Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 168656 fois)

renaud07 · « **Réponse #804 le:** 19 avril 2023 à 17:09:01 »

Tu peux rester en v4 oui, pas d'obligation d'être en dual stack (tout comme en v6 only, avec un NAT64 par ex). Mais si tu vois que certains sites te sont inaccessibles et que tu en as absolument besoin, tu n'auras pas d'autre choix que de rajouter l'ipv6.

Ksam · « **Réponse #805 le:** 19 avril 2023 à 19:01:50 »

J'ai essayé avec plusieurs dhclient3 qui semble fonctionner pour certains en 2.x et je n'y parviens toujours pas.

Ci-dessous, ma nouvelle config. Comment je peux voir où ça bloque ? Je vois que mon parefeu a des param en V6, mais j'ignore si c'est là le soucis et comment le régler à ce stade.

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description eth0.832
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
				client-option "send client-identifier 01:xx:xx:xx:xx:xx:xx;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:xx:xx:xx:...........:xx:xx:xx:xx;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                default-route update
                default-route-distance 210
				global-option "option vendor-class-identifier code 60 = string;"
                global-option "option client-identifier code 61 = string;"
                global-option "option user-class code 77 = string;"
                global-option "option rfc3118-auth code 90 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
        }
    }
	
    ethernet eth1 {
        description "Raspberry Pi 4 8GO"
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description "Netgear GS108"
        duplex auto
        speed auto
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description "Unifi 1"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description "Netgear GS108"
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    lan-interface switch0
    lan-interface eth2
    lan-interface eth3
    lan-interface eth4
    wan-interface eth0.832
}
protocols {
    static {
        route6 ::/0 {
            next-hop fe80::ba0:bab {
                interface eth0.832
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400
                start 192.168.1.38 {
                    stop 192.168.1.243
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5001 {
            description "masquerade for WAN"
            outbound-interface eth0.832
            type masquerade
        }
    }
    snmp {
        community baslywifi {
            authorization ro
        }
    }
    ssh {
        port 14610
        protocol-version v2
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    flow-accounting {
        disable-memory-table
        ingress-capture post-dnat
        interface eth0
        netflow {
            enable-egress {
                engine-id 51
            }
            engine-id 50
            mode daemon
            server 82.64.0.209 {
                port 2055
            }
            timeout {
                expiry-interval 60
                flow-generic 60
                icmp 60
                max-active-life 60
                tcp-fin 10
                tcp-generic 60
                tcp-rst 10
                udp 60
            }
            version 9
        }
        syslog-facility daemon
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    syslog {
        global {
            facility all {
                level notice
            }
        }
    }
    time-zone UTC
}
traffic-control {
    optimized-queue {
        policy global
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.6.5574651.221230.1015 */

renaud07 · « **Réponse #806 le:** 19 avril 2023 à 20:11:14 »

Fais une capture du WAN voir la tronche de la requête DHCP.

Ksam · « **Réponse #807 le:** 19 avril 2023 à 20:52:20 »

Citation de: renaud07 le 19 avril 2023 à 20:11:14

Fais une capture du WAN voir la tronche de la requête DHCP.

Comme ça ?

Code: [Sélectionner]

kk@kk:/config$ show interfaces ethernet eth0 capture
Capturing traffic on eth0 ...
07:41:14.415631 LLDP, length 22
07:41:40.483984 IP 192.168.1.1.59543 > 255.255.255.255.10001: UDP, length 4
07:41:40.484860 IP 192.168.1.1.39329 > 255.255.255.255.10001: UDP, length 4
07:42:11.432208 IP 192.168.1.1.42318 > 255.255.255.255.10001: UDP, length 4
07:42:11.433264 IP 192.168.1.1.42540 > 255.255.255.255.10001: UDP, length 4
07:42:14.391722 LLDP, length 22
07:42:42.584823 IP 192.168.1.1.48486 > 255.255.255.255.10001: UDP, length 4
07:42:42.585744 IP 192.168.1.1.56948 > 255.255.255.255.10001: UDP, length 4
07:43:13.679967 IP 192.168.1.1.42758 > 255.255.255.255.10001: UDP, length 4
07:43:13.680946 IP 192.168.1.1.37092 > 255.255.255.255.10001: UDP, length 4
07:43:14.367627 LLDP, length 22

renaud07 · « **Réponse #808 le:** 20 avril 2023 à 02:49:49 »

