Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax  (Lu 1511924 fois)

0 Membres et 1 Invité sur ce sujet

Nexius2

  • Abonné Orange Fibre
  • *
  • Messages: 18
  • Poissy (78)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3372 le: 11 octobre 2017 à 14:00:58 »
je m'auto repond.
j'ai backuper les fichiers d'origine avec winscp
j'ai charger mes fichier modifié toujours avec winscp dans /tmp/
puis avec putty j'ai copié mes fichiers au bon endroit, remis les droits
un reboot
puis le fichier de conf chargé depuis la console ubnt
et ca marche !

pour l'histoire des hexa, les ":" ne sont pas a convertir, c'est logique quand on reflechit, mais j'avais le doute au debut, je vais donc pas etre le seul. :-)

super merci a tous pour l'aide

konki

  • Abonné Orange Fibre
  • *
  • Messages: 76
  • Paris (75)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3373 le: 11 octobre 2017 à 17:41:35 »
@DMetre
Je te remercie pour ta réponse rapide, je m’interroge sur quelques paramètres de ta configuration serveur ipsec/ikev2:
1/ auto-firewall-nat-exclude enable, je suis en disable dans ma configuration ipsec du moment. Est-ce que quelqu’un pourrait nous expliquer cette option un peu obscure ?
2/ dans quel répertoire as-tu placé les clé/certificat des clients utilisateurs @vpn.mondomain.fr : /config/auth/certs/strongswan ou /config/auth/certs ?

Je n’ai pas encore mis en oeuvre cette configuration fonctionnelle avec certificats auto-signés, j’essaie d’utiliser mon certificat StartSLL sur la base de quelques idées ici https://hub.zhovner.com/geek/universal-ikev2-server-configuration/

Konki

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 259
  • Antibes (06) / Mercury (73)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3374 le: 11 octobre 2017 à 17:54:01 »
Le plus chiant ça reste d'avoir des certificats générés correctement. Du coup je me suis fait des scripts bash (3 ou 4 lignes chacun, voir ci-dessous) que j'exécute sur une machine (sous Linux, distrib. Ubuntu), et en l'état les certificats générés me permettent de me connecter avec mes équipements Apple (iPad, iPhone et MacBook Pro sous macOS):

Pou générer l'authorité de certification. genCa.sh:
#!/bin/bash

ipsec pki --gen --type rsa --size 4096 --outform pem > Certs/CA/ca.key
ipsec pki --self --ca --lifetime 3650 --in Certs/CA/ca.key --type rsa --dn "C=FR, O=Zoc, CN=Zoc VPN CA" --outform pem > Certs/CA/ca.pem
chmod 600 Certs/CA/ca.key

Ensuite, pour générer le certificat du serveur. genServer.sh:
#!/bin/bash
SERVER_NAME=$1

ipsec pki --gen --type rsa --size 2048 --outform pem > Certs/${SERVER_NAME}.key
chmod 600 Certs/${SERVER_NAME}.key

ipsec pki --pub --in Certs/${SERVER_NAME}.key --type rsa | ipsec pki --issue --lifetime 730 --cacert Certs/CA/ca.pem --cakey Certs/CA/ca.key --dn "C=FR, O=Zoc, CN=${SERVER_NAME}" --san ${SERVER_NAME} --flag serverAuth --flag ikeIntermediate --outform pem > Certs/${SERVER_NAME}.pem

Et enfin pour les clients. genClient.sh:
#!/bin/bash
CLIENT_NAME=$1

ipsec pki --gen --type rsa --size 2048 --outform pem > Certs/${CLIENT_NAME}.key
chmod 600 Certs/${CLIENT_NAME}.key

ipsec pki --pub --in Certs/${CLIENT_NAME}.key --type rsa | ipsec pki --issue --lifetime 730 --cacert Certs/CA/ca.pem --cakey Certs/CA/ca.key --dn "C=FR, O=Zoc, CN=${CLIENT_NAME}" --san ${CLIENT_NAME} --outform pem > Certs/${CLIENT_NAME}.pem

openssl pkcs12 -in Certs/${CLIENT_NAME}.pem -inkey Certs/${CLIENT_NAME}.key -certfile Certs/CA/ca.pem -export -out Certs/${CLIENT_NAME}.p12

Sur mon ERL, les certificats sont dans /config/auth, et j'ai mis les chemins absolus dans la config, histoire d'éviter de devoir se poser trop de questions :)

Par contre attention, avec la version actuelle du paquet "agile vpn", c'est (comme je l'indique dans le post sur le forum d'ubnt et dans un bug request sur le github, tous les 2 restés sans réponse..) openbar pour les clients VPN. Quand la connexion IKEv2 monte, strongswan rajoute des règles iptables FORWARD avant celles existantes, et donc les clients VPN peuvent bypasser toutes les règles firewall en place... Personnellement ça ne me pose un problème parce que du coup mon VLAN de management est accessible à tous les clients...

