Pages: 1 ... 8 9 10 11 12 [13] 14 15 16 17 18 ... 90   En bas

Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet  (Lu 168809 fois)

hleb et 5 Invités sur ce sujet

cyayon

  • Abonné Orange Fibre
  • *
  • Messages: 648
  • Cordon 74 - Orange Fibre Pro
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #144 le: 11 décembre 2022 à 20:37:43 »
Merci
IP archivée

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #145 le: 11 décembre 2022 à 20:51:47 »
Citation de: cyayon le 11 décembre 2022 à 20:37:43
Merci
le lien du gist sans embedding
Code: [Sélectionner]
https://gist.github.com/Strangelovian/49e1ca1acd659c7dbb5fa192fc32a7bf
IP archivée

zeig

  • Abonné Orange Fibre
  • *
  • Messages: 33
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #146 le: 11 décembre 2022 à 23:01:56 »
Citation de: Strangelovian le 11 décembre 2022 à 16:30:46
Ne faites pas comme moi les djeuns.
Avec ISC dhclient, les formats corrects pour le client id DHCP et DHCP6 sont les suivants.
DHCP client id (option 61): 7 octets en tout. 1 octet hardware type 01 ("ethernet") + 6 octets mac address livebox
DHCP6 client id (option 1): DUID de 10 octets en tout. 2 octets DUID type 0003 ("link layer") + 2 octets hardware type 0001 ("ethernet") + 6 octets mac address livebox

A titre d'exemple, les valeurs ci-dessous corrigées:

Top ! Merci :)
IP archivée

zeig

  • Abonné Orange Fibre
  • *
  • Messages: 33
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #147 le: 11 décembre 2022 à 23:02:17 »
Citation de: Strangelovian le 11 décembre 2022 à 20:51:47
le lien du gist sans embedding
Code: [Sélectionner]
https://gist.github.com/Strangelovian/49e1ca1acd659c7dbb5fa192fc32a7bf

Genial! Thanks :)
IP archivée

ochbob

  • Abonné Orange Fibre
  • *
  • Messages: 231
  • Beauzelle (31)
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #148 le: 12 décembre 2022 à 18:31:00 »
Hum, il va falloir prendre les devants pendant le gel SI coté Orange alors ::)

Chez Ubiquiti (ER4), il faudrait rajouter l'option 61 comme ceci en DHCPv4 ?

Citer
client-option "send dhcp-client-identifier 1:xxxxxxxxxxxx;"
(Cette option était deja utilisée dans ma conf pour la partie décodeur TV d'ailleurs)

Code: [Sélectionner]
dhcp-options {
                client-option "send vendor-class-identifier "sagem";"
                client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
                client-option "send rfc3118-auth OPTIONLONGUEDHCP;"
                client-option "send dhcp-client-identifier 1:MACLIVEBOX;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-auth code 90 = string;"
                name-server update

Et DHCPv6 avec Dibbler ?

Citer
option 01 hex DUID

Code: [Sélectionner]
iface eth0.832 {
    pd
    option 16 hex XXXXXXXXXXXXXXXX
    option 15 hex XXXXXXXXXXXXXXXXX
    option 11 hex OPTIONLONGUEDHCP
    option 1 hex 00030001MACADRESS
    option dns-server
}
J'ai juste ou pas du tout ? :-X

Les clientid (donc option 61 et 1) doivent être sans les 2 points, c'est bien vu mais dans la conf coté routeur il les faut ou pas ?  :o (Je pense que oui mais je ne suis pas certain)
Et par ailleurs, il faut bien que ces clientid soit convertis en hexa avant de les mettre dans la conf ubiquiti / dibbler ou la conversion est faite automatiquement lors de l'envoi de l'option ?
« Modifié: 12 décembre 2022 à 19:37:24 par ochbob »
IP archivée

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #149 le: 13 décembre 2022 à 23:42:38 »
Code: [Sélectionner]
option dhcp.auth code 90 = string;
option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;

interface "enp1s0.832"
{
    send dhcp-client-identifier 01:XX:XX:XX:YY:YY:YY;
    send vendor-class-identifier "sagem";
    send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
    send dhcp.auth = generate("/etc/orange/auth");

    send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;
    send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
    send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
    send dhcp6.client-id 00:03:00:01:XX:XX:XX:YY:YY:YY;
    send dhcp6.auth = generate("/etc/orange/auth");
}
XX:XX:XX:YY:YY:YY --> remplacer par adresse mac livebox
pour DHCPv6, J'avais oublié le Vendor-specific Information (option 17), qui est nécéssaire sinon refus et parkage au garage ipv4...

