la chaine option 90, possibilité d'envoyer une chaine fixe générée par le script de @kgersen pour les tests:
https://jsfiddle.net/kgersen/3mnsc6wy/

Permettra de savoir s'il faut chercher de ce coté ou ailleurs...

Tu ne fais que de l' IPV4 pour l'instant ?

Hello, merci pour ta réponse, je viens de tester avec le script de kgersen et malheureusement ça ne fonctionne pas mieux. J'ai quand même appeler le 3900 et ils m'ont confirmé que j'utilisais le bon mot de passe (je leur ai demandé de me le redonner et ils m'ont épelé exactement ce que j'ai). Sur cet accès j'utilise uniquement IPv4 pour l'instant.

Je n'ai définitivement plus d'idée, alors que je pensais m'être bien préparé.

EDIT: J'ai ouvert la capture avec Wireshark pour avoir un truc plus lisible, c'est une erreur 201 semble t-il donc une erreur d'encodage du mot de passe (00010002010000000000).

EDIT2:

J'ai trouvé ! Dans ma conf dhclient, il me manquait le 01 devant la MAC :

Code: [Sélectionner]
send dhcp-client-identifier 01:xx:xx:xx:xx:xx:xx;
Le 01 permet de spécifier que c'est une adresse MAC qui est utilisé comme dhcp-client-identifier, je pensais naïvement que dhclient interpréter la valeur pour ajouter la bonne entête.
« Modifié: 22 mars 2023 à 21:35:39 par Tarkok »
IP archivée

proap

  • Abonné MilkyWan
  • *
  • Messages: 568
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #610 le: 22 mars 2023 à 21:59:28 »
Citation de: breizyann le 22 mars 2023 à 12:04:38
@cyayon @proap

DSCP:
Effectivement, personellement je mets la valeur 48  (qui est le codage élargi de la TOS) dans la nouvelle RFC.
Aussi je ne met pas la règle   NA (type 136)  car c'est une réponse au NS.
NA n'est pas en output wan de la box?

@cyayon est ce que tu peux nous confirmer ? Merci.

NA est en effet la réponse à des NS. D'après les informations de @levieuxatorange en première page, il faut bien faire la COS6 pour les messages NS/NA vers baobab. Je n'ai pas bien compris pourquoi tu penses que les NA ne devraient pas être taggés?
IP archivée

breizyann

  • Abonné Orange Fibre
  • *
  • Messages: 55
  • Rennes (35)
Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet
« Réponse #611 le: 23 mars 2023 à 07:44:38 »
Citation de: proap le 22 mars 2023 à 21:59:28
NA est en effet la réponse à des NS. D'après les informations de @levieuxatorange en première page, il faut bien faire la COS6 pour les messages NS/NA vers baobab. Je n'ai pas bien compris pourquoi tu penses que les NA ne devraient pas être taggés?

Bonjour @tous,

@propap merci pour ta cordiale remarque.

Lorsque  j'active cette règle  DSCP (NA type 136) le stack IPV6 ne fonctionne plus (je ne parle pas de l'IPv6 publique que j'obtiens rapidement et qui reste bien présente en statut "BOUND".
En revanche si je fais un ping ipv6.google.com → j'obtiens ceci:

Code: [Sélectionner]
C:\Windows\System32>ping ipv6.google.com

Pinging ipv6.l.google.com [2a00:1450:4001:82b::200e] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 2a00:1450:4001:82b::200e:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

C:\Windows\System32>

Aussi pour vérifier le fonctionnement des 2 stacks je vais sur cet URL: https://ip.lafibre.info/
La réponse devient "Connectivité IP :    Attention : Vous n’avez pas de connectivité IPv6 native."

Je désactive cette règle et je dois ensuite faire un release/renew sur le dhcp-client ipv6 pour récupérer un fonctionement normal.

Sur le site: https://ip.lafibre.info/ la réponse devient alors:
Connectivité IP :    "Bienvenue dans l’internet du futur !"

 Et désormais → j'obtiens ceci::
Code: [Sélectionner]
C:\Windows\System32>ping ipv6.google.com

Pinging ipv6.l.google.com [2a00:1450:4001:82b::200e] with 32 bytes of data:
Reply from 2a00:1450:4001:82b::200e: time=15ms
Reply from 2a00:1450:4001:82b::200e: time=15ms
Reply from 2a00:1450:4001:82b::200e: time=15ms
Reply from 2a00:1450:4001:82b::200e: time=15ms

Ping statistics for 2a00:1450:4001:82b::200e:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 15ms, Maximum = 15ms, Average = 15ms

C:\Windows\System32>

La règle que j'utilise et donc celle que je dois désactiver:
Code: [Sélectionner]
/ipv6 firewall mangle add action=change-dscp chain=output comment="icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=48 out-interface=bridge_wan passthrough=yes protocol=icmpv6
« Modifié: 23 mars 2023 à 08:08:26 par breizyann »
IP archivée
Pages: 1 ... 46 47 48 49 50 [51] 52 53 54 55 56 ... 89   En haut