connect interface pppoe0
CHAP authentication succeeded
peer from calling number 02:03:3A:04:82:81 authorized
sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
:
Wed Jun 1 10:00:39 UTC 2011: PPP interface pppoe0 created
Wed Jun 1 10:00:40 UTC 2011: Stopping PPP daemon for pppoe0
Wed Jun 1 10:00:40 UTC 2011: Starting PPP daemon for pppoe0
Connected to 02:03:3a:04:82:81 via interface eth0.835
using channel 1
Using interface ppp0
Connect: ppp0 <--> eth0.835
sent [LCP ConfReq id=0x1 <mru 1492> <magic 0x67d2c6da>]
rcvd [LCP ConfReq id=0x28 <mru 1492> <auth chap MD5> <magic 0x7effc6d9>]
lcp_reqci: returning CONFACK.
sent [LCP ConfAck id=0x28 <mru 1492> <auth chap MD5> <magic 0x7effc6d9>]
rcvd [LCP ConfAck id=0x1 <mru 1492> <magic 0x67d2c6da>]
sent [LCP EchoReq id=0x0 magic=0x67d2c6da]
rcvd [CHAP Challenge id=0x1 <8599c1ca46ecc0a6553983bdce2375d8>, name = "BSMSO653
sent [CHAP Response id=0x1 <5208ab536183cc95fa150f2b56fd2c61>, name = "fti/hhatf
rcvd [LCP EchoRep id=0x0 magic=0x7effc6d9]
rcvd [CHAP Success id=0x1 "CHAP authentication success, unit 51400"]
CHAP authentication succeeded: CHAP authentication success, unit 51400
CHAP authentication succeeded
peer from calling number 02:03:3A:04:82:81 authorized
sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
rcvd [IPCP ConfReq id=0x80 <addr 193.253.XXX.XXX>]
ipcp: returning Configure-ACK
sent [IPCP ConfAck id=0x80 <addr 193.253.XXX.XXX>]
rcvd [IPCP ConfNak id=0x1 <addr 86.212.XXX.XXX> <ms-dns1 80.10.246.1> <ms-dns3 81
sent [IPCP ConfReq id=0x2 <addr 86.212.XXX.XXX> <ms-dns1 80.10.246.1> <ms-dns3 81
rcvd [IPCP ConfAck id=0x2 <addr 86.212.XXX.XXX> <ms-dns1 80.10.246.1> <ms-dns3 81
ipcp: up
Script /etc/ppp/ip-pre-up started (pid 1484)
Script /etc/ppp/ip-pre-up finished (pid 1484), status = 0x0
not replacing existing default route via 82.226.XXX.XXX
local IP address 86.212.XXX.XX
remote IP address 193.253.XXX.X
primary DNS address 80.10.246.1
secondary DNS address 81.253.149.9
Script /etc/ppp/ip-up started (pid 1535)
Script /etc/ppp/ip-up finished (pid 1535), status = 0x0
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/u Orange
eth0.835 - u/u
eth1 82.226.XX.XXX/24 u/u Free
eth2 - u/u Local
eth3 - u/D Local
eth4 - u/u Local
lo 127.0.0.1/8 u/u
::1/128
pppoe0 92.128.XX.XXX u/u
switch0 192.168.1.254/24 u/u Local
dns {
forwarding {
cache-size 150
listen-on eth1
}
}
local IP address 86.212.XXX.XX
remote IP address 193.253.XXX.X
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
poe {
output off
}
speed auto
vif 835 {
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password xxxxxx
user-id fti/xxxxxx
}
}
}
ethernet eth1 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.254/24
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name Rezo {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.10 {
stop 192.168.1.50
}
}
}
}
dns {
forwarding {
cache-size 300
listen-on switch0
}
}
gui {
https-port 443
}
nat {
rule 5000 {
description internet
log enable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@3:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.5.0alpha1.4653508.140328.1720 */
name-server 8.8.8.8
Envoi d'une requête 'ping' sur frandroid.com [108.162.199.131] avec 32 octets de
données :
Réponse de 108.162.199.131 : octets=32 temps=33 ms TTL=52
Réponse de 108.162.199.131 : octets=32 temps=31 ms TTL=52
Réponse de 108.162.199.131 : octets=32 temps=30 ms TTL=52
Réponse de 108.162.199.131 : octets=32 temps=29 ms TTL=52
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password secret
user-id fti/********
}
}
options {
mss-clamp {
mss 1412
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan disable
}
}
Ou en attendant, remplacer son fixe par un smartphone et l'appli orange.
soit, mais je trouve que le son n'est pas transcendant avec....j'utilise jamais mon fixe et j'en ai deux en plus orange et free
ubnt@EdgeRouter:/config$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: disabled
vlan : disabled
pppoe : disabled
IPv6
forwarding: disabled
vlan : disabled
pppoe : disabled
IPSec offload module: not loaded
configure
set system offload ipv4 pppoe enable
set system offload ipv4 forwarding enable
commit
save
exit
set system offload ipv4 pppoe enable
The specified configuration node already exists
[edit]
Sinon maintenant que quelqu'un d'autre a un edgemax, tu trouves pas le web une chouille plus rapide qu'avec la LB ?
ben je ne sais pas je te dirai que je le trouve un chouille plus lent qu'avec mon srx5308 j'en avait parlé la deja sur ce forum on m'avait pris pour un fou http://www.forum-orange.com/forums/viewtopic.php?id=68325 (http://www.forum-orange.com/forums/viewtopic.php?id=68325) c'est dans le post 7 que j'en parle deja.
apres comme je l'ai deja expliqué la livebox est quand meme un materiel pas cher meme si elle fait son travail l'objectif d'orange n'est pas d'avoir un materiel top mais d'avoir un materiel fonctionnel et des services a coté, ce n'est d'apres moi pas comparable avec du materiel reseau dont l'objectif est de faire du reseau le mieux possible.
mais comme toi quand j'etais passé deja de la freebox v6 au srx5308 en adsl j'avais senti la difference, pareil pour orange, mais vu que je suis passé du srx au edge pas vu grande difference si ce n'est que l'edge est super pratique a configurer j'adore.
Au fait merci aussi d'avoir rajouté les dépôts dans tes sources, j'ai installé vim, wget, lynx, iperf et ccze ce qui permet d'avoir une boite a outils reseau super pratique. ces quelques petits logiciels devrait etre obligatoire d'apres moi.
vous avez la vod et le replay de votre coté ?
Yep merci, j'ai ajouter la ligne et maintenant plus besoin de charger le fichier via dhclient. Juste besoin de cette entrée pour monter internet, pas de vlan à configurer :)
J'avais repris le tuto de bypass de la neufbox et ajouter les IP en proxy IGMP mais je n'avais que le guide qui passait. Lorsque je veux lancer une chaîne, j'ai un message qui me dis que j'ai atteint le débit max de ma ligne et qu'il ne peut pas l'afficher.
Je pense que sans le vhost, le décodeur ne voudras pas me chercher les flux
show ip multicast mfc
show ip multicast interfaces
ip mroute
igmpproxy -vv
show ip multicast mfc
Rien
show ip multicast interfaces
Intf BytesIn PktsIn BytesOut PktsOut Local
eth0 0.00b 0 0.00b 0 192.168.1.1
eth1 0.00b 0 0.00b 0 <IP_Pub>
eth2 0.00b 0 0.00b 0 192.168.2.1
ip mroute
(192.168.1.23, 239.255.255.250) Iif: unresolved
show protocols igmp-proxy
interface eth0 {
alt-subnet 224.0.0.0/8
alt-subnet 93.17.149.15/32
alt-subnet 93.17.149.158/32
alt-subnet 86.65.232.22/32
alt-subnet 84.96.146.150/32
alt-subnet 86.66.67.62/32
alt-subnet 86.66.67.58/32
alt-subnet 86.65.94.9/32
alt-subnet 86.65.232.10/32
alt-subnet 93.20.55.42/32
role downstream
threshold 1
}
interface eth1 {
alt-subnet 223.0.0.0/8
role upstream
threshold 1
}
sudo igmpproxy -vv
De rien pour l'aide, je compte sur toi pour apporter ta pierre a l'edifice ;)
PS : t'aurais pas confondu upstream et downstream
Upstream = WAN
Downstream = LAN(s)
La facilité avec laquelle j'arrive a te dire tout ca, me renvoie aux heures de galère a capter comment ca marche :D
En effet, j'avais inverser LAN et WAN. J'ai mis 0.0.0.0 sur chaque interface et modifier les rôles mais tjs 0 sur les interfaces multicast :(
Il y a des commandes à faire après avoir fait les modifis dans la config et la recharger ?
root@ubnt:~# igmpproxy -v -d /etc/igmpproxy.conf
20:15:28.988340 adding VIF, Ix 0 Fl 0x0 IP 0xc0a80101 eth0, Threshold: 1, Ratelimit: 0
20:15:28.989351 adding VIF, Ix 1 Fl 0x0 IP 0xc0a80201 eth2, Threshold: 1, Ratelimit: 0
20:15:28.989996 adding VIF, Ix 2 Fl 0x0 IP 0x0a36389a br0, Threshold: 1, Ratelimit: 0
20:15:28.990577 adding VIF, Ix 3 Fl 0x0 IP 0x0aafe3e7 eth1.851, Threshold: 1, Ratelimit: 0
20:15:28.991171 adding VIF, Ix 4 Fl 0x0 IP 0x51f9ea9c pppoe0, Threshold: 1, Ratelimit: 0
20:15:28.991927 joinMcGroup: 224.0.0.2 on eth0
20:15:28.992539 joinMcGroup: 224.0.0.2 on eth2
20:15:28.993128 joinMcGroup: 224.0.0.2 on eth1.851
20:15:28.993715 joinMcGroup: 224.0.0.2 on pppoe0
20:15:28.995540 RECV Membership query from 192.168.1.1 to 224.0.0.1
20:15:28.995864 RECV Membership query from 192.168.2.1 to 224.0.0.1
20:15:28.996188 RECV Membership query from 10.175.227.231 to 224.0.0.1
20:15:28.996524 RECV Membership query from 81.249.234.156 to 224.0.0.1
20:15:29.010275 RECV V2 member report from 192.168.1.1 to 224.0.0.2
20:15:29.010548 The IGMP message was from myself. Ignoring.
20:15:29.010869 RECV V2 member report from 192.168.2.1 to 224.0.0.2
20:15:29.011137 The IGMP message was from myself. Ignoring.
20:15:29.011472 RECV V2 member report from 81.249.234.156 to 224.0.0.2
20:15:29.011743 The IGMP message was from myself. Ignoring.
20:15:31.510062 RECV V2 member report from 192.168.1.1 to 239.255.255.250
20:15:31.510316 The IGMP message was from myself. Ignoring.
20:15:31.510675 Inserted route table entry for 239.255.255.250 on VIF #-1
20:15:31.511008 Adding MFC: 192.168.1.1 -> 239.255.255.250, InpVIf: 2
20:15:32.010077 RECV V2 member report from 10.175.227.231 to 224.0.0.2
20:15:32.010357 The IGMP message was from myself. Ignoring.
20:15:33.321174 RECV V2 member report from 192.168.2.40 to 239.255.255.250
20:15:33.321881 Updated route entry for 239.255.255.250 on VIF #1
20:15:33.322875 Adding MFC: 192.168.1.1 -> 239.255.255.250, InpVIf: 2
20:15:33.323753 joinMcGroup: 239.255.255.250 on br0
20:15:33.325308 The origin for route 239.255.255.250 changed from 192.168.1.1 to 192.168.2.40
20:15:33.326324 Adding MFC: 192.168.2.40 -> 239.255.255.250, InpVIf: 2
20:15:33.340242 RECV V2 member report from 10.54.56.154 to 239.255.255.250
20:15:33.340910 The IGMP message was from myself. Ignoring.
20:15:33.342088 Route activation request from 10.54.56.154 for 239.255.255.250 is from myself. Ignoring.
20:15:35.190033 RECV V2 member report from 192.168.2.24 to 232.0.1.181
20:15:35.190300 Inserted route table entry for 232.0.1.181 on VIF #1
20:15:35.190472 joinMcGroup: 232.0.1.181 on br0
20:15:35.210154 RECV V2 member report from 10.54.56.154 to 232.0.1.181
20:15:35.210369 The IGMP message was from myself. Ignoring.
20:15:35.210571 Route activation request from 10.54.56.154 for 232.0.1.181 is from myself. Ignoring.
20:15:35.242543 Adding MFC: 80.12.194.107 -> 232.0.1.181, InpVIf: 2
20:15:37.630080 RECV V2 member report from 81.249.234.156 to 233.89.188.1
20:15:37.630295 The IGMP message was from myself. Ignoring.
20:15:37.630543 Inserted route table entry for 233.89.188.1 on VIF #-1
20:15:37.630800 Adding MFC: 81.249.234.156 -> 233.89.188.1, InpVIf: 2
20:15:38.602648 The origin for route 239.255.255.250 changed from 192.168.2.40 to 192.168.2.2
20:15:38.603362 Adding MFC: 192.168.2.2 -> 239.255.255.250, InpVIf: 2
20:15:43.230253 RECV V2 member report from 10.54.56.154 to 239.255.255.250
20:15:43.230469 The IGMP message was from myself. Ignoring.
20:15:43.830079 RECV V2 member report from 10.54.56.154 to 232.0.1.181
20:15:43.830294 The IGMP message was from myself. Ignoring.
20:15:44.295841 The origin for route 239.255.255.250 changed from 192.168.2.2 to 192.168.2.26
20:15:44.296428 Adding MFC: 192.168.2.26 -> 239.255.255.250, InpVIf: 2
20:15:45.970081 RECV V2 member report from 10.54.56.154 to 239.255.255.250
20:15:45.970298 The IGMP message was from myself. Ignoring.
20:15:45.970503 Route activation request from 10.54.56.154 for 239.255.255.250 is from myself. Ignoring.
20:15:46.624963 RECV Membership query from 0.0.0.0 to 224.0.0.1
20:15:49.620209 RECV V2 member report from 10.54.56.154 to 232.0.1.181
20:15:49.620424 The IGMP message was from myself. Ignoring.
20:15:49.620625 Route activation request from 10.54.56.154 for 232.0.1.181 is from myself. Ignoring.
^C20:15:53.123220 select() failure; Errno(4): Interrupted system call
20:15:53.123641 Got a interupt signal. Exiting.
20:15:53.123865 Removing MFC: 80.12.194.107 -> 232.0.1.181, InpVIf: 2
20:15:53.124046 leaveMcGroup: 232.0.1.181 on br0
20:15:53.124891 Removing MFC: 81.249.234.156 -> 233.89.188.1, InpVIf: 2
20:15:53.125405 Removing MFC: 192.168.2.26 -> 239.255.255.250, InpVIf: 2
20:15:53.125636 leaveMcGroup: 239.255.255.250 on br0
20:15:53.126245 All routes removed. Routing table is empty.
20:15:53.127744 Shutdown complete….
root@ubnt:~# ip mroute
(192.168.2.40, 239.255.255.250) Iif: br0 Oifs: eth2
(192.168.2.26, 239.255.255.250) Iif: br0 Oifs: eth2
(192.168.1.1, 239.255.255.250) Iif: br0 Oifs: eth2
(192.168.2.2, 239.255.255.250) Iif: br0 Oifs: eth2
(80.12.194.107, 232.0.1.181) Iif: br0 Oifs: eth2
Si t'as un lien avec la conf de reference SFR aussi je veux bien.
Si -vv donne rien essaye mon "-v -d" sans preciser la conf, il la prend par défaut.
22:33:31.846653 MC-Router API already in use; Errno(125): Address already in use
ps ax | grep [i]gmpproxy
sudo kill -9 XXX
Le lien du topic SFR https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox/ (https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox/) et la KB chez Uniquiti que j'ai utilisé http://community.ubnt.com/t5/EdgeMAX-CLI-Basics-Knowledge/EdgeMAX-Set-up-IGMP-proxy-and-statistics/ta-p/473943 (http://community.ubnt.com/t5/EdgeMAX-CLI-Basics-Knowledge/EdgeMAX-Set-up-IGMP-proxy-and-statistics/ta-p/473943)
Par contre, il faut pas réaliser la partie "Simuler l'API de la Neufbox", également ?
Pas de méthode pour le replay chez SFR de ce que je lis sur le tuto ?
Je pense que le MSS va régler ton problème 8)Règle le MTU, pas le MSS!
Ton comportement est typique d'un pb de MTU et la MSS l'affecte en pppoe. Tout semble bon mais le http marche pas, remember la raie bleue :D
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
lan-interface eth0
rule 1 {
description "VPN PPTP"
forward-to {
address 192.168.2.2
port 1723
}
original-port 1723
protocol tcp_udp
}
wan-interface pppoe0
}
???
Pourquoi le 2ème REGISTER passe?
Mon interprétation: le second message REGISTER est plus gros et inclue (contrairement au premier) les informations d'authentification nécessaires et fournies en réaction au 401 Unauthorized. C'est pour ça que ça passe, pas parceque l'on a insisté :)
@ c0mm0n: quel est l'équipement portant l'IP en 10.x dans cette capture ? LB ? Car tu évoques des "captures originales"... kesako ?
???
Pourquoi le 2ème REGISTER passe?
C'est le routeur (tiers ou LB).
Capture originale = trames de la livebox officielle.
Parce que le premier n'a pas pour but de passer, mais juste d'obtenir du serveur un header « WWW-Authenticate » afin de connaître le nonce, qui devra être concaténé avec le mot de passe pour la génération du hash (authentification de type Digest).
OK, quelle est donc la différence entre les deux REGISTER ?
Mot de passe que l'on ne connait pas
Hésite pas à nous poster des snippets de configuration :)
T'avais fini la partie TV/replay sans souci ?
load config-sip.boot
commit
ubnt@wlb# show interfaces ethernet eth0
address dhcp
description WAN
dhcp-options {
client-option "send dhcp-client-identifier 1:2c:39:96:31:30:b0;"
name-server no-update
}
duplex auto
speed auto
[edit]
Sinon petite modif de la conf "de base", le mss est a 1412, on peut le passer a 1452.
Nouveau firmware beta pour l'edgemax !
http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-5-0beta1/m-p/827460/thread-id/3950 (http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-5-0beta1/m-p/827460/thread-id/3950)
Cité dans le log, pour les options dhcp 8)
Le truc dont on discutait plus haut semble donc disponible, il semblent assez réactifs aux demandes des utilisateurs.
Je mets en vrac les infos pour enlever les pubs avec le Edgemax
# Activer le proxy transparent
configure
set service webproxy listen-address 192.168.2.1
commit
# Activer le proxy non transparent sur le port 3128
configure
set service webproxy default-port 3128
set service webproxy listen-address 192.168.2.1 disable-transparent
commit
# Bypass du proxy pour une IP specifique
configure
set service webproxy proxy-bypass <ip address>
commit
# Mise a jour des categories (obligation afin de desactiver les pubs)
update webproxy blacklists
# Interdire un site precis
configure
set service webproxy url-filtering squidguard local-block twitter.com
commit
# Desactiver les publicites
configure
set service webproxy url-filtering squidguard block-category ads
commit
# Exemple de config prise sur le web (ca peut aider a voir les differentes categories par exemple
set service webproxy cache-size 4096
set service webproxy default-port 3128
set service webproxy enable-access-log
set service webproxy listen-address 127.0.0.1 disable-transparent
set service webproxy listen-address 192.168.0.1 disable-transparent
set service webproxy listen-address 192.168.1.1 disable-transparent
set service webproxy listen-address 192.168.2.1 disable-transparent
set service webproxy maximum-object-size 256
set service webproxy mem-cache-size 64
set service webproxy url-filtering squidguard allow-ipaddr-url
set service webproxy url-filtering squidguard auto-update update-hour 0
set service webproxy url-filtering squidguard block-category ads
set service webproxy url-filtering squidguard block-category adult
set service webproxy url-filtering squidguard block-category aggressive
set service webproxy url-filtering squidguard block-category agressif
set service webproxy url-filtering squidguard block-category arjel
set service webproxy url-filtering squidguard block-category dangerous_material
set service webproxy url-filtering squidguard block-category drogue
set service webproxy url-filtering squidguard block-category drugs
set service webproxy url-filtering squidguard block-category gambling
set service webproxy url-filtering squidguard block-category hacking
set service webproxy url-filtering squidguard block-category malware
set service webproxy url-filtering squidguard block-category mixed_adult
set service webproxy url-filtering squidguard block-category phishing
set service webproxy url-filtering squidguard block-category porn
set service webproxy url-filtering squidguard block-category proxy
set service webproxy url-filtering squidguard block-category publicite
set service webproxy url-filtering squidguard block-category redirector
set service webproxy url-filtering squidguard block-category remote-control
set service webproxy url-filtering squidguard block-category strict_redirector
set service webproxy url-filtering squidguard block-category strong_redirector
set service webproxy url-filtering squidguard block-category tricheur
set service webproxy url-filtering squidguard block-category violence
set service webproxy url-filtering squidguard block-category warez
set service webproxy url-filtering squidguard default-action allow
set service webproxy url-filtering squidguard enable-safe-search
set service webproxy url-filtering squidguard local-ok bit.co.id
set service webproxy url-filtering squidguard local-ok supermicro.com
set service webproxy url-filtering squidguard local-ok supermicro.com.tw
set service webproxy url-filtering squidguard local-ok kaskus.co.id
set service webproxy url-filtering squidguard redirect-url 'http://192.168.2.254/blank.GIF' (http://192.168.2.254/blank.GIF')
set service webproxy url-filtering squidguard rule 1 allow-ipaddr-url
set service webproxy url-filtering squidguard rule 1 block-category ads
set service webproxy url-filtering squidguard rule 1 block-category adult
set service webproxy url-filtering squidguard rule 1 block-category aggressive
set service webproxy url-filtering squidguard rule 1 block-category agressif
set service webproxy url-filtering squidguard rule 1 block-category arjel
set service webproxy url-filtering squidguard rule 1 block-category dangerous_material
set service webproxy url-filtering squidguard rule 1 block-category drogue
set service webproxy url-filtering squidguard rule 1 block-category drugs
set service webproxy url-filtering squidguard rule 1 block-category gambling
set service webproxy url-filtering squidguard rule 1 block-category hacking
set service webproxy url-filtering squidguard rule 1 block-category malware
set service webproxy url-filtering squidguard rule 1 block-category mixed_adult
set service webproxy url-filtering squidguard rule 1 block-category phishing
set service webproxy url-filtering squidguard rule 1 block-category porn
set service webproxy url-filtering squidguard rule 1 block-category proxy
set service webproxy url-filtering squidguard rule 1 block-category publicite
set service webproxy url-filtering squidguard rule 1 block-category redirector
set service webproxy url-filtering squidguard rule 1 block-category remote-control
set service webproxy url-filtering squidguard rule 1 block-category strict_redirector
set service webproxy url-filtering squidguard rule 1 block-category strong_redirector
set service webproxy url-filtering squidguard rule 1 block-category tricheur
set service webproxy url-filtering squidguard rule 1 block-category violence
set service webproxy url-filtering squidguard rule 1 block-category warez
set service webproxy url-filtering squidguard rule 1 block-category audio-video
set service webproxy url-filtering squidguard rule 1 default-action allow
set service webproxy url-filtering squidguard rule 1 description 'Working Hours Policy'
set service webproxy url-filtering squidguard rule 1 enable-safe-search
set service webproxy url-filtering squidguard rule 1 local-ok bit.co.id
set service webproxy url-filtering squidguard rule 1 local-ok supermicro.com
set service webproxy url-filtering squidguard rule 1 local-ok supermicro.com.tw
set service webproxy url-filtering squidguard rule 1 local-ok kaskus.co.id
set service webproxy url-filtering squidguard rule 1 redirect-url 'http://192.168.2.254/blank.GIF' (http://192.168.2.254/blank.GIF')
set service webproxy url-filtering squidguard rule 1 source-group Kantor
set service webproxy url-filtering squidguard rule 1 time-period Working
set service webproxy url-filtering squidguard source-group Kantor address 192.168.0.0/16
set service webproxy url-filtering squidguard source-group Kantor description 'All BIT LAN'
set service webproxy url-filtering squidguard time-period Working days weekdays time '08:00-17:00'
P.S. Je n'ai pas mis de save apres le commit j'ai un doute en faut t'il un ?
client-option "send vendor-class-identifier \"neufbox-emailgmail.com\";"
Essaye d'escape les "
genreCode: [Sélectionner]client-option "send vendor-class-identifier \"neufbox-emailgmail.com\";"
Double quotes can be escaped with " so try:Code: [Sélectionner]client-option "send vendor-class-identifier "neufbox-emailgmail.com";"
Ubnt vous a répondu les SFR :P
Le load / commit est bien passé ?
Bon j'ai fait l'update.
Aucun problème, au reboot, ma conf marchait toujours. J'ai essayé d'utiliser les options DHCP, mais au final ca sert pas pour orange tant qu'on aura pas les priorités gérées coté edgeOs.
Du coup le tuto change pas.
