Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1575574 fois)

MikeTheFreeman · « **Réponse #2832 le:** 09 août 2016 à 19:35:01 »

La 1.9 déjà en release ?
Le rythme s'est emballé sur les deux dernières versions.

zoc · « **Réponse #2833 le:** 11 août 2016 à 09:22:45 »

Attention, upnp2 est cassé sur la release 1.9 : http://community.ubnt.com/t5/EdgeMAX/ERL-3-upnp2-no-longer-working-after-upgrade-from-1-8-5-to-1-9-0/m-p/1644864#U1644864

Donc si vous l'utilisez, ne mettez pas à jour ou vos équipements ne pourront plus ouvrir de ports...

prjolivet · « **Réponse #2834 le:** 14 août 2016 à 16:43:02 »

Upgrade sans probleme pour moi en v1.9 avec la configuration standard c0mm0n. J'ai pas testé la Video et la VOIP.

Nh3xus · « **Réponse #2835 le:** 14 août 2016 à 19:46:12 »

Je suis en train d'essayer la config pour infra DHCP suivante :

solution DHCP avec ERL + TV (via ERL) + Livebox routeur pour Tel et Wifi (voir page 1)

Les requêtes DHCP DISCOVER de la Livebox Play sortent vers Orange avec le DSCP CS6, valeur 0xC0 sous Wireshark.

En remplacant le binaire dhclient3 par celui proposé sur le forum, les requêtes sortent avec la valeur 0x10...

Est-ce que j'ai mal effectué le remplacement du binaire dhclient3 ?

Faut il arrêter des processus systèmes avant de faire la manipulation ?

Commande utilisée via SSH :

Code: [Sélectionner]

cp /home/mon_utilisateur/dhclient3 /sbin/dhclient3
Merci

zoc · « **Réponse #2836 le:** 14 août 2016 à 20:06:48 »

0x10 est la valeur attendue (car le kernel ne permet pas de mapper 0xC0 vers une prio 802.1p). Mais ça ne suffit pas à faire fonctionner le client DHCP, il ne faut pas oublier d'ajouter la ligne

Code: [Sélectionner]

egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"

Dans la config du vif 832 de l'interface reliée à l'ONT (et avoir un firmware >= 1.7.0 car ce paramètre n'existe pas sur les firmwares plus anciens). C'est ce paramètre qui va mapper le TOS 0x10 vers la priorité 802.1p 6.

Nh3xus · « **Réponse #2837 le:** 14 août 2016 à 20:15:44 »

Effectivement, mes paramètres egress-qos pour le vif 832 ne sont pas les mêmes :

Code: [Sélectionner]

egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
J'utilise EdgeOS 1.9, sorti tout récemment.

Je vais remplacer cette ligne par la tienne, et voir ce que cela donne.

Dans le doute, je te donne aussi mes egress pour la partie TV :

vif 838 :

Code: [Sélectionner]

egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
vif 840 :

Code: [Sélectionner]

egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
Merci de m'aider en tout cas.

zoc · « **Réponse #2838 le:** 14 août 2016 à 20:18:26 »

L'egress-qos que tu donnes pour le VLAN 832 devrait marcher aussi (la partie importante c'est 6:6), mais elle a des effets de bords sur le reste du traffic. Si ça ne marche pas avec ça, alors c'est sans doute un problème dans les paramètres du client DHCP.

Pour les autres (TV & VOD) j'ai la même chose que toi.

Après, j'avoue que je n'ai pas essayé mon binaire avec la 1.9, mais il n'y a pas de raison que ça ne marche pas...

zoc · « **Réponse #2839 le:** 14 août 2016 à 20:31:56 »

Citation de: zoc le 14 août 2016 à 20:06:48

0x10 est la valeur attendue (car le kernel ne permet pas de mapper 0xC0 vers une prio 802.1p).

Pour la petite histoire j'ai dit une connerie

(Mais ça fait bien longtemps déjà que j'ai modifié dhclient donc j'ai un peu oublié).

0x10 est la valeur de TOS codée en dur dans dhclient3 (j'aurais pu modifier le code pour envoyer un code DSCP 0xC0 mais ça marche sans). Le mapping vers la priorité 802.1p est effectuée en configurant la priorité de la socket (SO_PRIORITY) à la valeur 6, qui correspond à la priorité interne dans le kernel (skb priority). Ensuite la directive egress-qos configure la couche 802.1q du kernel pour mapper cette priorité interne vers la priorité 802.1p voulue (6 donc pour que ça fonctionne).