Pour résumer les options nécéssaires minimales:
IPV4 DHCP - 4 options minimales
client identifier (option 61)
vendor class identifier (option 60)
user class information (option 77)
authentifaction (option 90)

IPV6 DHCPv6 - 5 options minimales
vendor specific information (option 17): entreprise id "Orange" 4 octets 00000558 + 2 octets option code 0006 + 14 octets Option data: 495056365f524551554553544544 ("IPV6_REQUESTED")
client identifier (option 1)
user class (option 15)
vendor class (option 16)
authentication (option 11)

Avec tout ça, ipv4 + prefix ipv6 OK. Sans l'option 17: mise en isolement au parking...
IP archivée

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #150 le: 14 décembre 2022 à 00:49:15 »
Se méfier aussi des "mauvais" prefix ipv6 obtenus pendant les réglages dhcpv6 non corrects.
Il se peut que le fichier lease dhcpv6 le "garde" pour une durée très longues, et le propager en plus du bon préfix obtenus une fois dhcpv6 OK avec les back end orange.
Les appareils connectés au router avec deux prefixes, dont l'un mauvais, peuvent dysfonctionner.
Dans ce cas, purger les fichiers leases et rebooter le router.
IP archivée

cyayon

  • Abonné Orange Fibre
  • *
  • Messages: 648
  • Cordon 74 - Orange Fibre Pro
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #151 le: 14 décembre 2022 à 07:03:24 »
Citation de: Strangelovian le 13 décembre 2022 à 23:42:38
Code: [Sélectionner]
option dhcp.auth code 90 = string;
option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;

interface "enp1s0.832"
{
    send dhcp-client-identifier 01:XX:XX:XX:YY:YY:YY;
    send vendor-class-identifier "sagem";
    send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
    send dhcp.auth = generate("/etc/orange/auth");

    send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;
    send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
    send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
    send dhcp6.client-id 00:03:00:01:XX:XX:XX:YY:YY:YY;
    send dhcp6.auth = generate("/etc/orange/auth");
}
XX:XX:XX:YY:YY:YY --> remplacer par adresse mac livebox
pour DHCPv6, J'avais oublié le Vendor-specific Information (option 17), qui est nécéssaire sinon refus et parkage au garage ipv4...

Pour résumer les options nécéssaires minimales:
IPV4 DHCP - 4 options minimales
client identifier (option 61)
vendor class identifier (option 60)
user class information (option 77)
authentifaction (option 90)

IPV6 DHCPv6 - 5 options minimales
vendor specific information (option 17): entreprise id "Orange" 4 octets 00000558 + 2 octets option code 0006 + 14 octets Option data: 495056365f524551554553544544 ("IPV6_REQUESTED")
client identifier (option 1)
user class (option 15)
vendor class (option 16)
authentication (option 11)

Avec tout ça, ipv4 + prefix ipv6 OK. Sans l'option 17: mise en isolement au parking...


Hello,

J’ai raté quelque chose avec cette option 17 en ipv6 ?
C’est la première fois qu’elle est évoquée clairement, es tu certain qu’elle soit nécessaire ?
Est-elle fixe, d’après ce que je comprends ?
Merci
IP archivée

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #152 le: 14 décembre 2022 à 08:17:22 »
Citation de: cyayon le 14 décembre 2022 à 07:03:24

Hello,

J’ai raté quelque chose avec cette option 17 en ipv6 ?
C’est la première fois qu’elle est évoquée clairement, es tu certain qu’elle soit nécessaire ?
Est-elle fixe, d’après ce que je comprends ?
Merci
Oui elle est fixe. Je m'en suis rendu compte en échouant à avoir des réponses en DHCPv6.
Coté livebox rien de neuf, elle est envoyée depuis au moins 2018 (j'ai pas de captures avant...).
Par contre, depuis les dernieres mise à jour coté back end orange, je n'ai obtenu un bail ipv6 qu'à partir du moment ou je l'ai envoyée, toutes choses égales par ailleurs.
IP archivée

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #153 le: 14 décembre 2022 à 08:32:42 »
Strangelovian, si ce n'est pas indiscret, es-tu dans une des zones mentionnées par levieuxatorange dans lesquelles le durcissement de la vérification des options aurait été activée?

