Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 161158 fois)

breizyann · « **Réponse #612 le:** 23 mars 2023 à 08:27:37 »

Citation de: dmfr le 22 mars 2023 à 12:31:16

Avant tout, le script doit être placé (par FTP/sftp) sur le routeur (après avoir renseigné les identifiants).
On peut dire que c'est ça l'installation.

Tout d'abord Grand Merci @dmfr pour le partage de ton travail et de ce fabuleux script.
Je l'ai mis en oeuvre sur mon routeur hier et il a fonctionné pour la première fois cette nuit.

En effet (via le scheduler) je reboot mon routeur toutes les nuits vers 1h du matin.

• Avant le reboot (par script) je fais un release ipv4/ipv6 et disable immédiat des 2 clients dhcp (v4/v6).
• Avant le reboot je mets à zero les options 90 et 11 comme suggéré pour la mise en oeuvre.
• Après le reboot (via le scheduler) j'applique le fabuleux script "WIP-MTK-generateOrangeAuth.rsc"
• Dernière action je repasse ensuite les 2 clients dhcp (v4/v6) en statut enable.

Et... les 2 clients dhcp (v4/v6) récupèrent bien une IP publique avec une chaine 90 et 11 différente de la veille.

Merci encore pour le partage de ton travail.

Yann

fttmeh · « **Réponse #613 le:** 23 mars 2023 à 13:08:59 »

Citation de: breizyann le 23 mars 2023 à 07:44:38

La règle que j'utilise et donc celle que je dois désactiver:
Code: [Sélectionner]
/ipv6 firewall mangle add action=change-dscp chain=output comment="icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=48 out-interface=bridge_wan passthrough=yes protocol=icmpv6

J'ai les regles suivante et tout fonctionne bien. L'interface WAN est vlan832-wan. Je mets la DSCP à 6 en revanche.

Code: [Sélectionner]

/ipv6 firewall mangle
add action=jump chain=postrouting comment="Jump to postrouting-wan-icmpv6" dst-address=fe00::/7 jump-target=postrouting-wan-icmpv6 out-interface=vlan832-wan protocol=icmpv6
add action=jump chain=postrouting comment="Jump to postrouting-wan-dhcpv6" dst-address=ff00::/8 dst-port=547 jump-target=postrouting-wan-dhcpv6 out-interface=vlan832-wan protocol=udp \
    src-port=546
add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-priority=6 passthrough=\
    yes protocol=icmpv6
add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=6 passthrough=yes \
    protocol=icmpv6
add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-priority=6 passthrough=\
    yes protocol=icmpv6
add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=6 passthrough=yes \
    protocol=icmpv6
add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - COS to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-priority=6 passthrough=yes \
    protocol=icmpv6
add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=6 passthrough=yes protocol=\
    icmpv6
add action=accept chain=postrouting-wan-icmpv6 comment="Default accept (postrouting-wan-icmpv6)"
add action=set-priority chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - COS to 6" new-priority=6 passthrough=yes
add action=change-dscp chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - DSCP to 6" new-dscp=6 passthrough=yes
add action=accept chain=postrouting-wan-dhcpv6 comment="Default accept (postrouting-wan-dhcpv6)"

levieuxatorange · « **Réponse #614 le:** 23 mars 2023 à 14:22:06 »

Bonjour Tous

Point d'info : plus de 50% du parc est migré sur la nouvelle solution.
A priori vous avez tous pas mal mis à jour vos scripts et configuration

LeVieux

alaunay · « **Réponse #615 le:** 23 mars 2023 à 14:29:09 »

Tiens, ça a repété ce matin vers 10h30... À 4h30 il y a un renew sans soucis, à 10h30, ça a couillé quelque chose.

Depuis, si je lance le client ipv6, je perds tout... Si je ne lance que le dhclient v4, j'ai bien de l'ipv4. Mais l'ipv6, c'est mort.

