Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 168609 fois)

fttmeh · « **Réponse #624 le:** 24 mars 2023 à 10:43:31 »

Citation de: cyayon le 24 mars 2023 à 09:56:36

Merci pour la clarification, pourquoi avoir utilisé postrouting plutot que output ?

Par habitude. On peut faire la modification de la COS et du DSCP soit dans les chains mangle postrouting ou mangle output.

https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS

cyayon · « **Réponse #625 le:** 24 mars 2023 à 10:45:53 »

Citation de: fttmeh le 24 mars 2023 à 10:43:31

Par habitude. On peut faire la modification de la COS et du DSCP soit dans les chains mangle postrouting ou mangle output.

https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS

c'est ce que je pensais, merci !

kjbstar · « **Réponse #626 le:** 24 mars 2023 à 12:26:14 »

Hello !

En train de tenter de mettre à jour tant bien que mal ma config (sur EdgeRouter Lite)...
Que en dhcpV4, j'ai bien ajouté l'options 60 et mis à jour la 90 (directement pris sur ce qu'envoi la LB5), et j'ai aussi mis options 60 et 77.

Je pensais avoir bien mis tout ca, mais je me retrouve avec une IP en 172.16, mais j'ai aucune idée d'où trouver la réponse DHCP pour voir quel code erreur est renvoyé... tcpdump je vois rien (ça défiiiiiiiiiiiile et après arrêt il me semble rien voir d'intéressant, pas de trace d'option 125 en tout cas...), et le /Var/log/messages est pas très bavard pour ça.

Quelqu'un pour m'aiguiller où je peux trouver cette réponse ?

Reymouth · « **Réponse #627 le:** 24 mars 2023 à 12:28:46 »

Citation de: fttmeh le 23 mars 2023 à 23:11:21

Code: [Sélectionner]
/ip firewall mangle add action=change-dscp chain=postrouting comment="Orange - DHCPv4 - DSCP to 6" dst-port=67 new-dscp=48 out-interface=vlan832-wan passthrough=yes protocol=udp src-port=68
Code: [Sélectionner]
/ipv6 firewall mangle add action=jump chain=postrouting comment="Jump to postrouting-wan-icmpv6" dst-address=fe00::/7 jump-target=postrouting-wan-icmpv6 out-interface=vlan832-wan protocol=icmpv6 add action=jump chain=postrouting comment="Jump to postrouting-wan-dhcpv6" dst-address=ff00::/8 dst-port=547 jump-target=postrouting-wan-dhcpv6 out-interface=vlan832-wan protocol=udp src-port=546
Code: [Sélectionner]
/ipv6 firewall mangle add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-priority=6 passthrough=yes protocol=icmpv6 add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=48 passthrough=yes protocol=icmpv6 add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - COS to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-priority=6 passthrough=yes protocol=icmpv6 add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=48 passthrough=yes protocol=icmpv6 add action=set-priority chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - COS to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-priority=6 passthrough=yes protocol=icmpv6 add action=change-dscp chain=postrouting-wan-icmpv6 comment="Orange - icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=48 passthrough=yes protocol=icmpv6 add action=accept chain=postrouting-wan-icmpv6 comment="Default accept (postrouting-wan-icmpv6)"
Code: [Sélectionner]
/ipv6 firewall mangle add action=set-priority chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - COS to 6" new-priority=6 passthrough=yes add action=change-dscp chain=postrouting-wan-dhcpv6 comment="Orange - DHCPv6 - DSCP to 6" new-dscp=48 passthrough=yes add action=accept chain=postrouting-wan-dhcpv6 comment="Default accept (postrouting-wan-dhcpv6)"

Merci pour ces informations !
Les régles mangle sont appliqués sur ton CCR2004 ?

B3nJ1 · « **Réponse #628 le:** 24 mars 2023 à 12:43:36 »

Installation de la fibre prévue pour le 28, j'espère que tout va bien marcher. Du coup j'ai bien tout lu le sujet, et j'ai un LEOX 2.5G qui devrait arriver le 28 aussi

Je me demandais si il y aurait pas moyen de garder la livebox, branché sur le routeur custom, qui est lui même connecté à la fibre, afin de "voler" les réponses DHCP venant de la LB. Je suppose que c'est theoriquement possible, mais que rien de tel n'existe aujourd'hui ?

fttmeh · « **Réponse #629 le:** 24 mars 2023 à 12:47:11 »

Citation de: Reymouth le 24 mars 2023 à 12:28:46

Les régles mangle sont appliqués sur ton CCR2004 ?

Oui.

nonobzh · « **Réponse #630 le:** 24 mars 2023 à 12:47:38 »

Citation de: kjbstar le 24 mars 2023 à 12:26:14

Hello !

En train de tenter de mettre à jour tant bien que mal ma config (sur EdgeRouter Lite)...
Que en dhcpV4, j'ai bien ajouté l'options 60 et mis à jour la 90 (directement pris sur ce qu'envoi la LB5), et j'ai aussi mis options 60 et 77.

Je pensais avoir bien mis tout ca, mais je me retrouve avec une IP en 172.16, mais j'ai aucune idée d'où trouver la réponse DHCP pour voir quel code erreur est renvoyé... tcpdump je vois rien (ça défiiiiiiiiiiiile et après arrêt il me semble rien voir d'intéressant, pas de trace d'option 125 en tout cas...), et le /Var/log/messages est pas très bavard pour ça.