Bon, sinon je pense qu'on s'éloigne un peu trop du sujet initial de ce fil, et du coup ça vaudrait peut-être le coup d'en créer un dédié à IKEv2 sur l'ERL :)

Pour ma config, j'ai ça:
vpn {
    ipsec {
        auto-firewall-nat-exclude disable
        ipsec-interfaces {
            interface eth1.832
        }
        nat-networks {
            allowed-network 0.0.0.0/0 {
            }
        }
        nat-traversal enable
        remote-access {
            authentication {
                mode x509
            }
            client-ip-pool {
                subnet 192.168.200.0/24
            }
            compatibility-mode enable
            dhcp-interface eth1.832
            dns-servers {
                server-1 192.168.66.11
                server-2 192.168.66.12
            }
            esp-settings {
                proposal 1 {
                    encryption aes128
                    hash sha1
                }
            }
            ike-settings {
                authentication {
                    mode x509
                    x509 {
                        ca-cert-file /config/auth/ca.pem
                        local-id home.zoc.me
                        remote-id "*.vpn.zoc.me"
                        remote-ca-cert-file /config/auth/ca.pem
                        server-cert-file /config/auth/home.zoc.me.pem
                        server-key-file /config/auth/home.zoc.me.key
                        server-key-type rsa
                    }
                }
                fragmentation enable
                ike-lifetime 86400
                operating-mode ikev2-mobike
                proposal 1 {
                    encryption aes128
                    hash sha1
                }
            }
            inactivity 28800
        }
    }
}

konki

  • Abonné Orange Fibre
  • *
  • Messages: 76
  • Paris (75)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3375 le: 11 octobre 2017 à 18:29:37 »
merci zoc, pour ces scripts, c'est la raison qui me poussait à tenter d'utiliser mon certificat StartSSL. Je ne désespère pas mais c'est pas très accessible pour le non spécialiste.
Je m'oriente préférentiellement sur la prise en charge ikev2 du paquet strongswan depuis le firmware 1.8, que sur l'ajout du paquet vyos-agile-vpn non officiel. Mes clients sont variés (ios, android, linux, win7) mais il existe pour tous un client strongSwan 5.x.

+1 pour un fil dédié à IKEv2 sur l'ERL. C'est aussi un encouragement ;)

Konki


Nexius2

  • Abonné Orange Fibre
  • *
  • Messages: 18
  • Poissy (78)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3376 le: 19 octobre 2017 à 11:11:01 »
Pour ceux que ca interesse, la procedure fonctionne avec la derniere mise a jour (1.9.7+hotfix 4).
il faut juste reprendre tout depuis le debut, donc pensez a sauvegarder votre conf avant.

Masterfion

  • Abonné Free Pro
  • *
  • Messages: 19
  • Antibes (06)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3377 le: 19 octobre 2017 à 12:02:13 »
@Nexius2 : au risque qu'on se mélange, de quelle procédure du parle stp ?

Nexius2

  • Abonné Orange Fibre
  • *
  • Messages: 18
  • Poissy (78)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3378 le: 19 octobre 2017 à 12:06:28 »
celle de ZOC page 264
 ;)

barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3379 le: 24 octobre 2017 à 20:59:42 »
Bonjour,

Tout d'abord merci pour vos tuto et explications.   :)

Je me suis lancé voilà quelques semaines dans le remplacement de ma LB4 et je dois avouer que après un multitude d'essais, je me demande si je ne vais pas caler.  :-\

Voila, ce que je cherche à faire:

LAN et TV: sur ETH0 (192.168.0.1) avec DHCP et IPV4 (connecté à un switch)
ONT: ETH1
LAN-WiFi : Point d'accès quelconque sur ETH2 (192.168.0.2) avec DHCP et IPV4

ETH0 et ETH1 fonctionne cependant ETH2 ne fonctionne pas :) Est-ce que l'un d'entre vous aurait la gentillesse de m'aider à faire cette configuration?


Voici ma conf:
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.0.1/24
        description LAN-ET-TV
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description Internet_ONT
        duplex auto
        speed auto
        vif 832 {
    address dhcp
            description "Internet Orange DHCP"
            dhcp-options {
                client-option "send vendor-class-identifier "sagem";"
  client-option "send dhcp-client-identifier 1:00:00:00:00:00:00:00:00:00:00:00:X.X.X.X.X.X.X;"
                client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
 
default-route update
                default-route-distance 210
                name-server update