show interfaces
ip route
netstat -r
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 10.244.224.100/25 u/u
eth0 - u/u
eth0.835 - u/u
eth0.838 - u/u VOD
eth0.839 - u/u TV
eth0.840 - u/u TV
eth0.841 - u/u TV
eth0.851 - u/u VOIP
eth1 - A/D
eth2 - u/u
eth3 - u/u
eth4 - u/u
lo 127.0.0.1/8 u/u
::1/128
pppoe0 92.128.107.176 u/u
switch0 192.168.1.254/24 u/u
10.244.224.0/25 dev br0 proto kernel scope link src 10.244.224.100
62.233.40.83 dev br0 proto zebra scope link
80.10.117.120/31 dev br0 proto zebra scope link
81.253.206.0/24 dev br0 proto zebra scope link
81.253.210.0/23 dev br0 proto zebra scope link
81.253.214.0/23 dev br0 proto zebra scope link
92.128.107.176 dev br0 proto zebra scope link
127.0.0.0/8 dev lo proto kernel scope link src 127.0.0.1
172.19.20.0/23 dev br0 proto zebra scope link
172.20.224.167 dev br0 proto zebra scope link
172.23.12.0/22 dev br0 proto zebra scope link
173.194.40.179 dev br0 proto zebra scope link
192.168.1.0/24 dev switch0 proto kernel scope link src 192.168.1.254
193.252.232.121 dev br0 proto zebra scope link
193.253.67.88/29 dev br0 proto zebra scope link
193.253.153.227 dev br0 proto zebra scope link
193.253.153.228 dev br0 proto zebra scope link
193.253.160.3 dev pppoe0 proto kernel scope link src 92.128.107.176
224.0.0.2 dev br0 proto zebra scope link
232.0.2.214 dev br0 proto zebra scope link
239.255.255.250 dev br0 proto zebra scope link
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.244.224.0 * 255.255.255.128 U 0 0 0 br0
cerbere.azuria. * 255.255.255.255 UH 0 0 0 br0
80.10.117.120 * 255.255.255.254 U 0 0 0 br0
81.253.206.0 * 255.255.255.0 U 0 0 0 br0
81.253.210.0 * 255.255.254.0 U 0 0 0 br0
81.253.214.0 * 255.255.254.0 U 0 0 0 br0
AMontsouris-653 * 255.255.255.255 UH 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 * 255.255.254.0 U 0 0 0 br0
172.20.224.167 * 255.255.255.255 UH 0 0 0 br0
172.23.12.0 * 255.255.252.0 U 0 0 0 br0
par10s11-in-f19 * 255.255.255.255 UH 0 0 0 br0
192.168.1.0 * 255.255.255.0 U 0 0 0 switch0
193.252.232.121 * 255.255.255.255 UH 0 0 0 br0
193.253.67.88 * 255.255.255.248 U 0 0 0 br0
193.253.153.227 * 255.255.255.255 UH 0 0 0 br0
193.253.153.228 * 255.255.255.255 UH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
all-routers.mca * 255.255.255.255 UH 0 0 0 br0
232.0.2.214 * 255.255.255.255 UH 0 0 0 br0
239.255.255.250 * 255.255.255.255 UH 0 0 0 br0
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
duplex auto
ip {
enable-proxy-arp
}
poe {
output off
}
speed auto
vif 835 {
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password yyyyyyyy
user-id xxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description VOD
mtu 1500
}
vif 839 {
bridge-group {
bridge br0
}
description TV
mtu 1500
}
vif 840 {
bridge-group {
bridge br0
}
description TV
mtu 1500
}
vif 841 {
bridge-group {
bridge br0
}
description TV
mtu 1500
}
vif 851 {
address dhcp
description VOIP
mtu 1500
}
}
ethernet eth1 {
address dhcp
disable
duplex auto
poe {
output off
}
speed auto
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.254/24
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description Synology
forward-to {
address 192.168.1.101
port 5000
}
original-port 5000
protocol tcp_udp
}
rule 2 {
description FTP
forward-to {
address 192.168.1.100
port 20-21
}
original-port 20-21
protocol tcp_udp
}
rule 3 {
description FTP-Passif
forward-to {
address 192.168.1.100
port 6000-6100
}
original-port 6000-6100
protocol tcp_udp
}
rule 4 {
description HTTPS
forward-to {
address 192.168.1.100
port 443
}
original-port 443
protocol tcp_udp
}
rule 5 {
description sabnzbd
forward-to {
address 192.168.1.100
port 8080
}
original-port 8080
protocol tcp_udp
}
rule 6 {
description OpenVPN
forward-to {
address 192.168.1.100
port 1194
}
original-port 1194
protocol tcp_udp
}
rule 7 {
description FTP-PASSIF2
forward-to {
address 192.168.1.100
port 889-890
}
original-port 889-890
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
interface-route 62.233.40.83/32 {
next-hop-interface br0 {
}
}
interface-route 80.10.117.120/31 {
next-hop-interface br0 {
}
}
interface-route 81.253.206.0/24 {
next-hop-interface br0 {
}
}
interface-route 81.253.210.0/23 {
next-hop-interface br0 {
}
}
interface-route 81.253.214.0/23 {
next-hop-interface br0 {
}
}
interface-route 92.128.107.176/32 {
next-hop-interface br0 {
}
}
interface-route 172.19.20.0/23 {
next-hop-interface br0 {
}
}
interface-route 172.20.224.167/32 {
next-hop-interface br0 {
}
}
interface-route 172.23.12.0/22 {
next-hop-interface br0 {
}
}
interface-route 173.194.40.179/32 {
next-hop-interface br0 {
}
}
interface-route 193.252.232.121/32 {
next-hop-interface br0 {
}
}
interface-route 193.253.67.88/29 {
next-hop-interface br0 {
}
}
interface-route 193.253.153.227/32 {
next-hop-interface br0 {
}
}
interface-route 193.253.153.228/32 {
next-hop-interface br0 {
}
}
interface-route 224.0.0.2/32 {
next-hop-interface br0 {
}
}
interface-route 232.0.2.214/32 {
next-hop-interface br0 {
}
}
interface-route 239.255.255.250/32 {
next-hop-interface br0 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name REZO {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.10 {
stop 192.168.1.50
}
}
}
}
dns {
forwarding {
cache-size 300
listen-on switch0
}
}
gui {
https-port 443
}
nat {
rule 5000 {
description Orange
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5001 {
description TV/VOD
log enable
outbound-interface br0
protocol all
type masquerade
}
rule 5002 {
description Free log disable
outbound-interface eth1
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp {
listen-on switch0 {
outbound-interface pppoe0
}
}
}
system {
host-name EdgeRouter
login {
user blegoff {
authentication {
encrypted-password $6$1e.awPUseYLDT1m$e.qKEb.dWmphx4YcmLjvMsg3LiLgprohxvSIbjwNA4swMOwSXXUtd9ZoLk4fUXVDlLUkb0gNGTpPU829HXxPY/
plaintext-password ""
}
full-name "Bruno LE GOFF"
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name ubnt
level operator
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
}
}
package {
repository squeeze {
components "main contrib non-free"
distribution squeeze
password ""
url http://http.us.debian.org/debian
username ""
}
repository squeeze-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@3:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.5.0beta1.4664409.140505.1347 */
root@ubnt:~# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.54.56.128 * 255.255.255.128 U 0 0 0 br0
80.10.117.120 10.54.56.254 255.255.255.254 UG 0 0 0 br0
81.253.206.0 10.54.56.254 255.255.255.0 UG 0 0 0 br0
81.253.210.0 10.54.56.254 255.255.254.0 UG 0 0 0 br0
81.253.214.0 10.54.56.254 255.255.254.0 UG 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 10.54.56.254 255.255.254.0 UG 0 0 0 br0
172.20.224.167 10.54.56.254 255.255.255.255 UGH 0 0 0 br0
172.23.12.0 10.54.56.254 255.255.252.0 UG 0 0 0 br0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
193.253.67.88 10.54.56.254 255.255.255.248 UG 0 0 0 br0
193.253.153.227 10.54.56.254 255.255.255.255 UGH 0 0 0 br0
193.253.153.228 10.54.56.254 255.255.255.255 UGH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 10.57.248.157/24 u/u
eth0 - u/u
eth0.835 - u/u
eth0.838 - u/u VOD
eth0.839 - u/u TV
eth0.840 - u/u TV
eth0.841 - u/u TV
eth0.851 - u/u VOIP
eth1 - A/D
eth2 - u/u
eth3 - u/u
eth4 - u/u
lo 127.0.0.1/8 u/u
::1/128
pppoe0 92.128.115.205 u/u
switch0 192.168.1.254/24 u/u
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.57.248.0 * 255.255.255.0 U 0 0 0 br0
80.10.117.120 10.57.248.157 255.255.255.254 UG 0 0 0 br0
81.253.206.0 10.57.248.157 255.255.255.0 UG 0 0 0 br0
81.253.210.0 10.57.248.157 255.255.254.0 UG 0 0 0 br0
81.253.214.0 10.57.248.157 255.255.254.0 UG 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 10.57.248.157 255.255.254.0 UG 0 0 0 br0
172.20.224.167 10.57.248.157 255.255.255.255 UGH 0 0 0 br0
172.23.12.0 10.57.248.157 255.255.252.0 UG 0 0 0 br0
192.168.1.0 * 255.255.255.0 U 0 0 0 switch0
193.253.67.88 10.57.248.157 255.255.255.248 UG 0 0 0 br0
193.253.153.227 10.57.248.157 255.255.255.255 UGH 0 0 0 br0
193.253.153.228 10.57.248.157 255.255.255.255 UGH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
default dev pppoe0 scope link
10.57.248.0/24 dev br0 proto kernel scope link src 10.57.248.157
80.10.117.120/31 via 10.57.248.157 dev br0 proto zebra
81.253.206.0/24 via 10.57.248.157 dev br0 proto zebra
81.253.210.0/23 via 10.57.248.157 dev br0 proto zebra
81.253.214.0/23 via 10.57.248.157 dev br0 proto zebra
127.0.0.0/8 dev lo proto kernel scope link src 127.0.0.1
172.19.20.0/23 via 10.57.248.157 dev br0 proto zebra
172.20.224.167 via 10.57.248.157 dev br0 proto zebra
172.23.12.0/22 via 10.57.248.157 dev br0 proto zebra
192.168.1.0/24 dev switch0 proto kernel scope link src 192.168.1.254
193.253.67.88/29 via 10.57.248.157 dev br0 proto zebra
193.253.153.227 via 10.57.248.157 dev br0 proto zebra
193.253.153.228 via 10.57.248.157 dev br0 proto zebra
193.253.160.3 dev pppoe0 proto kernel scope link src 92.128.115.205
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
modify WLB {
rule 10 {
action modify
modify {
lb-group LB1
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password yyyyyyy
user-id fti/xxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description VOD
mtu 1500
}
vif 839 {
bridge-group {
bridge br0
}
description TV
mtu 1500
}
vif 840 {
bridge-group {
bridge br0
}
description TV
mtu 1500
}
vif 841 {
bridge-group {
bridge br0
}
description TV
mtu 1500
}
vif 851 {
address dhcp
description VOIP
mtu 1500
}
}
ethernet eth1 {
address dhcp
disable
duplex auto
poe {
output off
}
speed auto
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.254/24
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
load-balance {
group LB1 {
interface eth1 {
}
interface pppoe0 {
weight 20
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description Synology
forward-to {
address 192.168.1.101
port 5000
}
original-port 5000
protocol tcp_udp
}
rule 2 {
description FTP
forward-to {
address 192.168.1.100
port 20-21
}
original-port 20-21
protocol tcp_udp
}
rule 3 {
description FTP-Passif
forward-to {
address 192.168.1.100
port 6000-6100
}
original-port 6000-6100
protocol tcp_udp
}
rule 4 {
description HTTPS
forward-to {
address 192.168.1.100
port 443
}
original-port 443
protocol tcp_udp
}
rule 5 {
description sabnzbd
forward-to {
address 192.168.1.100
port 8080
}
original-port 8080
protocol tcp_udp
}
rule 6 {
description OpenVPN
forward-to {
address 192.168.1.100
port 1194
}
original-port 1194
protocol tcp_udp
}
rule 7 {
description FTP-PASSIF2
forward-to {
address 192.168.1.100
port 889-890
}
original-port 889-890
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 10.57.248.157 {
}
}
route 81.253.206.0/24 {
next-hop 10.57.248.157 {
}
}
route 81.253.210.0/23 {
next-hop 10.57.248.157 {
}
}
route 81.253.214.0/23 {
next-hop 10.57.248.157 {
}
}
route 172.19.20.0/23 {
next-hop 10.57.248.157 {
}
}
route 172.20.224.167/32 {
next-hop 10.57.248.157 {
}
}
route 172.23.12.0/22 {
next-hop 10.57.248.157 {
}
}
route 193.253.67.88/29 {
next-hop 10.57.248.157 {
}
}
route 193.253.153.227/32 {
next-hop 10.57.248.157 {
}
}
route 193.253.153.228/32 {
next-hop 10.57.248.157 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name REZO {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.10 {
stop 192.168.1.50
}
}
}
}
dns {
forwarding {
cache-size 300
listen-on switch0
}
}
gui {
https-port 443
}
nat {
rule 5000 {
description Orange
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5001 {
description TV/VOD
log enable
outbound-interface br0
protocol all
type masquerade
}
rule 5002 {
description Free
log disable
outbound-interface eth1
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp {
listen-on switch0 {
outbound-interface pppoe0
}
}
}
system {
host-name EdgeRouter
login {
user blegoff {
authentication {
encrypted-password $6$1e.awPUseYLDT1m$e.qKEb.dWmphx4YcmLjvMsg3LiLgprohxvSIbjwNA4swMOwSXXUtd9ZoLk4fUXVDlLUkb0gNGTpPU829HXxPY/
plaintext-password ""
}
full-name "Bruno LE GOFF"
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name ubnt
level operator
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
}
}
package {
repository squeeze {
components "main contrib non-free"
distribution squeeze
password ""
url http://http.us.debian.org/debian
username ""
}
repository squeeze-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@3:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.5.0beta1.4664409.140505.1347 */
tcpdump -i br0 -w fichier
Code: [Sélectionner]Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.57.248.0 * 255.255.255.0 U 0 0 0 br0
80.10.117.120 10.57.248.157 255.255.255.254 UG 0 0 0 br0
81.253.206.0 10.57.248.157 255.255.255.0 UG 0 0 0 br0
81.253.210.0 10.57.248.157 255.255.254.0 UG 0 0 0 br0
81.253.214.0 10.57.248.157 255.255.254.0 UG 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 10.57.248.157 255.255.254.0 UG 0 0 0 br0
172.20.224.167 10.57.248.157 255.255.255.255 UGH 0 0 0 br0
172.23.12.0 10.57.248.157 255.255.252.0 UG 0 0 0 br0
192.168.1.0 * 255.255.255.0 U 0 0 0 switch0
193.253.67.88 10.57.248.157 255.255.255.248 UG 0 0 0 br0
193.253.153.227 10.57.248.157 255.255.255.255 UGH 0 0 0 br0
193.253.153.228 10.57.248.157 255.255.255.255 UGH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
juste pour savoir ou chercher tu as fait comment pour trouver toutes ces route tu t'es inspiré d'un autre tutoriel tu as sniffer le reseau ?
ubnt@ubnt:~$ netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.54.56.128 * 255.255.255.128 U 0 0 0 br0
80.10.117.120 10.54.56.254 255.255.255.254 UG 0 0 0 br0
81.253.206.0 10.54.56.254 255.255.255.0 UG 0 0 0 br0
81.253.210.0 10.54.56.254 255.255.254.0 UG 0 0 0 br0
81.253.214.0 10.54.56.254 255.255.254.0 UG 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 10.54.56.254 255.255.254.0 UG 0 0 0 br0
172.20.224.167 10.54.56.254 255.255.255.255 UGH 0 0 0 br0
172.23.12.0 10.54.56.254 255.255.252.0 UG 0 0 0 br0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
193.253.67.88 10.54.56.254 255.255.255.248 UG 0 0 0 br0
193.253.153.227 10.54.56.254 255.255.255.255 UGH 0 0 0 br0
193.253.153.228 10.54.56.254 255.255.255.255 UGH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
Monsieur Blegoff, vous ne suivez pas bien mes indications, c'est mal :P
La gateway des routes statiques doit finir en 254, pas en 157 :D
Good !! Congrats.
Voila tu peux commencer a bidouiller ta conf et reprendre une vie normale :)
(Backup le config.boot actuel)
Voila, et surtout ces routes vont pas changer tous les samedis je pense :).
En gros j'essaie de leur faire intégrer tout ce qui est actuellement dans le tv.sh on a presque fini (manque les priorités).
Leur réactivité est assez impressionnante, au niveau des délais, ils sortent environ 1 version par mois, donc on a une chance dans la prochaine de virer le tv.sh
Il faut conseiller a orange de virer les livebox et de les remplacer par ces routeurs, avec du telephone en sip et le decodeur télé..
Desactive le, ca bug de l'activer.
[HW acceleration] Fix speed issue with PPPoE offload in beta1. Reported by and discussed with @adiatric @cremenescu @MailGuy NVX @abu_cwarky c0mm0n @spiderben25 here.
[HW acceleration] Fix packet forwarding issue when multicast traffic is being offloaded. Reported by @bjck @Jackalito @c0mm0n here.
apt update
apt install vlan
sh /config/scripts/post-config.d/tv.sh
blegoff@EdgeRouter:~$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: disabled
vlan : disabled
pppoe : disabled
IPv6
forwarding: disabled
vlan : disabled
pppoe : disabled
IPSec offload module: not loaded
blegoff@EdgeRouter:~$ configure
[edit]
blegoff@EdgeRouter# set system offload ipv4 pppoe enable
IPv4 forwarding must be enabled for pppoe offload
Value validation failed
Set failed
[edit]
blegoff@EdgeRouter# set system offload ipv4 forwarding enable
[edit]
blegoff@EdgeRouter# commit
[edit]
blegoff@EdgeRouter# save
Saving configuration to '/config/config.boot'...
Done
[edit]
blegoff@EdgeRouter# exit
exit
blegoff@EdgeRouter:~$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: disabled
vlan : disabled
pppoe : disabled
IPv6
forwarding: disabled
vlan : disabled
pppoe : disabled
IPSec offload module: not loaded
blegoff@EdgeRouter:~$
Ubiquiti n'a pas envie de faire un installateur automatique pour la fibre orange, histoire de pouvoir s'en servir presque "out of the box" ?
#!/bin/bash
ip=$(/sbin/ip -o -4 addr list br0 | awk '{print $4}' | cut -d/ -f1)
baseip=`echo $ip | cut -d"." -f1-3`
ip=$baseip".254"
route add -net 80.10.117.120/31 gateway $ip
route add -net 81.253.206.0/24 gateway $ip
route add -net 81.253.210.0/23 gateway $ip
route add -net 81.253.214.0/23 gateway $ip
route add -net 172.19.20.0/23 gateway $ip
route add -net 172.20.224.0/24 gateway $ip
route add -net 172.23.12.0/22 gateway $ip
route add -net 193.253.67.88/29 gateway $ip
route add -net 193.253.153.0/24 gateway $ip
route add -net 172.20.224.0/24 gateway $ip
route add -net 193.253.153.0/24 gateway $ip
Les 2 ports en plus, tu les laisses en "switch" avec le eth2
Blegoff a un 5 ports je crois, il peut te montrer sa conf.
sudo -i
apt update
apt install vlan
sh /config/scripts/post-config.d/tv.sh
Yeah we haven't gotten to it yet but it is on the TODO list.
route add -net 172.20.224.167/32 gateway 10.54.56.254
sudo route
route add -net 172.20.224.167/32 gateway 10.154.181.254
route add -net 193.253.153.227/32 gateway 10.154.181.254
route add -net 193.253.153.228/32 gateway 10.154.181.254
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.154.181.0 * 255.255.255.128 U 0 0 0 br0
80.10.117.120 10.154.181.254 255.255.255.254 UG 0 0 0 pppoe0
81.253.206.0 10.154.181.254 255.255.255.0 UG 0 0 0 pppoe0
81.253.210.0 10.154.181.254 255.255.254.0 UG 0 0 0 pppoe0
81.253.214.0 10.154.181.254 255.255.254.0 UG 0 0 0 pppoe0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 10.154.181.254 255.255.254.0 UG 0 0 0 pppoe0
172.23.12.0 10.154.181.254 255.255.252.0 UG 0 0 0 pppoe0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
193.253.67.88 10.154.181.254 255.255.255.248 UG 0 0 0 pppoe0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description Local
duplex auto
speed auto
}
ethernet eth1 {
description "Internet (PPPoE)"
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password ******
user-id fti/******
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
address dhcp
description TOIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.21 {
stop 192.168.1.240
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.240
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan disable
}
}
package {
repository squeeze {
components "main contrib non-free"
distribution squeeze
password ""
url http://http.us.debian.org/debian
username ""
}
repository squeeze-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@3:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.5.0rc1.4675120.140611.1821 */
protocols {
static {
route 80.10.117.120/31 {
next-hop 10.54.56.254 {
}
}
route 81.253.206.0/24 {
next-hop 10.54.56.254 {
}
}
route 81.253.210.0/23 {
next-hop 10.54.56.254 {
}
}
route 81.253.214.0/23 {
next-hop 10.54.56.254 {
}
}
route 172.19.20.0/23 {
next-hop 10.54.56.254 {
}
}
route 172.20.224.167/32 {
next-hop 10.54.56.254 {
}
}
route 172.23.12.0/22 {
next-hop 10.54.56.254 {
}
}
route 193.253.67.88/29 {
next-hop 10.54.56.254 {
}
}
route 193.253.153.227/32 {
next-hop 10.54.56.254 {
}
}
route 193.253.153.228/32 {
next-hop 10.54.56.254 {
}
}
}
Bonsoir à tous et d'abord merci à commun pour le tutoriel.
Concernant les routes, il suffit d'enlever le -net et le masque.
Un masque de 32 correspondant à une seule IP.
Merci anto, j'ai essayé ta méthode et effectivement cela fonctionne.
Cela dit j'ai un autre problème, il semble que les routes saisies via le CLI avec les commande add route ne sont pas
considérées comme du static, elles apparaissent comme type kernel dans le GUI....
Je comprends pas trop...
J'ai l'impression du coup qu'elles vont être rincées lors du reboot... faut peut-être que je les saisissent dans le GUI
Et en plus je realise en voyabt ta capture ecran c0mm0n qu'elles sont appliquées sur l'interface pppoe et pas br0.
je dois louper un truc non?
au final j'ai utilisé la méthode de la modification du config.boot en direct.
Maintenant j'ai bien mes routes qui apparaissent dans l'onglet static, elles sont de "type" gateway selon la GUI
il n'y a pas d'interface qui apparait dans la GUI
je vais m'arrêter pour aujourd'hui, la suite la semaine prochaine je reviendrai probablement pour de l'aide ou du feedback :)
merci beaucoup pour votre aide!
et oui il me semble vraiment bien cet ERL :)
Classless-Static-Route Option 121, length 85:
(172.23.12.0/22:10.140.113.254),
(172.20.224.167/32:10.140.113.254),
(172.19.20.0/23:10.140.113.254),
(193.253.67.88/29:10.140.113.254),
(80.10.117.120/31:10.140.113.254),
(81.253.206.0/24:10.140.113.254),
(81.253.210.0/23:10.140.113.254),
(193.253.153.228/32:10.140.113.254),
(193.253.153.227/32:10.140.113.254),
(81.253.214.0/23:10.140.113.254)
ip -4 route add "172.20.224.167/32" via 10.154.181.254
ip -4 route add "${net_address}/${net_length}" \
${via_arg} dev "${interface}" >/dev/null 2>&1
script 20-route.shCode: [Sélectionner]#!/bin/bash
ip=$(/sbin/ip -o -4 addr list br0 | awk '{print $4}' | cut -d/ -f1)
baseip=`echo $ip | cut -d"." -f1-3`
ip=$baseip".254"
route add -net 80.10.117.120/31 gateway $ip
route add -net 81.253.206.0/24 gateway $ip
route add -net 81.253.210.0/23 gateway $ip
route add -net 81.253.214.0/23 gateway $ip
route add -net 172.19.20.0/23 gateway $ip
route add -net 172.20.224.0/24 gateway $ip
route add -net 172.23.12.0/22 gateway $ip
route add -net 193.253.67.88/29 gateway $ip
route add -net 193.253.153.0/24 gateway $ip
route add -net 172.20.224.0/24 gateway $ip
route add -net 193.253.153.0/24 gateway $ip
#!/bin/bash
# Basic paths
SHELL_API=/bin/cli-shell-api
vyatta_sbindir=/opt/vyatta/sbin
dhcp_map_file=/config/dhcpd_static.map
# Basic commands
SET=${vyatta_sbindir}/my_set
DELETE=${vyatta_sbindir}/my_delete
COPY=${vyatta_sbindir}/my_copy
MOVE=${vyatta_sbindir}/my_move
RENAME=${vyatta_sbindir}/my_rename
ACTIVATE=${vyatta_sbindir}/my_activate
DEACTIVATE=${vyatta_sbindir}/my_activate
COMMENT=${vyatta_sbindir}/my_comment
COMMIT=${vyatta_sbindir}/my_commit
DISCARD=${vyatta_sbindir}/my_discard
SAVE=${vyatta_sbindir}/vyatta-save-config.pl
# Init session
session_env=$($SHELL_API getSessionEnv $PPID)
eval $session_env
$SHELL_API setupSession
# Check session
$SHELL_API inSession
if [ $? -ne 0 ]; then
echo "Can not init session"
exit 1
fi
br0_ip=$(/sbin/ifconfig br0 | grep "inet addr" | awk -F: '{print $2}' | awk '{print $1}')
subnet_base=`echo $br0_ip | cut -d"." -f1-3`
gateway_ip=$subnet_base".254"
$DELETE protocols static route 80.10.117.120/31
$DELETE protocols static route 81.253.206.0/24
$DELETE protocols static route 81.253.210.0/23
$DELETE protocols static route 81.253.214.0/23
$DELETE protocols static route 172.19.20.0/23
$DELETE protocols static route 172.20.224.167/32
$DELETE protocols static route 172.23.12.0/22
$DELETE protocols static route 193.253.67.88/29
$DELETE protocols static route 193.253.153.227/32
$DELETE protocols static route 193.253.153.228/32
$SET protocols static route 80.10.117.120/31 next-hop $gateway_ip
$SET protocols static route 81.253.206.0/24 next-hop $gateway_ip
$SET protocols static route 81.253.210.0/23 next-hop $gateway_ip
$SET protocols static route 81.253.214.0/23 next-hop $gateway_ip
$SET protocols static route 172.19.20.0/23 next-hop $gateway_ip
$SET protocols static route 172.20.224.167/32 next-hop $gateway_ip
$SET protocols static route 172.23.12.0/22 next-hop $gateway_ip
$SET protocols static route 193.253.67.88/29 next-hop $gateway_ip
$SET protocols static route 193.253.153.227/32 next-hop $gateway_ip
$SET protocols static route 193.253.153.228/32 next-hop $gateway_ip
$COMMIT
$SAVE
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description Local
duplex auto
speed auto
}
ethernet eth1 {
description "Internet (PPPoE)"
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password secret
user-id fti/XXXXXXX
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
address dhcp
description TOIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 10.54.56.254 {
}
}
route 81.253.206.0/24 {
next-hop 10.54.56.254 {
}
}
route 81.253.210.0/23 {
next-hop 10.54.56.254 {
}
}
route 81.253.214.0/23 {
next-hop 10.54.56.254 {
}
}
route 172.19.20.0/23 {
next-hop 10.54.56.254 {
}
}
route 172.20.224.167/32 {
next-hop 10.54.56.254 {
}
}
route 172.23.12.0/22 {
next-hop 10.54.56.254 {
}
}
route 193.253.67.88/29 {
next-hop 10.54.56.254 {
}
}
route 193.253.153.227/32 {
next-hop 10.54.56.254 {
}
}
route 193.253.153.228/32 {
next-hop 10.54.56.254 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.21 {
stop 192.168.1.240
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.240
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp {
listen-on eth0 {
outbound-interface pppoe0
}
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan disable
}
}
package {
repository squeeze {
components "main contrib non-free"
distribution squeeze
password ""
url http://http.us.debian.org/debian
username ""
}
repository squeeze-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
show interfaces
sudo dhclient -cf /config/dhclient.conf br0
Ca m'intéresse, je veux aussi monter un PXE, sans changer de DHCP.
Dnsmasq supports PXE "proxy-DHCP", in this case another DHCP server on the network is responsible for allocating IP addresses, and dnsmasq simply provides the information given in pxe-prompt and pxe-service to allow netbooting. This mode is enabled using the proxy keyword in dhcp-range.
configure
edit service dhcp-server shared-network-name <Nom de votre rezo> subnet 192.168.1.0/24
set bootfile-server <IP de votre serveur PXE>
set subnet-parameters "filename "/pxe-boot/pxelinux.0";"
set bootfile-name pxelinux.0
commit
save
Pour sortir un peu des echanges techniques, je vous invite a poste une photo de votre ERL, éventuellement l'installation autour.
Chez moi vous connaissez deja :
(https://www.evernote.com/shard/s1/sh/d35f16e9-d248-4a4f-bf46-1dcea4e1b96d/3a013ad363e27bc98d5dda7ea5ec9e1d/deep/0/iPhoto.png)
Alors ca donne quoi chez vous ? :)
Merci, pas mal !
Pq pas ce modèle a 29€ : http://www.suiviconso.fr/spip.php?article21 (http://www.suiviconso.fr/spip.php?article21)
nous allons surtout continuer la discussion en privé ca ne concerne pas reellement la fibre !
ok merci pour l'info je vais faire un tuto sur comment le mettre en place dans la section electricité !
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
switch switch0 {
}
Chez toi l'adresse de routeur c'est .254 et celle du dns et sous réseau c'est quoi
C'est dans routing puis static?
Parce que même dans ça j'ai la possibilité de choisir le 835 , le type de rout et deux trois autres truc mais rien sur les identifiant
./10-vlan.sh
./20-route.sh
./30-dns.sh
apt update
apt install vlan
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.840:- Should be visible in /proc/net/vlan/eth0.840
Set egress mapping on device -:eth0.838:- Should be visible in /proc/net/vlan/eth0.838
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Set egress mapping on device -:eth0.851:- Should be visible in /proc/net/vlan/eth0.851
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
Nothing to delete (the specified node does not exist)
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
".254" is not a valid value of type "ipv4"
Value validation failed
Set failed
Saving configuration to '/config/config.boot'...
Done
username fti/xxxxx {
password xxxxx
}
interfaces {
bridge br1 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {}
etc...
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br1 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
duplex auto
poe {
output off
}
speed auto
vif 835 {
mtu 1500
pppoe 0 {
default-route auto
mtu 1500
name-server auto
password xxxx
user-id fti/xxxx
} }
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br1
}
}
}
ethernet eth1 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
vif 835 {
}
vif 851 {
bridge-group {
bridge br1
}
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.0.254/24
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
lan-interface eth1
lan-interface eth2
lan-interface eth3
lan-interface eth4
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 10.76.220.254 {
}
}
route 81.253.206.0/24 {
next-hop 10.76.220.254 {
}
}
route 81.253.210.0/23 {
next-hop 10.76.220.254 {
}
}
route 81.253.214.0/23 {
next-hop 10.76.220.254 {
}
}
route 172.19.20.0/23 {
next-hop 10.76.220.254 {
}
}
route 172.20.224.167/32 {
next-hop 10.76.220.254 {
}
}
route 172.23.12.0/22 {
next-hop 10.76.220.254 {
}
}
route 193.253.67.88/29 {
next-hop 10.76.220.254 {
}
}
route 193.253.153.227/32 {
next-hop 10.76.220.254 {
}
}
route 193.253.153.228/32 {
next-hop 10.76.220.254 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name RE-ER {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.254
dns-server 8.8.8.8
lease 86400
start 192.168.0.1 {
stop 192.168.0.50
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.21 {
stop 192.168.1.200
}
}
}
}
dns {
forwarding {
cache-size 200
listen-on switch0
listen-on eth1
}
}
gui {
https-port 443
}
nat {
rule 5000 {
description "Internet Orange Fibre 500/200 Mb/s"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5001 {
description "TV Orange"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on switch0
listen-on eth1
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/xxxx {
password xxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.1.210
stop 192.168.1.211
}
interface eth1.835
mtu 1500
}
}
system {
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password xxxxxxx.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository squeeze {
components "main contrib non-free"
distribution squeeze
password ""
url http://http.us.debian.org/debian
username ""
}
repository squeeze-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@3:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.5.0.4677648.140620.1301 */
Si j'ai bien compris c'est pas dnsmasq qui est utilisé dans l'erl de base, c'est isc-dhcp.
Bon en gros, c'était comme le precedent, un melange de la conf de la home page avec les scripts d'anto, la on avait la conf de blegoff en guest star et des bidouilles en bonus :D
Seul detail intéressant, sa gateway pour le bridge ne finit pas en 254 mais en 126
(https://dl.dropboxusercontent.com/s/5r2z5820q5hw8xm/2014-07-13%20at%2017.24.png)
En fait mon job sur ce topic est de récupérer les cas perdus de blegoff en anto :D
Envoie moi un accès ssh et ton skype en privé
J'ai un switch netgear 8 port et lorsque je me met dessus sa marche parfaitement ,
la borne wifi (airport extreme) agit comme un switch mais en sans fil n'est ce pas .... Si elle est en mode bridge bien sur , en dhcp
Et si je me met sur le switch de la borne sa marche impec ... allez comprendre
c'est petit ca , c'est tout petit ! ;D
Ces dernier jours j'ai laissé tombé le routeur le temps d'y trouver une sol . Mais je l'ai laissé allumé
Je viens de faire une longue série de test:
-Le dhcp cause parfois de gros problème sur l'attribution d'ip, et lorsque je tente d'attribuer moi l'ip le masque sous réseau etc..Ca m'affiche connecté
mais pas d'internet ni même le moyen de me connecter au routeur. Parfois , la vitesse est bridé à 50 mb depuis le wifi, et parfois sa trace( plusieurs test effectuer : reboot , retranchement etc..)
-Pour la tv/replay/vod ca a l'air ok, mais il m'a fallu un reboot du routeur quand même ..
-Tel marche pas comme explique dans mes anciens post
Je comprend pas pourquoi sa marche chez tout le monde et pas chez moi :(
vous me faites envie avec cet edgemax
fonce, hésite pas, en plus d’être pas cher c'est une solution qui marche sur pas mal de provider ( voir tous, pas testé bouygues ou numericable mais ca doit etre possible), donc si tu changes il y a moyen de le configurer pour le suivant ;-)
Numericable fait aussi de l'ADSL.
Comment faire pour Numéricable ? Il faudrait un convertisseur Câble non ?
Pas vu sur leur site, des EdgeMax avec entrée câble, peut être mal vu. :o
Mais pourquoi pas vu que aux US c'est le standard.
euh mais il y a une interface graphique sur l'edgerouter, elle est même très bien faites et fluide, après pour certaine configuration poussé il faut passé en ligne de commande mais sinon tu peux tout faire en GUI
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
scp: /config/conf.boot: Permission denied
Code: [Sélectionner]scp: /config/conf.boot: Permission denied
J'obtient ca, à chaque fois , comment je fais pour changer les droit ?
scp -r ubnt@192.168.1.1:/config /Users/Name/Desktop/ER_NEW/conf_N.boot
Y a 2 liens pour l'acheter en premiere page.
Il est en stock sur les 2 liens.
Je sens que ca va être fun 8)
Code: [Sélectionner]scp: /config/conf.boot: Permission denied
J'obtient ca, à chaque fois , comment je fais pour changer les droit ?
chown: unknown user/group ubnt:ubnt
Pour la télé qui ne marche plus c'est ton IP qui a été renouvelée et donc il faut relancer les scripts.
Ça me le fait toutes les semaines.
Invalid config file (syntax error): error at line 303, text []
Failed to parse specified config file
No configuration changes to commit
/* Release version: v1.5 */
~$ uptime
00:15:54 up 21 days, 9:19, 1 user, load average: 0.04, 0.04, 0.05
Ça le fait à tout le monde ça ? Parce que c'est un peu ennuyeux à faire... Si l'IP change vers 6h du mat et que ma mère regarde la télé (ça arrive parfois) elle va me réveiller pour me dire "Paul la télé marche pas tu peux aller voir la pastabox ?" ?
C qu'elle IP qui change celle du bridge ?
RUN="yes"
if [ "$RUN" = "yes" ]; then
if [ "$new_rfc3442_classless_static_routes" != "" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
rfc_routes=($new_rfc3442_classless_static_routes)
for(( i=0; i < ${#rfc_routes[@]}; )); do
net_length=${rfc_routes[$i]}
((i++))
net_address=(0 0 0 0)
for(( j=0; j < $[$net_length / 8 + \
($net_length % 8 ? 1 : 0)]; j++, i++)); do
net_address[$j]=${rfc_routes[$i]}
done
gateway=(0 0 0 0)
for (( j=0; j < 4; j++, i++ )); do
gateway[$j]=${rfc_routes[$i]}
done
old_IFS="$IFS"
IFS='.'
if [ "$net_length" == "32" ]; then
/sbin/route add -host "${net_address[*]}" gw "${gateway[*]}"
else
/sbin/route add -net "${net_address[*]}/$net_length" gw "${gateway[*]}"
fi
IFS="$old_IFS"
done
fi
fi
fi
C'est l'ancienne version, celui sur le site Ubiquiti diffère légèrement, il doit être nouveau
Hey Ryan,
There was a redesign to the case, the original stock was plastic and newer stock is metal. That was the only design change, there is no difference in the internal hardware or the performance. The vendor might be willing to do a return for you, but we don't even have the metal units in RMA so I wouldn't be able to swap it for you. Moving forward, newer ERLs will have the metal case at the same price point. Hope that helps!