Nh3xus · « **Réponse #2840 le:** 14 août 2016 à 20:47:00 »

Même avec ton egress-qos ça ne fonctionne pas.

Voici mon fichier config.boot :

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.0.1/24
        description LAN1
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description Internet_ONT
        duplex auto
        speed auto
        vif 832 {
	    address dhcp
		egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            description "Internet Orange DHCP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
  		client-option "send dhcp-client-identifier 1:48:83:C7:XX:XX:XX;"
                client-option "send user-class &quot;+FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
 
		default-route update
                default-route-distance 210
                name-server update				
				
            }
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }           
        }
        vif 838 {
            address dhcp
        description "TV - VOD"
        dhcp-options {
            client-option "send vendor-class-identifier &quot;sagem&quot;;"
            client-option "send dhcp-client-identifier 1:48:83:C7:XX:XX:XX;"
            client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
            client-option "request subnet-mask, rfc3442-classless-static-routes;"
            }
            description "VLAN TV VOD"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
         address 192.168.255.254/24
            description "VLAN TV Canal 1 - Zap"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {




            address 192.168.2.254/24

        }

    loopback lo {


    }
}

protocols {
    igmp-proxy {
        disable-quickleave
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }

    }
}
service {
    dhcp-server {
         disabled false
        hostfile-update disable


        shared-network-name LOCAL_NETWORK {
            authoritative enable
            subnet 192.168.0.0/24 {
                default-router 192.168.0.1
                dns-server 192.168.0.1
                lease 86400
                start 192.168.0.100 {
                    stop 192.168.0.200
                }
            }
        }
}
    dns {
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {

        https-port 443
    }
    nat {
        rule 5010 {
            description "Masquerading outgoing connections"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "Masquerading TV"
            log disable
            outbound-interface eth1.838
            protocol all
            type masquerade
        }

    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}

system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }

    host-name MonRouter
    login {
        user MonUser {
            authentication {
                encrypted-password $SuperMotDePasse
                plaintext-password ""
            }
            level admin
        }
    }
    name-server 81.253.149.2
    name-server 80.10.246.132
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipsec enable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning

            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }

}

/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */

J'utilise l'adresse MAC de la Livebox Play lorsque cela est nécessaire.

J'utilise mon identifiant fti via le script de conversion de kgersen.

Le mot de passe associé au fti n'est jamais utilisé en DHCP ?

zoc · « **Réponse #2841 le:** 14 août 2016 à 20:50:55 »

Non, le mot de passe n'est jamais utilisé.

Tu as bien patché /opt/vyatta/sbin/vyatta-interfaces.pl pour le support de l'option rfc3118-auth ?

Accessoiremement, pour l'option SIP, il faut normalement également patcher ce même fichier, mais je pense que personne ne l'a fait. Donc autant ne pas demander l'option SIP...

Nh3xus · « **Réponse #2842 le:** 14 août 2016 à 21:02:48 »

Oui, le fichier /opt/vyatta/sbin/vyatta-interfaces.pl a été modifié comme suit :

Code: [Sélectionner]

sub dhcp_update_config {
    my ($conf_file, $intf) = @_;

    my $output = dhcp_conf_header();
    my $hostname = get_hostname();

    $output .= "option rfc3442-classless-static-routes code 121 = array of unsig
    $output .= "option rfc3118-authentication code 90 = string;\n\n";
    $output .= "interface \"$intf\" {\n";
    if (defined($hostname)) {
       $output .= "\tsend host-name \"$hostname\";\n";
    }
    $output .= "\trequest subnet-mask, broadcast-address, routers, domain-name-s
    my $domainname = is_domain_name_set();
    if (!defined($domainname)) {
       $output .= ", domain-name";
    }

zoc · « **Réponse #2843 le:** 14 août 2016 à 21:05:58 »

Ok, donc, déjà je vois un problème:

Dans le patch, le support de l'option rfc3118-authentication est rajouté.
Dans la config, c'est rfc3118-auth qui est utilisé. Le 2 noms doivent correspondre sinon ça ne marchera pas.

Ensuite, je pense que l'option SIP posera également problème. A vérifier.