Quelqu'un pour m'aiguiller où je peux trouver cette réponse ?

Il faut regarder dans /var/run/dhclient_eth3_832.leases
A adapter en fonction de l'interface que tu utilises évidemment.

L'option en question est "option vendor.unknown-1368"

breizyann · « **Réponse #631 le:** 24 mars 2023 à 12:57:53 »

Citation de: kjbstar le 24 mars 2023 à 12:26:14

Hello !

En train de tenter de mettre à jour tant bien que mal ma config (sur EdgeRouter Lite)...
Que en dhcpV4, j'ai bien ajouté l'options 60 et mis à jour la 90 (directement pris sur ce qu'envoi la LB5), et j'ai aussi mis options 60 et 77.

Je pensais avoir bien mis tout ca, mais je me retrouve avec une IP en 172.16, mais j'ai aucune idée d'où trouver la réponse DHCP pour voir quel code erreur est renvoyé... tcpdump je vois rien (ça défiiiiiiiiiiiile et après arrêt il me semble rien voir d'intéressant, pas de trace d'option 125 en tout cas...), et le /Var/log/messages est pas très bavard pour ça.

Quelqu'un pour m'aiguiller où je peux trouver cette réponse ?

Faut pas oublier l'option 61 (clientid) qui est devenu obligatoire.

il te faut donc:
option 60 vendor-class-identifier
option 61 clientid
option 77 userclass
option 90 authsend

kjbstar · « **Réponse #632 le:** 24 mars 2023 à 13:25:40 »

Merci aux 2 bretons qui répondaient à un 3ème sans le savoir

@breizyann: oui mon doigt a rippé dans mon message, j'ai bien ajouté l'option 61.

@nonobzh : merci ! visiblement j'ai l'erreur d'encodage de la 90 (1:a:0:1:0:2:1:0:0:0:0:0);

Au moins maintenant je sais ! Par contre, que ce soit mon encodage qui fonctionnait jusqu'alors, celui sniffé ou celui donné par le soft LiveBoxInfo... J'ai toujours le même retour. Je sèche...

nonobzh · « **Réponse #633 le:** 24 mars 2023 à 14:16:57 »

Ahahah ! Télépathie entre bretons ?

Tu as mis en gras les mauvais octets, mais l'interpretation est bonne

1:a:0:1:0:2:1:0:0:0:0:0 => 01:0a:00:01:00:02:01:00:00:00:00:00

Est-ce que tu utilises bien le client DHCP modifié pour la COS6 ?

Voilà ce que j'ai dans ma config sur mon ER-4 :

Code: [Sélectionner]

set interfaces ethernet eth3 mac '<adresse MAC Livebox>'
set interfaces ethernet eth3 vif 832 dhcp-options client-option 'send vendor-class-identifier &quot;sagem&quot;;'
set interfaces ethernet eth3 vif 832 dhcp-options client-option 'send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;'
set interfaces ethernet eth3 vif 832 dhcp-options client-option 'send rfc3118-auth <chaine longue https://jsfiddle.net/kgersen/3mnsc6wy/>;'
set interfaces ethernet eth3 vif 832 dhcp-options client-option 'send dhcp-client-identifier 1:<adresse MAC livebox>;'
set interfaces ethernet eth3 vif 832 dhcp-options client-option 'request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search;'
set interfaces ethernet eth3 vif 832 dhcp-options global-option 'option rfc3118-auth code 90 = string;'

kjbstar · « **Réponse #634 le:** 24 mars 2023 à 14:28:56 »

Télépathie ou incantations dans les bois, je laisserais le mystère planer

Oui j'ai bien le client modifié.
Le temps de se vider l'esprit devant un bon déjeuner, et l'explication m'est apparue d'un coup : j'avais oublié le 01 devant la MAC, et en plus j'avais englobé le tout dans des quotes bien grasses.

Une fois corrigé, ip accrochée direct !
Au final de légers changements seulement. Faudra que je vois pour le côté dynamique de la 90 un de ces 4, et pour l'ipv6 aussi. J'ai un ERL de backup, faudra que je m'amuse avec (mon main est en 1.10.5, et j'aime pas mettre à jour inutilement des trucs qui marchent

)

Merci

proap · « **Réponse #635 le:** 24 mars 2023 à 15:05:20 »

@dmfr

j'ai testé ton script et ça marche bien! Merci beaucoup

J'ai juste un bug que je n'arrive pas à résoudre. Quand j'execute le script à la main, tout marche bien. Mais quand je mets les scripts dans les clients dhcp, en ipv6 ça fonctionne comme prévu mais en ipv4 il ne cycle pas l'option 90. Pourtant il s'agit d'un copier-coller du même script... Ca me tourne la tête!

EDIT:
dans le terminal si je fais:

Code: [Sélectionner]

/ip/dhcp-client/option/set [find where code="90"] value="0x00" ; /import WIP-MTK-generateOrangeAuth.rsc
ça marche.
Mais dans /ip/dhcp-client/option:

Code: [Sélectionner]

{ /ip/dhcp-client/option/set [find where code="90"] value="0x00" ; /import WIP-MTK-generateOrangeAuth.rsc }ne fait rien!