Cheers,
Austin
Aug 14 20:41:37 EdgeRouter miniupnpd[1920]: remove port mapping 5354 UDP because it has expired
Aug 14 20:41:37 EdgeRouter miniupnpd[1920]: remove port mapping 4501 UDP because it has expired
Aug 14 20:41:37 EdgeRouter miniupnpd[1920]: remove port mapping 4500 UDP because it has expired
Aug 14 20:41:37 EdgeRouter miniupnpd[1920]: remove port mapping 5353 UDP because it has expired
Aug 14 20:47:57 EdgeRouter miniupnpd[1920]: remove port mapping 58127 UDP because it has expired
Aug 14 21:13:14 EdgeRouter kernel: low_level_ipv4_pkt_process: 5 callbacks suppressed
Aug 14 21:35:46 EdgeRouter kernel: low_level_ipv4_pkt_process: 2 callbacks suppressed
Aug 14 22:26:31 EdgeRouter miniupnpd[1920]: remove port mapping 5362 UDP because it has expired
Aug 14 22:26:31 EdgeRouter miniupnpd[1920]: remove port mapping 4509 UDP because it has expired
Aug 14 22:52:26 EdgeRouter miniupnpd[1920]: PCP: External IP in request didn't match interface IP
==> /var/log/messages <==
Aug 14 22:53:44 EdgeRouter miniupnpd[1920]: last message repeated 2 times
==> /var/log/messages <==
Aug 14 22:56:36 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:36 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:37 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:37 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:38 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:38 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:42 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:42 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:44 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:44 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:45 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:45 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:49 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:49 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:50 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:50 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:51 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:51 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:55 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:55 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:56 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:56 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:56:57 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:56:57 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:57:01 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:01 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:57:02 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:02 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:57:03 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:03 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:57:07 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:07 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:57:08 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:08 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 22:57:09 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:09 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
==> /var/log/messages <==
Aug 14 23:05:08 EdgeRouter miniupnpd[1920]: PCP: External IP in request didn't match interface IP
==> /var/log/messages <==
Aug 14 23:06:15 EdgeRouter miniupnpd[1920]: last message repeated 11 times
==> /var/log/messages <==
Aug 14 23:07:15 EdgeRouter miniupnpd[1920]: last message repeated 9 times
————————————————————————————————
Aug 14 22:57:07 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:07 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
Aug 14 22:57:08 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:08 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
Aug 14 22:57:09 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 22:57:09 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 c3 8e 85 08 06 .......qD.....
Aug 14 23:05:08 EdgeRouter miniupnpd[1920]: PCP: External IP in request didn't match interface IP
Aug 14 23:06:15 EdgeRouter miniupnpd[1920]: last message repeated 11 times
Aug 14 23:07:15 EdgeRouter miniupnpd[1920]: last message repeated 9 times
Aug 14 23:08:15 EdgeRouter miniupnpd[1920]: last message repeated 8 times
—————————————
Aug 14 23:32:47 EdgeRouter wlb: pam_securetty(login:auth): cannot determine user's tty
Aug 14 23:34:20 EdgeRouter login[18187]: pam_securetty(login:auth): access denied: tty '/dev/pts/1' is not secure !
Aug 14 23:34:25 EdgeRouter login[18187]: pam_unix(login:auth): check pass; user unknown
Aug 14 23:34:25 EdgeRouter login[18187]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/pts/1 ruser= rhost=
Aug 14 23:34:27 EdgeRouter login[18187]: FAILED LOGIN (1) on '/dev/pts/1' from '127.0.0.1:58607' FOR 'UNKNOWN', User not known to the underlying authentication module
—————————
Aug 14 23:38:26 EdgeRouter miniupnpd[1920]: remove port mapping 5355 UDP because it has expired
Aug 14 23:38:26 EdgeRouter miniupnpd[1920]: remove port mapping 4502 UDP because it has expired
Aug 14 23:38:26 EdgeRouter miniupnpd[1920]: remove port mapping 58128 UDP because it has expired
Aug 14 23:38:26 EdgeRouter miniupnpd[1920]: remove port mapping 58127 UDP because it has expired
Aug 14 23:40:22 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 23:40:22 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 8a 1c 06 08 06 .......qD.....
Aug 14 23:40:24 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 23:40:24 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 8a 1c 06 08 06 .......qD.....
Aug 14 23:40:25 EdgeRouter kernel: IPv4: martian source 255.255.255.255 from 255.255.255.255, on dev switch0
Aug 14 23:40:25 EdgeRouter kernel: ll header: 00000000: ff ff ff ff ff ff dc 71 44 8a 1c 06 08 06 .......qD.....
==> /var/log/messages <==
Aug 15 00:07:32 EdgeRouter miniupnpd[1920]: PCP: External IP in request didn't match interface IP
==> /var/log/messages <==
Aug 15 00:08:48 EdgeRouter miniupnpd[1920]: last message repeated 8 times
==> /var/log/messages <==
Aug 15 00:10:49 EdgeRouter miniupnpd[1920]: PCP: External IP in request didn't match interface IP
J'ai pas sa , le firmware j'ai 7.6.4 mais je crois que c'est la derniere pour ma borne .
J'ai celle juste avant la AC
(https://lafibre.info/Users/Neal/Desktop/azazzazaz.tiff)
Au niveau de la borne airport, dans la conf, essaie en activant l'option "IGMP Snooping".
C'est dans l'onglet "Réseau" puis "Options du réseau".
Ca m'avait résolue des lenteurs, sait-on jamais dans ton cas :)
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
port-forward {
auto-firewall disable
hairpin-nat disable
lan-interface switch0
lan-interface eth1
rule 1 {
description Co_ext
forward-to {
address 192.168.0.3
port 90
}
original-port 90
protocol tcp_udp
}
wan-interface pppoe0
}
igmp-proxy {
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
firewall {
name WAN_IN {
rule 20 {
action accept
description "allow SSH port 22"
destination {
port 22
}
log enable
protocol tcp
}
}
}
service {
nat {
rule 1 {
description "port forward SSH to NAS"
destination {
port 22
}
inbound-interface pppoe0
inside-address {
address 192.168.1.15
port 22
}
log enable
protocol tcp
type destination
}
}
}
EDIT: Pour le switch je pense à celui ci http://www.materiel.net/switch-ethernet/netgear-gs105e-v2-99523.html il n'y a pas d'interface d'administration web mais le prix me semble imbattable!
Code: [Sélectionner]EDIT: Pour le switch je pense à celui ci http://www.materiel.net/switch-ethernet/netgear-gs105e-v2-99523.html il n'y a pas d'interface d'administration web mais le prix me semble imbattable!
Personnellement, par ma petite expérience , je te conseille d'acheter un switch qui gère le igmp snooping..Idem pour le AP wifi . Un des deux peut suffir enfin sa repent comment c'est fait chez toi.
Le GS108E permet aussi le monitoring de port , utile si tu veux sniffer ta connection ONT - Box pour trouver des infos donc ca ne me semble pas un mauvais achat
Bonjour à tous et en particulier à des pseudos que je croise souvent chez HFR :P
J'ai la fibre depuis quelques mois maintenant et installer et configurer ce petit ERL me tente de plus en plus! ;)
J'aimerai avoir vos conseils sur le choix d'un AP wifi qui selon vous aurait le meilleur rapport qualité/prix ainsi qu'un switch gigabit de 5-6 ports.
Des idées?
EDIT: Pour le switch je pense à celui ci http://www.materiel.net/switch-ethernet/netgear-gs105e-v2-99523.html (http://www.materiel.net/switch-ethernet/netgear-gs105e-v2-99523.html) il n'y a pas d'interface d'administration web mais le prix me semble imbattable!
EDIT 2: Pour le wifi je pense à rester chez Ubiquity en prenant ce modèle http://varia-store.com/Wireless-Systems/UBIQUITI-UniFi/UniFi-Enterprise-WiFi-System-UAP-UniFi-UBNT::1218.html (http://varia-store.com/Wireless-Systems/UBIQUITI-UniFi/UniFi-Enterprise-WiFi-System-UAP-UniFi-UBNT::1218.html)
Si je ne me trompe pas il faut que j'achète aussi un "injecteur PoE" pour le brancher sur l'ERL, par exemple ce modèle http://varia-store.com/Accessories/Power-over-Ethernet/POE-24-POE-Injector-24VDC-%40-0-5A-UBNT-POE-24-12W::995.html (http://varia-store.com/Accessories/Power-over-Ethernet/POE-24-POE-Injector-24VDC-%40-0-5A-UBNT-POE-24-12W::995.html) , vous confirmez? (UPDATE: l'injecteur est fourni avec l'AP, donc pas besoin d'en acheter un)
add system image http://dl.ubnt.com/firmwares/edgemax/v1.6.0/ER-e100.v1.6.0alpha2.4694986.tar
reboot
-- après le reboot --
sudo -i
apt update
apt install vlan
./config/scripts/post-config.d/tv.sh
Aucun souci chez moi avec un sous domaine perso. En wan et lan j’accède en xxxx.toto.com. Poste ta conf.
Pour la question sub : oui pas de souci, c'est même plutôt le but d'isoler la LB et d'avoir le "vrai" LAN a coté.
br0 = bridge oui
ca va encore finir avec un mix du futur entre la FP et les scripts d'anto :sifflote:
#!/bin/bash
doneit='/var/lib/vlan_installed'
packages='vlan'
pidfile=/var/run/igmpproxy.pid
if [ ! -e $doneit ]; then
sudo dpkg --configure -a
apt update
apt install -y $packages
fi
if [ $? == 0 ]; then
echo package install successful
modprobe 8021q
/sbin/vconfig set_egress_map eth0.840 0 5
/sbin/vconfig set_egress_map eth0.838 0 4
/sbin/vconfig set_egress_map eth0.840 1 5
/sbin/vconfig set_egress_map eth0.838 1 4
/sbin/vconfig set_egress_map eth0.840 2 5
/sbin/vconfig set_egress_map eth0.838 2 4
/sbin/vconfig set_egress_map eth0.840 3 5
/sbin/vconfig set_egress_map eth0.838 3 4
/sbin/vconfig set_egress_map eth0.840 4 5
/sbin/vconfig set_egress_map eth0.838 4 4
/sbin/vconfig set_egress_map eth0.840 5 5
/sbin/vconfig set_egress_map eth0.838 5 4
/sbin/vconfig set_egress_map eth0.840 6 5
/sbin/vconfig set_egress_map eth0.838 6 4
/sbin/vconfig set_egress_map eth0.840 7 5
/sbin/vconfig set_egress_map eth0.838 7 4
/sbin/vconfig set_egress_map eth0.851 0 6
/sbin/vconfig set_egress_map eth0.851 1 6
/sbin/vconfig set_egress_map eth0.851 2 6
/sbin/vconfig set_egress_map eth0.851 3 6
/sbin/vconfig set_egress_map eth0.851 6 6
/sbin/vconfig set_egress_map eth0.851 5 6
/sbin/vconfig set_egress_map eth0.851 6 6
/sbin/vconfig set_egress_map eth0.851 7 6
touch $doneit
else
echo package install failed
exit -1
fi
#kill `cat $pidfile`
dhclient -cf /config/dhclient.conf br0
/sbin/start-stop-daemon --start --startas /sbin/igmpproxy --make-pidfile --pidfile $pidfile --background -- /etc/igmpproxy.conf
exit 0
#!/bin/bash
# Basic paths
SHELL_API=/bin/cli-shell-api
vyatta_sbindir=/opt/vyatta/sbin
dhcp_map_file=/config/dhcpd_static.map
# Basic commands
SET=${vyatta_sbindir}/my_set
DELETE=${vyatta_sbindir}/my_delete
COPY=${vyatta_sbindir}/my_copy
MOVE=${vyatta_sbindir}/my_move
RENAME=${vyatta_sbindir}/my_rename
ACTIVATE=${vyatta_sbindir}/my_activate
DEACTIVATE=${vyatta_sbindir}/my_activate
COMMENT=${vyatta_sbindir}/my_comment
COMMIT=${vyatta_sbindir}/my_commit
DISCARD=${vyatta_sbindir}/my_discard
SAVE=${vyatta_sbindir}/vyatta-save-config.pl
# Init session
session_env=$($SHELL_API getSessionEnv $PPID)
eval $session_env
$SHELL_API setupSession
# Check session
$SHELL_API inSession
if [ $? -ne 0 ]; then
echo "Can not init session"
exit 1
fi
br0_ip=$(/sbin/ifconfig br0 | grep "inet addr" | awk -F: '{print $2}' | awk '{print $1}')
subnet_base=`echo $br0_ip | cut -d"." -f1-3`
gateway_ip=$subnet_base".254"
$DELETE protocols static route 80.10.117.120/31
$DELETE protocols static route 81.253.206.0/24
$DELETE protocols static route 81.253.210.0/23
$DELETE protocols static route 81.253.214.0/23
$DELETE protocols static route 172.19.20.0/23
$DELETE protocols static route 172.20.224.167/32
$DELETE protocols static route 172.23.12.0/22
$DELETE protocols static route 193.253.67.88/29
$DELETE protocols static route 193.253.153.227/32
$DELETE protocols static route 193.253.153.228/32
$SET protocols static route 80.10.117.120/31 next-hop $gateway_ip
$SET protocols static route 81.253.206.0/24 next-hop $gateway_ip
$SET protocols static route 81.253.210.0/23 next-hop $gateway_ip
$SET protocols static route 81.253.214.0/23 next-hop $gateway_ip
$SET protocols static route 172.19.20.0/23 next-hop $gateway_ip
$SET protocols static route 172.20.224.167/32 next-hop $gateway_ip
$SET protocols static route 172.23.12.0/22 next-hop $gateway_ip
$SET protocols static route 193.253.67.88/29 next-hop $gateway_ip
$SET protocols static route 193.253.153.227/32 next-hop $gateway_ip
$SET protocols static route 193.253.153.228/32 next-hop $gateway_ip
$COMMIT
$SAVE
#!/bin/bash
#
# Author: leon@leonsio.com
# Licence: BSD
# Version: 1.0
#
# Basic paths
SHELL_API=/bin/cli-shell-api
vyatta_sbindir=/opt/vyatta/sbin
dhcp_map_file=/config/dhcpd_static.map
# Basic commands
SET=${vyatta_sbindir}/my_set
DELETE=${vyatta_sbindir}/my_delete
COPY=${vyatta_sbindir}/my_copy
MOVE=${vyatta_sbindir}/my_move
RENAME=${vyatta_sbindir}/my_rename
ACTIVATE=${vyatta_sbindir}/my_activate
DEACTIVATE=${vyatta_sbindir}/my_activate
COMMENT=${vyatta_sbindir}/my_comment
COMMIT=${vyatta_sbindir}/my_commit
DISCARD=${vyatta_sbindir}/my_discard
SAVE=${vyatta_sbindir}/vyatta-save-config.pl
# Some arrays
declare -A STATIC_HOSTS
declare -A STATIC_DHCP
declare -A STATIC_DOMAIN
declare -A HOST_ADD
declare -A HOST_DELETE
declare -A HOST_CHANGE
# Init session
session_env=$($SHELL_API getSessionEnv $PPID)
eval $session_env
$SHELL_API setupSession
# Check session
$SHELL_API inSession
if [ $? -ne 0 ]; then
echo "Can not init session"
exit 1
fi
# Part 1: Get all static host mappings
host_map_list=$($SHELL_API listNodes system static-host-mapping host-name)
eval "HOSTS=($host_map_list)"
for host in "${HOSTS[@]}";
do
host_ip=$($SHELL_API returnValue system static-host-mapping host-name $host inet)
STATIC_HOSTS[$host]=$host_ip
done
# Part 2: Get DHCP static leases
dhcp_networks=$($SHELL_API listNodes service dhcp-server shared-network-name)
eval "DHCP_NETWORKS=($dhcp_networks)"
for network in "${DHCP_NETWORKS[@]}";
do
# 2.1 get subnets
dhcp_subnets=$($SHELL_API listNodes service dhcp-server shared-network-name $network subnet)
eval "DHCP_SUBNETS=($dhcp_subnets)"
for subnet in "${DHCP_SUBNETS[@]}";
do
# 2.2 entries
dhcp_static_leases=$($SHELL_API listNodes service dhcp-server shared-network-name $network subnet $subnet static-mapping)
eval "DHCP_STATIC_LEASES=($dhcp_static_leases)"
for host_name in "${DHCP_STATIC_LEASES[@]}";
do
# 2.3 host (str to lower)
host_ip=$($SHELL_API returnValue service dhcp-server shared-network-name $network subnet $subnet static-mapping $host_name ip-address)
STATIC_DHCP[${host_name}]=$host_ip
host_domain=$($SHELL_API returnValue service dhcp-server shared-network-name $network subnet $subnet domain-name)
STATIC_DOMAIN[${host_name}]=$host_domain
done
done
done
# Part 3 search for differences between STATIC_DHCP and STATIC_HOSTS
for key in "${!STATIC_DHCP[@]}"
do
value=${STATIC_DHCP[$key]}
# 3.1 Search for host entry
if [[ ${STATIC_HOSTS[$key]} ]]; then
# 3.2 search for changes between entries
if [[ ${STATIC_HOSTS[$key]} != ${STATIC_DHCP[$key]} ]]; then
HOST_CHANGE[$key]=$value
fi
else # 3.3 search for new entries
HOST_ADD[$key]=$value
fi
done
# Part 4 read old leases and search for deleted entries
# 4.1 load old static leases
if [ -f $dhcp_map_file ]; then
mapfile -t dhcp_static_map < "$dhcp_map_file"
else
declare -A dhcp_static_map
fi
for dhcp_static_entry in "${dhcp_static_map[@]}"
do
value=${STATIC_DHCP[$dhcp_static_entry]}
# 4.2 search for new/deleted entries
if ! [[ ${STATIC_DHCP[$dhcp_static_entry]} ]]; then
# 4.3 entry is old STATIC_DHCP entry and must be deleted from hosts list
if [[ ${STATIC_HOSTS[$dhcp_static_entry]} ]]; then
HOST_DELETE[$dhcp_static_entry]=$dhcp_static_entry
fi
fi
done
# Part 5 commit changes
# 5.1 add new entries
write_changes=0
for host in "${!HOST_ADD[@]}"
do
domain=${STATIC_DOMAIN[${host_name}]}
fqdn=$host.$domain
$SET system static-host-mapping host-name $host inet ${HOST_ADD[$host]}
if [ -n "$domain" ]; then
$SET system static-host-mapping host-name $host alias $fqdn
fi
if [ $? -ne 0 ]; then
echo "SET Failed, abort :("
exit 1
fi
write_changes=1
done
# 5.2 write changes
for host in "${!HOST_CHANGE[@]}"
do
$SET system static-host-mapping host-name $host inet ${HOST_CHANGE[$host]} alias $host.$domain
if [ $? -ne 0 ]; then
echo "SET Failed, abort :("
exit 1
fi
write_changes=1
done
# 5.3 delete old values
for host in "${!HOST_DELETE[@]}"
do
$DELETE system static-host-mapping host-name $host
if [ $? -ne 0 ]; then
echo "SET Failed, abort :("
exit 1
fi
write_changes=1
done
# only if we have some changes
if [[ $write_changes == 1 ]]; then
# 5.4 commit changes
$COMMIT
# 5.5 save changes
$SAVE
fi
# Part 6 save new dhcp static map to file
rm -rf $dhcp_map_file
for host in "${!STATIC_DHCP[@]}"
do
echo $host >> $dhcp_map_file
done
show interfaces
ip route
netstat -r
petite question qui n'a rien a voir mais il y a moyen de remplacer la livebox par autre chose pour avoir la tv style un RPI avec logiciel qui va bien ?
ben elle va servir a caler une porte, quand tu migre vers un routeur externe avec la fibre, la livebox n'est plus utilisé, tu n'a pas de mode bridge, mais tu branche ton ONT ( boitier qui convertit la fibre en RJ45) directement sur le routeur de ton choix, apres c'est au routeur de pouvoir se connecter a la fibre orange en utilisant du PPPOE.Pour la partie routeur ok, quand j'aurai la fibre et que j'aurai mis en place l'ERL. Et il sera cantonné à être un point d'accès wi-fi, ça c'est sûr. Même si ça fait un peu over-kill en point d'accès simple. ^^
l'ubiquiti edgerouter sait le faire ( tres bien meme) mais d'autre en sont aussi capable !
https://lafibre.info/orange-tv/remplacer-livebox-tout-fonctionne-sauf-les-replay/msg142392/#msg142392
En attendant la fibre, je vais certainement le mettre en DMZ derrière la Livebox (ça a l'air de pouvoir se faire, à défaut d'avoir un mode bridge) et continuer à gérer mon LAN avec l'Asus.C'est ce que je fais faute de bridge, ça fonctionne bien.
C'est ce que je fais faute de bridge, ça fonctionne bien.Merci Breizh 29, ça confirme ce que j'ai pu lire. :)
vbash-4.1# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 10.51.215.#/25 u/u
eth0 192.168.1.1/24 u/D Local
eth1 - u/u Internet (PPPoE)
eth1.835 - u/u FTTH
eth1.838 - u/u TV
eth1.840 - u/u TV
eth1.851 - u/u TOIP
eth2 192.168.2.1/24 u/u Local 2
lo 127.0.0.1/8 u/u
::1/128
pppoe0 90.3.#.# u/u
#!/bin/bash
# Basic paths
SHELL_API=/bin/cli-shell-api
vyatta_sbindir=/opt/vyatta/sbin
dhcp_map_file=/config/dhcpd_static.map
# Basic commands
SET=${vyatta_sbindir}/my_set
DELETE=${vyatta_sbindir}/my_delete
COPY=${vyatta_sbindir}/my_copy
MOVE=${vyatta_sbindir}/my_move
RENAME=${vyatta_sbindir}/my_rename
ACTIVATE=${vyatta_sbindir}/my_activate
DEACTIVATE=${vyatta_sbindir}/my_activate
COMMENT=${vyatta_sbindir}/my_comment
COMMIT=${vyatta_sbindir}/my_commit
DISCARD=${vyatta_sbindir}/my_discard
SAVE=${vyatta_sbindir}/vyatta-save-config.pl
# Init session
session_env=$($SHELL_API getSessionEnv $PPID)
eval $session_env
$SHELL_API setupSession
# Check session
$SHELL_API inSession
if [ $? -ne 0 ]; then
echo "Can not init session"
exit 1
fi
br0_ip=$(/sbin/ifconfig br0 | grep "inet addr" | awk -F: '{print $2}' | awk '{print $1}')
subnet_base=`echo $br0_ip | cut -d"." -f1-3`
gateway_ip=$subnet_base".254"
$DELETE protocols static route 80.10.117.120/31
$DELETE protocols static route 81.253.206.0/24
$DELETE protocols static route 81.253.210.0/23
$DELETE protocols static route 81.253.214.0/23
$DELETE protocols static route 172.19.20.0/23
$DELETE protocols static route 172.20.224.167/32
$DELETE protocols static route 172.23.12.0/22
$DELETE protocols static route 193.253.67.88/29
$DELETE protocols static route 193.253.153.227/32
$DELETE protocols static route 193.253.153.228/32
$SET protocols static route 80.10.117.120/31 next-hop $gateway_ip
$SET protocols static route 81.253.206.0/24 next-hop $gateway_ip
$SET protocols static route 81.253.210.0/23 next-hop $gateway_ip
$SET protocols static route 81.253.214.0/23 next-hop $gateway_ip
$SET protocols static route 172.19.20.0/23 next-hop $gateway_ip
$SET protocols static route 172.20.224.167/32 next-hop $gateway_ip
$SET protocols static route 172.23.12.0/22 next-hop $gateway_ip
$SET protocols static route 193.253.67.88/29 next-hop $gateway_ip
$SET protocols static route 193.253.153.227/32 next-hop $gateway_ip
$SET protocols static route 193.253.153.228/32 next-hop $gateway_ip
$COMMIT
$SAVE
ubnt@dsraph:/config/scripts/post-config.d$ sudo dhclient -v -cf /config/dhclient.conf br0
Internet Systems Consortium DHCP Client 4.1-ESV-R7
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit [url]https://www.isc.org/software/dhcp/[/url]
Listening on LPF/br0/24:a4:3c:b3:37:##
Sending on LPF/br0/24:a4:3c:b3:37:##
Sending on Socket/fallback
DHCPREQUEST on br0 to 255.255.255.255 port 67
DHCPACK from 10.51.215.126
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
bound to 10.51.215.## -- renewal in 38704 seconds.
tu habites dans quel coin si c'est pas indiscret, ce serai pas du au nombre de personne dans ton coin orange mettrai des plages moins etendu vu qu'il y a moins de personnes ?
Le "configuration tree" c'est une tres bonne idee
+1000
il a l'air pas mal du tout je vais tester de ce pas des que j'aurai 10 secondes !
set interfaces ethernet eth1 vif 851 egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
set interfaces ethernet eth1 vif 840 egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
set interfaces ethernet eth1 vif 838 egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
Confirmé c'est bon, sans aucun script !
Pour "migrer" vers ca :
1. Definir les egress dans la conf (cf plus haut)
2. Bien activer le dhcp sur le br0 (comme je le lancais a la main, chez moi il était off => GUI éditer l'interface, choisir DHCP)
3. Virer tout script de "/config/scripts/post-config.d"
J'ai vérifié les egress elles sont vient appliquées, exactement le meme reglage que ce qu'on faisait a la main et donc le meme résultat 8)
configure
set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth1 dhcp-options client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
set interfaces ethernet eth1 dhcp-options client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX"
set interfaces ethernet eth1 dhcp-options client-option "request subnet-mask, routers, ntp-servers, www-server, rfc3442-classless-static-routes;"
commit
save
bridge br0 {
address dhcp
aging 300
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:MAC;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
default-route update
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
[ service nat rule 5010 outbound-interface pppoe0 ]
NAT configuration warning: interface pppoe0 does not exist on this system
[ service nat rule 5011 outbound-interface br0 ]
NAT configuration warning: interface br0 does not exist on this system
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
interface "br0" {
send vendor-class-identifier "sagem";
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";
send dhcp-client-identifier 1:xx:xx:xx:xx:xx:f0;
request subnet-mask, routers, ntp-servers, www-server, rfc3442-classless-static-routes;
}
interface "eth1.851" {
send vendor-class-identifier "FT_VoIP_Sagem_Boxer_160v1.0";
request subnet-mask, routers, ntp-servers;
}
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Internet Systems Consortium DHCP Client 4.1-ESV-R7
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/ (https://www.isc.org/software/dhcp/)
" does not exist.
"annot find device "br0
Bind socket to interface: No such device
configure
set interfaces ethernet eth1 vif 851 egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
set interfaces ethernet eth1 vif 840 egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
set interfaces ethernet eth1 vif 838 egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
commit
save
configure
set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth1 dhcp-options client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
set interfaces ethernet eth1 dhcp-options client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX"
set interfaces ethernet eth1 dhcp-options client-option "request subnet-mask, routers, ntp-servers, www-server, rfc3442-classless-static-routes;"
commit
save
configure
set interfaces ethernet br0 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet br0 dhcp-options client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
set interfaces ethernet br0 dhcp-options client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX"
set interfaces ethernet br0 dhcp-options client-option "request subnet-mask, routers, ntp-servers, www-server, rfc3442-classless-static-routes;"
commit
save
@ubnt# show protocols igmp-proxy
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
Laisse rien au hasard.La borne airport extreme fonctionne vraiment bien :
http://www.apple.com/s/Aj2n0K8 (http://www.apple.com/s/Aj2n0K8)
Certes ce n'est pas donné mais niveau AC, puissance du signal et couverture ça fonctionne très bien. A ça tu rajoutes 3 ports Giga + USB.
Chacun ses goûts ::)
PS : Merci pour les informations sur les switchs 8)
Ah ok, fallait parler du budget alors ! ^^ C'est entre 3 et 4 fois le prix !!! :p
A ce compte là, l'Asus RT-AC68U est très efficace ! (Et toujours moins cher que la borne Apple... ^^)
http://www.asus.com/fr/Networking/RTAC68U/ (http://www.asus.com/fr/Networking/RTAC68U/)
J'ai la version RT-AC66U et j'en suis très content. :)
Et il existe de très bons firmwares alternatifs pour ceux qui veulent s'amuser ou utiliser des fonctions encore plus avancées. :)
http://forums.smallnetbuilder.com/showthread.php?t=7846 (http://forums.smallnetbuilder.com/showthread.php?t=7846)
Apple AirPort Extreme, jusqu'à 1,3 Gbit/s.
Asus RT-AC68U, jusqu'à 1,9 Gbits/s.
Sur la borne AC l'option est présente.
Chain MINIUPNPD (1 references)
target prot opt source destination
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:22505 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:61893 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:13663 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:20028 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:1151 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:44324 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:14752 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:48217 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:4112 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:52532 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:27981 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:55960 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:7408 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:50156 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:43573 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:7740 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:21616 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:1724 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:21494 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:39261 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:58575 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:13161 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:59709 to:1 92.168.X.XX:8443
DNAT tcp -- 81.253.207.124 0.0.0.0/0 tcp dpt:44560 to:1 92.168.X.XX:8443
la 1.6.0 beta 1 viens de sortir
http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-6-0beta1/m-p/1027855#U1027855 (http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-6-0beta1/m-p/1027855#U1027855)
la 1.6.0 beta 1 viens de sortir
http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-6-0beta1/m-p/1027855#U1027855 (http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-6-0beta1/m-p/1027855#U1027855)
Mettez moi des UP des +1 ce que vous voulez ici :Lol, tu l'as voulu... On a tellement mis les pieds dans le plat que tu as été obligé de prendre les devants pour nous excuser, c'est ça ? ;D
http://community.ubnt.com/t5/EdgeMAX-Beta/DHCP-exit-hooks-and-option-121-classless-static-routes/m-p/1002555/highlight/false#M6330 (http://community.ubnt.com/t5/EdgeMAX-Beta/DHCP-exit-hooks-and-option-121-classless-static-routes/m-p/1002555/highlight/false#M6330)
Des idées de solutions ca serait encore mieux.
En résumé : on règle "ca" et fini toute edition manuelle de la conf, des routes etc. Tu mets des identifiants orange et la mac de la freebox et tout se fait tout seul (avec un wizard inclus dans la GUI, oui madame).
Go, go, go :D
Oui pb regleGood! :)
J'avoue, on a plus donné dans le cheerleader que dans les explications techniques ! ^^
0 pointé en technique ! :-[On voulait être sûr de ne pas raconter de connerie. ^^ Enfin je parle pour moi déjà. :P
Oui c'était histoire de montrer que c'était pas juste un illuminé qui demandait. On est les seuls a exprimer ce besoin a ce jour, faut se montrer un peu.
En gros : si on fait le taff, indique avec quelle version de dhclient ca marche etc (mâche le taff en gros), ils implèmenteront rapidement (prochain cycle probable).
Il faut :
1. Verifier quelle version de dhclient on a actuellement
2. Trouver et tester un dhclient qui accepterait une option 121
3. Essayer de le compiler et de le tester en live sur l'ERL
En // verifier a chaque fois si le script exit hook qui crée les routes fonctionnent.
Je crois avoir une idée de qui a ces infos :D
bonjour,
une question dès lors que la livebox ne fait plus partie de l’équation , est-il possible de faire du loopback (hebergement de site web)
le loopback fonctionne tres bien chez moi !
L'ERl me réponds qu'il ne trouve pas le package (qui est comme décrit dans /config)
On installe vlan
- Téléchargez ce fichier : https://github.com/c0mm0n/edgemax4orange/blob/master/vlan_1.9-3_mips.deb (https://github.com/c0mm0n/edgemax4orange/blob/master/vlan_1.9-3_mips.deb)
- Connectez vous en ssh ou sftp
- Placez le dans le dossier /configCode: [Sélectionner][b]dpkg -i /config/scripts/post-config.d/vlan_1.9-3_mips.deb[/b]
route add -net 172.20.224.167/32 gateway XX.XX.XX.254
SIOCADDRT: Invalid argument
Emmene la au resto, fais lui l'amour pendant 2h, y a plein d'idées :D
Teaser :p
(https://www.evernote.com/shard/s1/sh/b32d878f-62e9-4107-a9a1-470d1942caf0/f447873eb0e761f9dd2282cd824a82e2/deep/0/Bootstrap-101-Template.png)
Bon c'est fini qui veut tester ? :D
c0mm0n, Haldir, tivoli et 5 Invités sur ce sujet
route 80.10.117.120/31 {
next-hop 34:8A:AE:2A:E3:34 {
}
}
Nan c'est dans la conf, mais elles sont pas passées.
