Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1530657 fois)

twistdi · « **Réponse #3672 le:** 17 mai 2018 à 11:44:42 »

Bonjour,

Sur ERL 3 en 1.10.x, j'ai un problème depuis quelques semaines. Avant, aucun souci mais depuis, tous les jours, je perds la connexion internet. L'ERL est accessible et ne semble pas Ko. Les logs ne donnent pas d'information et seul un restart du routeur me redonne ma connexion internet.
J'avais un petit problème sur l'usb stick du routeur, je pensais que cela pouvait venir de là mais après changement, même problème.
Si quelqu'un pouvait m'aider à me donner une piste pour le debug ou me dire quel service peut causer ce souci.
Je vais tenter une config à neuf. J'utilise le DPI pour contrôler les accès.
Config actuelle en mode erl3->LB pour tv+wifi+téléphone.

Merci pour votre aide.

Schuss

fttmeh · « **Réponse #3673 le:** 17 mai 2018 à 11:56:08 »

Citation de: twistdi le 17 mai 2018 à 11:44:42

Bonjour,

Sur ERL 3 en 1.10.x, j'ai un problème depuis quelques semaines. Avant, aucun souci mais depuis, tous les jours, je perds la connexion internet. L'ERL est accessible et ne semble pas Ko. Les logs ne donnent pas d'information et seul un restart du routeur me redonne ma connexion internet.
J'avais un petit problème sur l'usb stick du routeur, je pensais que cela pouvait venir de là mais après changement, même problème.
Si quelqu'un pouvait m'aider à me donner une piste pour le debug ou me dire quel service peut causer ce souci.
Je vais tenter une config à neuf. J'utilise le DPI pour contrôler les accès.
Config actuelle en mode erl3->LB pour tv+wifi+téléphone.

J'ai un script qui vérifie ma connexion toutes les 10 minutes et redemande une adresse IP en cas de problème. C'est une adaptation du script fait par @zoc:

Code: [Sélectionner]

$cat /config/scripts/test-connectivity.sh 

#!/bin/bash

function OK_ipv4 {
	true
	#logger "ConnectivityTest: IPv4 OK"
}

function NOK_ipv4 {
	# Restart command to run
	RUNCMD=/opt/vyatta/bin/vyatta-op-cmd-wrapper	
	logger "ConnectivityTest: IPv4 NOK - restarting dhcp client"
	$RUNCMD renew dhcp interface eth1.832 
}


/bin/ping -q -w 1 -c 1 $(ip r | grep default | cut -d ' ' -f 3) > /dev/null && OK_ipv4 || NOK_ipv4

Et tu l'actives dans la config:

Code: [Sélectionner]

$ set system task-scheduler task CheckInternetConnection executable path /config/scripts/test-connectivity.sh
$ set system task-scheduler task CheckInternetConnection interval 10m
$ show system task-scheduler      
 task CheckInternetConnection {
     executable {
         path /config/scripts/test-connectivity.sh
     }
     interval 10m
 }

twistdi · « **Réponse #3674 le:** 17 mai 2018 à 13:48:52 »

Merci pour ta réponse.
Je vais essayer mais cela fonctionnait très bien avant. Pourquoi soudainement il me redemande une ip alors

Tu as ça depuis le début car moi cela fait 2 ans que ça roulait

schuss

fttmeh · « **Réponse #3675 le:** 17 mai 2018 à 13:53:35 »

Citation de: twistdi le 17 mai 2018 à 13:48:52

Pourquoi soudainement il me redemande une ip alors

Je l'ai depuis longtemps, adapté pour l'IPv6 car j'ai eu des problèmes avec ma connexion.

Sur le pourquoi, c'est Orange !, parfois la connexion tombe. Certaines personnes ont eu des problèmes dans ce forum, d'où l'idée de l'utiliser.

zoc · « **Réponse #3676 le:** 17 mai 2018 à 13:57:12 »

Bon, après, si la connexion tombe régulièrement et ne remonte pas, le problème est sans doute ailleurs...

Le script n'est là que pour pallier aux interventions d'Orange sur son réseau qui ont pour effet de rendre la connexion inopérante. Il n'a du se déclencher que deux ou trois fois depuis qu'il est en place chez moi (1 an au moins).