Cet outil ne me dit rien, c'est tcpdump "déguisé" ? Si tu as la possibilité d'écrire dans un fichier pour pouvoir le relire sur PC avec wireshark, c'est bon.

Sinon installes tcpdump directement et lance une commande du type tcpdump -i eth0.832 -w capture.cap

Penses bien au .832, là tu captures le LAN

zoc · « **Réponse #809 le:** 20 avril 2023 à 11:29:05 »

Oui, c'est tcpdump encapsulé dans une commande EdgeOS (rappel, @Ksam a un ER-X avec le firmware constructeur).

tcpdump est donc déjà installé, la commande que @renaud07 donne fonctionnera sans problème sur EdgeOS en la préfixant avec "sudo" pour passer root.

Et je conseille de capturer eth0 au contraire, pour voir tous les VLAN et en particulier la CoS du VLAN 832 (que l'ont ne voit pas si on capture uniquement le VLAN).

renaud07 · « **Réponse #810 le:** 20 avril 2023 à 13:24:33 »

Ah oui c'est vrai qu'il faut capturer le VLAN, ce qui ici est sans doute ce qui déconne, j'ai rien dit.

Ksam · « **Réponse #811 le:** 20 avril 2023 à 14:02:51 »

Merci beaucoup pour vos réponses, j'essaie en rentrant. Je vais pouvoir comprendre ce que ça dit déjà !

Ksam · « **Réponse #812 le:** 20 avril 2023 à 18:39:15 »

Alors j'ai essayé ça :
kk@kk:~$ sudo tcpdump -i eth0 -w capture1.cap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
effectivement ça écoute. Mais ça écrit du Hexa ou bien ? Je ne suis pas sûr de savoir ouvrir le fichier ... Je le met en pièce jointe (y'a 4 paquets dit-il...).

zoc · « **Réponse #813 le:** 20 avril 2023 à 18:44:21 »

Il faut l'ouvrir avec Wireshark.

Sinon avec tcpdump et nc (netcat), on peut faire une capture remote dans Wireshark (donc sans avoir besoin d'exporter un fichier, et en temps réel).

perl · « **Réponse #814 le:** 20 avril 2023 à 19:01:33 »

Perso, je fais un prefiltre simple sur le mikrokit et je le renvoie en udp sur wireshark de mon PC.
https://tojaj.com/packet-capture-from-mikrotik-to-wireshark/

On peut configurer les filtre aussi sur l'interface mikrokit si on veux simplement.

Sinon voila la configuration que j'utilise pour sniff le DHCPV4 et DHCPV6

Code: [Sélectionner]

[xxxxxx] > /tool/sniffer/export  
# apr/20/2023 19:01:18 by RouterOS 7.6
# software id = xxxxxx
#
# model = CCR2004-1G-12S+2XS
# serial number = xxxxxxx
/tool sniffer
set file-limit=100000KiB filter-interface=br-wan filter-ip-protocol=udp filter-port=bootps,bootpc,546,547 filter-stream=yes memory-limit=5000KiB memory-scroll=no streaming-enabled=yes streaming-server=192.168.xxx.xxx

zoc · « **Réponse #815 le:** 20 avril 2023 à 19:07:04 »

Merci pour l'astuce sur RouterOS, je pourrais en avoir besoin

(CCR2004 configuré, prêt à mettre en prod mais aucun test pour l'instant, j'attends un WE ou femme & enfants ne seront pas à la maison

).

Non applicable dans la discussion en cours étant donné que le routeur concerné fonctionne sous EdgeOS (d'où ma suggestion avec tcpdump et netcat).