La TV marche non ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:10.79.37.254;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 10.79.37.254 {
}
}
route 81.253.206.0/24 {
next-hop 10.79.37.254 {
}
}
route 81.253.210.0/23 {
next-hop 10.79.37.254 {
}
}
route 81.253.214.0/23 {
next-hop 10.79.37.254 {
}
}
route 172.19.20.0/23 {
next-hop 10.79.37.254 {
}
}
route 172.20.224.167/32 {
next-hop 10.79.37.254 {
}
}
route 172.23.12.0/22 {
next-hop 10.79.37.254 {
}
}
route 193.253.67.88/29 {
next-hop 10.79.37.254 {
}
}
route 193.253.153.227/32 {
next-hop 10.79.37.254 {
}
}
route 193.253.153.228/32 {
next-hop 10.79.37.254 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping Chromecast {
ip-address 192.168.1.108
mac-address 6c:ad:f8:88:b1:ec
}
static-mapping FIXE {
ip-address 192.168.1.100
mac-address 6c:62:6d:99:21:b9
}
static-mapping HP5EBB6F {
ip-address 192.168.1.198
mac-address 28:92:4a:5e:bb:6f
}
static-mapping MED600X3D {
ip-address 192.168.1.109
mac-address 00:ce:40:02:e0:2f
}
static-mapping NAS {
ip-address 192.168.1.110
mac-address 00:11:32:0a:e3:29
}
static-mapping TP-LINK_AP {
ip-address 192.168.1.199
mac-address 64:70:02:cd:72:a1
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user Titilassalle {
authentication {
encrypted-password $6$DY2Ihll9XOR$TfiHdLdynUab7oJ1pf3rMfKWXXdeP52b7l4szdPopMT3ci.QhePbDBlphxggJPzNU4U.62vjImx5tv4c97G6g/
plaintext-password ""
}
full-name Etienne
level admin
}
}
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
Invalid config file (syntax error): error at line 80, text [sagem";"]
Failed to parse specified config file
Invalid config file (syntax error): error at line 82, text [\047FSVDSL_livebox.MLTV.softathome.Livebox3";"]
Failed to parse specified config file
sudo dhclient -cf /config/dhclient.conf br0
sudo /sbin/start-stop-daemon --start --startas /sbin/igmpproxy --make-pidfile --pidfile /var/run/igmpproxy.pid --background -- /etc/igmpproxy.conf
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
1.6 RC1 out vendredi!
http://community.ubnt.com/t5/EdgeMAX-Beta/Release-candidate-v1-6-0rc1/m-p/1049157#U1049157 (http://community.ubnt.com/t5/EdgeMAX-Beta/Release-candidate-v1-6-0rc1/m-p/1049157#U1049157)
Oct 14 20:07:15 EdgeMax miniupnpd[2321]: remove port mapping 18018 TCP because it has expired
Oct 14 20:07:15 EdgeMax miniupnpd[2321]: remove port mapping 23941 TCP because it has expired
Oct 14 20:07:09 EdgeMax miniupnpd[2321]: remove port mapping 53486 TCP because it has expired
Oct 14 20:07:06 EdgeMax miniupnpd[2321]: remove port mapping 59597 TCP because it has expired
Oct 14 20:07:03 EdgeMax miniupnpd[2321]: remove port mapping 7538 TCP because it has expired
Oct 14 20:06:57 EdgeMax miniupnpd[2321]: remove port mapping 11940 TCP because it has expired
Oct 14 20:06:55 EdgeMax miniupnpd[2321]: remove port mapping 31548 TCP because it has expired
Oct 14 20:06:46 EdgeMax miniupnpd[2321]: remove port mapping 60843 TCP because it has expired
Oct 14 20:06:31 EdgeMax miniupnpd[2321]: remove port mapping 26591 TCP because it has expired
Oct 14 20:06:29 EdgeMax miniupnpd[2321]: remove port mapping 1543 TCP because it has expired
Oct 14 20:06:26 EdgeMax miniupnpd[2321]: remove port mapping 59028 TCP because it has expired
Oct 14 20:06:20 EdgeMax miniupnpd[2321]: remove port mapping 62946 TCP because it has expired
Oct 14 20:06:17 EdgeMax miniupnpd[2321]: remove port mapping 15997 TCP because it has expired
Oct 14 20:06:17 EdgeMax miniupnpd[2321]: remove port mapping 49678 TCP because it has expired
Oct 14 20:06:11 EdgeMax miniupnpd[2321]: remove port mapping 65071 TCP because it has expired
Oct 14 20:06:08 EdgeMax miniupnpd[2321]: remove port mapping 34957 TCP because it has expired
Oct 14 20:05:58 EdgeMax miniupnpd[2321]: remove port mapping 58174 TCP because it has expired
Oct 15 11:07:54 EdgeMax miniupnpd[2233]: upnp_event_process_notify: connect failed: Connection timed out
Oct 15 11:06:53 EdgeMax miniupnpd[2233]: upnp_event_process_notify: connect failed: No route to host
Oct 15 10:24:58 EdgeMax miniupnpd[2233]: upnp_event_process_notify: connect failed: No route to host
Oct 15 10:24:58 EdgeMax miniupnpd[2233]: upnp_event_process_notify: connect failed: No route to host
Oct 15 10:24:56 EdgeMax miniupnpd[2233]: upnp_event_recv: recv(): Connection reset by peer
Redonne moi un lien vers le script des routes plz /titi
d'un autre coté c0mm0n d'un certain point de vue il a pas vraiment tord!
il y a des infos qui partent à la trappe dans les X messages entre les différents acteurs (type les messages que j'ai fais avec ma conf sur le topic général qui d'ici quelques jour seront complètement invisibles)
il ne faut pas hésiter à rajouter régulièrement les infos pertinentes dans les premières pages du topic.
ou à la limite juste des liens vers les messages tout fait!
;) a+
10:10:18.451780 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 309)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from 68:15:90:30:2a:62 (oui Unknown), length 281, xid 0x4e3cf89f, secs 576, Flags [Broadcast] (0x8000)
Client-Ethernet-Address 68:15:90:30:2a:62 (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 6:
Subnet-Mask, Lease-Time, RN, RB
Option 120, Classless-Static-Route
Vendor-Class Option 60, length 27: "FT_VoIP_Sagem_Boxer_160v1.0"
10:10:18.451866 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 309)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from 68:15:90:30:2a:62 (oui Unknown), length 281, xid 0x4e3cf89f, secs 576, Flags [Broadcast] (0x8000)
Client-Ethernet-Address 68:15:90:30:2a:62 (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 6:
Subnet-Mask, Lease-Time, RN, RB
Option 120, Classless-Static-Route
Vendor-Class Option 60, length 27: "FT_VoIP_Sagem_Boxer_160v1.0"
firewall {
options {
mss-clamp {
mss 1412
}
}
}
interfaces {
bridge br0 {
description BR_VOIP
}
bridge br1 {
description BR_TV
}
ethernet eth0 {
address 192.168.2.1/24
duplex auto
poe {
output off
}
speed auto
description LIVEBOX
vif 835 {
description FTTH
}
vif 851 {
bridge-group {
bridge br0
}
description VOIP
}
vif 838 {
bridge-group {
bridge br1
}
description TV
}
vif 840 {
bridge-group {
bridge br1
}
description TV
}
}
ethernet eth1 {
duplex auto
poe {
output off
}
speed auto
description ONT
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password
user-id fti/pv7rwpy
}
}
vif 851 {
bridge-group {
bridge br0
}
description VOIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
vif 838 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
description ADMIN
address 192.168.10.1/24
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth4
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/pv7rwpy {
password
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $6$ifpD9bGD$qEmwDWPGtclW8Xm4QMofysOHHzoOymnl1zvEjQwj6rGnbidny9Ip16pTKTlkYgbA4q0yGXATIBr9GclGaFAYH.
}
level admin
}
}
name-server 80.10.246.2
name-server 80.10.246.129
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
oot@ubnt# cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 341
total bytes transmitted 30310
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
[edit]
root@ubnt# commit
No configuration changes to commit
[edit]
root@ubnt# cat /proc/net/vlan/eth1.840
eth1.840 VID: 840 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 144
total bytes received 6624
Broadcast/Multicast Rcvd 144
total frames transmitted 342
total bytes transmitted 29756
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
[edit]
root@ubnt#
oot@ubnt# cat /proc/net/vlan/eth1.851
eth1.851 VID: 851 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 10
total bytes received 4341
Broadcast/Multicast Rcvd 0
total frames transmitted 252
total bytes transmitted 38717
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6
#!/bin/bash
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
Benj06 tu n'es pas tout seul.
Je suis exactement dans ton cas.
Edgerouter 3 port.
config par défaut de titi sur homelabs.fr, j'ai même suivi la config pas à pas.
Internet via ER OK
Internet via livebox OK
TV + VOIP livebox NOK.
J'ai les mêmes résultats que toi avec tcpdump.
Enfin ta correction fonctionne également. (ajout des egress avec package vlan)
Je n'ai pas eu le temps de tester en rentrant les egress dans le config tree pour tester. Je testerai à l'occas.
Bien content en tout cas! ;) Je galérais depuis 1 semaine sur ça
Je suis d'accord, je ne voix pas comment cela n'a pas été repéré par d'autre.
En fait le server PPPOE fonctionne très bien via ton tuto, puisque la livebox est bien "connecté à internet". De plus quand le me connecte derrière la livebox j'ai bien internet. Enfin elle récupère bien une adresse 10..... dans show interface.
Le problème viens des autres vlan TV et VOIP et à priori du bridge. (en attendant la réponse de ubnt)
Pourquoi cela marche chez d'autre, bonne question.
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
sudo cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 749
total bytes transmitted 85467
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
#!/bin/bash
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
zougoulou59@ubnt:~$ sudo ./egress.sh
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
Set egress mapping on device -:eth1.838:- Should be visible in /proc/net/vlan/eth1.838
Set egress mapping on device -:eth1.840:- Should be visible in /proc/net/vlan/eth1.840
Set egress mapping on device -:eth1.851:- Should be visible in /proc/net/vlan/eth1.851
zougoulou59@ubnt:~$ sudo cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 1
total bytes received 291
Broadcast/Multicast Rcvd 0
total frames transmitted 764
total bytes transmitted 88258
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4
show version
Version: v1.6.0
Build ID: 4716006
Build on: 10/31/14 17:31
Copyright: 2012-2014 Ubiquiti Networks, Inc.
HW model: EdgeRouter Lite 3-Port
zougoulou59@ubnt:~$ show version
Version: v1.6.0
Build ID: 4716006
Build on: 10/31/14 17:31
Copyright: 2012-2014 Ubiquiti Networks, Inc.
HW model: EdgeRouter Lite 3-Port
HW S/N: XXXXXXXXXXXXX
Uptime: 10:04:41 up 3 days, 22:03, 2 users, load average: 0.00, 0.01, 0.05
24/ Allumez donc la LB avec son interrupteur derrière, et attendez son cycle de démarrage, si tout est ok, vous aurez un joli Internet OK, n° tel 0x.xx.xx.xx.xx avec le I tout vert!je me mets derriere la livebox et je vois l'état comme benj06, Internet OK, VOIP NOK et TV NOK. J'essaye la TV et la téléphone et ca ne fonctionne pas.
25/ Il ne reste plus qu’à allumer le décodeur TV, et…. de profiter!!!
La maj doit inclure (en plus du Edge OS) plusieurs versions de fichier en fonction de la révision du modèle.
Je suppose qu'avec les bonnes commandes (show version ?) ça serait facile à vérifier.
Une idée pour les flux tv, j'ai essayé juste un fait fichier m3u hier (datant de 2010...) mais ça n'avait pas marché. Il était tard aussi :D
Me voila de retour,
Titi, voici ma démarche,
J'ai bien un ERL 3 ports, bord rond, finition en platique.
Voici mon show version si cela peut servir :Code: [Sélectionner]zougoulou59@ubnt:~$ show version
Version: v1.6.0
Build ID: 4716006
Build on: 10/31/14 17:31
Copyright: 2012-2014 Ubiquiti Networks, Inc.
HW model: EdgeRouter Lite 3-Port
HW S/N: XXXXXXXXXXXXX
Uptime: 10:04:41 up 3 days, 22:03, 2 users, load average: 0.00, 0.01, 0.05
J'ai donc commencé par suivre attentivement tout le topic ainsi que les 3 autres.
Je me suis donc lancé au vus des beaux résultats que vous aviez. (étant auto-hébergé le livebox était la goute d'eau...)
J'ai ouvert la boite, joué un peu, fais quelques manip, connecté internet, merdé sur le nat, bloqué le FW... jusqu'au reset
J'ai suivi ton tuto "pas à pas". Cependant comme le dis MikeTheFreeman j'avais déja un adressage en 192.168.2.0/24 (serveur,switch,ap..) Et j'avais pas du tout envie de le changer.
Donc avant d'appliquer le load, (point 15) j'ai modifié l'adressage du eth0 et 3 et des 2 DHCP server et c'est tout.
Load, commit, reboot, patch du pppoe server.
et la livebox se connecte. sauf le telephone, donc je refais tout le tuto et je ne comprend pas puisque comme tu le dis si bien je me mets derriere la livebox et je vois l'état comme benj06, Internet OK, VOIP NOK et TV NOK. J'essaye la TV et la téléphone et ca ne fonctionne pas.
J'attend quelques jours dans cet état et là benj06 poste sa solution qui fonctionne chez moi.
Je ne connais pas les raisons qui font que cela marche chez d'autre et pas chez moi mais j'aimerai par curiosité les connaitres.
L'essentiel est que benj06 ai trouvé une solution et que ubnt soit prévenu.
De mon point de vue je ne fait que confirmer la solution de benj06 et que le probleme semble lié aux egress.
Si je trouve 15 min ce weekend je ferais avec mon ERL un reset et ton tuto pas a pas.
Version: v1.6.0
Build ID: 4716006
Build on: 10/31/14 17:31
Copyright: 2012-2014 Ubiquiti Networks, Inc.
HW model: EdgeRouter PoE 5-Port
HW S/N: 24A43C05####
Uptime: 11:14:46 up 10 days, 18:30, 1 user, load average: 0.01, 0.03, 0.05
Si tu essaye de récupérer les flux multicast méfie toi, ils sont cryptés en viaccess (d'où la carte à puce à mettre dans la box TV)
Il peut y avoir une autre piste, c'est que vos équipements orange soient pas forcèment les mêmes, et qu'ils ne tiennent pas compte des EGRESS. ou alors que par exemple l'ONT les re-force. Les miens ont 3 mois.
Pour s'en assurer: un tcpdump avec wireshark qui prouve que les paquets ressortent bien avec le bon COS.
Bonjour à tous,
Pour info, j'ai le Egderouteur 5 POE et je n'ai pas de soucis avec les vlan et egress.
Cela m'est arrivé de ne pas avoir de vlan en installant la rc1 de mémoire et j'avais fait un retour arrière.
En firmware 1.5, 1.6 rc2 et en 1.6 finale pas de soucis.
Il m'est arrivé de merder sur la conf et de refaire des reset complets ou récupérer la conf via cable serie.
J'ai suivi le tuto de C0mm0n :
- install de la config du github pour récupérer la passerelle video
- installation du package vlan via apt install
- génération de la config via le générateur
Si vous voulez je peux poster ma conf.
Baki.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "LAN 1"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
vif 838 {
bridge-group {
bridge br0
}
description LAN.TV
}
vif 840 {
bridge-group {
bridge br0
}
description LAN.TV2
}
vif 851 {
bridge-group {
bridge br0
}
description LAN.VoIP
}
}
ethernet eth1 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/
password
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.2.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 0.0.0.0 {
}
}
route 81.253.206.0/24 {
next-hop 0.0.0.0 {
}
}
route 81.253.210.0/23 {
next-hop 0.0.0.0 {
}
}
route 81.253.214.0/23 {
next-hop 0.0.0.0 {
}
}
route 172.19.20.0/23 {
next-hop 0.0.0.0 {
}
}
route 172.20.224.167/32 {
next-hop 0.0.0.0 {
}
}
route 172.23.12.0/22 {
next-hop 0.0.0.0 {
}
}
route 193.253.67.88/29 {
next-hop 0.0.0.0 {
}
}
route 193.253.153.227/32 {
next-hop 0.0.0.0 {
}
}
route 193.253.153.228/32 {
next-hop 0.0.0.0 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.21 {
stop 192.168.1.240
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.240
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
pppoe-server {
authentication {
local-users {
username fti/pv7rwpy {
password ****************
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
@pag : l'ip de la passerelle vidéo est la dernière adresse de host du subnet (à déduire avec l'adresse ip que prend le bridge et avec le masque). Tout ceci dans le cas d'une config sans livebox.
Hier soir j'ai finalement eu le temps pour wipe l'ERL et passer la configuration "par défaut".
Pour ne pas fausser les résultats, j'ai scrupuleusement suivi le tuto de Titilassalle (http://www.homelabs.fr/configuration/edgeos-livebox-pas-pas/).
Ce qui m'a fait découvrir quelques erreurs de procédure :
- pas de save après le commit puis demande de reboot : comment l'ERL a pu garder la configuration ?
- demande d'execution du script pour le patch du server pppoe avec la commande .[espace]/script.sh (mention d'un espace entre le point et le nom du script explicité dans le tuto), ce qui n'est pas la bonne manière d'executer le script
Le résultat du test avec l'adressage par défaut : strictement le même qu'avec mon changement perso sur l'adresse de l'eth0 donc pas de tel et pas de tv. L'affichage notamment du /proc/net/vlan/eth1.851 montre que les egress sont vides.
Après installation du paquet vlan et execution du script de benj06, retour à la normale : le tel monte presque instantanèment, les config egress sont visibles et les frames s'incrèmentent dans /proc/net/vlan/eth1.851.
Je ne comprends donc pas tes résultats Titilassalle. J'ai pris des captures d'écran pour illustrer le tout, je les posterai quand ce week end quand je serai chez moi.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "LAN DEV"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
ethernet eth1 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/
password
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.2.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 192.168.1.2 {
}
}
route 81.253.206.0/24 {
next-hop 192.168.1.2 {
}
}
route 81.253.210.0/23 {
next-hop 192.168.1.2 {
}
}
route 81.253.214.0/23 {
next-hop 192.168.1.2 {
}
}
route 172.19.20.0/23 {
next-hop 192.168.1.2 {
}
}
route 172.20.224.167/32 {
next-hop 192.168.1.2 {
}
}
route 172.23.12.0/22 {
next-hop 192.168.1.2 {
}
}
route 193.253.67.88/29 {
next-hop 192.168.1.2 {
}
}
route 193.253.153.227/32 {
next-hop 192.168.1.2 {
}
}
route 193.253.153.228/32 {
next-hop 192.168.1.2 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.50
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.50
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Avoir la Box orange ne change rien à la stabilité. Elle est utilisée uniquement derrière le routeur. Personnellement c'est la solution que j'ai adoptée.
shared-network-name LAN3 {
authoritative disable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
lease 86400
start 192.168.9.1 {
stop 192.168.9.10
}
}
}
En effet, j'ai pas vu le save.
Pour l'espace après le point, ça passe parceque le shell est un peu permissif mais à titre d'info, tu n'as pas d'espace officiellement.
De quelle modif tu parle sur la LB (les seuls paramètres que j'ai changé c'est mes indentifiants fti/xxxx pour le pppoe client et server) ?
EDIT : je suis au travail sans accès à mon ERL, par contre j'ai déjà fait l'opération inverse et je n'ai pas pris de capture du fichier PPPoeServerConfig.
On verra ce week end si je me sens de le refaire mais là j'avais appliqué la même conf que toi (config.boot + patch pppoe) et ça m'a donné (logiquement selon moi) les même résultats.
Merci pour votre aide !
J'ai décidé de ne pas prendre la livebox, ca rendra sûrement l'architecture plus stable.
J'ai repris la conf orange 5 port sur le github. Bilan pour le moment : internet ok, mais pas tv (elle charge bien au démarrage mais impossible de regarder une chaine, "nous sommes désolées mais la chaîne [..]").
Voici la config:Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "LAN DEV"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
ethernet eth1 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/
password
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.2.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 192.168.1.2 {
}
}
route 81.253.206.0/24 {
next-hop 192.168.1.2 {
}
}
route 81.253.210.0/23 {
next-hop 192.168.1.2 {
}
}
route 81.253.214.0/23 {
next-hop 192.168.1.2 {
}
}
route 172.19.20.0/23 {
next-hop 192.168.1.2 {
}
}
route 172.20.224.167/32 {
next-hop 192.168.1.2 {
}
}
route 172.23.12.0/22 {
next-hop 192.168.1.2 {
}
}
route 193.253.67.88/29 {
next-hop 192.168.1.2 {
}
}
route 193.253.153.227/32 {
next-hop 192.168.1.2 {
}
}
route 193.253.153.228/32 {
next-hop 192.168.1.2 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.50
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.50
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Ayant mal configuré la passerelle, c'est peut être la cause. Pour indication mon IP brigde est 10.76.24.x/24, je dois prendre 10.76.24.254 en passerelle alors ? en considérant que l'adresse de broadcast est 10.76.24.255.
Encore merci !
Oui mais c'est bien ta LB qui gère la TV ? personnellement je la trouve bcp trop instable pour n'importe quelle tâche. Tout le temps obligé de reboot..
Maintenant je ne vois pas vraiment où ça peut bloquer à part au niveau de la passerelle..
Les clients DHCP c'est uniquement si tu veux pas passer par la Livebox pour la TV.
Pour moi j'ai rien touché a la config de la livebox, changé aucun adressage ni rien : si je rebranche l'ONT sur elle, ça remarche direct tout pareil.
Idem, pas touché à l'adressage livebox.
@Titilassalle : je laisse la livebox récupérer son adressse, je n'ai rien fixé, c'est la seule différence qu'il y a eu avec toi pour mon test hier. Mais via dhcp ou fixé en dur c'est pareil normalement.
Tu mets des point de suspension partout, j'ai donc franchement l'impression que tu insinues que je n'ai pas testé avec le fichier "normal".
C'est toi qui a un problème d'expression, j'y peut rien ! Et puis gueuler, le mot est un peu fort...
Ensuite, ça fonctionne chez toi, dieu sait ce que c0mm0n est venu installer quand tu lui a ouvert le port ssh. Et chez moi ça fonctionne également, je te remercie de t'en préocuper, tu sembles sauter un peu vite sur les conclusions :)
Au passage, certaines personnes impactées ont un ERL 3 ports, tu sembles vouloir l'oublier un peu trop vite.
Maintenant mon propos c'est de mettre en avant que tu n'as pas vraiment de compétence pour affirmer pourquoi le fait de modifier un range d'adresse semble résoudre le problème initial, pourtant tu prêches avec ferveur que tu as la solution juste parceque chez toi ça marche immédiatement et pas chez les autres.
Remets toi donc en question également je te prie.
#$str .= "refuse-pap\n";
#$str .= "refuse-chap\n";
#$str .= "refuse-mschap\n";
#$str .= "require-mschap-v2\n";
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
One last thing for replays/vod, static routes.
Get the IP you got from the dhcp on br0
Let's say this IP is 10.54.56.154
Change the last part with "254", we now have : 10.54.56.254
Use this gateway to setup your static routes like this
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
enable-default-log
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/4c2dgr3
password 9ccvrwe
}
}
Il est en v1.5.0 et configuré suivant la configuration standard (config en pièce jointe).
Est-ce que vous avez déjà rencontré ce soucis ? Est-ce qu'il peut être matériel ? Est-ce que vous avez des conseils/outils qui me permettraient d'analyser ce qu'il se passe à bas niveau ?
Merci beaucoup,
Christophe
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
#!/bin/bash
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
#$str .= "refuse-pap\n";
#$str .= "refuse-chap\n";
#$str .= "refuse-mschap\n";
#$str .= "require-mschap-v2\n"
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ****************
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ****************
url http://security.debian.org
username ""
}
}
Hello,
En plus de distribuer des IPs publique avec un lease court, Orange distribue aussi des IPs privée dans le meme genre de lease pour la partie TV. Je récupère une IP du type 10.54.xx.yy/22 différente à chaque requete au serveur DHCP. Vu qu'il faut réécrire les routes statiques pour que le flux TV et surtout VOD puissent etre routé, est-ce qu'il une méthode propre avec l'ubiquity edgemax ? Allumer la TV (et donc la livebox video) et avoir la suprise de se taper une erreur cryptique de livebox pour devoir ensuite changer les routes statiques pour avoir un flux n'est pas très pratique.
Je pense écrire un peu de shell en hook de dhclient au moment d'obtenir l'IP en 10.54.xx.yyy, faire un peu d'ipcalc et changer les routes statiques mais ça ne me semble pas efficace.
Quelle solution utilisez-vous ?
sub dhcp_conf_header {
my $output;
my $date = `date`;
chomp $date;
$output = "#\n# autogenerated by vyatta-interfaces.pl on $date\n#\noption rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
return $output;
}
root@xxxxx:/var/run# cat dhclient_br0.conf
#
# autogenerated by vyatta-interfaces.pl on Sun Jun 1 10:00:41 CEST 2014
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
interface "br0" {
send host-name "xxxxx";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";
send dhcp-client-identifier xxxxxxxxxxxxx;
request subnet-mask, routers, ntp-servers, www-server, rfc3442-classless-static-routes;
}
root@edgie:/etc/dhcp3/dhclient-exit-hooks.d# cat rfc3442-classless-routes
# set classless routes based on the format specified in RFC3442
# e.g.:
# new_rfc3442_classless_static_routes='24 192 168 10 192 168 1 1 8 10 10 17 66 41'
# specifies the routes:
# 192.168.10.0/24 via 192.168.1.1
# 10.0.0.0/8 via 10.10.17.66.41
RUN="yes"
if [ "$RUN" = "yes" ]; then
if [ -n "$new_rfc3442_classless_static_routes" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
set -- $new_rfc3442_classless_static_routes
while [ $# -gt 0 ]; do
net_length=$1
via_arg=''
case $net_length in
32|31|30|29|28|27|26|25)
net_address="${2}.${3}.${4}.${5}"
gateway="${6}.${7}.${8}.${9}"
shift 9
;;
24|23|22|21|20|19|18|17)
net_address="${2}.${3}.${4}.0"
gateway="${5}.${6}.${7}.${8}"
shift 8
;;
16|15|14|13|12|11|10|9)
net_address="${2}.${3}.0.0"
gateway="${4}.${5}.${6}.${7}"
shift 7
;;
8|7|6|5|4|3|2|1)
net_address="${2}.0.0.0"
gateway="${3}.${4}.${5}.${6}"
shift 6
;;
0) # default route
net_address="0.0.0.0"
gateway="${2}.${3}.${4}.${5}"
shift 5
;;
*) # error
return 1
;;
esac
# take care of link-local routes
if [ "${gateway}" != '0.0.0.0' ]; then
via_arg="via ${gateway}"
fi
# set route (ip detects host routes automatically)
ip -4 route add "${net_address}/${net_length}" \
${via_arg} dev "${interface}" >/dev/null 2>&1
done
fi
fi
fi
show ubnt offload
Code: [Sélectionner]show ubnt offload
ca m'indique bien que c'est actif pour le forwarding le pppoe et le VLAN mais aucun acceleration je vais reinstaller le firmware ce soir pour voir !
#!/bin/sh
ifconfig eth1 down
#!/bin/sh
sleep 5
ifconfig eth1 up
sudo chmod 777 /config/eth1*
sudo ln -s /config/eth1_enable.sh /etc/rc5.d/S06eth1_enable.sh
sudo ln -s /config/eth1_disable.sh /etc/rc6.d/S06eth1_disable.sh
Bonjour,
avez vous accès a la VOD je n'y ai plus accès malgré toutes mes config, la tv fonctionne bien je ne comprend pas pour ca ne fonctionne pas
Bonjour à tous,
Un petit message pour remercier tous les participants du forum pour m'avoir motiver a passer commande d'un Ubiquiti EdgeRouter Lite.
J'ai quelques notions d'informatiques et de réseau mais pas du niveau de certains ici surement :D, j'ai donc quelques questions si certain voudrait bien m'aider :
- Je pense suivre ce tuto http://www.homelabs.fr/configuration/edgeos-livebox-pas-pas/ (http://www.homelabs.fr/configuration/edgeos-livebox-pas-pas/)
En ce 4 mars 2015, est-il toujours d'actualité? Pas de problèmes en particulier?
Si j'ai tout compris, je branche mon Switch/AP (Apple Airport Extreme en mode bridge) sur l'eth0 et roulez jeunesse?
- J'ai cru comprendre que le DHCP était géré par l'ERL, le NAT aussi? (Joueur PS4, il va me falloir ouvrir les ports j'imagine)
- Pour le FireWall, est-il activé par défaut sur l'ERL? Y a t-il un profil par défaut pour une utilisation classique ou faut-il mettre les mains dans le cambouis? :D
sudo cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 10
total bytes received 3890
Broadcast/Multicast Rcvd 0
total frames transmitted 1123
total bytes transmitted 131231
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
vif 838 {
bridge-group {
bridge br0
}
description TV
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LAN2
duplex auto
poe {
output off
}
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
poe {
output off
}
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxx
user-id fti/xxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.0.254/24
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.35
}
}
}
shared-network-name LAN_SW {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.254
lease 86400
start 192.168.0.5 {
stop 192.168.0.49
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxx {
password xxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.840 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.838 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.838 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.840 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.838 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.840 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.838 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.840 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.840 with own address as source address
Mar 5 17:58:38 ubnt kernel: br0: received packet on eth0.838 with own address as source address
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 - u/u
eth0 192.168.2.1/24 u/u LAN2
eth0.835 - u/u
eth0.838 - u/u TV
eth0.840 - u/u TV
eth0.851 - u/u VoIP
eth1 - u/u Internet
eth1.835 - u/u FTTH
eth1.838 - u/u TV
eth1.840 - u/u TV
eth1.851 - u/u VoIP
eth2 - u/u
eth3 - u/D
eth4 - u/D
lo 127.0.0.1/8 u/u
::1/128
pppoe0 xxxxxxxxx u/u
switch0 192.168.0.254/24 u/u
sudo -i
configure
load orange.boot
commit (ici j'ai le warning en 1ere ligne du genre "interface pppoe0 not exist" ensuite tout à l'air de suivre son cours)
save
exit (ici Internet semble OK)
chmod +x /config/script-pppoe.sh
(il ne se passe graphiquement rien mais les permissions semblent bien changées, je check via FileZilla. /config/script-pppoe.sh
(avec l'espace entre le . et le /)root@ubnt : . /config/script-pppoe.sh
No such file or directory
No such file or directory
No such file or directory
root@ubnt :
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
refuse-pap/#
refuse-chap/#\$s
refuse-mschap/#
require-mschap-v2/#\
#$str .= "refuse-pap\n";
#$str .= "refuse-chap\n";
#$str .= "refuse-mschap\n";
#$str .= "require-mschap-v2\n";
sudo -i
chmod +x /config/scripts/post-config.d/PPPoE.sh
chmod +x /config/scripts/post-config.d/egress.sh
chmod 777 /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm ##Votre avis ici, je ne suis pas un pro mais au moins ça marche##
load orange.boot
commit
save
exit
sudo -i
apt update
apt install vlan ##Je n'arrivais pas à exécuter egress.sh à cause de ça je crois, depuis ça à l'air de fonctionner pour le script ##
exit
reboot
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
#!/bin/bash
for i in $(seq 0 7);do ##un espace ici, je sais pas si nécessaire mais ça fonctionne pour moi##
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
Je réponds à ma question pour ceux qui auraient le même soucis :
Il suffit d'avoir un switch qui gère les vlan (L2 suffit) et de déclarer les VLAN 835, 838, 840 et 851 en Tagged sur le port d'arrivé du routeur sur le switch (pas comme moi ne pas l'oublier !) et sur le port où se trouve la LB, tout en gardant untagged le vlan par défaut.
