Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1526151 fois)

dmfr · « **Réponse #3516 le:** 21 février 2018 à 15:12:36 »

Je viens de tester le FW 1.10, tout semble fonctionner bien correctement.

Concernant les packages à remplacer :
- Ubiquiti ayant monté la version d'ISC DHCP vers 4.1-ESV-R8, j'ai recompilé le dhclient3 à partir des sources GPL et du patch de zoc. Je ne pense pas que ce soit fondamental cependant...
- le package dibbler-client utilisé précédemment fonctionne bien.

Deux remarques liées au DHCP :

- l'IPv6 n'a pas fonctionné directement, dibbler renvoyant une erreur au sujet d'une option AUTH non reconnue.
A mon sens c'est lié au DUID qui a changé lors de la réinstallation de dibbler, alors que le bail précédent était toujours en place.

- ce n'est pas lié au firmware 1.10, mais pour le première fois, j'ai tenté un

Code: [Sélectionner]

release dhcp interface eth1.832suivi d'un

Code: [Sélectionner]

renew dhcp interface eth1.832...et j'ai perdu l'IPv4 que j'avais pourtant depuis presque un an.

nonobzh · « **Réponse #3517 le:** 21 février 2018 à 15:41:47 »

Pour la perte de ton IP ça me semble normal. Le fait de faire un release va libérer l’adresse "préférentielle".
Le seul moyen de la garder est de ne jamais faire de release (=pas de reboot soft, pour la Livebox en tout cas)

computman · « **Réponse #3518 le:** 22 février 2018 à 14:59:12 »

Citation de: dmfr le 21 février 2018 à 15:12:36

Je viens de tester le FW 1.10, tout semble fonctionner bien correctement.

Concernant les packages à remplacer :
- Ubiquiti ayant monté la version d'ISC DHCP vers 4.1-ESV-R8, j'ai recompilé le dhclient3 à partir des sources GPL et du patch de zoc. Je ne pense pas que ce soit fondamental cependant...
- le package dibbler-client utilisé précédemment fonctionne bien.

Deux remarques liées au DHCP :

- l'IPv6 n'a pas fonctionné directement, dibbler renvoyant une erreur au sujet d'une option AUTH non reconnue.
A mon sens c'est lié au DUID qui a changé lors de la réinstallation de dibbler, alors que le bail précédent était toujours en place.

- ce n'est pas lié au firmware 1.10, mais pour le première fois, j'ai tenté un
Code: [Sélectionner]
release dhcp interface eth1.832suivi d'un
Code: [Sélectionner]
renew dhcp interface eth1.832...et j'ai perdu l'IPv4 que j'avais pourtant depuis presque un an.

Tu es parti sur ce tuto là que tu as mis à jour ? https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-security-release-v1-10-0/ba-p/2233263

computman · « **Réponse #3519 le:** 28 février 2018 à 03:05:43 »

Je viens de passer en 1.10 (ZOC à rajouté les détails dans le post)

Tout fonctionne parfaitement

J'ai même rajouté le script pour tester la connexion et renouveler l'IP le cas échéant.

Merci @Zoc

zfil · « **Réponse #3520 le:** 28 février 2018 à 10:48:42 »

Citation de: dmfr le 21 février 2018 à 15:12:36

- Ubiquiti ayant monté la version d'ISC DHCP vers 4.1-ESV-R8, j'ai recompilé le dhclient3 à partir des sources GPL et du patch de zoc. Je ne pense pas que ce soit fondamental cependant...

Petite question qu'elle toolchain as tu utilisé pour compiler ?

Merci

dmfr · « **Réponse #3521 le:** 28 février 2018 à 13:52:39 »

Citation de: computman le 22 février 2018 à 14:59:12

Tu es parti sur ce tuto là que tu as mis à jour ? https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-security-release-v1-10-0/ba-p/2233263

Il s'agit des release notes ?

J'utilise à quelques détails près la configuration Zoc du premier post,
ainsi que les ajouts IPv6 du fil :
https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax-configuration-ipv6/

dmfr · « **Réponse #3522 le:** 28 février 2018 à 14:04:40 »

Citation de: zfil le 28 février 2018 à 10:48:42

Petite question qu'elle toolchain as tu utilisé pour compiler ?