Une autre possibilité c'est l'ONT qui plante et reboote...

twistdi · « **Réponse #3677 le:** 17 mai 2018 à 15:11:56 »

Citation de: zoc le 17 mai 2018 à 13:57:12

Une autre possibilité c'est l'ONT qui plante et reboote...

Merci pour ton retour Zoc.
Du coup je vais attendre un nouveau plantage et lancer la commande dans le script pour voir si cela vient du dhcp.
Je vais aussi tenter une nouvelle config light et voir si cela fonctionne mieux.

Merci, en tout cas.

Schuss

kkwette · « **Réponse #3678 le:** 17 mai 2018 à 19:24:27 »

Citation de: fttmeh le 17 mai 2018 à 10:55:57

Tu peux montrer ta conf ? Tu n'a pas une smart queue activé sur l'interface de sortie (ex. eth1.832) ?

Non pas de smart queue. Ci-joint la conf.

kkwette · « **Réponse #3679 le:** 17 mai 2018 à 19:34:57 »

Citation de: zoc le 17 mai 2018 à 10:51:47

Le cable ethernet entre le routeur et l'ONT peut-être ?

Aucun souci de débit en PPPoE donc je ne pense pas

dmfr · « **Réponse #3680 le:** 17 mai 2018 à 20:19:33 »

Citation de: kkwette le 17 mai 2018 à 19:24:27

Non pas de smart queue. Ci-joint la conf.

Petite remarque, tu ne sembles pas autoriser les communications DHCP, ce qui peut bloquer ton renew.
Le DHCP request initial est en raw socket, mais les renew passent par le firewall.
(Zoc pourra surement confirmer / corriger)

Une conf typique de firewall :

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WAN6_IN {
        default-action drop
        rule 10 {
            action accept
            description "allow established"
            protocol all
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "drop invalid packets"
            protocol all
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "allow ICMPv6"
            protocol icmpv6
        }
        rule 8999 {
            action accept
            description Qbittorrent
            destination {
                port 8999
            }
            log disable
            protocol tcp_udp
        }
    }
    ipv6-name WAN6_LOCAL {
        default-action drop
        rule 10 {
            action accept
            description "allow established"
            protocol all
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "drop invalid packets"
            protocol all
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "allow ICMPv6"
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "allow DHCPv6 client/server"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 100 {
            action accept
            source {
                address xxxxxxxxxxxxxxxxxxxxxxxx
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "accept established"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 40 {
            action accept
            description "allow DHCPv4 client/server"
            destination {
                port 68
            }
            protocol udp
            source {
                port 67
            }
        }
        rule 100 {
            action accept
            description "allow ping"
            icmp {
                type 8
            }
            protocol icmp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}

fttmeh · « **Réponse #3681 le:** 17 mai 2018 à 20:38:45 »

Citation de: dmfr le 17 mai 2018 à 20:19:33

Petite remarque, tu ne sembles pas autoriser les communications DHCP, ce qui peut bloquer ton renew.
Le DHCP request initial est en raw socket, mais les renew passent par le firewall.
(Zoc pourra surement confirmer / corriger)

Je plussoie.

Voici une regle pour DHCP en IPv4 :

Code: [Sélectionner]

rule 100 {
            action accept
            description DHCP
            destination {
                port bootps
            }
            protocol udp
        }

Et pour DHCP v6 :

Code: [Sélectionner]

rule 100 {
            action accept
            description "Allow DHCPv6"
            destination {
                port dhcpv6-client
            }
            protocol udp
            source {
                port dhcpv6-server
            }
        }

zoc · « **Réponse #3682 le:** 18 mai 2018 à 06:49:52 »

Oui moi aussi j'ai ces règles. Ceci dit, normalement si le renew unicast ne marche pas, le client DHCP repasse en broadcast (et donc en socket raw) au bout d'un moment. Ca ne devrait donc pas empêcher le renouvellement de l'adresse avant la fin du bail...

vipn · « **Réponse #3683 le:** 18 mai 2018 à 09:21:11 »

J'ai essayé différentes variantes de la configuration mais toujours cette erreur S13 au démarrage du décodeur TV... Est-ce que la Livebox est obligatoire pour le décodeur ou on peut faire passer le flux par le même port que le LAN ?

Juste pour préciser, je suis sur Sosh (je ne sais pas si ça change quelque chose au niveau de la configuration).