Tout marche (TV, téléphone, internet si on met un ordinateur sur le switch de la LB). Par contre si on veut administrer la LB il faut connecter un ordinateur sur le switch LB, l'interface "WAN" de la LB bloquant l'interface web et je n'ai pas envie de la débloquer dans la configuration de la LB.
Je viens tout juste de commander un ERL pour virer mon Pfsense
j'espère ne pas trop galéré a paramétrer la bestiole :P
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:18:62:XX:XX:XX:07;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
default-route update
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/xxxxxxxxx
password xxxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
route 80.10.117.120/31 {
next-hop 192.168.1.11 {
}
}
route 81.253.206.0/24 {
next-hop 192.168.1.11 {
}
}
route 81.253.210.0/23 {
next-hop 192.168.1.11 {
}
}
route 81.253.214.0/23 {
next-hop 192.168.1.11 {
}
}
route 172.19.20.0/23 {
next-hop 192.168.1.11 {
}
}
route 172.20.224.167/32 {
next-hop 192.168.1.11 {
}
}
route 172.23.12.0/22 {
next-hop 192.168.1.11 {
}
}
route 193.253.67.88/29 {
next-hop 192.168.1.11 {
}
}
route 193.253.153.227/32 {
next-hop 192.168.1.11 {
}
}
route 193.253.153.228/32 {
next-hop 192.168.1.11 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/user {
password secret
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth2.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
Bonsoir,
J ai fait l acquisition d un routeur 5 ports poe dans l'idée de supprimer la box orange.
Quels sont les configurztions( avec ou sans box ) que vous utilisez?
Effectivement un résume clair serait vraiment apprécié :) ( sans réclamer aux spécialistes qui maîtrisent ! )
Merci d avance !
Math.
configure
load orange.boot
commit
save
exit
reboot
apt update
apt upgrade
apt install vlan
sudo -s
chmod +x /config/script.sh
chmod +x /config/egress.sh
./config/script.sh
./config/egress.sh
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/xxxxxxxxx
password xxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/xxxxxxxx {
password xxxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth2.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
#!/bin/sh -e
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
dns {
dynamic {
interface pppoe0 {
service dyndns {
host-name xxxxxxxxxxxxx.ddns.net
login xxxxxxxx
password xxxxxxxx
server dynupdate.no-ip.com
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
Bonjour,
Voici les étapes a suivre pour faire fonctionner la LiveBox avec l'ERLite 3
Télécharger le Firmware et Logiciels
ERLite version 1.6 firmware ici https://www.ubnt.com/download/ (https://www.ubnt.com/download/)
Logiciels utilisés : Putty , WinSCP
Putty : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)
WinSCP : http://winscp.net/eng/download.php (http://winscp.net/eng/download.php)
Raccordement ERL :
eth0 = Réseau local 192.168.1.0/24
eth1 = ONT
eth2 = LiveBox
Configurer votre carte réseau (PC)
IP :192.168.1.2
Masque : 255.255.255.0
Passerelle : 192.168.1.1
DNS : 192.168.1.1
1/ ERL en fonction, Livebox raccordé mais éteinte et PC raccordé a eth0, ouvrer votre navigateur saisir 192.168.1.1 (Login : ubnt Password : ubnt ) , clic sur l'onglet System en bas a gauche puis Upgrade System Image = Upload file (choisir le firmware précédemment téléchargé) , l'ERL va redémarrer.
2/ Ouvrer votre navigateur saisir 192.168.1.1 , dans l'onglet System clic sur Reset Config to Default, l'ERL va redémarrer.
3/ lancer Putty en SSH adresse 192.168.1.1 port 22 , login ubnt password ubnt , vous voici loggé sur l'ERL , entrer ceci :Code: [Sélectionner]apt update
apt upgrade
apt install vlan
4/ Lancer WinSCP IP : 192.168.1.1 port 22, copier orange.boot, script.sh, egress.sh dans le dossier config de l'ERL
5/ Lancer Putty en SSH adresse 192.168.1.1 port 22 , login ubnt password ubnt Entrer ceci :Code: [Sélectionner]configure
load orange.boot
commit
save
exit
sudo -s
chmod +x /config/script.sh
chmod +x /config/egress.sh
./config/script.sh
./config/egress.sh
reboot
Mettre en fonction la Livebox internet et téléphone = OK
Mettre en fonction le Décodeur TV = OK
orange.boot
Attention a bien entrer vos identifiants (2 fois)Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/xxxxxxxxx
password xxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/xxxxxxxx {
password xxxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth2.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
Script pour le serveur-PPPOE : script.shCode: [Sélectionner]#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
script egress.sh :Code: [Sélectionner]#!/bin/sh -e
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
Bonjour,
oui j'ai oublié ce détail :-\ la livebox doit être en 192.168.2.21 et le décodeur raccordé a la livebox
Bonjour à tous,
Je dispose d'un ERL que je souhaite utiliser abec ma LB, qui servira à la TV téléphonie.
J'ai suivi le tuto sur Homelabs, pas à pas, mais il semble y avoir un soucis.
A la fin de la manip, j'ai bien le net sur mon PC, mais rien sur la LB, elle ne parvient pas à se connecter.
Lors de l'étape ou je dois exécuter un script, il semble que putty ne parvienne pas à trouver le fichier, alors qu'il est bien présent dans l'ERL.
J'ai essayé avec sudo, qui est la seule manip linux que je connaisse, même résultat.
(http://reho.st/self/ef13ec9a3664ea6d8164d7c333ad231a7e14ccc5.png)
Quelqu'un à une idée ?
Merci d'avance !
my $str;
$str = "$cfg_delim_begin\n";
$str .= "name pppoe-server\n";
$str .= "linkname pppoes\n";
#$str .= "refuse-pap\n";
#$str .= "refuse-chap\n";
#$str .= "refuse-mschap\n";
#$str .= "require-mschap-v2\n";
$str .= ${sstr};
$str .= "debug \n";
$str .= "lcp-echo-adaptive\n";
$str .= "lcp-echo-interval 5\n";
$str .= "lcp-echo-failure 6\n";
$str .= "lcp-max-configure 10\n";
$str .= "nopassive\n";
$str .= "proxyarp\n";
$str .= "nobsdcomp\n";
$str .= "novj\n";
$str .= "novjccomp\n";
$str .= "nologfd\n";
#!/bin/sh -e
/sbin/vconfig set_egress_map eth1.838 0 4
/sbin/vconfig set_egress_map eth1.838 1 4
/sbin/vconfig set_egress_map eth1.838 2 4
/sbin/vconfig set_egress_map eth1.838 3 4
/sbin/vconfig set_egress_map eth1.838 4 4
/sbin/vconfig set_egress_map eth1.838 5 4
/sbin/vconfig set_egress_map eth1.838 6 4
/sbin/vconfig set_egress_map eth1.838 7 4
/sbin/vconfig set_egress_map eth1.840 0 5
/sbin/vconfig set_egress_map eth1.840 1 5
/sbin/vconfig set_egress_map eth1.840 2 5
/sbin/vconfig set_egress_map eth1.840 3 5
/sbin/vconfig set_egress_map eth1.840 4 5
/sbin/vconfig set_egress_map eth1.840 5 5
/sbin/vconfig set_egress_map eth1.840 6 5
/sbin/vconfig set_egress_map eth1.840 7 5
/sbin/vconfig set_egress_map eth1.851 0 6
/sbin/vconfig set_egress_map eth1.851 1 6
/sbin/vconfig set_egress_map eth1.851 2 6
/sbin/vconfig set_egress_map eth1.851 3 6
/sbin/vconfig set_egress_map eth1.851 4 6
/sbin/vconfig set_egress_map eth1.851 5 6
/sbin/vconfig set_egress_map eth1.851 6 6
/sbin/vconfig set_egress_map eth1.851 7 6
J'ai exactement le même soucis que toi pour la VoIP !
J'ai refait 10 fois les manip, en 1.6, 1.6beta, 1.6alha et 1.7 alpha. Sans jamais de résultat. Au début je pensai que je ne recevait aucun appel, mais au fil des semaines, j'ai remarqué que de temps en temps, un appel entrant passe, genre 2/100 :-)
Le fait que la LB ne soit pas atteignable depuis le réseau du l'ubnt est tout a fait normal. On de sort pas de son réseau pour aller sur un autre par défaut. Qui plus est avec un routeur en entrée de l'autre.
Le setup avec livebox (la partie modem) résoudrait ton problème puisque ça serait la livebox qui gèrerait les routes et leurs mise à jour.
Mais comme tu dis, si tu touches un peu en script ça doit pouvoir se coder pour le modif dynamiquement à chaque fois.
Sinon pour mes soucis de téléphone (pour rappel au bout de un à deux jours, je ne recevais plus mes appels entrants qui filaient droit sur le répondeur), après avoir lu la conf de plusieurs camarades du topic, j'ai appliqué deux modifications :
- créé un nouveau bridge pour séparer la TOIP de la TV : vu dans une config de benj06 mais je crois qu'il avait fait ça pour mieux isoler les problèmes sur les vlans quand la config ne nécessitait pas encore l'install du paquet vlan + script egress
- ajouté les egress-qos dans la conf de l'ERL, la config initale avec livebox ne les avait pas (à contrario de la config sans livebox)
Je ne sais pas laquelle de ces modifs a résolu l'incident, je pencherai davantage pour les egress-qos.
Du coup ça fait 5 jours que l'ERL tourne, je teste le téléphone chaque jour et pour l'instant c'est bon.
Setup avec ERL 100% fonctionnel, je suis entièrement satisfait. Un peu anxieux pour quand Orange fera la maj pour l'IPv6 ou la supression éventuelle du PPPoE, j'espère que l'on pourra trouver un setup fonctionnel.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
description "description BR_VOIP"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
description "description BR_TV"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
ip {
}
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2_Livebox
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
ip {
}
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping SEB-PC {
ip-address 192.168.1.14
mac-address 90:1e:0e:1b:3b:b4
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxx {
password xxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $6$q1WmDzC2pz7H1JLU$t2YCUL08UPO/2H/RQ3gBNSG/W3opo3HNMymAn8yNr67e84NiWFP7OyTQ88Dn.1P0w0Wa.kfdfTiVco3nIYlW6.
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Salut,
j'utilise la solution de c0mm0n (ERL+TV), et j'ai un souci sur la partie VOD, je n'y ai pas accès. Quelqu'un dans le même cas ?
up
Si quelqu'un arrive à faire fonctionner la VOD dans la conf ERL+TV (donc sans livebox), ça m'interesse de voir sa conf. J'ai droit à des erreurs P01 et V05 quand je veux y accéder. De plus, le programme TV ne s'affiche pas (je ne sais pas si c'est lié par contre). Le flux TV fonctionne bien, le net aussi.
Merci d'avance.
Problème réglé, c'était un souci de passerelle vidéo. J'avais pris l'ip du br0 en mettant 254 à la fin, sauf que ça n'était pas la bonne. En prenant la dernière adresse possible du range de l'adresse du br0 (calcul fait à partir du masque), ça fonctionne parfaitement.
Sebastiii, On a vraiment exactement le même problème !
J'ai essayé ta conf, pour le moment ça fonctionne bien. Je vais essayer sur plusieurs jours avant de crier victoire :-)
Mais ca n’embête toujours, car cela nous dit par pourquoi les autres non pas le problème. Si on fait la même erreur ou je ne sais quoi d'autre (version d'erl, firmware LB...)
C'est cool :)
Et du coup le TEL (VoiP / ToIP) fonctionne aussi ?
D'ailleurs, je verrai bien si la LiveBox continuera de planter/freezer (logiquement j'espere que non vu qu'elle ne fera plus de NAT et Internet mais que la ToIP / TV).
La mienne est passé d'un plantage par semaine a plus jamais depuis qu'elle ne gère plus internet.
NB : Je suis en JET aussi. J'y suis passé quelque semaine avant de passer en ERL. Pour voir si la LB allé arrêter de planter, vu que pour moi les plantages sont du exclusivement au téléchargement\upload (surtout ce dernier) 24/24 7/7 ::)
Pas fait de test Samedi, pour les amateurs de sports auto, j'étais aux 6H de Spa :-)
Aucun soucis ce dimanche, je me suis fait faire appeler plusieurs fois, nickel.
Bonjour à tous,
Je dispose d'un ERL que je souhaite utiliser abec ma LB, qui servira à la TV téléphonie.
J'ai suivi le tuto sur Homelabs, pas à pas, mais il semble y avoir un soucis.
A la fin de la manip, j'ai bien le net sur mon PC, mais rien sur la LB, elle ne parvient pas à se connecter.
Lors de l'étape ou je dois exécuter un script, il semble que putty ne parvienne pas à trouver le fichier, alors qu'il est bien présent dans l'ERL.
J'ai essayé avec sudo, qui est la seule manip linux que je connaisse, même résultat.
(http://reho.st/self/ef13ec9a3664ea6d8164d7c333ad231a7e14ccc5.png)
Quelqu'un à une idée ?
Merci d'avance !
Mon objectif est d'intercaler un vrai FW entre internet et ma LB. C'est une question de principe. Le FW de la LB est tout pourri en plus. J'en ai vu de meilleurs chez Numéricable, c'est dire. En disposant d'un vrai FW en amont de la LB, je peux rapatrier chez moi mon serveur dédié hébergé chez OVH. J'ai monté pour ça une configuration Fanless qui fonctionne du tonnerre mais qui sort du cadre de ce topic.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:18:1E:78:44:37:00;"
client-option "request subnet-mask, routers, ntp-server, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/top
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description SWITCH
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name SWITCH {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/top {
password secret
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth0.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
Il ne faut pas mélanger les 2 modes (avec et sans LB). les options DHCP dans l'ERL c'est quand y'a pas la LB.
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:18:1E:XX:44:XX:00;"
client-option "request subnet-mask, routers, ntp-server, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
j'ai modifié les étapes ::)
Ok
interfaces{
(... eth0 ...)
(... eth1 ...)
(... eth2 ...)
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
switch switch0 {
address 192.168.3.1/24
description SWITCH
mtu 1500
switch-port {
interface eth3
interface eth4
}
}
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/top
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
switch switch0 {
address 192.168.3.1/24
description SWITCH
mtu 1500
switch-port {
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/top {
password secret
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth2.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
ubnt@ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 - u/u
eth0 192.168.1.1/24 u/u LAN1
eth1 - u/u Internet
eth1.835 - u/u FTTH
eth1.838 - u/u TV
eth1.840 - u/u TVhttps://lafibre.info/Themes/default/images/bbc/code.gif
eth1.851 - u/u VoIP
eth2 192.168.2.1/24 u/u LAN2
eth2.835 - u/u
eth2.838 - u/u TV
eth2.840 - u/u TV
eth2.851 - u/u VoIP
eth3 - u/D
eth4 - u/D
lo 127.0.0.1/8 u/u
::1/128
pppoe0 x.y.z.t u/u
pppoes0 10.255.253.0 u/u User: (192.168.2.210)
switch0 192.168.3.1/24 u/u SWITCH
apt update
apt upgrade
apt install vlan
transfert et lancement de egress.sh et du script d'édition du fichier PPPoEServerConfig2.pm
re-transfert du fichier maconfig.boot, re commit, puis reboot.
sudo cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 749
total bytes transmitted 85467
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
sudo cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 1
total bytes received 291
Broadcast/Multicast Rcvd 0
total frames transmitted 764
total bytes transmitted 88258
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4
ubnt@ubnt:~$ sudo cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 43
total bytes received 16727
Broadcast/Multicast Rcvd 0
total frames transmitted 323
total bytes transmitted 87470
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4
Ouep,
J'ai les meme data de mon coté :)
On est bien d'accord que le deco TV est branché sur le switch de la livebox et non sur ERP.
Sinon essaye peut etre de créer le second bridge (br1) pour separer la TV du TEL. Mais bon sans le br1 la TV etait OK de mon coté.
Y'aurai pas un bug avec l'ERP 5 ports, il me semble avoir lu ca quelque part.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description SWITCH
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name SWITCH {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.22 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/user {
password secret
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth0.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
ping 192.168.1.1 -n 1000
On s'en servira pour repérer quand changer le câble ethernet de port. Pour l'instant ça ping tranquillement.cd /config
configure
load maconfig.boot
commit
save
exit
sudo su
et on se retrouve rootapt update
assez longapt upgrade
[/s]Par simplicité, même si ça hérisse le poil en terme de sécurité ( Pleins de mises à jour de sécurité de SSL, kerberos, bind9) il vaut mieux ne pas faire d'upgrade ainsi tant que Ubiquiti ne fournira pas de dépot mips adapté à EdgeOS, ce qu'ils ne feront jamais car ça permettrait de facilement dupliquer leurs efforts sur un fork.
Dans tous les cas, la version 1.8 stable du firmware est dans les tuyaux, et on va se jeter dessus pour tester IPv6, donc pour l'heure, faites sans l'upgrade.
apt install vlan
chmod +x ./scripts/post-config.d/script.sh
chmod +x ./scripts/post-config.d/egress.sh
. ./scripts/post-config.d/egress.sh
. ./scripts/post-config.d/script.sh
ubnt@ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 - u/u
eth0 192.168.2.1/24 u/u LIVEBOX
eth0.835 - u/u
eth0.838 - u/u TV
eth0.840 - u/u TV
eth0.851 - u/u VoIP
eth1 - u/u Internet
eth1.835 - u/u FTTH
eth1.838 - u/u TV
eth1.840 - u/u TV
eth1.851 - u/u VoIP
eth2 - u/D
eth3 - u/u
eth4 - u/D
lo 127.0.0.1/8 u/u
::1/128
pppoe0 w.x.y.z u/u
pppoes0 10.255.253.0 u/u User: (192.168.2.210)
switch0 192.168.1.1/24 u/u SWITCH
On lance les décodeurs et c'est bon.echo 1 > /proc/cavium/ipv4/vlan
echo 1 > /proc/cavium/ipv4/fwd
echo 1 > /proc/cavium/ipv4/pppoe
Super. Ca serait bien d'avoir tout ces fichiers dans un projet sur github pour la postérité et pour les mettre a jour sans modifier les liens.
Comme ca je pourrais ajouter ces liens sur le 1er post (un inconnu qui débarque sur ce sujet va lire le 1er message mais pas forcement les 1200+ autres ...).
En attendant j'y met une référence du message #1221.
Si ça en intéresse quelques-un... j'avais un problème de perf (routage intra-vlan etc).
Activation de l'offload hardware:Code: [Sélectionner]echo 1 > /proc/cavium/ipv4/vlan
echo 1 > /proc/cavium/ipv4/fwd
echo 1 > /proc/cavium/ipv4/pppoe
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
Chez moi la config des offload depuis la conf n'était pas convenablement implèmentés, tout comme les egress. D'où le fait que je les ai réglé à la main.
Tu peux aussi faire un show ubnt offload
authentication {
local-users {
username fti/xxxxxxx {
password xxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.1.210
stop 192.168.1.211
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth1.835
mtu 1492
Exemple concret de Sebastiii :
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg225213/#msg225213
Pour egress j'ai pas installé VLAN donc j'ai pas utiliser le script. J'ai directement mis les infos dans le fichier de config du routeur. Ça marche très bien avec la 1.6
Tu utilises aussi le téléphone ? Tu peux poster ta config (en retirant tes identifiants) ?
firewall {
all-ping enable
broadcast-ping disable
group {
address-group PROXY_CLIENTS {
address 192.168.1.6-192.168.1.100
description ""
}
port-group PROXY_PORTS {
description ""
port 80
port 8080
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
firewall {
in {
}
}
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/toto_la_mouche
password et_sa_copine_zobie
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "SSH TO VM1"
forward-to {
address 192.168.1.4
port 22
}
original-port 22
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 208.67.222.222
dns-server 208.67.220.220
lease 10800
start 192.168.1.2 {
stop 192.168.1.50
}
static-mapping R7000 {
ip-address 192.168.1.13
mac-address c4:
}
static-mapping User-PC {
ip-address 192.168.1.21
mac-address ac:
}
static-mapping linux-4031 {
ip-address 192.168.1.12
mac-address c8:
}
static-mapping linux-VM1 {
ip-address 192.168.1.5
mac-address 00:
}
static-mapping raspberrypi {
ip-address 192.168.1.6
mac-address d8:
}
static-mapping raspberrypi-eth1 {
ip-address 192.168.1.4
mac-address b8:
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
dynamic {
interface pppoe0 {
service dyndns {
host-name all.dnsomatic.com
login titi@toto.com
password poumpoumpoum
server updates.dnsomatic.com
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/toto_la_mouche {
password et_sa_copine_zobie
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp disable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $6$le_petit_pez_etait_amoureux_du_petit_chaperon_rouge_bonbon.
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
parfait, je viens de le faire et ca fonctionne. Cool, plus qu'a regarder plus en détail pour bien tout configurer.
Sinon, pour mon soucis plus haut de broadcast, une idée?
Un conseil de point d'accès Wifi?
Merci pour votre aide
Tu peux en faisant une route.
Faudrait que tu ouvres l'accès wan à l'interface de ta livebox ou que tu configures une DMZ dans la livebox pour qu'elle forwarde tout vers l'ip (derrière livebox) que tu veux.
ok je voulais juste comprendre, ce n'est pas le but au final.
Des conseils pour sécuriser l'ERL ? en terme de firewall
Bonjour à tous et merci pour cet impressionnant travail d'investigation.Pour te répondre à la question 2, si ton réseau est en gigabit tu auras de bonnes perfs en ayant le décodeur sur le même câble, surtout pour une AP wifi qui n'utilisera pas tout le débit fourni par le gigabit même si celle-ci est en AC.
J'ai sauté le pas et recevrai dans les prochains jours un EdgeRouter 5 ports :)
J'ai lu une partie des messages de ce fil et suis loin d'être expert mais je reste confiant dans ma capacité à mettre la config en place pour remplacement COMPLET de la livebox, je n'utilise pas le téléphone.
Question 1: quelle la config la plus récente et la plus adaptée pour le ER 5 ports: la dernière de ce fil ou celle de C0mm0n sur Github pour un max de sécurité / perfs?
Question 2: Dans mon installation, j'ai un local où sera mon NAS, ONT et routeur mais je n'ai qu'un seul cable ethernet mural dispo allant du local jusque sous la TV où je placerai l'AP wifi et le décodeur. y a t il une config permettant de faire transiter sur le même port les infos destinées au décodeur TV et celles du LAN? En sachant que je veux prioriser la qualité de transfert sur le LAN.
Merci pour vos réponses.
@psm : Tu es content de l'offre pro? tu as choisi quelle offre? Et pour quoi partir sur des offres pro? Tu arrives à faire marcher le téléphone derrière l'ERL?
Merci!
Je cherche des retours d'expérience des offres orange pro.
Voici ma config pour Bouygues pour orange ce ne sera pas le meme vlan mais quasi pareil ...
#Configurer le VPN L2TP : IP Publique : 80.80.80.80 , IP ERL : 192.168.1.1 , Interface WAN : eth1.200
set vpn ipsec ipsec-interfaces interface eth1.200
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username toto password Unmotdepassedur
set vpn l2tp remote-access client-ip-pool start 192.168.99.6
set vpn l2tp remote-access client-ip-pool stop 192.168.99.8
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret Unsecretdur
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
set vpn l2tp remote-access outside-address 80.80.80.80
set vpn l2tp remote-access outside-nexthop 192.168.1.1
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access dns-servers server-2 8.8.8.8
#Open the required ports using the Web UI.
#Access the Web UI.
Click on the "Security Tab" (in earlier versions of the firmware) or the "Firewall/NAT" tab and then "Firewall Policies" (in firmware version 1.5).
Find the "WAN_LOCAL" rule (or whatever you called the rule that controls access to the router), and click "Actions" to the right of it.
Select "Edit Ruleset" from the pull-down.
Add a new rule somwhere before you drop invalid packets as follows:
Basic Tab:
• Description: Allow L2TP
• Check Enable.
• Action: Accept.
• Protocol: Either UDP (1.5) or Choose a protocol by name: udp (earlier versions)
Destination Tab:
• Port: 500,1701,4500
#Click Save.
Bon je teste ça lundi.
Questions:
- Ton eth1.200 c'est le vlan pour le net chez Bouygues, genre l'équivalent du eth1.835 chez Orange ?
- Ouverture de ports, on est d'accord je suis ça ?Code: [Sélectionner]#Open the required ports using the Web UI.
#Access the Web UI.
Click on the "Security Tab" (in earlier versions of the firmware) or the "Firewall/NAT" tab and then "Firewall Policies" (in firmware version 1.5).
Find the "WAN_LOCAL" rule (or whatever you called the rule that controls access to the router), and click "Actions" to the right of it.
Select "Edit Ruleset" from the pull-down.
Add a new rule somwhere before you drop invalid packets as follows:
Basic Tab:
• Description: Allow L2TP
• Check Enable.
• Action: Accept.
• Protocol: Either UDP (1.5) or Choose a protocol by name: udp (earlier versions)
Destination Tab:
• Port: 500,1701,4500
#Click Save.
Merci encore !
Bon j'ai testé, mais je dois merder quelque part car ça marche pas.
Je suis plus sur place et donc pas accès à la conf, je poste ça lundi pour voir ce qu'il ne va pas.
Merci pour tous les tips jusqu'ici !
start 192.168.2.21 {
stop 192.168.2.200
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
bon a savoir , car perso je n'utilise pas le reseau livebox pour le net , j'ai désactivé le WiFiTu as un ERL et du double NAT?
Je préfère et de loin mon RT-AC68U pour la partie WiFi .
Et le double nat :-\
avec le protocole 50 ouvert ?
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Allow L2TP #2"
log disable
protocol 50
}
rule 4 {
action accept
description "Allow L2TP #1"
destination {
port 500,1701,4500
}
log disable
protocol udp
}
}
vpn {
ipsec {
auto-firewall-nat-exclude disable
ipsec-interfaces {
interface eth1.835
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
}
l2tp {
remote-access {
authentication {
local-users {
username toto {
password mdptoto
}
}
mode local
}
client-ip-pool {
start 192.168.100.100
stop 192.168.100.200
}
dns-servers {
server-1 8.8.8.8
server-2 8.8.4.4
}
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret UnSecretSuperDur
}
ike-lifetime 3600
}
outside-address 80.80.80.80
outside-nexthop 10.58.8.1
}
}
}
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: received Vendor ID payload [RFC 3947]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: received Vendor ID payload [Dead Peer Detection]
Jun 2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: initial Main Mode message received on ip_de_mon_erl:500 but no connection has been authorized with policy=PSK
@tivoli: tu vas me dire si j'ai merdé ou pas.Code: [Sélectionner]name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Allow L2TP #2"
log disable
protocol 50
}
rule 4 {
action accept
description "Allow L2TP #1"
destination {
port 500,1701,4500
}
log disable
protocol udp
}
}
Et pour la partie VPN/L2TP:Code: [Sélectionner]vpn {
ipsec {
auto-firewall-nat-exclude disable
ipsec-interfaces {
interface eth1.835
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
}
l2tp {
remote-access {
authentication {
local-users {
username toto {
password mdptoto
}
}
mode local
}
client-ip-pool {
start 192.168.100.100
stop 192.168.100.200
}
dns-servers {
server-1 8.8.8.8
server-2 8.8.4.4
}
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret UnSecretSuperDur
}
ike-lifetime 3600
}
outside-address 80.80.80.80
outside-nexthop 10.58.8.1
}
}
}
Voila les differences avec ma config :
password mdptoto => password "mdptoto"
en dns j'ai mis l'erl en premier et 8.8.8.8 en deuxieme (je ne sais pas si ca joue)
outside-address 80.80.80.80 => la j'ai mon ip publique,je ne sais pas comment tu fais avec une ip dynamique ...
outside-nexthop 10.58.8.1 => la j'ai 192.168.1.1 l'ip de mon routeur je viens de le mettre en place donc ca marche ;-)
Jun 2 12:51:11 edgerouter pluto[1953]: packet from ip_de_chez_moi:500: initial Main Mode message received on ip_de_ma_fibre:500 but no connection has been authorized with policy=PSK
set vpn l2tp remote-access dhcp-interface pppoe0
set firewall name WAN_IN rule 3 protocol udp
set firewall name WAN_IN rule 3 description VPN to Server
set firewall name WAN_IN rule 3 destination port 1196
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id xxx
password xxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/xxx {
password xxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth2.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
ubnt@ubnt:~$ tail -50 /var/log/messages
Jun 5 18:49:24 ubnt pppd[22153]: Connection terminated: no multilink.
Jun 5 18:49:24 ubnt pppd[22153]: Modem hangup
Jun 5 18:56:41 ubnt pppd[22931]: pppd 2.4.4 started by root, uid 0
Jun 5 18:56:41 ubnt pppd[22931]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 18:56:41 ubnt pppd[22931]: Connect: ppp1 <--> eth2.835
Jun 5 18:56:41 ubnt pppd[22931]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 18:56:41 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 18:56:42 ubnt pppd[22931]: local IP address 10.255.253.0
Jun 5 18:56:42 ubnt pppd[22931]: remote IP address 192.168.2.217
Jun 5 19:44:09 ubnt pppd[22931]: Serial link appears to be disconnected.
Jun 5 19:44:09 ubnt pppd[22931]: Connection terminated: no multilink.
Jun 5 19:45:10 ubnt pppd[23442]: pppd 2.4.4 started by root, uid 0
Jun 5 19:45:10 ubnt pppd[23442]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 19:45:10 ubnt pppd[23442]: Connect: ppp1 <--> eth2.835
Jun 5 19:45:13 ubnt pppd[23442]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 19:45:13 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 19:45:13 ubnt pppd[23442]: local IP address 10.255.253.0
Jun 5 19:45:13 ubnt pppd[23442]: remote IP address 192.168.2.218
Jun 5 19:47:50 ubnt kernel: IPv4: host 192.168.1.150/if12 ignores redirects for 192.168.1.254 to 192.168.1.254
Jun 5 19:47:50 ubnt kernel: IPv4: host 192.168.1.254/if12 ignores redirects for 192.168.1.150 to 192.168.1.150
Jun 5 19:58:44 ubnt pppd[23442]: Serial link appears to be disconnected.
Jun 5 19:58:50 ubnt pppd[23442]: Connection terminated: no multilink.
Jun 5 19:58:50 ubnt pppd[23442]: Modem hangup
Jun 5 19:59:49 ubnt pppd[23704]: pppd 2.4.4 started by root, uid 0
Jun 5 19:59:49 ubnt pppd[23704]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 19:59:49 ubnt pppd[23704]: Connect: ppp1 <--> eth2.835
Jun 5 19:59:49 ubnt pppd[23704]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 19:59:49 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 19:59:49 ubnt pppd[23704]: local IP address 10.255.253.0
Jun 5 19:59:49 ubnt pppd[23704]: remote IP address 192.168.2.219
Jun 5 20:12:45 ubnt pppd[23704]: Serial link appears to be disconnected.
Jun 5 20:12:51 ubnt pppd[23704]: Connection terminated: no multilink.
Jun 5 20:12:51 ubnt pppd[23704]: Modem hangup
Jun 5 20:14:05 ubnt pppd[23935]: pppd 2.4.4 started by root, uid 0
Jun 5 20:14:05 ubnt pppd[23935]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 20:14:05 ubnt pppd[23935]: Connect: ppp1 <--> eth2.835
Jun 5 20:14:05 ubnt pppd[23935]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 20:14:05 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 20:14:06 ubnt pppd[23935]: local IP address 10.255.253.0
Jun 5 20:14:06 ubnt pppd[23935]: remote IP address 192.168.2.220
Jun 5 20:30:41 ubnt pppd[23935]: Serial link appears to be disconnected.
Jun 5 20:30:47 ubnt pppd[23935]: Connection terminated: no multilink.
