Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1525188 fois)

Masterfion · « **Réponse #3360 le:** 15 septembre 2017 à 10:24:02 »

Bonjour à tous,

Comme je l'expliquais en page précédente, je suis tout nouveau tout neuf (enfin mon ERL-3 surtout) et je me suis cassé les dents ces derniers soirs mais je ne sais pas réellement sur quoi !
Pour rappel, comme beaucoup de monde ici, je me suis basé sur le travail de @zoc.

> J'ai personnalisé le fichier de config et j'ai patché ce qu'il fallait patcher... mais impossible de faire fonctionner Internet / VOD / TV ! Le seul élèment perturbateur était le firmware puisque dès réception de mon ERL, j'ai uploadé le firmware v1.9.7+hotfix.3

> Hier soir j'ai downgradé le firmware en 1.9.1 puis repatché et tout a fonctionné

> J'ai ensuite upgradé le firmware en v1.9.7+hotfix.3 puis repatché et tout fonctionnait encore.

Bref, à priori vous pouvez passer la mise à jour.

Pour les nouveaux venus qui, comme moi, cherchent des indices pour savoir où ça peut déconner... notez que vous devez avoir des adresses IP indiquées en regard des VLAN DATA / VOD / TV.
- si vous n'avez aucune IP indiquée c'est que rien ne fonctionne (c'était mon cas en v1.9.7+hotfix.3)
- si vous avez une IP indiquée pour VOD / TV, vous devez juste (re)patcher les fichiers (dhclient, ...)
- si vous avez une IP pour DATA / VOD / TV, bah tout est bon !

Ce que j'expose ici est très basique, je sais, mais soyez indulgent hein... j'arrive juste moi

PESHKO · « **Réponse #3361 le:** 20 septembre 2017 à 18:52:10 »

Bonjour à tous

Je suis désolé de mon post qui reprend certainement des problématiques rencontrées par d'autres...j'espère qu'une âme charitable pourra me répondre.

J'ai fait il y a presque 2 ans la config ERL 3+Livebox (pour la TV et Tél) après avoir passé deux-trois jours sur le forum. Cela fonctionnait très bien au début sauf la VOD (mais je m'en foutais). Ensuite, suite à une MAJ de la Livebox je pense je n'ai plus la télé (et ma femme me le rappelle à peu près tous les deux mois $:-\$ ). Je suis en version 1.7 du firmware, je n'ai pas de soucis avec le net ni avec le téléphone.
Mes questions :
1) Dans les config sans livebox pour la partie téléphone on parle de choses "horribles" comme Asterisk? SIPROXD? Bref, je ne comprends rien...Est-ce que je peux me lancer dans une tentative de virer complètement la livebox mais en étant sûr d'avoir le téléphone (car sinon c'est le divorce assuré...) en sachant que je n'ai aucune compétence dans ces trucs (je suis juste têtu et prêt à lire et à appliquer...)
2)où trouver la démarche pas à pas (j'ai tout oublié forcèment) : on clique là ou là, on remplace tel ou tel fichier, on lance telle ou telle commande...avec bien sûr les fichiers de configuration (en gardant ma config actuelle pour réparer la TV ou en passant à la config sans livebox du tout)
3)en complèment du 2 me dire si cela sert/faut passer à une version ultérieure du firmware? J'ai téléchargée la toute dernière mais pas installée pour le moment (peur de casser ce qui fonctionne actuellement).

Un énorme merci d'avance

nenelf · « **Réponse #3362 le:** 21 septembre 2017 à 22:29:46 »

Pour info, en cas de soucis d'upload

https://community.ubnt.com/ubnt/board/message?board.id=EdgeMAX&message.id=178532#M178532

Passer le egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"

a egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"

Merci @zammok

zoc · « **Réponse #3363 le:** 22 septembre 2017 à 07:39:34 »

Ca fait bien longtemps que l’egress est comme cela dans ma config de référence

nenelf · « **Réponse #3364 le:** 22 septembre 2017 à 08:14:57 »

J'ai probablement pas pris la bonne alors

Bon, reste l'IPv6

konki · « **Réponse #3365 le:** 07 octobre 2017 à 19:45:24 »

Bonsoir à tous,

Je relance le sujet sur un hypothétique support officiel de l'IPsec/IKEv2 sur l'ERL. Il semblerait que le projet ne concerne que l'USG et non la famille Egde https://community.ubnt.com/t5/UniFi-Routing-Switching-Feature/IPsec-IKEv2-remote-access-VPN-support/idi-p/1738283. Avez-vous des informations?

J'attends la sortie d'un firmware qui intègre ce protocole avant de refaire une config en DHCP ipv4 selon les dernières recommandations de zoc. Je suis repassé en pppoe (toujours en firmware v1.86) après la vague de problèmes de renouvellement DHCP.

A défaut y aurait-il un tuto ‘out of the box’ pour une configuration autour du paquet agile vpn. Le sujet est traité sous forme de pistes à suivre sur le forum ici https://community.ubnt.com/t5/EdgeMAX/IPsec-IKEv2-Server-on-EdgeRouter-Lite/m-p/1852873/highlight/true#M152477

Konki

DMetre · « **Réponse #3366 le:** 08 octobre 2017 à 15:45:56 »

Plus qu'une piste, je l'utilise avec la version 1.9.7+hotfix.3 en DHCP, fonctionne très bien. En tout cas, pour une utilisation "simple", pourvoir me connecter avec mes smartphones.

konki · « **Réponse #3367 le:** 08 octobre 2017 à 22:00:04 »

Bonsoir,

merci pour le renseignement, pouvez-vous communiquer les sections concernées de votre fichier de configuration? Je cherche un exemple pour une utilisation de base (smartphones) mais je n'ai pas trop le temps pour faire des essais de conf.