Je n'ai pas non plus cette option, ne l'ai jamais eue et à priori en regardant dans mes (vieilles) captures, la livebox ne l'a jamais envoyée.
IP archivée

cyayon

  • Abonné Orange Fibre
  • *
  • Messages: 648
  • Cordon 74 - Orange Fibre Pro
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #154 le: 14 décembre 2022 à 08:40:01 »
Merci, je viens de l'ajouter sur Mikrotik, pas pire, pas mieux, tout fonctionne

Un petit résumé en fonction des matériels/softs utilisés (manque OpenWrt que je n'utilise pas mais il y a topic dédié) :
Bien entendu les strings authentifications sont bidons ...  ;D

Code: [Sélectionner]
# dhclient
## ipv4 config file
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4";
send vendor-class-identifier "sagem";
send dhcp-client-identifier 01:<livebox_mac>;
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:66:64:6b:6c:6a:6c:6b:3C:12:35:30:32:36:62:31:65:34:31:65:62:31:33:66:33:66:03:13:35:e3:8f:54:28:45:45:19:c7:64:95:10:a6:44:12:9a:e9;
## ipv6 config file
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp-client-identifier 00:03:00:<livebox_mac>;
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:66:64:6b:6c:6a:6c:6b:3C:12:35:30:32:36:62:31:65:34:31:65:62:31:33:66:33:66:03:13:35:e3:8f:54:28:45:45:19:c7:64:95:10:a6:44:12:9a:e9;
#vendor-opts (option 17) seems to be required since 2022
send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;

Code: [Sélectionner]
# systemd-networkd
## [DHCPv4]
ClientIdentifier=mac
SendOption=90:string:\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1A\x09\x00\x00\x05\x58\x01\x03\x41\x01\x0D\x66\x74\x69\x2f\x66\x64\x6b\x6c\x6a\x6c\x6b\x3C\x12\x35\x30\x32\x36\x62\x31\x65\x34\x31\x65\x62\x31\x33\x66\x33\x66\x03\x13\x35\xe3\x8f\x54\x28\x45\x45\x19\xc7\x64\x95\x10\xa6\x44\x12\x9a\xe9
ClientIdentifier=mac
UserClass=FSVDSL_livebox.Internet.softathome.livebox4
## [DHCPv6]
# prefer DUIDType=link-layer if not work, reset ONT...
#DUIDRawData=00:03:00:<livebox_mac>
DUIDType=link-layer
SendOption=11:string:\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1A\x09\x00\x00\x05\x58\x01\x03\x41\x01\x0D\x66\x74\x69\x2f\x66\x64\x6b\x6c\x6a\x6c\x6b\x3C\x12\x35\x30\x32\x36\x62\x31\x65\x34\x31\x65\x62\x31\x33\x66\x33\x66\x03\x13\x35\xe3\x8f\x54\x28\x45\x45\x19\xc7\x64\x95\x10\xa6\x44\x12\x9a\xe9
SendOption=16:string:\x00\x00\x04\x0e\x00\x05\x73\x61\x67\x65\x6d
# vendor-opts (option 17) seems to be required since 2022
SendOption=17:string:\x00\x00\x05\x58\x00\x06\x00\x0e\x49\x50\x56\x36\x5f\x52\x45\x51\x55\x45\x53\x54\x45\x44

Code: [Sélectionner]
# mikrotik routeros
## DHCPv4
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834"
add code=90 name=authsend value=0x00000000000000000000001A0900000558010341010D6674692f66646b6c6a6c6b3C1235303236623165343165623133663366031335e38f5428454519c7649510a644129ae9
#clientid  (option 61) is built-in
#add code=61 name=clientid value="0x01<livebox_mac_addr>"
## DHCPv6
/ipv6 dhcp-client option
add code=11 name=authsend value=0x00000000000000000000001A0900000558010341010D6674692f66646b6c6a6c6b3C1235303236623165343165623133663366031335e38f5428454519c7649510a644129ae9
add code=15 name=userclass value="0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a"
add code=16 name=class-identifier value=0x0000040e0005736167656d
#vendor-opts (option 17) seems to be required since 2022
add code=17 name=vendor-opts value=0x000005580006000e495056365f524551554553544544
#clientid_duid (option 1) is built-in
#add code=1 name=clientid_duid value="0xff<livebox_mac_addr>"
IP archivée

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #155 le: 14 décembre 2022 à 09:00:02 »
Citation de: simon le 14 décembre 2022 à 08:32:42
Strangelovian, si ce n'est pas indiscret, es-tu dans une des zones mentionnées par levieuxatorange dans lesquelles le durcissement de la vérification des options aurait été activée?

Je n'ai pas non plus cette option, ne l'ai jamais eue et à priori en regardant dans mes (vieilles) captures, la livebox ne l'a jamais envoyée.
Oui Puteaux/92, impacté depuis une semaine environ.
IP archivée
Pages: 1 ... 8 9 10 11 12 [13] 14 15 16 17 18 ... 90   En haut