Jun 5 20:30:47 ubnt pppd[23935]: Modem hangup
Jun 5 20:32:17 ubnt pppd[24226]: pppd 2.4.4 started by root, uid 0
Jun 5 20:32:17 ubnt pppd[24226]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 20:32:17 ubnt pppd[24226]: Connect: ppp1 <--> eth2.835
Jun 5 20:32:20 ubnt pppd[24226]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 20:32:20 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 20:32:21 ubnt pppd[24226]: local IP address 10.255.253.0
Jun 5 20:32:21 ubnt pppd[24226]: remote IP address 192.168.2.210
pppoe-server {
authentication {
local-users {
username fti/xxxxxxxx {
password xxxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
pppoe-server {
authentication {
local-users {
username fti/******* {
password ****************
}
}
mode local
}
client-ip-pool {
start 192.168.3.210
stop 192.168.3.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
interface eth0.835
mtu 1492
C'est la même que chez toi ^^May 17 14:26:07 ubnt pppd[27893]: Modem hangup
May 21 04:10:27 ubnt pppd[2787]: Modem hangup
May 22 11:17:46 ubnt pppd[15300]: Modem hangup
May 22 11:25:43 ubnt pppd[15524]: Modem hangup
May 28 04:11:05 ubnt pppd[2787]: Modem hangup
Jun 4 04:11:43 ubnt pppd[2787]: Modem hangup
Pareil
La livebox est branchée sur un switch distant.
J'ai une super stabilité de connection en tout cas, la livebox je n'ai pas du y toucher depuis 1 ou 2 mois. (je n'utilise que le téléphone)
Rassurez vous le ERL est a 126 jours ;)
Matt fait dans l'auto dénigrement ;D
(C'est de l'humour )
L Erlite-3 est largement suffisant
Faut seulement adjoindre switch et Wi-Fi
8)
Oui, mais j'ai comme vague projet de pouvoir coupler les différents accés au net que j'ai à la maison, voir d'y rajouter un accés 4G de secours
De ce que j'ai compris, il y a trois interfaces parmi les 5 de l'ERL-5 qui sont switchées (donc pas des vraies interfaces de routage). La vraie différence entre l'ERL-3 et l'ERL-5 est surtout le PoE.
Si tu n'as pas besoin de PoE je pense que la bonne solution est un ERL-3 avec un switch manageable, et si tu as besoin d'interfaces de routage en plus tu trunkes une des interfaces avec des VLAN supplèmentaires.
sudo -s
cd /config
./script.sh
./egress.sh
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
description "description BR_VOIP"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
description "description BR_TV"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxxxxx
user-id fti/xxxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
ip {
}
}
}
ethernet eth2 {
address 192.168.3.1/24
description LAN2_Livebox
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
ip {
}
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.1
dns-server 192.168.3.1
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxxxxxx {
password xxxxxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.3.210
stop 192.168.3.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
vbash-4.1# ls -l
total 8
-rwxr-xr-x 1 swh vyattacf 182 Apr 17 14:22 egress.sh
-rwxr-xr-x 1 swh vyattacf 504 Apr 17 14:22 script.sh
#!/bin/sh -e
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
exit 0
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
exit 0
Moi je dirais oui, même si on ne veut pas rajouter d'autres paquet. Ça permet de corriger des failles de sécurité sans attendre une MAJ de firmware par Ubiquiti. Ça reste à la base une distribution Debian et pas un OS propriétaire. Donc mieux connu par les méchants hacker :-)
Perso j'ai fait :
sudo -i
apt-mark hold ppp
apt upgrade
reboot
J’empêche la maj du paquet ppp, il s'est déjà vautré chez moi. Je n'ai pas aimé devoir faire une reset hard. Du coups ça peut donner envie de ne justement pas faire un upgrade ;-)
Tout fonctionne impec... sauf la liaison PPPoE entre la Livebox et l'ERL qui saute assez souvent et de manière assez aléatoire. Dès fois cela tient plusieurs heures, dès fois seulement quelques minutes...
Voici ce que j'ai dans les logs :Code: [Sélectionner]ubnt@ubnt:~$ tail -50 /var/log/messages
Jun 5 18:49:24 ubnt pppd[22153]: Connection terminated: no multilink.
Jun 5 18:49:24 ubnt pppd[22153]: Modem hangup
Jun 5 18:56:41 ubnt pppd[22931]: pppd 2.4.4 started by root, uid 0
Jun 5 18:56:41 ubnt pppd[22931]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 18:56:41 ubnt pppd[22931]: Connect: ppp1 <--> eth2.835
Jun 5 18:56:41 ubnt pppd[22931]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 18:56:41 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 18:56:42 ubnt pppd[22931]: local IP address 10.255.253.0
Jun 5 18:56:42 ubnt pppd[22931]: remote IP address 192.168.2.217
Jun 5 19:44:09 ubnt pppd[22931]: Serial link appears to be disconnected.
Jun 5 19:44:09 ubnt pppd[22931]: Connection terminated: no multilink.
Jun 5 19:45:10 ubnt pppd[23442]: pppd 2.4.4 started by root, uid 0
Jun 5 19:45:10 ubnt pppd[23442]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 19:45:10 ubnt pppd[23442]: Connect: ppp1 <--> eth2.835
Jun 5 19:45:13 ubnt pppd[23442]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 19:45:13 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 19:45:13 ubnt pppd[23442]: local IP address 10.255.253.0
Jun 5 19:45:13 ubnt pppd[23442]: remote IP address 192.168.2.218
Jun 5 19:47:50 ubnt kernel: IPv4: host 192.168.1.150/if12 ignores redirects for 192.168.1.254 to 192.168.1.254
Jun 5 19:47:50 ubnt kernel: IPv4: host 192.168.1.254/if12 ignores redirects for 192.168.1.150 to 192.168.1.150
Jun 5 19:58:44 ubnt pppd[23442]: Serial link appears to be disconnected.
Jun 5 19:58:50 ubnt pppd[23442]: Connection terminated: no multilink.
Jun 5 19:58:50 ubnt pppd[23442]: Modem hangup
Jun 5 19:59:49 ubnt pppd[23704]: pppd 2.4.4 started by root, uid 0
Jun 5 19:59:49 ubnt pppd[23704]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 19:59:49 ubnt pppd[23704]: Connect: ppp1 <--> eth2.835
Jun 5 19:59:49 ubnt pppd[23704]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 19:59:49 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 19:59:49 ubnt pppd[23704]: local IP address 10.255.253.0
Jun 5 19:59:49 ubnt pppd[23704]: remote IP address 192.168.2.219
Jun 5 20:12:45 ubnt pppd[23704]: Serial link appears to be disconnected.
Jun 5 20:12:51 ubnt pppd[23704]: Connection terminated: no multilink.
Jun 5 20:12:51 ubnt pppd[23704]: Modem hangup
Jun 5 20:14:05 ubnt pppd[23935]: pppd 2.4.4 started by root, uid 0
Jun 5 20:14:05 ubnt pppd[23935]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 20:14:05 ubnt pppd[23935]: Connect: ppp1 <--> eth2.835
Jun 5 20:14:05 ubnt pppd[23935]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 20:14:05 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 20:14:06 ubnt pppd[23935]: local IP address 10.255.253.0
Jun 5 20:14:06 ubnt pppd[23935]: remote IP address 192.168.2.220
Jun 5 20:30:41 ubnt pppd[23935]: Serial link appears to be disconnected.
Jun 5 20:30:47 ubnt pppd[23935]: Connection terminated: no multilink.
Jun 5 20:30:47 ubnt pppd[23935]: Modem hangup
Jun 5 20:32:17 ubnt pppd[24226]: pppd 2.4.4 started by root, uid 0
Jun 5 20:32:17 ubnt pppd[24226]: Connected to 6c:2e:85:b7:3d:6c via interface eth2.835
Jun 5 20:32:17 ubnt pppd[24226]: Connect: ppp1 <--> eth2.835
Jun 5 20:32:20 ubnt pppd[24226]: peer from calling number 6C:2E:85:B7:3D:6C authorized
Jun 5 20:32:20 ubnt zebra[587]: warning: PtP interface ppp1 with addr 10.255.253.0/32 needs a peer address
Jun 5 20:32:21 ubnt pppd[24226]: local IP address 10.255.253.0
Jun 5 20:32:21 ubnt pppd[24226]: remote IP address 192.168.2.210
A partir de la 1.6 le script egress n'est plus utile, vous pouvez le régler direct dans la déclaration des VLans.
Petite question :
Pour ceux qui ont l'ERL3 lite avec la config sans livebox, la téléphonie SIP marche encore ?
:)
Bonjour,
J'ai mis tout le monde sur le même switch, et maintenant plus aucun soucis, une autoroute !
Je pourrai poster ma conf si ça vous intéresse. En tout cas bravo pour le boulot, ma connexion internet revit :)
Cool, ca rassure toujours un peu de savoir que la config du routeur n'est pas en cause.Non aucune idée...
Tu as une idée de pourquoi tu as ce souci entre tes switch ?
Non aucune idée...
J'avais un peu joué et j'avais relié les deux switches par deux câbles en faisant de l'agrégation de lien, c'est peut être ça... ceci dit je l'avais fait il y a bien longtemps et je n'avais jamais remarqué de problème. Et puis c'était assez aléatoire...
J'ai pas investigué plus que ça, quand j'ai vu que c'était stable avec un câble direct, j'ai réarrangé l'installation pour que la LB et l'ERL soient sur le même switch, et maintenant ça fonctionne impec :)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "Allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the router"
rule 1 {
action accept
description "Allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
description VOIP_Bridge
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
description TV_Bridge
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description IPTV2
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br1
}
description IPTV_VOD
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description IPTV1
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth1 {
address 192.168.1.1/24
description LAN1_Intranet
duplex auto
speed auto
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description IPTV2
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 835 {
}
vif 838 {
bridge-group {
bridge br1
}
description IPTV_VOD
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description IPTV1
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth1
rule 1 {
description "SSH"
forward-to {
address 192.168.1.254
port 22
}
original-port 22
protocol tcp
}
rule 2 {
description "HTTP"
forward-to {
address 192.168.1.254
port 80
}
original-port 80
protocol tcp
}
rule 3 {
description "HTTPS"
forward-to {
address 192.168.1.254
port 443
}
original-port 443
protocol tcp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1_Intranet {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.10 {
stop 192.168.1.99
}
static-mapping Nexus7 {
ip-address 192.168.1.150
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping R4 {
ip-address 192.168.1.100
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping RT-AC68U {
ip-address 192.168.1.3
mac-address xx:xx:xx:xx:xx:xx
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth1
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxx {
password xxxxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
le mode invité existe sur le RT-AC68U ;)
Suite à mon installation de ce WE, j'ai donc bien un réseau LAN1 en 192.168.1.x que lequel j'ai beaucoup de choses (TV, PC, NAS, lecteur multimédia, décodeur sat, consoles, seedbox) et un LAN2 (livebox) en 192.168.2.x qui ne me sert que pour le tel, la TV et le wifi.
Mon MacbookAir se connecte bien en wifi (192.168.2.x). Ce qui me surprend c'est que j'accède sans difficulté au NAS, au serveur sur l'autre réseau. Est-ce bien normal vu que je pensais que les deux LAN étaient étanches ?
Bonjour,
C'est normal, l'ERL route les paquets d'un LAN à l'autre.
Si tu veux que tes deux LAN soient étanches, il faut ajouter des règles firewall pour empêcher le trafic entre eux.
group {
network-group LAN1 {
description "private lan 2.3.4"
network 192.168.2.0/24
network 192.168.3.0/24
network 192.168.4.0/24
}
port-group ROUTER_ACCESS {
description "ssh and https"
port ssh
port https
}
}
name GUEST_IN {
default-action accept
description ""
rule 1 {
action accept
description "accept guest to nas"
destination {
address 192.168.2.2
}
log disable
protocol all
}
rule 2 {
action drop
description "prevent communication between Local and Guest networks"
destination {
group {
network-group LAN1
}
}
log disable
protocol all
}
}
name GUEST_LOCAL {
default-action accept
description ""
rule 1 {
action drop
description "prevent Guests from accessing router config"
destination {
group {
port-group ROUTER_ACCESS
}
}
log disable
protocol all
}
}
vif 10 {
address 192.168.10.1/24
description guest
firewall {
in {
name GUEST_IN
}
local {
name GUEST_LOCAL
}
}
}
le dhcp de la box n est pas desactivé ? Il me semblait que si, c'est l ERL qui a deux serveurs DHCP.
Pour le coté on met tout sur le même reseau, à part brancher le rpi en wifi, je ne vois pas comment faire, à moins que je loupe quelque chose.
Voici ma config pour un vlan dédié "invité"
Il faut: créer l'interface eth0.10 dans mon cas + dhcp
Créer des groupes : (plus facile a manager après)Code: [Sélectionner]group {
network-group LAN1 {
description "private lan 2.3.4"
network 192.168.2.0/24
network 192.168.3.0/24
network 192.168.4.0/24
}
port-group ROUTER_ACCESS {
description "ssh and https"
port ssh
port https
}
}
Créer les règles du FW : (j'ai mis une exception pour mon nas, et sur wan local cela empêche de se connecter à l'ERL)
Code: [Sélectionner]name GUEST_IN {
default-action accept
description ""
rule 1 {
action accept
description "accept guest to nas"
destination {
address 192.168.2.2
}
log disable
protocol all
}
rule 2 {
action drop
description "prevent communication between Local and Guest networks"
destination {
group {
network-group LAN1
}
}
log disable
protocol all
}
}
name GUEST_LOCAL {
default-action accept
description ""
rule 1 {
action drop
description "prevent Guests from accessing router config"
destination {
group {
port-group ROUTER_ACCESS
}
}
log disable
protocol all
}
}
Ensuite on applique le FWCode: [Sélectionner]vif 10 {
address 192.168.10.1/24
description guest
firewall {
in {
name GUEST_IN
}
local {
name GUEST_LOCAL
}
}
}
Si quelqu'un connaît le principe de private vlan sur cisco, je veux bien entendre parler de lui. Pour l'instant tous mes guest peuvent communiquer
Non, il n'est pas désactivé. La LB ne sait pas fonctionner en mode bridge, donc pas le choix.
Sur l'ERL, il y a bien deux pools DHCP de configurés dans la conf de référence, mais celui sur l'interface Livebox ne sert à rien car il ne peut jamais être sollicité. Pour ma part je l'ai d'ailleurs supprimé (cf ma config plus haut).
Pour tout mettre sur le même réseau, il te faut un switch à brancher sur le port LAN de l'ERL. Pas d'autre moyen.
Déjà lire la doc sera un bon début ;) et surtout y'a la RC1 qui vient de sortir, t'as pris la B2 pour le fun :D
oui mais tu peux pas mettre le flux TV et le reste sur un seul réseau, cad, le point d'accès et le décodeur TV sur le même port de l'erl on est d'accord? La seule solution propre c'est de mettre le raspberry pi en wifi, et d'avoir sur le coté TV que la TV, car le reste en est isolé.
Et du coup, pas moyen d'accéder à l'ihm de la livebox (même si ca sert pas à grand chose)
Bonjour,
Bravo pour le travail qui a été accompli pour supprimer la livebox Play.
Jeudi prochain, je passe à la fibre Orange :)
Actuellement, je suis chez Free ADSL.
Comme beaucoup de monde, je souhaite rendre mon réseau indépendant de la box.
Apparemment, il est plus simple de garder la box pour la téléphonie.
J'envisage donc d'utiliser le routeur EgdeRouter ERPoe-5.
Malgré la lecture des différents forums, je ne retrouve pas la configuration réseau que je souhaite avoir (Ou je n'ai pas compris ce que j'ai lu... j'avoue que le réseau n'est pas ma spécialité...)
L'image ci-dessous vous donne la topologie que je souhaite avoir.
L'ONT, le routeur, la livebox play, le switch 1 et les équipements 1 sont dans mon bureau.
Le switch 2, la livebox play TV et les équipements 2 sont dans mon salon.
Les deux pièces sont reliées par un unique cable éthernet.
Les équipements 1 et 2 doivent pouvoir accéder à internet et discuter entre eux.
Avant tout achat, je voudrais savoir si cette configuration est faisable ?
Merci d'avance pour vos réponses.
1) Ce n'est pas tout simple :-)
2) plus tu ajoutes de switchs , plus tu ajoutes de pb potentiel avec IGMP
VLAN1: 1,3,4,5,6,7,8
VLAN2: 1,2
Le trunk on le fait a cause de l'unique cable Ethernet qui relie les 2 pieces et pas a cause de l'IGMP.
Si on a + qu'un seul cable entre les pieces ou si tout est dans la meme piece c'est pas la peine de faire des VLANs, il suffit juste de brancher la livebox TV sur un port libre de la livebox.
ou je n'ai pas bien compris ta question?
pour configurer les vlans y'a juste besoin de configurer 2 ports sur chaque switch, meme config dans les 2 switch donc:
switch 1 port 1 <--trunk--> port 1 switch 2
swtich 1 port 2 <--vlan2 --> livebox
swtich 2 port 2 <--vlan2 --> livebox TV
une configuration 'port based' suffit donc et est plus simple à faire qu'une configuration 802.1Q:
vlan1: cocher tout sauf port 2
vlan2: cocher port 1 et port 2
pour la partie IGMP Snooping, je ne vois pas du tout comment configurer le switch sur cette partie, si quelqu'un peu m'aiguiller
Merci pour les infos.
Le sujet est complexe mais très intéressant.
En fait, je pensais faire router:
- Le VLAN 851 vers eth1
- Les VLAN 838 et 840 via eth2 vers le switch 2 puis vers la livebox tv
- Le VLAN 835 vers eth2 et eth3
Mais cela n'est peut-être pas possible ???
Ou peut-etre un bridge entre eth2 et eth3 puis routage de des VLAN 835, 838 et 840 vers ce bridge ???
Peux-t-on avoir un serveur DHCP pour les ports eth2 et eth3 ?
J'avais aussi dans l'idée d'alimenter les deux switch GS108T (via la norme POE) d'ou le choix du ERPoe5.
Si j'ai bien compris, les ports eth2 à eth4 du ERPoe5 peuvent être configuré comme un simple switch (Page 2 du Quick Start Guide : http://dl.ubnt.com/guides/edgemax/EdgeRouter_PoE_5_QSG.pdf (http://dl.ubnt.com/guides/edgemax/EdgeRouter_PoE_5_QSG.pdf)).
Cette possibilité peut peut-être me simplifier la vie ?
Qu'en pensez-vous ?
A+
Bonsoir,Donc la livebox server est dans le placard aussi ?
Votre discussion m'intéresse :)
J'ai mon ERL (qui fonctionne bien) dans un placard avec juste une arrivée fibre, et un cable réseau qui va dans une autre pièce (salon).
Ce câble aboutit donc sur un switch manageable 8 ports qui dispatche sur le lan (PCs, Livebox Play, ....)
Est il possible de configurer l'ERL , pour envoyer sur le même port les infos pour le LAN et pour la livebox play ?
Quelle serait la config du switch ?
Le but est d'avoir sur l'ERL :
- port 0 : LAN, TV et AP Wifi.
- port 1 : WAN (internet)
- port 2 : livebox server (pour le téléphone uniquement)
Merci pour vos lumières.
;)
t'as quelle version materielle du GS108T (v1 ou v2) et avec quelle version de firmware?
regardes ici :
http://downloadcenter.netgear.com/fr/product/GS108Tv1
http://downloadcenter.netgear.com/fr/product/GS108Tv2
Dans "IGMP Snooping Configuration", j'ai Enable "IGMP snooping status"a cet endroit y'a pas un moyen de dire (ou voir) quel vlan est concerné par le snooping?
Il n'est pas envisageable de voir la livebox comme un simple "adaptateur VOIP-SIP vers téléphonie analogique" ?
Et donc, utiliser une partie de la config 'ERL Seul' pour la TV et le net et corriger le reste pour la téléphonie ?
Sur mon GS108Tv2 j'ai activé directement l'IGMP snooping sur les ports du routeur et du décodeur, et ça marche.
ok donc dans la partie "IGMP Snooping Interface Configuration" ? (Si jamais tu peux me faire un petit screen...)
Donc la livebox server est dans le placard aussi ?
Tout dépend qui gere la TV. La livebox TV est 'bete', toute seule elle ne sait rien faire.
Il faut qu'un équipement (et un seul) fasse relai pour elle vers les équipements Orange: la livebox server ou ERL.
C'est pour ca qu'il y a 2 modes de configuration de l'ERL: seul ou ERL+Livebox.
Les cas explicités ici sont en mode 'ERL+Livebox' donc on ne peut pas renvoyer le flux TV sur eth0 sans utiliser un autre switch et faire un trunk.
Si la livebox server reste en service pour le tel autant qu'elle serve aussi pour la TV mais pour ca il faut un switch dans le placard pour faire un trunk avec l'autre switch.
Comme je n'ai qu'un câble qui part de l'ERL vers l'autre pièce, je pourrais faire une configuration directement sur mon switch pour que la livebox TV parle directement avec l'ERL ?
(GS108€ V2)
alors, si je m exprimes mal dites moi, mais j essaye de comprendre. Ca apporte quoi de faire gérer la TV à l'ERL si de toute facon la livebox reste branchée pour gérer le téléphone?Ca evite juste de faire le trunk entre 2 switch si on veut la mettre dans une autre piece. Donc ca evite d'avoir besoin d'un 2eme switch.
Oui y'aura juste l'IGMP a configurer dans le switch.La question est alors, doit on installer un client DHCP sur l'ERL, alors que la livebox en aura un aussi ?
La complexité de la configuration sera dans l'ERL (DHCP IP Privée pour la TV, Proxy IGMP).
La question est alors, doit on installer un client DHCP sur l'ERL, alors que la livebox en aura un aussi ?oui, la livebox TV a besoin que l'ERL lui relai les flux video via IGMP ou en direct (VoD) via le "WAN privé" d'Orange.
oui, la livebox TV a besoin que l'ERL lui relai les flux video via IGMP ou en direct (VoD) via le "WAN privé" d'Orange.
pour ce connecter au WAN privé d'Orange l'ERL doit avoir un client DHCP spécial pour passer les parametres qui vont bien (@MAC notamment).
La livebox ne pourra pas se connecter au WAN privé d'Orange (en DHCP) car elle n'aura pas acces aux 2 VLANs TV (838 et 840). Elle n'aura acces qu'au VLAN Tel (851).
pour résumer:
Du coté d'Orange il y a 3 services:
A. Internet - ca vient de l'ONT via le VLAN 835, il faut un client PPPoE et s'identifier avec (login FTI/machin et mode de passe) pour obtenir une IP public ayant acces a tout Internet. Ensuite on NAT tout le LAN sur cette IP.
B. TV - ca vient de l'ONT via les VLAN 838 et 840,il faut un client DHCP et passer les bons parametres pour recevoir une IP privé (en 10.x.x.x) qui permet l’accès aux serveurs TV d'Orange (serveurs muticast et serveurs replay. pour la VoD il faut a priori aussi le VLAN 841). On NAT toutes les livebox TV sur cette IP.
C. Tel -ca vient de l'ONT via le VLAN 851 , je ne sais pas comment la Livebox gere ca en details mais a priori c'est aussi un client dhcp sur un WAN privé "téléphone".
Donc vis a vis d'Orange: La livebox a 3 IPs: une public et 2 privées (une TV et une Tel).
De toute facon, j'ai besoin de la la livebox pour le téléphone. Quelle serait d'après toi la modification de configuration à faire sur l'ERL pour que la livebox server soit connectée à l'ERL via le lan (et via mon switch) ?
J'aurai donc que les ports ETH0(lan) et ETH1( Wan) qui seront utilisés sur l'ERL (je voudrai utiliser ETH2 pour autre chose)
Merci ;)
ethernet eth0 {
address 192.168.2.1/24
description LAN1
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VOIP
}
}
Et tu les bridge avec celle de ETH1(via bridge BR0)Port VLAN Membership
F - Forbidden member T - Tagged member U - Untagged member I - Internally used VLAN P - PVID G - Guest VLAN M - Multicast TV VLAN
Port VLAN Membership Table
Filter:
Interface Type equals to
Go
Interface Mode Administrative VLANs Operational VLANs LAG
GE1 Access 1UP 1UP
GE2 Trunk 1UP, 835T, 838T, 840T, 851T 1UP, 835T, 838T, 840T, 851T
GE3 Access 1UP 1UP
GE4 Access 1UP 1UP
GE5 Access 1UP 1UP
GE6 Access 1UP 1UP
GE7 Trunk 1UP, 10T 1UP, 10T
GE8 Access 1UP 1UP
GE9 Access 1UP 1UP
GE10 Trunk 1UP, 10T, 835T, 838T, 840T, 851T 1UP, 10T, 835T, 838T, 840T, 851T
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/xxxxxx
password yyyyyy
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
}
loopback lo {
}
}
* Service :service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/xxxxxx {
password yyyyyy
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
interface eth0.835
mtu 1492
}
}
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
J'ai ces options dans mon bridge. Malheureusement ce ne doit pas etre ça. ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password ****************
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
j'avais ajouté avec benj06 les egress car ca ne fonctionnait pas sans. Sans jamais savoir pourquoi chez d'autre il n'y en a pas besoin...slt flipper
je test tous de suite avec su
pour le 1.7 j'aurais bien tenté mais je trouve pas ou télécharger le firmware 1.7 pour erl-3 mais oui sur homelabs.fr il en parle un peut car apparament sa évitera les bidouille au final de la v1.7
Salut,
Une âme charitable aurait-elle une config propre pour ERL 5 ports avec firmware 1.7, avec ou sans livebox, en effet, je n'utilise pas le téléphone.
Merci beaucoup.
Il te faut surtout faire un apt install vlanPlus nécessaire depuis la version 1.6...
configure
set interfaces bridge br0 multicast enable
commit
save
exit
(En remplaçant éventuellement br0 par l'identifiant du bridge utilisé pour la TV).Plus nécessaire depuis la version 1.6...
J'ai une configuration ERL+Livebox totalement fonctionnelle (TV + TEL) sans avoir installé le moindre package supplèmentaire. Pareil pour la configuration des VLANs, la directive egress-qos remplace avantageusement le script qui était nécessaire avant.
je suis en 1.7 et je n'ai pas perdu la TV le multicast fonctionne toujours.Dans ton script tu n'aurais pas quelque chose du genre :
echo -n 2 > /sys/devices/virtual/net/br0/bridge/multicast_router
j'ai bien les config egress-qos sur les vifs sur l'interface de l'ONT (mais elles ne servent à rien).Ca je n'arrive vraiment pas à comprendre pourquoi ce serait différent entre nos configs (je ne remet pas en cause ce que vous avez observé). Du coup je suis allé vérifier que ma config egress-qos fait bien quelque chose sur mon ERL et c'est bien le cas, cela fait exactement la même chose qu'avec un script et vconfig :
root@gateway:~# cat /proc/net/vlan/eth1.838
eth1.838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 1757
total bytes received 2180143
Broadcast/Multicast Rcvd 0
total frames transmitted 606
total bytes transmitted 163842
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4
Perso je suis passé de la 1.6 à la 1.7 sans aucun souci j'ai seulement eu à relancer le script du server pppoeCa tu peux l'automatiser afin qu'il soit exécuté automatiquement à chaque mise à jour du firmware : Il suffit de créer un dossier "/config/scripts/firstboot.d/" et de mettre le script dedans. Il sera exécuté une seule fois, à la mise à jour du firmware.
Voilà pour la partie TV sur la livebox :Bonjour,
(http://img15.hostingpics.net/pics/898733Clipboard01.jpg)
Bonjour,
Une petite idée sur mon problème, j'ai la config suivante :
ONT -> ERL (port 0=LAN et port 1 Wan utilisés) -> cable réseau -> Switch Netgear -> Livebox Server + PCs.
Sur le switch j'ai fait un trunk des ports correspondant à l'ERL et à la Livebox (avec tag), et la livebox play est connectée sur un des ports Lan de la Livebox server.
La livebox server s'initialise bien, tél ok, internet ok, livebox opérationnelle, mais le player ne peut ni afficher les chaines (indisponibles) ni le replay.
Or le téléphone sur IP via la Livebox marche bien, c'est étrange ....
Qu'en pensez vous ?
Merci.
;)
Et ce matin, je reconfirme que le bug avec les appels entrants perdure, ajout d'un deuxième bridge pour la voip nécessaire (et instantanèment je reçois mes appels, et cela sans reboot de l'ERL).
Donc je confirme pour ceux qui ont un setup comme le mien : vous pouvez passer en 1.7, cela semble fonctionner avec les même prérequis qu'avant (deux scripts, paquet vlan, deuxième bridge).
Par contre, passer mon ancien fichier de config entier a fait buguer la web gui de l'ERL. Je vous conseille de passer votre ancienne conf petit à petit (via le config tree si nécessaire) pour avoir une config propre.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password secret
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.254/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.9
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.1 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/login {
password pass
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.19
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
vbash-4.1# cat /proc/net/vlan/eth1.851
eth1.851 VID: 851 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 791
total bytes transmitted 138067
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6
A mon avis tu perds les priorités de VLAN sur ton switch Netgear, essaye d'y brancher en direct sans le switch pour voir si ça marche :)
ca parait bon (T sur ports 1 et 2 pour 835,838,840,851 c'est ce qu'il faut pour trunker de 1 vers 2)
Donc c'est le switch qui gère mal la QoS... Pour confirmer a 100% il faudrait faire une capture en port 1 puis une autre en port 2.Quel version de firmware il a ? le mien est en V1.3.0.3 (celle qui supporte l'interface web au lieu d'utiliser l'utilitaire).
Éventuellement essais avec la QoS en mode 'Port Based' en mettant tout les ports a 'low' (c'est le défaut). Peut-etre que dans ce mode le switch ne touchera pas aux tags QoS (j'en doute mais ca vaut le coup d'essayer).
edit: j'ai mal lu t'as un 108 pas un 105.
J'ai le dernier firmware en date (1.00.12) pour mon GS108.
Après avoir mis la QOS par port à "Priorité basse", la livebox server démarre bien , toutes les étapes sont ok.
Par contre, plus de tv, plus de replay , le téléphone est lui fonctionnel.
Donc c'est pas mieux, et pour la capture, je vois pas trop comment faire ...
Si le schéma que tu as posté plus haut est à jour, c'est normal que cela ne marche pas.
Je vois pas comment le décodeur tv peut chopper les flux s'il n'est pas connecté sur la livebox (ou sur un switch connecté sur la livebox en utilisant des vlans dédiés).
Bonsoir,
Votre discussion m'intéresse :)
J'ai mon ERL (qui fonctionne bien) dans un placard avec juste une arrivée fibre, et un cable réseau qui va dans une autre pièce (salon).
Ce câble aboutit donc sur un switch manageable 8 ports qui dispatche sur le lan (PCs, Livebox Play, ....)
Est il possible de configurer l'ERL , pour envoyer sur le même port les infos pour le LAN et pour la livebox play ?
Quelle serait la config du switch ?
Le but est d'avoir sur l'ERL :
- port 0 : LAN, TV et AP Wifi.
- port 1 : WAN (internet)
- port 2 : livebox server (pour le téléphone uniquement)
Merci pour vos lumières.