Pourtant, ça marchait depuis une bonne semaine ou plus sans aucun problème. J'ai vérifié les options, rechangé la clef d'auth des fois que ce soit le salt... Mais non, plus rien.

V4 fonctionne, je lance V6, ça coupe V4. Je coupe V6, je relance V4, ça remarche...

proap · « **Réponse #616 le:** 23 mars 2023 à 20:42:13 »

Citation de: fttmeh le 23 mars 2023 à 13:08:59

J'ai les regles suivante et tout fonctionne bien. L'interface WAN est vlan832-wan. Je mets la DSCP à 6 en revanche.

Code: [Sélectionner]
/ipv6 firewall mangle add action=jump chain=postrouting comment="Jump to postrouting-wan-icmpv6" dst-address=fe00::/7 jump-target=postrouting-wan-icmpv6 out-interface=vlan832-wan protocol=icmpv6 add action=jump chain=postrouting comment="Jump to postrouting-wan-dhcpv6" dst-address=ff00::/8 dst-port=547 jump-target=postrouting-wan-dhcpv6 out-interface=vlan832-wan protocol=udp \ src-port=546 add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-priority=6 passthrough=\ yes protocol=icmpv6 add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=6 passthrough=yes \ protocol=icmpv6 add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-priority=6 passthrough=\ yes protocol=icmpv6 add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=6 passthrough=yes \ protocol=icmpv6 add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - COS to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-priority=6 passthrough=yes \ protocol=icmpv6 add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=6 passthrough=yes protocol=\ icmpv6 add action=accept chain=postrouting-wan-icmpv6 comment="Default accept (postrouting-wan-icmpv6)" add action=set-priority chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - COS to 6" new-priority=6 passthrough=yes add action=change-dscp chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - DSCP to 6" new-dscp=6 passthrough=yes add action=accept chain=postrouting-wan-dhcpv6 comment="Default accept (postrouting-wan-dhcpv6)"

@fftmeh
Sympa les règles dans mangle. Du coup, ce n'est pas comme en ipv4, pas besoin d'utiliser les bridges filter du tout?
tu peux montrer ta règle qui manque dans la chaine postrouting-wan-dhcpv6, stp?

fttmeh · « **Réponse #617 le:** 23 mars 2023 à 20:50:37 »

Citation de: proap le 23 mars 2023 à 20:42:13

@fftmeh
Sympa les règles dans mangle. Du coup, ce n'est pas comme en ipv4, pas besoin d'utiliser les bridges filter du tout?
tu peux montrer ta règle qui manque dans la chaine postrouting-wan-dhcpv6, stp?

En IPv4 j'ai un CRS305 qui fait les changements nécessaires pour la COS et DSCP.

Pour IPv6, il y bien toutes les règles que j'utilise (une pour la COS, une pour DSCP). J'ai fait deux nouvelles chains afin de ne limiter les paquets qui sont vus par ces règles.

proap · « **Réponse #618 le:** 23 mars 2023 à 21:15:15 »

Citation de: fttmeh le 23 mars 2023 à 20:50:37

En IPv4 j'ai un CRS305 qui fait les changements nécessaires pour la COS et DSCP.

Pour IPv6, il y bien toutes les règles que j'utilise (une pour la COS, une pour DSCP). J'ai fait deux nouvelles chains afin de ne limiter les paquets qui sont vus par ces règles.

