Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 173688 fois)

arnaudf · « **Réponse #852 le:** 27 avril 2023 à 08:24:42 »

Citation de: Ksam le 26 avril 2023 à 22:45:08

Je me pose plusieurs questions sur mon problème.

La partie Authentication ne répond aucun problème dans le discover (contrairement à ce qu'indique Renaud07, rien en jaune). Par contre dans le Offer j'ai bien data suivant : 00010102010000000000
Si la partie en rouge est bien la bonne à regarder, dans le bon paquet, mauvais user/psswd ou format, comment puis-je régler le problème ? J'ai vérifié le user, le mot de passe (renvoyé par Orange hier soir), utilisé le générateur en page 1....

Je compare les paquets capturés avec ce qu'on doit avoir en IPV4 selon levieux, tout est identique sauf que je transmet l'option 12 (Host name), nom perso. Je ne crois pas être le seul, mais comment faire pour ne pas la transmettre ? Si je la supprime de mon fichier de config, il met par défaut ubnt et c'est quand même transmis ... Est-ce un problème de transmettre l'option 12 ?

Quand je regarde mon fichier leases, vois que les renew/rebind/expire sont dans le passé (de 1 à 2 jours). Mon routeur n'est plus à la bonne date. Est-ce un problème ? J'essaie de la changer, mais sans serveur NTP ça saute...

Hello,
Si tu fais une capture Wireshark, au niveau de l'option 90 (en la "dépliant"), elle a effectivement le même format que celui présenté par Renaud07 un peu plus haut (et ci-dessous) ?

Ksam · « **Réponse #853 le:** 27 avril 2023 à 13:20:28 »

Citation de: jeremyp3 le 26 avril 2023 à 22:49:51

Bonjour,

pour récupérer la bonne valeur on peut utiliser le logiciel liveboxinfo. ça peut permettre de debug.
sinon, il y a la solution de mettre le wan de la box sur un port ethernet du pc, pour voir ce qu'elle envoie avec une capture wireshark

Merci Jeremy pour ce conseil avisé. J'ai sniffé le wan de la livebox pour voir la trame. J'ai récup la partie authentification (à mettre après les 00:00:00...), et là miracle ça fonctionne !

J'avais donc bien un problème d'authentification.
C'est pourtant la partie sur laquelle j'ai vraiment tout essayé, c'est-à-dire :
- Utilisation du générateur https://jsfiddle.net/kgersen/3mnsc6wy/
- Je renseigne l'id de connexion livebox (j'ai vérifié l'id, à partir du premier courrier, sur mon espace perso, il n'y a aucun doute, j'ai bien le bon fti/....)
- Je renseigne le mot de passe (vérifié, renvoyé par le SAV Orange pour être sûr).
- J'ai essayé avec le sel par défaut (123456xxxxxx) ; avec plusieurs sels aléatoires de longueur variable, court et long, avec le Byte A (ne sachant pas ce que ça fait, j'ai même essayé de mettre B).
Avec tout ça, l'auth ne passait jamais chez moi.

Problème avec le générateur ? Sel pour le hachage "non conforme" ? C'est mystérieux, mais si ça m'arrive je suppose que ça peut arriver à d'autre.

Avec la partie d'auth qui vient de la livebox, je récupère bien le code 125 sans erreur, et j'ai directe une vraie ip.
Je suis toujours en IPV4 Only.
Grâce à Macman, j'espère bien pouvoir passer à l'IPV6 aussi prochainement, mais je fais une pause dans mes soirées geek...

MacMan · « **Réponse #854 le:** 27 avril 2023 à 18:46:28 »

Ah bonne nouvelle ! bravo pour ta persévérance qui a fini par payer !
Par contre, je ne comprends pas pourquoi le script de Kgersen ne marche pas pour toi ; c'est celui que j'utilise sans souci (enfin, pas trop)

Pour ton IPv6, j'espère que le dhcp3 patché que tu as est encore d'actualité car celui que j'utilise ne doit pas fonctionner sur le ERX.

simon · « **Réponse #855 le:** 27 avril 2023 à 19:13:33 »

Dans le doute, sniffer les requêtes émises par la Livebox (avec tcpdump ou wireshark) et recopier les bytes, ca peut aider. Je n'ai utilisé le jsfiddle de kgersen qu'une fois avec les options par défaut, et ca a fonctionné au poil.

toine512 · « **Réponse #856 le:** 30 avril 2023 à 13:21:45 »

Bonjour bonjour,

Je tourne en IPv6 sur un Ubiquiti ER-X depuis des années avec des scripts maison, et ça se passe plutôt très bien.

Je suis en train de mettre mes outils à jour pour le futur (pas encore migré) et j'essaye de release le bail DHCPv6 correctement. L'objectif est de peut-être implémenter une surveillance du lien montant, ou au mois de pouvoir reset proprement à la main en une commande.
Mon dhclient s'amuse à envoyer toutes les options dans le message Release, ce qui déplait au serveur qui logiquement n'en a pas besoin : je reçois une réponse Reply avec un Status code (option 13) UnspecFail (code 1). C'est cohérent d'après ce que dit la RFC : le serveur peut répondre UnspecFail si on lui demande des options inattendues.
Est-ce un problème ? (ça vous fait du bruit inutile ?) En l'état est-ce que le bail est bien relâché ?

