Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1526699 fois)

ochbob · « **Réponse #4476 le:** 29 janvier 2020 à 12:23:46 »

Les updates mineures, genre 1.10.x vers 1.10.x se font sans trop "d'encombre" ?
Un update via la GUI + reboot et ça suffit ?

edit: ah si il faut remplacer le dhclient3 j'imagine, car la MAJ va l'écraser.
Normalement c'est tout je crois, car tout ce qui est dans /config est conservé il me semble.

zoc · « **Réponse #4477 le:** 29 janvier 2020 à 13:41:56 »

Même pour les updates majeures tout ce qui est dans /config est conservé.

Pour ce qui est de la réinstallation de dhclient (et dibbler), c'est automatique chez moi à chaque mise à jour, avec des scripts qui sont exécutés automatiquement lors des maj, placés dans /config/scripts/firstboot.d, exemple pour dhclient:

Code: [Sélectionner]

#!/bin/sh -e

DESTFILE=/sbin/dhclient3.old

if [ -f "$DESTFILE" ]
then
        echo "Patched dhclient already there"
        exit 0
fi

mv /sbin/dhclient3 /sbin/dhclient3.old
cp /config/packages/dhclient3 /sbin/dhclient3

chmod 755 /sbin/dhclient3

Le fichier patché est déposé dans /config/packages (et donc survit aux mises à jour), après c'est juste la même chose que le remplacement à la main avec 4 lignes de bash...

En théorie je devrais donc pouvoir faire la mise à jour depuis l'interface graphique, mais en pratique je la fais en ligne de commande en utilisant l'interface série du routeur (pour garder la main au cas où quelque chose se passerait mal).

Mon problème avec le firmware 2.0, c'est qu'il faut que je regénère un nouveau binaire dhclient3 patché, et surtout que j'abandonne dibbler au profit de dhclient pour IPv6, ce qui implique de réécrire une bonne partie des scripts que j'ai fait pour attribuer des /64 a chacun de mes VLANs. Pas difficile en soi, juste pas le temps de le faire.

ochbob · « **Réponse #4478 le:** 29 janvier 2020 à 13:48:41 »

Merci Zoc, toujours au top tes retours

Faut que je me fasse la MAJ, j'ai un uptime d'un an (dommage j'aurais bien essayé de le garder encore un an de plus ;P), je suis encore en 1.10.5

kanabeach44 · « **Réponse #4479 le:** 29 janvier 2020 à 15:06:49 »

Citation de: zoc le 29 janvier 2020 à 13:41:56

Même pour les updates majeures tout ce qui est dans /config est conservé.

Pour ce qui est de la réinstallation de dhclient (et dibbler), c'est automatique chez moi à chaque mise à jour, avec des scripts qui sont exécutés automatiquement lors des maj, placés dans /config/scripts/firstboot.d, exemple pour dhclient:
Code: [Sélectionner]
#!/bin/sh -e DESTFILE=/sbin/dhclient3.old if [ -f "$DESTFILE" ] then echo "Patched dhclient already there" exit 0 fi mv /sbin/dhclient3 /sbin/dhclient3.old cp /config/packages/dhclient3 /sbin/dhclient3 chmod 755 /sbin/dhclient3
Le fichier patché est déposé dans /config/packages (et donc survit aux mises à jour), après c'est juste la même chose que le remplacement à la main avec 4 lignes de bash...

En théorie je devrais donc pouvoir faire la mise à jour depuis l'interface graphique, mais en pratique je la fais en ligne de commande en utilisant l'interface série du routeur (pour garder la main au cas où quelque chose se passerait mal).

Mon problème avec le firmware 2.0, c'est qu'il faut que je regénère un nouveau binaire dhclient3 patché, et surtout que j'abandonne dibbler au profit de dhclient pour IPv6, ce qui implique de réécrire une bonne partie des scripts que j'ai fait pour attribuer des /64 a chacun de mes VLANs. Pas difficile en soi, juste pas le temps de le faire.

Salut !

Donc si update de version sur mon ERL3 par exemple, je le fais via l'interface graphique et tout est conservé ?

Merci

ochbob · « **Réponse #4480 le:** 29 janvier 2020 à 15:43:52 »

Avec le script de Zoc qui remplace le dhclient3, et si les fichier de config / script sont bien dans /config j'ai envie de te dire oui comme ça

Mais j'ai pas encore test pour te l'affirmer à 100% de mon coté

zoc · « **Réponse #4481 le:** 29 janvier 2020 à 15:58:09 »

Oui, tout est sensé être conservé... Attention si dibbler est utilisé pour IPv6 alors le script a écrire pour le réinstaller est un peu compliqué (parce que l'installation de paquets deb est généralement interactif). C'est la raison pour laquelle je fais la mise à jour depuis la CLI et en utilisant un cable USB/Série. Normalement avec ma dernière version du script pour dibbler ça ne devrait plus poser problème mais je ne l'ai pas encore testé (la mise à jour en 1.10.10 sera l'occasion de le tester).

ochbob · « **Réponse #4482 le:** 29 janvier 2020 à 16:36:13 »

Effectivement, pour ma part, je n'ai pas d'IPv6.

edit: pour info j'ai fait la MAJ ce weekend vers la 1.10.10, RAS.

CacaoTor · « **Réponse #4483 le:** 12 février 2020 à 00:43:42 »

Salut tout le monde !

Cela fait un bail maintenant que je n'ai plus de box, le tout remplacé par un EdgeMax.
Tout se passe bien mais aujourd'hui je tente de monter un VPN L2TP en manuel.