Merci. Mais du coup il me semble que ta chain dhcp6 est vide, non?
Par contre, je pense que le DSCP (TOS) devrait être 48. Regarde la capture WireShark de la réponse de fe80:ba0:bab:

Code: [Sélectionner]

Frame 2: 230 bytes on wire (1840 bits), 230 bytes captured (1840 bits)
Ethernet II, Src: Nokia_b9:6e:ea (00:d0:f6:b9:6e:ea), Dst: Sagemcom_ff:ff:ff (44:d4:ff:ff:ff:ff)
Internet Protocol Version 6, Src: fe80::ba0:bab, Dst: fe80::ffff:ffff:ffff:ffff
    0110 .... = Version: 6
    .... 1100 0000 .... .... .... .... .... = Traffic Class: 0xc0 (DSCP: CS6, ECN: Not-ECT)
       .... 1100 00.. .... .... .... .... .... = Differentiated Services Codepoint: Class Selector 6 (48)
        .... .... ..00 .... .... .... .... .... = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    .... 0000 0000 0000 0000 0000 = Flow Label: 0x00000
    Payload Length: 176
    Next Header: UDP (17)
    Hop Limit: 255
    Source Address: fe80::ba0:bab
    Destination Address: fe80::ffff:ffff:ffff:ffff
    [Destination SLAAC MAC: Sagemcom_ff:ff:ff (44:d4:ff:ff:ff:ff)]
User Datagram Protocol, Src Port: 547, Dst Port: 546
DHCPv6

cyayon · « **Réponse #619 le:** 23 mars 2023 à 21:49:01 »

Citation de: fttmeh le 23 mars 2023 à 20:50:37

En IPv4 j'ai un CRS305 qui fait les changements nécessaires pour la COS et DSCP.

Pour IPv6, il y bien toutes les règles que j'utilise (une pour la COS, une pour DSCP). J'ai fait deux nouvelles chains afin de ne limiter les paquets qui sont vus par ces règles.

Salut,

Je ne comprends pas. Tu utilises un CRS305 avec des switch rules ?
Si oui, comment changes-tu le DSCP avec des switchs rules ?
Pour la COS, j’utilise aussi un CRS305 qui met la COS6 avec des switch rules.

Merci

perl · « **Réponse #620 le:** 23 mars 2023 à 22:31:00 »

Citation de: alaunay le 23 mars 2023 à 14:29:09

V4 fonctionne, je lance V6, ça coupe V4. Je coupe V6, je relance V4, ça remarche...

Le CODE 90 IPV4 doit etre pareil que le code 11 IPV6.

La livebox utilise exactement le meme pour IPV4 et IPV6 en meme temps.

fttmeh · « **Réponse #621 le:** 23 mars 2023 à 23:11:21 »

Citation de: proap le 23 mars 2023 à 21:15:15

Par contre, je pense que le DSCP (TOS) devrait être 48. Regarde la capture WireShark de la réponse de fe80:ba0:bab:

Tu as raison, ça devrait être 48. J'ai modifié mes régles de mangle ci-dessous.

Citation de: cyayon le 23 mars 2023 à 21:49:01

Si oui, comment changes-tu le DSCP avec des switchs rules ?

Au temps pour moi, les changements de DSCP je le fais avec des mangle rules (besoin d'avoir minimum la version 7.7 de RouterOS).

Voici la conf pour IPv4 (et IPv6 en doublon) que j'utilise dans un CRS305, le port avec l'ONT s'appelle "ONT" et le port branché au CCR2004 (router) s'appelle "Router".

Code: [Sélectionner]

/interface ethernet switch rule
add comment="Orange DHCPv4 - CoS to 6" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=Router protocol=udp src-port=68 switch=switch1 vlan-id=832
add comment="Orange DHCPv6 - CoS to 6" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=Router protocol=udp src-port=546 switch=switch1 vlan-id=832
add comment="Orange arp - CoS to 6" mac-protocol=arp new-vlan-priority=6 ports=Router switch=switch1 vlan-id=832

Pour les protocoles DHCPv4, DHCPv6 et ICMPv6 je fais avec les mangle rules ci-dessous.
Le DSCP n'est pas nécessaire en DHCPv4, du coup je n'ai pas cherché à modifier le DSCP des paquets DHCPv4 qui ne sont pas vus par les mangle rules (les paquets partant depuis 0.0.0.0 avant d'obtenir une adresse IP).