Merci

J'ai compilé sur l'edgemax, bien que ce ne soit pas tellement recommandé pour épargner la clé USB.
D'autre part :
- pour installer les build essentials il faut downgrader la libc6 car le repo wheezy-security n'existe plus en MIPS
Pour les étapes post-build (dh-*) :
- il faut remplacer certains utilitaires busybox par leurs vrais équivalents debian
- et enfin bricoler le script dh-fixperms
Pour info voici mes notes perso sur le sujet (un peu déstructurées)

Code: [Sélectionner]

liste paquets

apt-cache policy libc6
dpkg -l libc6

downgrade libc6

apt-get install libc6=2.13-38+deb7u10 libc-bin=2.13-38+deb7u10

installation packages

apt-get install build-essential libtool autoconf automake debhelper
po-debconf




sources
tar xf dibbler_1.0.1.orig.tar.gz
tar xf dibbler_1.0.1-1.debian.tar.gz
mv debian dibbler-1.0.1
cd dibbler-1.0.1
patch -p1 < ../prio.diff


build
dpkg-buildpackage -us -uc


remplacements binaires
/bin/TAR (pkg tar)
/bin/GZIP (pkg gzip)
/usr/bin/FIND (pkg findutils)
/usr/bin/DU (pkg coreutils)

patch dh-fixperms
chown “no dereference”

zoc · « **Réponse #3523 le:** 28 février 2018 à 14:30:46 »

Perso je compile dans une VM QEMU trouvée ici: https://people.debian.org/~aurel32/qemu/mips/

Sinon, j'ai aussi compilé ma propre toolchain (à partir des instructions ici: ) pour cross-compiler sous Debian Stretch x86-64, en utilisant sbuild pour pouvoir installer des packages Wheezy dans un environnement isolé (c'est un peu compliqué à mettre en place quand on n'a jamais utilisé sbuild, comme moi :p ). Ca a l'air de fonctionner mais j'avoue ne pas avoir testé sur mon ERL d'exécutable compilé avec cette méthode. J'étais parti pour faire un nouveau patch pour ISC-DHCP permettant de spécifier la priorité dans le fichier de config, afin de pouvoir le proposer à Ubiquiti, mais je n'ai vraiment pas le temps de terminer...

computman · « **Réponse #3524 le:** 01 mars 2018 à 15:29:10 »

Citation de: dmfr le 28 février 2018 à 13:52:39

Il s'agit des release notes ?

J'utilise à quelques détails près la configuration Zoc du premier post,
ainsi que les ajouts IPv6 du fil :
https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax-configuration-ipv6/

Est-ce que les étapes pour l'IPV6 pour l'USG peuvent s'appliquer ?

https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/

Sachant que je suis dans cette conf :
ONT connecté à ETH1
Réseau "DATA" connecté sur eth0
Réseau dédié pour le(s) decodeur(s) TV sur eth2

0rsa · « **Réponse #3525 le:** 01 mars 2018 à 16:57:34 »

Merci à zoc pour sa config en 1.10 qui fonctionne comme un charme.
J'ai un petit soucis concernant l'utilisation d'un VPN Cisco AnyConnect dans le cadre du boulot sur un client du réseau sous Windows 7, il m'est impossible de m'y connecter.
Après quelques recherches, il semblerait que mon réseau ne soit pas considéré comme trusted et c'est pour cela que j'essuie un refus de connexion au VPN.
Je pense suivre ce tutorial : https://community.ubnt.com/t5/EdgeMAX/How-to-install-a-Valid-Certificate-on-the-ER-version-1-8-5-and/m-p/1634700#M121338
Est-ce que certains d'entre vous ont également rencontré un soucis de connexion à un VPN avec un de leur client sur le réseau ( je ne parle pas de configurer un VPN directement au niveau du EdgeRouter Lite) ?

EDIT
Après une bonne lecture du tuto, je comprends que la manip permet d'éviter l'erreur de certificat SSL lors de la connexion à l'interface d'administration du routeur mais rien n'est moins sûr qu'il règle mes problèmes de VPN.
Voici mon soucis dans la documentation de Cisco : https://supportforums.cisco.com/t5/security-documents/anyconnect-trusted-network-detection-tnd-and-always-on/ta-p/3125277
Je suis bloqué à la récupération du CRL

Citer

4) CRL not accessible
Example - The CRL URL defined in the certificate attributes isn't resolveable or the CRL isn't accessible.
Resolution - The CRL URL must be resolveable and the CRL must be available. Update DNS so this CRL's FQDN will resolve correctly on the internet. Note: you should be able to browse to the URL defined in the cert attributes and pull down the CRL.

Si vous avez des idées, je suis preneur.
La connexion au VPN fonctionne correctement avec la Livebox et en partage de connexion 4G.

Mark5 · « **Réponse #3526 le:** 01 mars 2018 à 17:22:27 »

Je doute fort que le certificat permettant l'administration de ton routeur ait un quelconque rapport avec le fait de pouvoir utiliser ton client VPN.
Je pencherais plutôt pour un problème au choix :
- de DNS
- de règle de firewall

C'est quoi le FQDN de ta CRL ?
Arrives-tu à pinger ce FQDN depuis ton LAN ? Depuis ton ER ?

Ceci dit, si tu veux coller un certificat valide sur ton Edgerouter, tu devrais jeter un œil à Let's Encrypt.

zoc · « **Réponse #3527 le:** 01 mars 2018 à 17:45:31 »

Je poste ce message depuis chez moi avec mon portable du boulot connecté au réseau de la boite par un VPN Cisco AnyConnect

Donc pas d'incompatibilité à priori...