Je ne vois vraiment aucun problème sur la configuration du VPN à proprement parlé, mais aucun client n'arrive à se connecter, notamment sous Windows.
Après quelques recherches, le NAT pourrait être en cause sur nos configurations à base de VLAN.
Mais cela dépasse mes compétences dans le domaine.

La définition des interfaces se sont faites avec :

Code: [Sélectionner]

set vpn l2tp remote-access dhcp-interface eth1.832

et

Code: [Sélectionner]

set vpn ipsec ipsec-interfaces interface eth1.832
Ce sont les interfaces eth1.832 (vlan 832) qui prennent le DHCP de l'IP externe.

Au complet cela donne :

Code: [Sélectionner]

vpn {
    ipsec {
        auto-firewall-nat-exclude disable
        ipsec-interfaces {
            interface eth1
            interface eth1.832
        }
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username YYYYYY{
                        password ZZZZZZ
                    }
                }
                mode local
            }
            client-ip-pool {
                start 192.168.0.160
                stop 192.168.0.199
            }
            dhcp-interface eth1.832
            dns-servers {
                server-1 8.8.8.8
                server-2 8.8.4.4
            }
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret "XXXXXX"
                }
                ike-lifetime 3600
            }
        }
    }

Je me suis simplement basé sur la doc officielle ici https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server#2

Une idée ?
Merci d'avance !

Mark5 · « **Réponse #4484 le:** 12 février 2020 à 09:38:54 »

Déjà, de ce que j'en vois, il manque un gros morceau de config pour avoir un vpn opérationel.

D'autre part, il faut mettre en place les règles de firewall qui vont laisser passer le trafic relatif au vpn.

konki · « **Réponse #4485 le:** 12 février 2020 à 23:51:36 »

Bonjour,

une configuration vpn L2TP fonctionnelle, pas forcement optimisée (MTU). Cette config permet de sortir avec l'IP public d'orange depuis n’importe quelle IP via le VPN.

Je suis preneur pour les modifications nécessaires pour évoluer en IKEv2, mais il me manque encore trop d'information.
konki

zoc nous a proposer des scripts pour générer les clés ici:

Citation de: zoc le 11 octobre 2017 à 17:54:01

Code: [Sélectionner]
name WAN_LOCAL { rule 100 { action accept description "Allow IKE" destination { port 500 } log enable protocol udp } rule 110{ action accept description "Allow L2TP" destination { port 1701 } log enable protocol udp } rule 120 { action accept description "Allow ESP" log enable protocol esp } rule 130 { action accept description "Allow NAT-T" destination { port 4500 } log enable protocol udp options { mss-clamp { interface-type pptp interface-type tun mss 1452 } } }
Code: [Sélectionner]
service { upnp2 { acl { rule 100 { action deny description IPSEC-NAT-T external-port 4500 local-port 0-65535 subnet 0.0.0.0/0 } rule 200 { action allow description ALLOW external-port 1024-65535 local-port 0-65535 subnet 0.0.0.0/0 } rule 9000 { action deny description DENY external-port 0-65535 local-port 0-65535 subnet 0.0.0.0/0 } } }
Code: [Sélectionner]
system { offload { ipsec enable } }
Code: [Sélectionner]
vpn { ipsec { auto-firewall-nat-exclude disable ipsec-interfaces { interface eth1.832 } nat-networks { allowed-network 0.0.0.0/0 { } } nat-traversal enable } l2tp { remote-access { authentication { local-users { username aa { password aaaaaaa } username bb { password bbbbbbb } } mode local } client-ip-pool { start 192.168.0.1 stop 192.168.0.10 } dns-servers { server-1 192.168.1.1 server-2 8.8.8.8 } idle 1800 ipsec-settings { authentication { mode pre-shared-secret pre-shared-secret monmotdepasse } ike-lifetime 3600 lifetime 3600 } mtu 1024 outside-address 0.0.0.0 outside-nexthop 192.168.1.1 } } }

CacaoTor · « **Réponse #4486 le:** 13 février 2020 à 01:23:25 »

Merci pour vos réponses.

Côté config Firewall c'était déjà fait.

Même config que @konki (excepté l'option mss-clamp).
Je vais tester le reste

zoc · « **Réponse #4487 le:** 13 février 2020 à 06:39:05 »

Citation de: konki le 12 février 2020 à 23:51:36

Je suis preneur pour les modifications nécessaires pour évoluer en IKEv2, mais il me manque encore trop d'information.

Je l’ai fait à une époque mais il faut faire un fichier de configuration strongswan en dehors de la conf du routeur parce qu’il manque de paramètres nécessaires dans la config d’EdgeOS.

L’autre problème c’est qu’en IKEv2 sur EdgeOS tu n’as pas d’interface supplémentaire (tu ne peux pas utiliser les interfaces vti si le client en face a une adresse IP dynamique), et donc tes clients VPN arrivent directement sur l’interface WAN avec leur adresse IP privée et c’est la merde à gérer niveau firewall.

Depuis je suis passé à WireGuard (sur un second routeur, une machine virtuelle VyOS sous proxmox), c’est bien plus simple à mettre en œuvre. Il existe même un package pour rajouter directement WireGuard au routeur pour ceux qui veulent tester (j’ai préféré ne pas le faire vu que les premières versions avaient tendance à rendre le routeur instable)

https://github.com/Lochnair/vyatta-wireguard