Code: [Sélectionner]

/ip firewall mangle
add action=change-dscp chain=postrouting comment="Orange - DHCPv4 - DSCP to 6" dst-port=67 new-dscp=48 out-interface=vlan832-wan passthrough=yes protocol=udp src-port=68

Code: [Sélectionner]

/ipv6 firewall mangle
add action=jump chain=postrouting comment="Jump to postrouting-wan-icmpv6" dst-address=fe00::/7 jump-target=postrouting-wan-icmpv6 out-interface=vlan832-wan protocol=icmpv6
add action=jump chain=postrouting comment="Jump to postrouting-wan-dhcpv6" dst-address=ff00::/8 dst-port=547 jump-target=postrouting-wan-dhcpv6 out-interface=vlan832-wan protocol=udp src-port=546

Code: [Sélectionner]

/ipv6 firewall mangle
add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-priority=6 passthrough=yes protocol=icmpv6
add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=48 passthrough=yes protocol=icmpv6
add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-priority=6 passthrough=yes protocol=icmpv6
add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=48 passthrough=yes protocol=icmpv6
add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - COS to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-priority=6 passthrough=yes protocol=icmpv6
add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=48 passthrough=yes protocol=icmpv6
add action=accept chain=postrouting-wan-icmpv6 comment="Default accept (postrouting-wan-icmpv6)"

Code: [Sélectionner]

/ipv6 firewall mangle
add action=set-priority chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - COS to 6" new-priority=6 passthrough=yes
add action=change-dscp chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - DSCP to 6" new-dscp=48 passthrough=yes
add action=accept chain=postrouting-wan-dhcpv6 comment="Default accept (postrouting-wan-dhcpv6)"

cyayon · « **Réponse #622 le:** 24 mars 2023 à 09:56:36 »

Merci pour la clarification, pourquoi avoir utilisé postrouting plutot que output ?

alaunay · « **Réponse #623 le:** 24 mars 2023 à 10:42:46 »

Citation de: perl le 23 mars 2023 à 22:31:00

Le CODE 90 IPV4 doit etre pareil que le code 11 IPV6.

La livebox utilise exactement le meme pour IPV4 et IPV6 en meme temps.

Les deux chaînes 90 et 11 étaient bien parfaitement identiques.

J'ai trouvé une version du fichier de conf qui tombe en marche:

Code: [Sélectionner]

option dhcp6.client-id code 1 = string;
option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;
option dhcp6.canalretour code 17 = string;

lease-id-format hex;

#Replace eth0 with your external interface (VLAN must be 832 for Orange)
interface "eth0.832" {

        # 1
        send dhcp-client-identifier 1::AA:BB:C:DD:EE:FF;
        send dhcp6.client-id 00:03:00:01::AA:BB:C:DD:EE:FF;

        # 11
        # fti/ login / pass
        # https://jsfiddle.net/kgersen/3mnsc6wy/
        send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:(etc);

        # 15 "+FSVDSL_livebox.Internet.softathome.livebox4"
        send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34;

        # 16 "sagem"
        send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;

        # 17 "XIPV6_REQUESTED"
        # vendor specific information (option 17): entreprise id "Orange" 4 octets 00000558 + 2 octets option code 0006 + 14 octets Option data: 495056365f524551554553544544 ("IPV6_REQUESTED")
        send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;

}

request dhcp6.client-id, dhcp6.auth, dhcp6.userclass, dhcp6.vendorclass, dhcp6.vendor-opts, dhcp6.canalretour;

J'ai principalement ajouté le "send dhcp-client-identifier" pour correspondre à l'ipv4, mais vu qu'il y a le client-id...
J'ai aussi ajouté l'envoi de l'option 17, que j'ai vu je ne sais plus où. Je pensais que c'était juste le canal de retour des erreurs dhcp ceci dit, donc pas une option à envoyer. Étrange.