            }
            egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }           
        }
        vif 838 {
            address dhcp
        description "TV - VOD"
        dhcp-options {
            client-option "send vendor-class-identifier "sagem";"
            client-option "send dhcp-client-identifier 1:78:94:B4:E0:1E:D8;"
            client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
            client-option "request subnet-mask, rfc3442-classless-static-routes;"
            }
            description "VLAN TV VOD"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
         address 192.168.255.254/24
            description "VLAN TV Canal 1 - Zap"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.0.2/24
        description LAN-WiFi
        duplex auto
        speed auto
        }
    loopback lo {
    }
}

protocols {
    igmp-proxy {
        disable-quickleave
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }
    }
}
service {
    dhcp-server {
         disabled false
        hostfile-update disable
        shared-network-name LOCAL_NETWORK {
            authoritative enable
            subnet 192.168.0.0/24 {
                default-router 192.168.0.1
                dns-server 192.168.0.1
                lease 86400
                start 192.168.0.10 {
                    stop 192.168.0.50
                }
            }
        }
}
    dns {
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {
        https-port 443
    }
    nat {
        rule 5010 {
            description "Masquerading outgoing connections"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "Masquerading TV"
            log disable
            outbound-interface eth1.838
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}

system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
        login {
         user root {
             authentication {
                 encrypted-password $6$Nf4eZ1MX$Reqp9QtJgZpmhNBLks3P4GQcr6Ey5U/QlCO6tW/lgIGwgZfr8CkDOzMCBjgN/mGIFPANsdqYA6TdmPynbvpxz.
                 plaintext-password ""
             }
             level admin
         }
         user ubnt {
             authentication {
                 encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
             }
             level admin
         }
     }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */

Quelle est la différence entre:

client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
et

client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"

??


Je vous remercie par avance.

Romain
« Modifié: 25 octobre 2017 à 08:52:31 par barichon »

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 259
  • Antibes (06) / Mercury (73)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3380 le: 25 octobre 2017 à 08:56:12 »
Dans ta première ligne, c'est l'adresse Mac de la box qui doit remplacer les XX. Dans la seconde, c'est ton identifiant fti/xxxxx.

Orange n'utilise pas les mêmes méthode d'authentification sur le vlan 838 et le vlan 832. L'option dhcp-client-identifier n'est pas nécessaire sur le VLAN 832 cela dit...

Accessoirement, là tes 2 interfaces eth0 et eth2 sont sur la même plage d'IP, donc normal que ça ne fonctionne pas (c'est un routeur, pas un switch):
  • eth0 a l'adresse 192.168.0.1 avec un masque de 24 bits, donc réseau 192.168.0.0
  • eth2 a l'adresse 192.168.0.2 avec un masque de 24 bits, donc réseau 192.168.0.0 (le même donc)

Il faut que les 2 interfaces soient sur des réseaux différents, donc pas exemple que l'adresse de eth0 soit 192.168.0.1/24 et 192.168.1.1/24 pour eth2.





barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3381 le: 25 octobre 2017 à 17:58:51 »
Merci Zoc pour ta réponse,

Du coup j'ai essayé de faire un Bridge entre ETH0 et ETH2 mais trop de perte de débit (accélération non supporté).

Autre info, sur cette ligne:

subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
Y'a t-il quelque chose à modifier ?

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 259
  • Antibes (06) / Mercury (73)
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3382 le: 25 octobre 2017 à 18:04:42 »
Je ne sais pas, je n’utilise pas la livebox pour la voip.

barichon

  • Abonné Free fibre
  • *
  • Messages: 65
  • Levallois-Perret 92300
Remplacer sa Livebox par un routeur Ubiquiti Edgemax
« Réponse #3383 le: 25 octobre 2017 à 22:54:11 »
@zoc

Merci pour ta réponse.

J'ai un dernier problème a résoudre, j'ai accès à l'interface d'admin de ma livebox via mon wifi, mais je n'ai pas le net.



je ping toutes mes interfaces locale... mais quand je ping le net (genre google) j'ai une réponse from: 192.168.0.3.

~ barautromain$ ping google.fr
PING google.fr (192.168.0.3): 56 data bytes
64 bytes from 192.168.0.3: icmp_seq=0 ttl=64 time=1.943 ms
64 bytes from 192.168.0.3: icmp_seq=1 ttl=64 time=1.748 ms
64 bytes from 192.168.0.3: icmp_seq=2 ttl=64 time=1.764 ms
64 bytes from 192.168.0.3: icmp_seq=3 ttl=64 time=2.275 ms
64 bytes from 192.168.0.3: icmp_seq=4 ttl=64 time=1.479 ms

pareil sur un dig:

dig google.fr

; <<>> DiG 9.8.3-P1 <<>> google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40960
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;google.fr. IN A

;; ANSWER SECTION:
google.fr. 0 IN A 192.168.0.3



par contre quand je change le /etc/resolv.conf de mon mac (en remplacant 192.168.0.3 par 192.168.0.1 = ETH0) la resolution dig se correctement, mais pas de net pour autant...

une idée ?

Par avance merci.