;)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
description "WAN VoIP"
}
ethernet eth0 {
address 192.168.1.1/24
description "LAN DEV"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
vif 851 {
bridge-group {
bridge br1
}
description "LAN VoIP"
}
}
ethernet eth1 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.2.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.200
}
}
}
shared-network-name LAN3 {
authoritative disable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
lease 86400
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
pppoe-server {
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
authentication {
local-users {
username fti/user {
password secret
}
}
mode local
}
client-ip-pool {
start 192.168.1.210
stop 192.168.1.220
}
interface eth0.835
mtu 1492
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Le IGMP etait actif par defaut et effectivement empeche le flux video de fonctionner.
mais deja fais avant :)
interfaces {
bridge br0 {
address dhcp
aging 300
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
}
loopback lo {
}
}
configure
set interfaces ethernet eth0 vif 835 pppoe 0 name-server none
edit service dns forwarding
set name-server 208.67.222.222
set name-server 208.67.220.220
top
set system name-server 127.0.0.1
ubnt@ubnt:~$ show dns forwarding nameservers
-----------------------------------------------
Nameservers configured for DNS forwarding
-----------------------------------------------
208.67.222.222 available via 'statically configured'
208.67.222.220 available via 'statically configured'
-----------------------------------------------
Nameservers NOT configured for DNS forwarding
-----------------------------------------------
127.0.0.1 available via 'system'
Bonsoir,
Je ne parviens à me connecter à mon EdgeRouter Lite 3 de l'exterieur ... L'interface web n'est pas sur le port 80 selon vous ?
Ca n'a pas l'air d'être çà ... il faut faire une regle NAT avant peut-être ?Non le "nat" c'est pour diriger un "port" sur le réseau local.
par défaut, l'accès à la config depuis l'extérieur n'est pas possible je pense. Il faut que tu bricoles un peuEn même temps c'est mieux comme cela car ouvrir une interface d'administration sur l'interface WAN c'est franchement une très très mauvaise idée...
Ca n'a pas l'air d'être çà ... il faut faire une regle NAT avant peut-être ?
c'était bien igmpproxy. Je l'ai redémarré et la tv refonctionnait.
J'ai installé un script qui redémarre l'igmpproxy à chaque ip-up de pppoe. Je vais voir si ça fixe tout mes problèmes.
Hello,
J'ai le même problème de stabilité de la TV en 1.7 est-ce que tu as trouvé une solution qui fonctionne ?
Hello nicolas02,
donc si je comprends bien le problème de la TV c'est pas un soucis de mise à jour des routes etc... ce serait "juste" l'igmpproxy qui s'arrête?
une idée du pourquoi il s'arrête?
merci pour l'info en tout cas! ;)
Steph
Question subsidiaire du coup:
Est-ce que ça pourrait être plus propre d'arrêter l'igmpproxy sur le IP-DOWN et le re-démarrer sur le IP-UP?
cela éviterait les erreurs et le risque de plantage du proxy non?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "WAN VoIP"
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description "LAN DEV"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
vif 851 {
bridge-group {
bridge br1
}
description "LAN VoIP"
}
}
ethernet eth1 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password password
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth2 {
duplex auto
poe {
output 48v
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output 48v
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.199
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.199
}
}
}
shared-network-name LAN3 {
authoritative disable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
lease 86400
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/user {
password password
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Bonjour,
Oui, pas de soucis pour connecter un Edgerouter à un vpn.
J utilise pour me connecter à un serveur en openVPN et j ai aussi un tunnel Ipsec avec mon frère.
Il y'a une application qui s installe sur le edgerouter qui s appelle DETOUR qui permet de modifier les routes vers le VPN pour un hostname via une interface Web.
Tu fais une recherche sur le forum edgerouter, tu trouveras le poste.
BAKI.
Bonjour,
Je pense être totalement a coté de la plaque. Les Vlans non rien a voir avec VP/VC utilisés en ADSL même si 8/35 fait penser a 835 !!
Ce que je souhaite réalisé est il quand même possible ?
Cordialement
Lucas
Ce que je souhaite réalisé est il quand même possible ?Pour internet je pense qu'il n'y a pas de problème.
J'ai juste une petite question, est-ce que le script pppoe est tout d"actualité avec la 1.7 ? De même, tous les scripts présent dans le dossier /config s'exécute t'il à chaque démarrage ?
J'ai compris que sur la fibre les Vlans 835, 839 .... sont presents alors que sur l'ADSL il s'agit de circuit virtuels.
Je souhaiterai donc au trouvers de l'edge "convertir" ces VCN en Vlan. Est ce possible ?
salut
Le script pppoe n'est plus nécessaire.
Pour les scripts dans config, ils doivent respecter les bons chemins
/config/scripts/ppp/ip-up.d qui est identique à /etc/scripts/ppp/ip-up.d
Pour les scripts au boot:
https://community.ubnt.com/t5/EdgeMAX-Frequently-Asked/EdgeMAX-How-do-I-run-a-start-up-script-on-boot-up/ta-p/424033
address 192.168.1.254/24
description LAN1
duplex auto
firewall {
in {
}
}
speed auto
vif 100 {
address 192.168.100.254/24
description vl_vpn
mtu 1500
}
vif 256 {
address 192.168.0.254/24
description vl_mgnt
firewall {
in {
name MGNT_IN
}
local {
name MGNT_LOCAL
}
out {
name MGNT_OUT
}
}
mtu 1500
}
name MGNT_IN {
default-action drop
description ""
rule 1 {
action accept
destination {
address 192.168.0.0/24
port 22
}
log disable
protocol tcp
source {
address 0.0.0.0/0
port 22
}
}
}
name MGNT_LOCAL {
default-action drop
description ""
rule 1 {
action accept
destination {
address 192.168.0.0/24
port 22
}
log disable
protocol tcp
source {
address 0.0.0.0/0
port 22
}
}
}
name MGNT_OUT {
default-action drop
description ""
rule 1 {
action accept
destination {
address 192.168.0.0/24
port 22
}
log disable
protocol tcp
source {
address 0.0.0.0/0
port 22
}
}
}
Bonjour,
Pour ne pas faire de bêtises, quelqu'un pourrait me dire quels fichiers utiliser exactement ? J'aimerais un configuration en gardant la Livebox pour la partie TV et téléphone à moins qu'on m'explique. J'ai un Siemsens Gigaset SL78H. C'est plus simple pour moi de l'associer en DECT à la box. Sinon, je ne sais pas comment faire pour me passer de la Livebox. Qui s'occupe du DECT ? La base d'origine du gigaset que je branche où ? C'est sur, ce serait mieux de me passer totalement de la livebox mais je ne sais pas comment faire exactement. Puis malgré des chaînes qui fonctionnent, le replay à l'air de merdouiller un peu. Donc j'ai vraiment du me planter quelque part.
Sur le github de c0mm0n il y a plusieurs fichiers et j'ai du me mélanger.
- orange.boot
- orange_5ports.boot
- orange_livebox.boot
J'ai supposé que je devais prendre le orange.boot car le second semble être pour le edgereouter 5 ports POE. Et le troisième datait de 11 mois donc j'ai pris le premier (orange.boot). Ensuite, comme le tuto sur HomeLabs ("EdgeOs et Livebox pas à pas") était basé sur la version 1.6, je me suis dit qu'il était logique de suivre ensuite le tuto "Passer un edgemax de 1.6 en 1.7 pour Orange Fibre" pour finaliser la configuration étant donné que mon edgerouter lite est en 1.7. Erreur donc ! J'ai donc configuré mon ERL pour me passer de la Livebox pourtant la config ne semble pas OK.
Merci d'avance pour votre aide.
Il faut notamment séparer le bridge en 2, avec un bridge dédié au téléphoneQuelqu'un peu m'expliquer ? J'ai repris le tuto de homelabs à la lettre en utilisant le bon fichier de config (orange_livebox.boot). Il y a donc une manip supplèmentaire à faire ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the Router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "Bridge TOIP"
hello-time 2
max-age 20
multicast disable
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "Bridge TV"
hello-time 2
max-age 20
multicast disable
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 2"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password mypassword
user-id fti/mylogin
}
}
vif 838 {
bridge-group {
bridge br1
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description "VLAN TOIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Livebox Network"
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 2"
}
vif 835 {
description "VLAN Internet"
}
vif 838 {
bridge-group {
bridge br1
}
description "VLAN TV VOD"
}
vif 840 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
}
vif 851 {
bridge-group {
bridge br0
}
description "VLAN TOIP"
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
lease 86400
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/mylogin {
password mypassword
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
Merci pour toutes ces infos. Je pense que je vais donc investir dans Gigaset C530IP. Un combiné en plus ne fera pas de mal. Pour Astérisk, je possède un Raspberry Pi b+. Est-ce que ce sera suffisant ou fat-il un RPi 2 ?
Je pense que je reviendrai vers toi quand j'aurai mon téléphone. Je vais me contenter de la configuration ERL + LB en attendant d'avoir tout le matériel.
Tu n'as pas lu mes précédents postes ? Tout fonctionne sans problème pas de soucis de stabilité.
Siproxd + plugin orange sur ERL ou Raspberry , Asterisk + Freepbx sur Raspberry, Gigaset C530IP + combinés sagem.
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
options {
mss-clamp {
mss 1452
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
}
options {
mss-clamp {
mss 1452
}
}
[ interfaces loopback lo ]
Can not delete lo
[ service nat rule 5010 outbound-interface pppoe0 ]
NAT configuration warning: interface pppoe0 does not exist on this system
[ interfaces ethernet eth1 vif 838 bridge-group ]
Adding interface eth1.838 to bridge br1
[ interfaces ethernet eth2 vif 851 bridge-group ]
Adding interface eth2.851 to bridge br0
[ interfaces ethernet eth2 vif 840 bridge-group ]
Adding interface eth2.840 to bridge br1
[ interfaces ethernet eth2 vif 838 bridge-group ]
Adding interface eth2.838 to bridge br1
[ interfaces ethernet eth2 vif 832 bridge-group ]
Adding interface eth2.832 to bridge br1
[ interfaces ethernet eth1 vif 832 bridge-group ]
Adding interface eth1.832 to bridge br1
[ interfaces ethernet eth1 vif 851 bridge-group ]
Adding interface eth1.851 to bridge br0
[ interfaces ethernet eth1 vif 835 address dhcp ]
Starting DHCP client on eth1.835 ...
[ interfaces ethernet eth1 vif 840 bridge-group ]
Adding interface eth1.840 to bridge br1
[ system package repository wheezy ]
Adding new entry to /etc/apt/sources.list...
[ system package repository wheezy-security ]
Adding new entry to /etc/apt/sources.list...
[ system syslog ]
Stopping enhanced syslogd: rsyslogd.
Starting enhanced syslogd: rsyslogd.
[ service pppoe-server ]
Starting pppoe-server: pppoe-server.
[ service dhcp-server ]
Starting DHCP server daemon...
Commit failed
[edit]
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "Bridge TOIP"
hello-time 2
max-age 20
multicast disable
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "Bridge TV"
hello-time 2
max-age 20
multicast disable
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 2"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXXXXXX
user-id fti/XXXXXXXXX
}
}
vif 838 {
bridge-group {
bridge br1
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description "VLAN TOIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Livebox Network"
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 2"
}
vif 835 {
description "VLAN Internet"
}
vif 838 {
bridge-group {
bridge br1
}
description "VLAN TV VOD"
}
vif 840 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
}
vif 851 {
bridge-group {
bridge br0
}
description "VLAN TOIP"
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
lease 86400
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/XXXXXXX {
password XXXXXXX
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name XXXXXXXX
login {
user XXXXXXX {
authentication {
encrypted-password XXXXXXXXXXXXXXXXXXXXXXXXXX.
}
level admin
}
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0beta1.4705702.140925.2253 */
loopback lo {
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server none
password secret
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.254/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.9
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.1 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/login {
password pass
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.19
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Question bête pour ceux qui ont viré la livebox mais ont gardé la boxTV. Cette dernière se met à jour quand il y a un nouveau firmware ?
Le CPU est à 100%
show version
Version: v1.7.0
Build ID: 4783374
Build on: 06/22/15 15:34
Copyright: 2012-2015 Ubiquiti Networks, Inc.
HW model: EdgeRouter PoE 5-Port
HW S/N: 0418D6C3C28A
Uptime: 13:55:10 up 1 day, 16:33, 1 user, load average: 0.16, 0.07, 0.14
Si tu as le LAN sur le switch, j'ai cru lire un poste indiquant que le CPU n'est pas dédié comme pour le port Eth0. Essai de mettre ton LAN sur eth0.
Sinon je suis toujours preneur d'une config. du 5 Port qui me permettrait de faire passer la VOIP vers la box...Je n'ai pas encore eu de réponse :(.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN2
duplex auto
poe {
output off
}
speed auto
}
ethernet eth1 {
description Internet
duplex auto
poe {
output off
}
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxxx
user-id fti/xxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.0.1/24
description LAN1
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.0.1/24 {
default-router 192.168.0.1
dns-server 8.8.8.8
dns-server 8.4.4.4
lease 86400
start 192.168.0.50 {
stop 192.168.0.200
}
}
}
shared-network-name LAN2 {
authoritative disable
disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
lease 86400
start 192.168.1.20 {
stop 192.168.1.25
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on switch0
listen-on eth0
listen-on eth0.15
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxx {
password xxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
ssh {
port 22
protocol-version v2
}
upnp {
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name ""
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name uplink-orange-in {
default-action drop
description uplink-orange-in
rule 1 {
action accept
description "Accept established"
log disable
protocol all
state {
established enable
invalid disable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type tun
interface-type pptp
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description bridge-orange-video
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:2c:39:96:59:fb:5b;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 10.10.0.1/24
duplex auto
firewall {
in {
}
out {
}
}
poe {
output off
}
speed auto
vif 835 {
description eth0-vlan835
firewall {
in {
}
}
}
}
ethernet eth1 {
address dhcp
description uplink-orange
duplex auto
poe {
output off
}
speed auto
vif 832 {
bridge-group {
bridge br0
}
description uplink-orange-vlan832
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
mtu 1500
}
vif 835 {
description uplink-orange-vlan835
firewall {
in {
name uplink-orange-in
}
}
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password xxxxxxxxxx
user-id xxxxxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description uplink-orange-vlan838
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description uplink-orange-vlan840
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description uplink-orange-vlan851
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth2 {
address 192.168.2.1/24
description livebox-tv
duplex auto
poe {
output off
}
speed auto
vif 832 {
bridge-group {
bridge br0
}
description livebox-tv-vlan832
}
vif 835 {
description livebox-tv-vlan835
}
vif 838 {
bridge-group {
bridge br0
}
description livebox-tv-vlan838
}
vif 840 {
bridge-group {
bridge br0
}
description livebox-tv-vlan840
}
vif 851 {
description livebox-tv-vlan851
}
}
ethernet eth3 {
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 10.10.1.1/24
mtu 1500
switch-port {
interface eth3
interface eth4
}
vif 835 {
description switch0-vlan835
mtu 1500
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name dhcp-10.10.0.0m24 {
authoritative disable
subnet 10.10.0.0/24 {
default-router 10.10.0.1
dns-server 10.10.0.1
lease 86400
start 10.10.0.10 {
stop 10.10.0.20
}
}
}
shared-network-name dhcp-10.10.1.0m24 {
authoritative disable
subnet 10.10.1.0/24 {
default-router 10.10.1.1
dns-server 10.10.1.1
lease 86400
start 10.10.1.10 {
stop 10.10.1.30
}
}
}
shared-network-name dhcp-192.168.2.0m24 {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 10000
listen-on eth0
listen-on eth2
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5000 {
description nat-pppoe0
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5001 {
description nat-br0
log disable
outbound-interface br0
protocol all
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username xxxxxxxxxxx {
password xxxxxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth3
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://ftp.fr.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
root@ubnt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.10.1.0 * 255.255.255.0 U 0 0 0 switch0
10.72.52.0 * 255.255.252.0 U 0 0 0 br0
80.10.117.120 10.72.55.254 255.255.255.254 UG 0 0 0 br0
80.10.204.0 10.72.55.254 255.255.252.0 UG 0 0 0 br0
81.253.206.0 10.72.55.254 255.255.255.0 UG 0 0 0 br0
81.253.210.0 10.72.55.254 255.255.254.0 UG 0 0 0 br0
81.253.214.0 10.72.55.254 255.255.254.0 UG 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
172.19.20.0 10.72.55.254 255.255.254.0 UG 0 0 0 br0
172.20.224.167 10.72.55.254 255.255.255.255 UGH 0 0 0 br0
172.23.12.0 10.72.55.254 255.255.252.0 UG 0 0 0 br0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
193.253.67.88 10.72.55.254 255.255.255.248 UG 0 0 0 br0
193.253.153.227 10.72.55.254 255.255.255.255 UGH 0 0 0 br0
193.253.153.228 10.72.55.254 255.255.255.255 UGH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
voila le petit script que j'ai mis dans /config/scripts/ppp/ip-up.d
#!/bin/sh
/sbin/start-stop-daemon --stop --pidfile /var/run/igmpproxy.pid
/sbin/start-stop-daemon --start --startas /sbin/igmpproxy --make-pidfile --pidfile /var/run/igmpproxy.pid --background -- /etc/igmpproxy.conf
exit 0
#!/bin/vbash -l
shopt -s expand_aliases
source /etc/default/vyatta
source /etc/bash_completion.d/vyatta-op
_vyatta_op_init
sleep 10
begin
set interfaces bridge br0 address dhcp
commit
renew dhcp interface br0
sleep 10
/sbin/start-stop-daemon --stop --pidfile /var/run/igmpproxy.pid
/sbin/start-stop-daemon --start --startas /sbin/igmpproxy --make-pidfile --pidfile /var/run/igmpproxy.pid --background -- /etc/igmpproxy.conf
exit 0
Bon la tu m'en apprend une bonne, pas de modem avec la Fibre ;DComme je l'ai dit, l'ONT peut être assimilé à un modem. Sur une connexion fibre, la Livebox n'est pas un modem, c'est un simple routeur.
Pour le téléphone il m'a semblé avoir lu que certains y étaient arrivésOui, moi. D'où le "impossible" entre guillemets. Mais sache qu'il va falloir savoir utiliser des outils de développement, compiler du code (siproxd et siproxd_orange), linux, et, avec un gigaset, installer et configurer asterisk (siproxd et siproxd_orange seuls ne suffisent pas pour que ça fonctionne, j'ai également un gigaset).
Comme je l'ai dit, l'ONT peut être assimilé à un modem. Sur une connexion fibre, la Livebox n'est pas un modem, c'est un simple routeur.
Sinon il reste le solution de la livebox branchée derrière l'ERL, solution bien plus simple que de se passer de livebox totalement.
Bonsoir zoc,
Bon la tu m'en apprend une bonne, pas de modem avec la Fibre ;D
Pour le téléphone il m'a semblé avoir lu que certains y étaient arrivés
J'en profite pour poser une question à zoc : As-tu toujours des "forbidden" ?Sans doute, mais "cachés" par le reload automatique d'asterisk : Parfois la composition d'un numéro vu du poste qui appelle prend un temps sensiblement plus long, sans doute suite à un premier "forbidden", mais comme au final ça fonctionne j'avoue que je ne vais plus regarder les logs :)
BM92, si tu veux vraiment supprimer la livebox, tu peux regarder les tutoriels que j'ai fait : https://lafibre.info/remplacer-livebox/remplacer-livebox-le-telephone/msg268184/#msg268184 (https://lafibre.info/remplacer-livebox/remplacer-livebox-le-telephone/msg268184/#msg268184)
Par contre, c'est avec une carte Raspberry PI 2. Mais c'est une base de départ.
Peut-etre le MTU...
@BM92 : mtu à 1492 sur eth2 (VLAN 835 par contre, faut peut-etre que je le force (à une autre valeur) sur les VLANs TV).
uplink-orange eth1 ethernet off 1500 2.74 Kbps 16.87 Mbps connected
uplink-orange-vlan832 eth1.832 vlan 1500 424 bps 0 bps connected
uplink-orange-vlan835 eth1.835 vlan 1500 968 bps 0 bps connected
uplink-orange-vlan838 eth1.838 vlan 1500 424 bps 0 bps connected
uplink-orange-vlan840 eth1.840 vlan 1500 424 bps 16.60 Mbps connected
uplink-orange-vlan841 eth1.841 vlan 1500 424 bps 0 bps connected
uplink-orange-vlan851 eth1.851 vlan 1500 0 bps 0 bps connected
livebox-tv eth2 ethernet off 192.168.1.1/24 1500 5.61 Mbps 424 bps connected
Destination Gateway Genmask Flags Metric Ref Use Iface
default * 0.0.0.0 U 0 0 0 pppoe0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.0.1.0 * 255.255.255.0 U 0 0 0 switch0
10.7.175.0 * 255.255.255.128 U 0 0 0 br0
80.10.117.120 10.7.175.126 255.255.255.254 UG 0 0 0 br0
80.10.204.0 10.7.175.126 255.255.252.0 UG 0 0 0 br0
81.253.206.0 10.7.175.126 255.255.255.0 UG 0 0 0 br0
81.253.210.0 10.7.175.126 255.255.254.0 UG 0 0 0 br0
81.253.214.0 10.7.175.126 255.255.254.0 UG 0 0 0 br0
AMarseille-654- * 255.255.255.255 UH 0 0 0 pppoe0
172.19.20.0 10.7.175.126 255.255.254.0 UG 0 0 0 br0
172.20.224.167 10.7.175.126 255.255.255.255 UGH 0 0 0 br0
172.23.12.0 10.7.175.126 255.255.252.0 UG 0 0 0 br0
193.253.67.88 10.7.175.126 255.255.255.248 UG 0 0 0 br0
193.253.153.227 10.7.175.126 255.255.255.255 UGH 0 0 0 br0
193.253.153.228 10.7.175.126 255.255.255.255 UGH 0 0 0 br0
net1lo-bidon.bs * 255.255.255.255 UH 0 0 0 pppoe0
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
Sinon il est toujours possible de prendre une ligne SIP chez OVH en restant en FTTH chez Orange ;)
Mais ça fait des frais en plus ("illimité" plus restreint, et pas pour les mobiles, comparé à l'offre Jet), et, personnellement, vu l'utilisation plus qu'épisodique de ma ligne fixe, je me contente de ma solution siproxd+asterisk tant qu'elle fonctionne.
Jusqu'à présent, à ma connaissance, on n'a trouvé que 2 équipements qui supportent le tout:
- Un PC sous Linux suffisamment puissant
- Un routeur Ubiquiti Edge Router
ubnt@ubnt# chmod +x /config/script.sh
[edit]
ubnt@ubnt# sudo -s
[edit]
root@ubnt# . /config/script.sh
: No such file or directory
: No such file or directory/share/perl5/Vyatta/PPPoEServerConfig.pm
: No such file or directory
[edit]
root@ubnt#
ubnt@ubnt:~$ sudo cat /proc/net/vlan/eth1.840
eth1.840 VID: 840 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 7
total bytes received 322
Broadcast/Multicast Rcvd 7
total frames transmitted 43
total bytes transmitted 8009
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
ubnt@ubnt:~$ sudo cat /proc/net/vlan/eth1.851
eth1.851 VID: 851 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 117
total bytes transmitted 15845
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
#!/bin/bash
for i in $(seq 0 7);do
/sbin/vconfig set_egress_map eth1.838 $i 4
/sbin/vconfig set_egress_map eth1.840 $i 5
/sbin/vconfig set_egress_map eth1.851 $i 6
done
Mais toujours pas de flux vidéo, j'ai même essayé en branchant directement le décodeur TV sur l'eth0 en pensant que ça pouvait venir de mon switch, mais idem.
Ce qui me semble étrange aussi c'est la partie igmp-proxy du fichier de config :Code: [Sélectionner]protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
Pourquoi le downstream arrive sur le switch0, il ne devrait pas arriver sur l'eth0 (là il est en disabled )?
EDIT : C'est bien ça, le fichier pour le 5 ports est mauvais, une fois activé le alt-subnet et le role sur eth0, le flux fonctionne.
Bon reste plus qu'à attaquer la partie voip avec asterisk et siproxd :D
Par contre pour la TV, j'ai un doute, ce tuto est toujours d'actualité ?
https://github.com/c0mm0n/edgemax4orange
Ps: Il chauffe pas mal tout de même, c'est normal ?Le premier que j'ai eu était vraiment chaud (posé à plat, jusqu'à 50°C sur le capot supérieur ). Je l'ai fait échanger.
Bonjour,
J'ai remplacé la livebox par un RT-AC68U
La config PPPoE est enfantine je n'ai eut aucun souci la dessus.
Pour la TV :
Oui, c'est toujours d'actualité...
Par contre, le fichier de base pour le ERPoE "orange_5ports.boot" correspond à une configuration EdgeRouteur + livebox TV uniquement.
Si tu veux garder aussi ta livebox, il va falloir que tu mixes avec le fichier "orange_livebox.boot".
Le premier que j'ai eu était vraiment chaud (posé à plat, jusqu'à 50°C sur le capot supérieur ). Je l'ai fait échanger.
Le deuxième est maintenant fixé au mur (sortie cables ethernet vers le bas). La face supérieur est chaude mais beaucoup moins que le précédent.
Mon ERPoE est alimenté en 48V pour alimenter 2 switchs Netgear GS108Tv2.
Et pour le téléphone tu a fait comment ?
Je n'en utilise pas, je n'en ait jamais utilise sur aucun de mes abonnements internet. J'ai juste besoin de la tele
Ok donc on ne sait rien concernant le tel
Moi j'ai virer le décodeur télé et ne garde que le Tel
Dans mes recherches je suis tombe sur pas mal d'infos sur le tel mais ca a l'air plus prise de tete que la tele.
J'ai active le DHCP en mode RFC3442Avant d'aller plus loin:
J'ai ma journée libre demain pour tester plus avant, mais je pensais avoir un peu d'aide pour venir à bout de ma configuration.
:-[
Solitude...
Voui, je suis allé jeter un oeil plusieurs fois déjà.
Mon soucis, c'est pas tant de savoir où mettre les réglages que quel réglages mettre. Et aussi de comprendre pourquoi les scripts fournis dans les tutos ne sont pas acceptés dans mon ERL.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth1 {
}
ethernet eth2 {
address 192.168.1.1/24
description "POSTE LABO"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
ethernet eth3 {
address 192.168.1.1/24
description "WEBSERVER"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
ethernet eth4 {
address 192.168.1.1/24
description "AP WIFI"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
interface eth4 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_LABO {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.21 {
stop 192.168.1.240
}
}
}
shared-network-name LAN_VIDEO {
authoritative disable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
lease 86400
}
}
}
dns {
forwarding {
cache-size 0
listen-on eth1 eth2 eth3 eth4
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2 eth3 eth4
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Euh. Je vois pas bien l'intérêt de la question, mais je dirais que ce qui n'est pas fichier de configuration est écrit en bash...
La fonction du bridge br0 sous WAN_VIDEO, comment fait-il le lien avec la prise eth1 qui est utilisée justement pour la TV ?C'est le role d'IGMP proxy qui va permettre de "router" le flux multicast qui arrive sur le bridge (enfin plus exactement des VLAN bridgés) vers les clients multicast sur les autres interfaces (celles qui sont en "downstream").
une ip publique pour la tv (logiquement)Non, pour la TV le DHCP sur les VLAN 838/840 attribue une IP privée dans l'architecture de diffusion TV d'Orange.
Ai-je la possibilité d'effectuer un bridge vers le poste de labo eth1 et un bridge (br0 j'imagine) vers la TV.Hormis pour la TV ou on n'a pas le choix, il est vraiment déconseillé d'utiliser les bridges sur l'ERL, car il n'y a pas d'offload non plus sur les bridges...
Quelqu'un avec un ERL pourrait-il poster sa config (en retirant les identifiants) pour une solution avec livebox (conservant donc télé et téléphone via la livebox) ?
J'ai beau tenter de rajouter des règles de QoS, je n'arrive qu'à obtenir internet.
Question : une fois le fichier orange.boot modifié en ce sens, vaut-il mieux tout reprendre au début, ou bien refaire un load du fichier, puis un commit suffit-il ?
Pleins de mises à jour de sécurité de SSL, kerberos, bind9, pleins de choses qu'il faut accepter.Ubiquiti déconseille fortement de mettre à jour leurs packages par ceux de la distribution Debian, car il y a un risque non négligeable de casser les versions spécifiques de certains packages qu'ils utilisent.
@androme je crois que tu mélanges 2 intervenants différents: @LordK1 veut une configuration avec Livebox (contrairement a @Feldunoob)
- Pas besoin d'installer le paquet vlan, il est déjà inclus dans le firmware
- Pas besoin du script egress.sh, son contenu est remplacé par les commandes "egress-qos" directement dans le fichier de config
Ubiquiti déconseille fortement de mettre à jour leurs packages par ceux de la distribution Debian, car il y a un risque non négligeable de casser les versions spécifiques de certains packages qu'ils utilisent.
Perso je n'ai même pas configuré de dépots dans ma conf.
Peux tu montrer la portion de ton fichier de conf avec egress-qos ?
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
Note: Pas de VLAN 851 car je n'utilise plus la téléphonie Livebox, mais orange_siproxd + asterisk sur un Raspberry PI.Ubiquiti fournit il un dépot avec ses paquets ?Malheureusement non, il faut attendre les évolutions firmware pour profiter des mises à jour de sécurité. Ca peut être un problème, oui, surtout pour un routeur qui propose des services allant plus loin que le simple routage (proxy DNS par exemple, ça doit être le service le plus utilisé)...
L'utilité fondamentale des dépots Debian, c'est de disposer des mises à jour de sécurité, dans la conformité du contrat social Debian.On est bien d'accord, mais Ubiquiti le déconseille vraiment, et d'ailleurs c'est la raison pour laquelle par défaut les dépôts Debian ne sont pas préconfigurés.
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
Welcome to EdgeOS
ubnt@ubnt:~$ sudo -s
vbash-4.1# chmod +x /config/script.sh
vbash-4.1# ls /config/ -l
total 36
drwxrwxr-x 1 root vyattacf 4096 Nov 18 17:23 archive
drwxrwsr-x 1 root vyattacf 3 Jun 23 00:39 auth
-rw-rw-r-- 1 root vyattacf 7660 Nov 18 17:23 config.boot
-rw-r--r-- 1 root root 516 Nov 18 16:46 dhcpd.leases
-rw-r--r-- 1 ubnt vyattacf 7773 Nov 18 16:43 orange.boot
-rwxr-xr-x 1 ubnt vyattacf 502 Jan 1 2015 script.sh
drwxrwsr-x 1 root vyattacf 36 Jun 23 00:39 scripts
drwxrwsr-x 1 root vyattacf 3 Jun 23 00:39 support
drwxr-sr-x 1 root vyattacf 33 Jun 23 00:39 url-filtering
drwxrwsr-x 1 root vyattacf 4096 Nov 18 14:44 user-data
drwxr-sr-x 1 www-data vyattacf 4096 Jan 1 2015 wizard
vbash-4.1# . /config/script.sh
: No such file or directory
: No such file or directory
: No such file or directory
vbash-4.1#
C'est le role d'IGMP proxy qui va permettre de "router" le flux multicast qui arrive sur le bridge (enfin plus exactement des VLAN bridgés) vers les clients multicast sur les autres interfaces (celles qui sont en "downstream").
Non, pour la TV le DHCP sur les VLAN 838/840 attribue une IP privée dans l'architecture de diffusion TV d'Orange.
Hormis pour la TV ou on n'a pas le choix, il est vraiment déconseillé d'utiliser les bridges sur l'ERL, car il n'y a pas d'offload non plus sur les bridges...
Personnellement je n'ai qu'un ERL 3 ports, mais si je devais configurer un 5 ports pour la TV, je la mettrait sur eth1 ou eth0 (et l'ONT sur l'autre).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
}
ethernet eth1 {
description TV
duplex auto
poe {
output off
}
speed auto
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address dhcp
description LAN-Switch
mtu 1500
switch-port {
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role enabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.21 {
stop 192.168.1.240
}
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth1
listen-on eth2
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth1
listen-on eth2
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Pour les NAS, je ne pense pas qu'il y ait de solution simple (sans avoir de switch capable de gérer des VLAN et des NAS qui les gèrent également) pour les rendre visible sur le réseau Livebox, malheureusement.
Bonsoir,
Même sans la livebox, il est possible de garder le téléphone...