Pour info, IKEv2 est supporté par StrongSwan depuis le firmware 1.8 https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/IKEv2/idi-p/645869. La mise à jour de strongswan dans ce firmware avait également apporté la gestion de l'IP dynamique "outside-address 0.0.0.0", sans vraiment d'information dans le changelog.

Konki

DMetre · « **Réponse #3368 le:** 09 octobre 2017 à 08:05:06 »

Sur le post tu as la conf à appliquer.

Voici pour ma partie VPN :
eth1.832 : WAN Internet
server-x : DNS Orange en dur, tu peux aussi mettre l'IP de l'ERL

Code: [Sélectionner]

firewall {
      ...
    name WAN_IN {
      ...
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
        rule 4 {
            action accept
            description "VPN: Allow L2TP"
            destination {
                port 500,1701,4500
            }
            log disable
            protocol udp
        }
        rule 5 {
            action accept
            description "VPN: Allow ESP"
            log disable
            protocol 50
        }
    }
    ...
}



service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name IKEV2_DHCP_Server {
            authoritative disable
            subnet 10.73.74.1/24 {
                default-router 10.73.74.1
                dns-server 10.73.74.1
                lease 86400
                start 10.73.74.230 {
                    stop 10.73.74.243
                }
            }
        }
        shared-network-name LAN_ETH0_DHCP {
...
}        

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        ipsec-interfaces {
            interface eth1.832
        }
        nat-networks {
            allowed-network 0.0.0.0/0 {
            }
        }
        nat-traversal enable
        remote-access {
            authentication {
                mode x509
            }
            client-ip-pool {
                subnet 10.73.74.1/24
            }
            compatibility-mode enable
            dns-servers {
                server-1 80.10.246.3
                server-2 81.253.149.10
            }
            ike-settings {
                authentication {
                    mode x509
                    x509 {
                        ca-cert-file /config/auth/certs/rootCA/caCert.pem
                        local-id @vpn.mondomain.fr
                        remote-id "*@vpn.mondomain.fr"
                        remote-ca-cert-file /config/auth/certs/rootCA/caCert.pem
                        server-cert-file /config/auth/certs/strongswan/serverCert.pem
                        server-key-file /config/auth/certs/strongswan/serverKey.pem
                        server-key-type rsa
                    }
                }
                fragmentation disable
                ike-lifetime 86400
                operating-mode ikev2-mobike
            }
            inactivity 28800
            outside-address 0.0.0.0
        }
    }
}

Nexius2 · « **Réponse #3369 le:** 10 octobre 2017 à 12:26:40 »

Bonjour a tous,
depuis peu proprietaire d'un Erlite3, je cherche comment me passer de la live box et je ne souhaite utilisé que la data (pas de tv ni tel)
j'ai quelques notions reseau et linux mais voila, tout n'as pas l'air simple non plus.
j'ai compris qu'il fallait un vlan 832, du ppoe (parfois hexa), du DHCP....mais je n'y arrive pas.
deja, je ne comprend pas trop pourquoi je ne peux pas juste enlevé ma box et brancher l'ERL en configurant un vlan 832 et ppoe avec mon compte (l'interface de l'ERL le permet).
pas sur, mais je cru comprendre que c'etait une histoire de client DHCP cote orange et que c'est pour ca qu'il y a le dhclient3 dans la procedure de ZOC.
mais il vient d'ou ce fichier? vu qu'il est pas lisible, j'ai pas trop envie de l'injecter comme ca sans savoir.
parlant de ZOC, dans sa procedure, il dit de copier des fichier et de verifié que le propriétaire est root, groupe root, droits 755... ok, mais le cli ne comprend deja pas mon dir ou ls donc je me dit que ca doit etre un linux special....
bref, y'a pas une procedure complete accompagné d'explications pour les debutants? parce que la, j'ai l'impression d'en faire partie.
Merci a vous

zoc · « **Réponse #3370 le:** 10 octobre 2017 à 12:46:34 »

PPPoE chez Orange c’est sur le VLAN 835, pas 832. Cette méthode de connexion est par ailleurs dépréciée et vouée à disparaître à moyen terme, car remplacée par DHCP sur l’autre VLAN (Le 832).

Mon client dhclient3 est un binaire compilé à partir des sources fournies par Ubiquiti et patché pour supporter la QoS dans les endroits où c’est nécessaire. Si tu n’as pas confiance en mon binaire, j’ai posté le code source du patch sur le forum, et donc n’importe qui peut l’analyser et recompiler sa propre version (attention cependant, il faut avoir les outils nécessaires pour faire de la cross-compilation pour la plateforme MIPS).

Nexius2 · « **Réponse #3371 le:** 10 octobre 2017 à 14:00:04 »

Ah bas voila, ca c'est de l'explication que j'aime

c'est pas que j'ai pas confiance (bon si un peu quand meme) c'est juste histoire de comprendre ou au moins d'essayer de comprendre ce que je fais.
j'en deduis qu'il me faut juste ton patch dhclient3 et puis configurer le port "internet" en DHCP avec VLAN 832

je vais me lancer, mais niveau commande, ca a l'aire tres limité, ca marche avec winscp?
autre question, l'adresse mac en hexa," YY:YY:YY:YY:YY:YY" ou "YYYYYYYYYYYY"
Merci