(Lecteur occasionnel de ce forum depuis .. oula .. 10 ans, ceci est mon premier post ! 🥳)
Antoine

nerzhul · « **Réponse #857 le:** 05 mai 2023 à 10:26:05 »

Hello,
je suis ce topic depuis un moment, et j'étais théoriquement préparé avec le jsfiddle proposé, sous FreeBSD, tout était niquel, ainsi que l'IPv6, et puis orange a du mettre à jour le NRO de Palaiseau cette nuit. Depuis, parking. Je branche la box ca marche. A priori les options du jsfiddle ne marchent pas. Je vais sniffer la box (que j'ai sorti pour la première fois de son carton en 7 ans !) pour voir ce qui change. En sniffant pour le moment je n'arrive pas à me mettre entre les 2, je vois que la livebox utilise le legacy si je me branche en direct dessus mais si j'envoie une offre random elle n'accepte pas

Donc même problème que Ksam pour moi

petoulachi · « **Réponse #858 le:** 05 mai 2023 à 14:03:23 »

Même soucis chez moi depuis cette nuit 4h, je me fais parquer (erreur 0201 donc pb d'auth).
Pourtant j'ai mis en place l'auth qui normalement doit fonctionner (et qui en tout cas fonctionnait jusqu'à présent mais je n'avais donc pas été migré apparemment), avec le script Mikrotik pour générer une nouvelle chaine.

Avec la livebox ça fonctionne. Pas encore eu le temps de creuser le pourquoi du comment, je vous tiendrai informé !

Juste une petite question pour l'option 61, il faut utiliser le DUID ou l'@ mac ? C'est pas super clair, pour le moment mon mikrotik utilise le DUID. Comme en première page c'est marqué de pas trop jouer avec ça, j'ai pas osé changer!

breizyann · « **Réponse #859 le:** 05 mai 2023 à 14:17:14 »

Bonjour @tous,

@petoulachi

Ci-dessous je que j'envoie avec mon Mikrotik hex_s:

pour ipv4:

Code: [Sélectionner]

[admin@MikroTik] > /ip dhcp-client option add code=60 name=vendor-class value=0x736167656d
[admin@MikroTik] > /ip dhcp-client option add code=61 name=clientid value=0x0144A6zzzzzzzz           (basé sur la mac de la lb4)
[admin@MikroTik] > /ip dhcp-client option add code=77 name=user-class value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
[admin@MikroTik] > /ip dhcp-client option add code=90 name=authentication value=0x+140 caractères    (généré par le script de @kgersen).

• Mon DUID = 0x0003000144a6zzzzzzzz => est basé sur l'adresse mac de la LB4.
• La cohérence entre le DUID et l'option 61 est obligatoire.

pour ipv6:

Code: [Sélectionner]

[admin@MikroTik] > /ipv6 dhcp-client option add code=1 name=clientid value=0x0003000144A6zzzzzzzz       (basé sur la mac de la lb4)
[admin@MikroTik] > /ipv6 dhcp-client option add code=11 name=authentication value=0x+140 caractères     (généré par le script de @kgersen).
[admin@MikroTik] > /ipv6 dhcp-client option add code=15 name=user-class value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
[admin@MikroTik] > /ipv6 dhcp-client option add code=16 name=vendor-class value=0x0000040e0005736167656d
[admin@MikroTik] > /ipv6 dhcp-client option add code=17 name=vendor-infos value=0x000005580006000e495056365f524551554553544544

zoc · « **Réponse #860 le:** 05 mai 2023 à 14:29:16 »

Lease passé à 1 semaine chez moi pendant la nuit, donc sur la nouvelle infra d'authentification. RAS sur mon ER4, IPv4 et IPv6 toujours fonctionnels sans aucun changement dans ma conf. Pour l'instant mon status DHCP(v4) est a BOUND, reste à voir si le RENEW va bien se passer.

petoulachi · « **Réponse #861 le:** 05 mai 2023 à 14:51:46 »

Je n'ai pas été trop clair sur l'option 61, désolé.

Sur le Mikrotik, par défaut pour le client DHCP on a déjà 2 options 61 paramétrées :
clientid_duid : 0xff$(CLIENT_DUID)
clientid : 0x01$(CLIENT_MAC)

Actuellement j'utilise la valeur 0xff$(CLIENT_DUID). Il me semble que c'est également basée sur la Mac mais là je ne suis pas chez moi je ne peux pas vérifier, mais j'avoue ne pas trop saisir la différence entre les 2 valeurs possibles!
On trouve ça dans leur doc :
CLIENT_MAC - client interface MAC address;
CLIENT_DUID - client DIUD of the router, same as used for the DHCPv6 client. In conformance with rfc4361

Du coup j'ai mis DUID pour avoir une cohérence ipv4/v6, chez vous c'est comment ?

zoc · « **Réponse #862 le:** 05 mai 2023 à 14:55:18 »

clientid pour DHCPv4.

petoulachi · « **Réponse #863 le:** 05 mai 2023 à 14:56:46 »

Ok, je modifierai ça ce soir !

Ca peut donner une erreur 0201 ça ? Parce que si c'est pas ça, je vois pas...