Le plus gros problème de cette solution, c'est que Orange peut changer son protocole du jour au lendemain.
Donc, il n'y a aucune garantie que cela fonctionne encore dans 2 jours, 1 mois, 1 an, 10 ans...
Mais si tu possède déjà un téléphone IP type C530IP (Compatible SIP et analogique), le surcoût correspond à l'achat de la carte Raspberry PI 2 donc pas énorme.
Et si Orange change tout, tu pourra convertir la PI 2 en média-center par exemple.
Il me reste donc encore pas mal de tests à réaliser, je pense. Et un point d'accès wi-fi à acheter pour remplacer celui que me procurait la LB. Si vous avez des produits à me conseiller sachant que je ne veux pas y mettre une fortune et que tout ce qui s'y connecte, ce sont nos tablettes, téléphones portables et consoles, je suis preneur.
Par contre, le DYNDNS ou NO-IP comment faites vous ?Le routeur le gère très bien. C'est même configurable depuis l'interface WEB sur le firmware 1.7 (et surement aussi pour les précédents).
Le routeur le gère très bien. C'est même configurable depuis l'interface WEB sur le firmware 1.7 (et surement aussi pour les précédents).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth1 {
address 192.168.1.1/24
description "LAN DEV"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
ethernet eth2 {
address 192.168.1.1/24
duplex auto
poe {
output off
}
speed auto
vif 835 {
bridge-group {
bridge br0
}
description "LAN PPPoE"
}
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description LAN
mtu 1500
switch-port {
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN-LAB {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.10 {
stop 192.168.1.240
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Bonjour,
Oh et puis, une autre question me vient à l'esprit :
J'ai des NAS sur le réseau de l'ERL. Leur contenu sera-t-il accessible au player TV de orange ? Il ne sont plus sur le même réseau, du coup je me demande.
Et si non, existe-t-il un moyen de faire en sorte qu'ils le deviennent ?
Bonjour,
Je suis dans ce cas avec un ERL3. Un NAS synology sur le LAN. Je n'ai jamais pu afficher quoi que ce soit dans l'interface de la Livebox TV. Du coup je me sers du media player d'une console PS3 et ça marche très bien.
Possible de rajouter ça à l'ERL tu penses, ou il me faudra un appareil dédié ?dédié:
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
poe {
output off
}
speed auto
vif 835 {
description "WAN FTTH"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
description "WAN VoIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
mtu 1500
}
}
ethernet eth1 {
address 192.168.1.1/24
description "LAN DEV"
duplex auto
ip {
}
poe {
output off
}
speed auto
vif 835 {
description "LAN PPPoE"
}
}
ethernet eth2 {
address 192.168.1.1/24
duplex auto
poe {
output off
}
speed auto
vif 835 {
bridge-group {
bridge br0
}
description "LAN PPPoE"
}
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description LAN
mtu 1500
switch-port {
interface eth3
interface eth4
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN-LAB {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.10 {
stop 192.168.1.240
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.6.0.4716006.141031.1731 */
Déjà il y a un gros truc qui ne va pas, toutes les interfaces sont dans la même plage d'IP (192.168.1.0/24)... Ca n'a pas de sens, et si certaines de ces interfaces doivent être bridgées entre elles, l'adresse IP doit être sur le bridge et pas individuellement sur les interfaces membres de ce bridge...
Pour ce qui est du "bridge" dont tu parles, quelles sont les interfaces a bridger, parce que franchement ce n'est pas très clair...
Pour pallier cet inconvénient, les routeurs NAT doivent inspecter le contenu, ils font alors office de passerelle applicative (Application-Level Gateway, ALG) et manipulent des paquets qui les traversent pour remplacer les adresses IP spécifiées par les adresses externes. Cela implique de connaître le format du protocole.
Avant d'aller plus loin:
- Est-ce que le bridge se voit bien attribuer une IP ? (Autrement dit le client DHCP est-il configuré correctement)
- Quel est le contenu de la table de routage ?
Hello,
Je souhaitais savoir si le modèle ER-8 dispose de l'offload sur tous ses ports à l'instar de l'ER-5 poe qui ne dispose pas d'offload au niveau des prises ethernet "switch" ?
J'ai besoin d'un routeur qui tienne la charge ... :-X
Le processeur Cavium principal ne peut pas NAT le trafic à 1 Gb/s à lui tout seul, cela sert donc à déléguer le NAT aux accélérateurs matériels de l'ERL.
Ok donc il soulage le proc du travail
Est-ce important dans le choix de ce genre d'appareil ?
Merci Gnubyte et a tous,
Effectivement mais bon un 8 ports ca coute bonbon :'(
Ces routeurs sont-ils compatible avec n'importe quel FAI, Free, Orange, Bouygues, SFR ou autre en Fibre ?
je risque d'avoir une tonne d'ip publiques à acheter en supplèment et du bridge ...C'est possible chez Orange ?
C'est possible chez Orange ?
Avec une offre pro ? Parce qu'avec l'offre grand public pas possible, et encore moins de se faire router son propre bloc acheté ailleurs...
et pour la fibre en general si tu as un ont (convertisseur fibre reseau ethernet) comme beaucoup oui ca devrait fonctionner
Je suis curieux de voir un document qui décrit cette option, car 15€ c'est le prix de l'option pour avoir 1 et unique IP fixe à la place de l'IP dynamique...
Je pense que oui en y rentrant l'utilisateur et le mot de passe comme dans la LiveboxCe n'est malheureusement pas si simple que cela. Il y a un minimum de configuration specifique à faire (Création du VLAN 835 sur l'interface ethernet reliée à l'ONT, configuration du client PPPoE).
Oui, mais ca c'est d'office avec une offre "pro".
C'est vraiment une arnaque cette ip dynamique => fixe pour 15€ aussi ...
Je redemanderai, et je te confirme ça. :)
Bonjour blegoff
Ton sujet est très intéressant, je retiens le lien
Concernant mon installation Orange elle est classique, le boitier répartiteur 4 couleur, l'ONT connecté sur l'une d'elle
Ma question, est-ce que l'interface Web me permet paramétrer le bouzin dans l'immédiat pour me connecté de suite au Net
Je pense que oui en y rentrant l'utilisateur et le mot de passe comme dans la Livebox
euh non pas pour 15 euros
il faut passer au compte pro avant et elle est en option a 15 euros avec le compte pro qui est HT donc 15euros +20%
apres tu peux faire du dyndns avec la livebox il me semble et dans tout les cas avec le edgerouter aussi
ah ca a changé, quand je m'etais renseigné il y a longtemps fallait passer en pro et demander l'option j'avais fait un calcul je depassait les 100 euros ht pour avoir ce que je voulais (ip fixe et autre options)
T'es sûr ? :)
http://boutiquepro.orange.fr/internet-ip-fixe.html
Les offres pro sont même pas plus chères ...
http://boutiquepro.orange.fr/internet-offres-fibre-orange-pro.html
Mais l'ip additionnelle c'est pas très clair, au tel on m'avait dit 15€ aussi.Pour moi, l'IP additionnelle chez Orange ça n'existe pas, que ce soit en offre Pro ou grand public. Je viens de passer 30 minutes à chercher dans tous les sens sur les sites Pro et particulier d'Orange, à googleiser, et je n'ai rien trouvé...
Pour moi, l'IP additionnelle chez Orange ça n'existe pas, que ce soit en offre Pro ou grand public. Je viens de passer 30 minutes à chercher dans tous les sens sur les sites Pro et particulier d'Orange, à googleiser, et je n'ai rien trouvé...
Ce n'est malheureusement pas si simple que cela. Il y a un minimum de configuration specifique à faire (Création du VLAN 835 sur l'interface ethernet reliée à l'ONT, configuration du client PPPoE).
serieux tu as vu ca ou, c'est une annonce officiel orange ?
Bon moulte hésitation je viens de me fendre d'un routeur Ubiquiti EdgeRouter EdgeMAX POE 5
Commander chez mhzshop.com
J'ai pas fini de hanté ce sujet et de vous ennuyer avec tes tas de questions ;D
Ca a déjà commencé. Voir dans la section "Actualités Orange" du forum, les sujets concernant IPv6 et la dernière version du firmware... Le déploiement est progressif.
C'est l'idée.
J'ai moi même eu un peu du mal à me remettre dans le réseau.
ça va aller vite, au début c’était galère vu qu'on découvrait les problemes maintenant c'est de plus en plus simple et la config n'est vraiment pas compliqué si tu n'as pas 2 mains gauche !
Je pense que la première chose à faire sera la mise a jour du firmware v1.7.0 si cela n'est pas fait
J'ai reçu le mien en 1.2 :o
Le passage en IPV6, ça va être galère au début, le temps de refaire les recherches nécessaires à la mise en place, mais étant donné que la LB ne change pas, je pense que nos ERL continueront à faire le boulot, avec des configurations différentes, juste. Non ?
Effectivement ils sont en retard
La mise a jour c'est bien passer ?
Si l'IPV6 na passe pas le routeur elle n'arrivera pas a la Livebox
j'ai téléchargé le fichier sur mon téléphone.
C'est beau la technologie 8)
Ce que je voulais dire, c'est que l'ERL gérant l'ipv6, il n'aura pas de soucis à continuer à remplacer la livebox dans le futur.
Il gère déjà toutes les technologies qui sont matériellement dans la livebox, je pense.
Donc tout ce qui nous manquera, quoi qu'orange décide de faire, ce seront les réglages à modifier.
Et ça, c'est "juste" du temps à passer.
C'est le masque du réseau.
Il est possible de modifier l'adresse du routeur (tout comme celle de la livebox), évidemment ;DTout à fait, perso ayant rajouté un routeur je ne voulais pas changer toutes les ip des PC, j'ai donc passé ma Livebox en 192.168.0.1
Il est possible de modifier l'adresse du routeur (tout comme celle de la livebox), évidemment ;D
Est-il possible de mettre l'ONT sur le eth0 et la LB sur eth1
Si vous avez des conseils a me donner ou des erreurs a éviter n'hésitez pas a me rectifier
Voila pour l'instant je prépare le terrain ;D
Oui, mais au reboot en mode reset hard, tu n'auras toujours que le port eth0 de configuré en 192.168.1.1 (et ça t'embêtera).
Je l'ai déjà eu fait, mais je suis revenu à eth0=LB, eth1=ONT, eth2-4=switch avec l'accélération offload, parce qu'en cas de problème ça va plus vite.
...au modem VDSL2, à juste 105Mbits/s max
juste plus de 100M en DSL, juste....On est vraiment tout près d'un DSLAM Orange dédié à une zone d'activité commerciale. On en est à 400m, donc pleine bourre. La Livebox Pro V3 (noire) à écran couleur, est tellement inutilisable pour bosser (pas de mode bridge, point), que je l'ai remplacé par un Zyxel ZY-VMG1312. La LiveBox parvenait à monter à 80Mbit/s. Le Zyxel a tout d'abord connu des problèmes de stabilité, avec des vitesses d'ADSL, mais après flash du firmware, il est monté à 90, et la dernière fois que j'ai lancé un test, il m'a octroyé plus de 100.
Ok donc je vais faire comme cela : eth0=LB, eth1=ONT
Tu a l'offload sur le PoE 5 ports ?, il me semblais avoir lu que non ???
L'offload fonctionne quand on y colle eth[2|3|4], mais pas 0 ou 1.
J'avais essayé eth0 = ordi de controle, eth1 = ONT, eth2= LB, et eth3+4 en switch avec eth0, et pas d'offload dans ce cas. C'est la raison pour laquelle j'ai à nouveau suivi la troupe avec eth0=LB, eth1=ONT, et le reste en switch0.
Bonjour GnubyteJ'ai exactement la même config, donc pour toi le terrain est balisé. Suis scrupuleusement le dernier post où j'ai tout détaillé pour ER5, et ça roule.
Voici le schéma que je souhaiterais
eth0 = LB
eth1 = ONT
eth2 = Serveur
eth3 = PC 1
eth4 = PC 2
modem VDSL2, à juste 105Mbits/s max
Ok donc je reste sur ce schéma et on avise après ;DFeu patate mon ami, jettes toi dans l'arène, tu as assez peu de chances de te vautrer vu comme le chemin est balisé.
Ils ont sortie une version 1.8 de leur firmware ?Oui, et la version beta 1 vient de sortir, je vais la tester de ce pas :) C'est disponible sur le forum en intégrant le programme béta.
C'est un peu risquer de testé le 1.8, fait une sauvegarde de tes fichiers ;DIl y a moins de risque que tu ne penses. La communauté est hyper réactive, dans laquelle se trouvent des gens merveilleux qui dorment la tête posée sur leur routeur, en ont lu tout les scripts, réagissant vite à remonter des bugs improbables rapidement adressés par les équipes d'ubiquiti.
Cette version 1.8 donne quoi de mieux ?
Euh ce n'est pas possible, le VDSL2 c'est 100 Mbps max et pas à 400m.Entre 100 et 105 la nuance tient sur l'épaisseur du trait, et éventuellement la méthode de calcul de speedtest. J'avoue que je suis le premier surpris de cette vitesse, et de plus ce n'est pas tous les jours, variant de +/- 5-7 Mbps. Dans tous les cas c'est plus de 90Mbit/s, avec 30+ en montée. Gobalement la performance de la ligne est une bonne surprise. Bien meilleure avec le Zyxel qu'avec la LB, surtout en montée.
Ou alors j'ai loupé un truc.
Enfin pour l'heure il est plus simple pour toi de suivre le chemin que Common a défriché pour nous.La première chose que j'ai fait est de garder ce lien très précisèment ;D
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg228041/#msg228041 (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg228041/#msg228041)
- Un nouvelle interface pour le QOS. Plus belle, plus sexe, plus facile d'accès
- Du load balancing sur plus de 2 interfaces.
- La possibilité de régler du débit en "Burst" en plus d'une vitesse limite réglée par QOS.
- Pleins de bugfixes, une nouvelle version de php, etc.
La première chose que j'ai fait est de garder ce lien très précisèment ;Dhttps://dl.ubnt.com/datasheets/edgemax/EdgeRouter_DS.pdf (https://dl.ubnt.com/datasheets/edgemax/EdgeRouter_DS.pdf)
Plus tes conseilles car tu a exactement la même config que la mienne
Bon se sera a essayer plus tard, est-il possible de revenir en arrière ?
Je recherche aussi les caractéristiques technique complète de ce routeur, je n'ai rien trouver dans ce forum
Sur le site Ubiquiti hormis les 3 fichiers PDF il y a rien de très précis, ou alors j'ai mal chercher (ce qui m'étonnerais pas) ;D
Il faut donc faire un apt update, puis directement le apt install vlan.Le paquet vlan est inclus dans le firmware de base depuis le 1.6...
/sbin/start-stop-daemon --start --startas /sbin/igmpproxy --make-pidfile --pidfile $pidfile --background -- /etc/igmpproxy.conf
oui normalement on peut flasher en tftp il me semble, c'est le cas pour beaucoup de produit des qu'il y a un port serie !
Cela doit être le "disque dur" de l'ERL.
Y a un DD la-dessus !!!
Je le pense pas
Non, une clé USB.
Et via la connexion SSH pas possible de faire quelque chose ?
Il y a bien un port Usb sur les différents modèle d'erl. Il est... A l'intérieur du boîtier et une clé USB y est connecté. Cette clé contient le firmware ainsi que la configuration.
Si pour une raison ou une autre la clé vient à mourir il existe une procédure pour la remplacer et cette procédure exige l'emploi du port console pour réinstaller le firmware.
petite chose vu que la clé c'est une clé "caca" ne serait il pas plus intéressant de la changer avant qu'elle ne crash par une plus performante et surtout plus fiable, avec des meilleurs accès disque on devrait pourvoir avoir un petit gain en performance non ?
ou sinon adaptateur usb db9 http://www.amazon.fr/Convertisseurs-usb-Convertisseur-serie-1port/dp/B0018S2948/ref=sr_1_2?ie=UTF8&qid=1448280045&sr=8-2&keywords=adaptateur+usb+db9 (http://www.amazon.fr/Convertisseurs-usb-Convertisseur-serie-1port/dp/B0018S2948/ref=sr_1_2?ie=UTF8&qid=1448280045&sr=8-2&keywords=adaptateur+usb+db9)
J'utilise:
http://www.amazon.fr/gp/product/B00006HXIE
plus
http://www.amazon.fr/gp/product/B0007T27H8
entre l'ERL et un PC Windows avec Putty (http://www.putty.org/)configuré sur le port COM. Ca marche nickel.
Je pige pas trop pour tes câbles
Tu connecte les 2 prises série (male - femelle) entre-elle et tu relie le routeur au PC ?
Pour la connexion SSL j'utilise WinSCP mais je ne sais pas si il est adapter pour cette tache
PC(usb) --- TRENdnet---(db-9)serie(db-9)---cable Cisco--(rj45 - port console)ERL
en gros les 2 cables ensembles me font un seul cable usb <-> RJ45(serie pas Ethernet)oui:
en gros les 2 câbles ensembles me font un seul cable usb <-> RJ45(serie pas Ethernet)
WinSCP c'est plus pour des transferts de fichiers (scp,ftp,).
Ca fonctionne au dessus de Putty. Donc si tu fais des acces TTY (session de type 'terminal', interactive en ligne de commande par ssh) tu utilises surement déjà putty.
en gros:
Putty c'est comme l'invite de commandes sous Windows mais a distance sur une autre machine
WinSCp c'est comme l'explorateur de fichiers sous Windows mais a distance sur une autre machine
Il devrions connaitre les caractéristiques de cette clé
Marque, type de clé (USB2 ou 3), volume (1Go d'origine je crois) et son formatage, FAT 32 ou Linux je suppose
Il y a aussi un recover kit pour formater la clef.
Je viens de mettre en place mon router edge lite 5 ports
du POE 5 ports pardon
j'avais mis la livebox en 192.168.2.21 avant d'installer et retirer mais redirection de ports.
J'ai l'impression qu'à chaque fois un appareil se connecte sur le reseau (TV, PC...), l'IP du PPPOE change. Qu'en pensez-vous ? Qu'est ce que je pourrais faire pour y remédier ?j'ai suivi le tuto, il disait de changer l'IP de la LB en 198.168.2.21
J'ai immédiatement fait la mise a jour du Firmeware pour le 1.7 depuis je ne plus plus accédé a cette interface WebCe n'est pas normal.
Avez-vous déjà eu ce problème ?
Ce n'est pas normal.
La connexion par SSH est-elle possible ?
Sinon il se peut qu'il soit planté, donc un reset usine ne pourra pas lui faire de mal (je ne me souviens plus de la procédure, voir le manuel). S'il ne redémarre toujours pas, alors il y a des gros problèmes (et tu ne serais pas la premier à avoir cramé un ERL tout neuf à cause d'une MAJ si j'en crois le forum d'Ubiquiti).
Le connexion de mon ordinateur doit être en 192.168.1.100, si je la met en "Obtenir une adresse IP automatiquement" ça passe pas.C'est normal, par défaut le serveur DHCP n'est pas configuré.
C'est normal, par défaut le serveur DHCP n'est pas configuré.
Bizarrement je n'accède pas au netLe client PPPoE a bien été configuré sur le VLAN eth1.835 ?
J'ai peut-être une piste que je vérifierais en rentrant ce soir. J'ai peut-être modifié involontairement DHCP et du coup l'IP changerait régulièrement et engendrait les problèmes sur l'ensemble du réseau.J'ai finalement décidé de faire un reset et de tout réinstaller. J'ai pas effectué l'apt upgrade (comme préconisé). J'ai reboot aussi à la fin avant de brancher la livebox car les services de livebox ne se connectaient pas.
Bonjour a tous,
Savez-vous a quoi peu servir le fichier "procedure.sh" que Gnubyte a mis a notre disposition
Ici : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg228041/#msg228041
Je ne trouve pas son homologue dans le routeur
Par avance merci ;D
C normal car elle est plus dans le meme reseau. Moi j'y accede en wifi avec mon tel portable.
Dans les paramètres admin de la livebox mon wifi est ouvert
Dans l'onglet assistance de la LiveBox la fonctionnalité WIFI est activée
Oui enfin ce message t'indique bien que tu es connecté à la LB. Donc tu peux y accéder via son IP, pour voir ce qui se passe.
Je vais redémarre la LB pour voir
Perso, j'ai un Netgear EX6100 que j'ai payé 63€. Tu peux le configurer en Point d'accès ou en Répéteur : http://www.netgear.fr/home/products/networking/wifi-range-extenders/EX6100.aspx (http://www.netgear.fr/home/products/networking/wifi-range-extenders/EX6100.aspx)
Il se branche directement sur une prise de courant. Il est connecté a mon réseau en Gigabit Ethernet.
1) savoir si le tuto qui se trouve page 112 (ajouter ERLITE 5 ports à la LB afin de garder les services TV/Tél) est valable pour le modèle 3 ports ?
2) mon routeur est en version 1.2, est-ce que la mise à jour vers la 1.7 va se faire lors du paramétrage ou bien il faut faire avant ?
Je pense que non ou alors tu vas devoir modifier ces fichier
Non tu dois la faire avant toute chose
Pour télécharger le firmeware c'est ici : https://www.ubnt.com/download/edgemax/edgerouter-lite
Tu le télécharge sur ton ordinateur et après tu fais ta mise a jour
Merci de tes réponses. J'ai trouvé ce tuto http://www.homelabs.fr/configuration/edgeos-livebox-pas-pas/#comment-253
pour les trois ports. je m'y lance...
Bon courage et tiens nous au courant
Bon bah, j'ai suivi le tuto. j'ai eu des messages d'erreurs lors de . / script.sh
j'ai continué
j'ai eu internet mais avant de tester la LB avec TV/Tél je me suis dis que j'allais voir la vitesse. Catastrophe - entre 30 et 40 Mbps (avec la LiveBox je sui smonté à plus de 900 et cela n'est pratiquement jamais moins de 500 Mbps).
du coup, j'ai rebranché la LB. j'essaierai encore demain
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/xxxxx
password yyyyy
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.9
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxx {
password xxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.19
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
après je vais reboot, brancher la LB (qui est déjà en adresse 192.168.2.1)@BM92: Si l'ONT est sur le port eth1 alors c'est bon...
Normalement il doit y avoir un bridge entre eth1.851 et eth0.851 (sinon je vois pas comment ça a déjà pu fonctionner).
Bonjour à tous, je m'y lance de nouveau, après avoir parcouru le forum jusqu'à 4 heures du mat :(
il me semble avoir lu quelque part quelqu'un qui avait le même problème (très faible vitesse internet) mais je ne trouve plus le post.
Effectivement l'ONT est bien sur le port eth1, la L.B sur eth0
D'après ton fichier de configuration, l'ONT devrait être sur le port 1, tes PC (via switch) sur le port 0, et la LB sur le 2.
Avant de continuer, je trouve bizarre la vitesse entre le port0 de l'ERL et mon pc - déjà dans les paramètres de la bécane cela donne seulement 10 ou100?
et les taux de transfert me paraissent extrêmement faibles. qu'en pensez-vous? ma carte réseau est bien 1Gb sur mon ordi
bon, preière étape (internet ok). mais toujours un débit "indigne" (https://www.speedtest.net/result/4869675975.png) (https://www.speedtest.net/my-result/4869675975)
avec la LB cela fait bien mieux
C'est normal, l'ip de l'interface de la livebox qui distribue par DHCP les ip aux autres équipements ne doit pas se trouver dans cette plage (début 192.168.2.22, fin 192.168.2.200), sinon il y aurait un risque d'avoir deux équipements avec la même ip dans ce sous-réseau.
Désolé pour mon message précédent, j'ai confondu deux intervenants : BM92 et PESHKO.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the Router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.66.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Livebox Network"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.66.0/24 {
default-router 192.168.66.1
dns-server 192.168.66.1
lease 86400
start 192.168.66.100 {
stop 192.168.66.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "Masquerading Livebox network"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Me revoila, moi aussi.
Pour mémoire, j'ai décidé de me passer totalement de la Livebox (et donc de tenter l'aventure de la téléphonie avec un Asterisk par la suite).
J'attendais mon AP Wifi, et maintenant que je l'ai, il me faut reprendre la configuration de l'ERL.
merci zoc!
Pour la postérité (!), j'ai crée un gist: https://gist.github.com/kgersen/58c26951f087e89cef28 et mis a jour le premier post de ce topic.
Un truc m'intrigue, dans le DHCP de la L.B il y a ceci :
Subnet : 192.168.2.0/24
Range Start : 192.168.2.22
Range End: 192.168.2.200
Unifi Controller :
Router : 192.168.2.1
DNS : 192.168.2.1
Status : Enabled
Tu a commander quoi comme WiFi, de l'Ubiquiti ?
Je suis en 1.7, sans livebox avec un ERL 3 ports. Il n'y a pas besoin d'installer le paquet VLAN.
Ma config (nettoyée, j'espère ne pas en avoir trop enlevé) :
Pour mémoire, j'ai décidé de me passer totalement de la Livebox (et donc de tenter l'aventure de la téléphonie avec un Asterisk par la suite).
J'attendais mon AP Wifi, et maintenant que je l'ai, il me faut reprendre la configuration de l'ERL.
J'ai du mal à suivre, ce que tu indiques, ci-dessus, c'est la config de la livebox ou celle de l'ERL ?
Netgear EX6150
Par contre je veux bien tes règles firewall (sans les ip internes, bien que j'ignore ce que je pourrais en faire) et les trucs relatifs à ton asterisk, si c'est possible.Pour asterisk, @akeix a fait des tutos disponibles ici : https://lafibre.info/remplacer-livebox/remplacer-livebox-le-telephone/msg268184/#msg268184 (https://lafibre.info/remplacer-livebox/remplacer-livebox-le-telephone/msg268184/#msg268184)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description SWITCH
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
lan-interface eth1
lan-interface eth0
rule 1 {
description Domoticz
forward-to {
address 192.168.1.18
port 8088
}
original-port 8088
protocol tcp_udp
}
rule 2 {
description VHS(http)
forward-to {
address 192.168.1.22
port 8089
}
original-port 8089
protocol tcp_udp
}
rule 3 {
description VHS(https)
forward-to {
address 192.168.1.22
port 4443
}
original-port 4443
protocol tcp_udp
}
rule 4 {
description QNAP(https)
forward-to {
address 192.168.1.3
port 5443
}
original-port 5443
protocol tcp_udp
}
rule 5 {
description QNAP(http)
forward-to {
address 192.168.1.3
port 8880
}
original-port 8880
protocol tcp_udp
}
rule 6 {
description EDGE
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.22 {
stop 192.168.2.200
}
}
}
shared-network-name SWITCH {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping BureauA {
ip-address 192.168.1.92
mac-address d8:cb:8a:50:0a:83
}
static-mapping NICOQNAP {
ip-address 192.168.1.3
mac-address 00:08:9b:f3:4a:ea
}
static-mapping PS3 {
ip-address 192.168.1.20
mac-address 44:94:fc:a4:2f:7b
}
static-mapping VHS {
ip-address 192.168.1.22
mac-address 6c:62:6d:b3:eb:d8
}
static-mapping raspberrypi {
ip-address 192.168.1.18
mac-address b8:27:eb:33:b7:97
}
}
}
}
dns {
dynamic {
interface pppoe0 {
service dyndns {
host-name xxxxxxx.ddns.net
login xxxxxx
password xxxxxxx
}
}
}
forwarding {
cache-size 1000
listen-on eth0
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxx {
password xxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Merci j'ai réussi au moins ça :P
Je ne comprends pas pourquoi je perds la connexion par moment !
Je perds toute la ligne. Plus de tv plus de net. L adresse ip du pppoe et de la livebox changent
BM92 : le produit que j'ai indiqué peut se mettre en mode access-point.
Auquel cas il ne répète plus un wifi existant, mais en crée un, paramétrable.
Comment t as vu que je suis pret pour l ipv6 ?
bridged-conntrack disable
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:D0:84:B0:76:28:BA;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
name-server update
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
vif 851 {
description VoIP
egress-qos "0:6 1:6 2:6 3:6 5:6 6:6 7:6"
}
Petite question : que signifie la ligne suivanteBon alors tout d'abord je dois signaler que j'ai extrait ma config avec la commande "show configuration" qui affiche également les valeurs par défaut du firmware pour les paramètres de configuration qui n'apparaissent pas dans la config. C'est le cas pour "bridged-conntrack", et j'imagine que ça a un lien avec le tracking de connexions d'iptables, qui est en l'occurrence désactivé pour le bridge.Code: [Sélectionner]bridged-conntrack disable
Elle n'apparait pas dans le fichier de c0mm0n.
Autre question concernant le bridge : tu as défini une priorité à 32768. Pourquoi ?Ici encore, valeur par défaut du firmware.
c0mm0n met en place un vlan 851. Si je dis pas de bêtises, il correspond à la VOIP. Est-il utile dans le fichier de configuration sans Livebox ?Pas besoin dans une configuration à base d'asterisk + siproxd + siproxd_orange, la VOIP passe par Internet (donc pppoe0).
Dans le system, config-management, zoc affiche une commit-revision de 5, pendant que c0mm0n la met à 50. Quelqu'un a une idée de l'incidence ?Je ne conserve que les 5 dernières versions du fichier de configuration, tout simplement.
Enfin dernier point, on met en place deux dhcp, l'un local et l'autre nommé Livebox.Les VLANs TV ne vont pas plus loin que le routeur. Après, c'est de l'Ethernet tout ce qu'il y a de plus standard.
Pourquoi ?
Je veux dire, quand on utilise la livebox, le décodeur TV est sur la même plage IP que le restant des appareils. Pourquoi avons nous besoin de séparer les deux en utilisant l'ERL ? Ne pourrions nous pas tout mettre sur la même plage IP, avec un routage des vlans nécessaires uniquement sur le port de l'ERL où se trouve le décodeur ?
Bon alors tout d'abord je dois signaler que j'ai extrait ma config avec la commande "show configuration" qui affiche également les valeurs par défaut du firmware pour les paramètres de configuration qui n'apparaissent pas dans la config. C'est le cas pour "bridged-conntrack", et j'imagine que ça a un lien avec le tracking de connexions d'iptables, qui est en l'occurrence désactivé pour le bridge.
Alors pourquoi avoir dédié un port à la TV ? Tout simplement parce que la TV c'est du multicast, et sur les switches non manageables (ce qui n'est pas le cas de ceux que j'utilise, donc oui j'aurais pu m'en passer), le multicast se transforme généralement en broadcast et innonde toutes les machines. Si dans ces machines tu en as avec des ports 10 Mbits, et c'est le cas avec certaines cartes réseau qui passent en 10 Mbits quand le PC est en veille, alors c'est tout ton LAN qui se retrouve en 10 Mbits, et l'effet le plus notable c'est que la TV se met à saccader, sur les chaines HD+ principalement. Chez moi, cela se produit quand mon imprimante HP se met en veille... Je l'avais remarqué à l'époque où je n'avais ni switch manageable ni ERL (le jour où on m'a installé la fibre en fait :p ).
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.200 {
stop 192.168.1.220
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
Il faut 1 serveur DHCP pour les équipements connectés au port eth0, et un serveur DHCP sur eth2 pour que le décodeur puisse obtenir une adresse IP (Etant donné qu'il est sur un LAN à part avec un adressage différent). Il est impossible d'attribuer une IP statique au décodeur TV, il n'est pas paramétrable.
La Livebox le fait car le décodeur est sur le même réseau que le reste (tous les équipements sont sur le même switch derrière la box). Et le switch de la Livebox est capable de gérer l'IGMP correctement pour éviter le flood multicast...
Sinon, tu ne pourras pas mettre eth0 et eth2 sur le même LAN. L'ERL 3 ports n'est pas un switch mais uniquement un routeur. Techniquement c'est faisable en bridgeant eth0 et eth2, mais faire un bridge désactivera l'accélération matérielle et le débit chutera drastiquement.
Alors, à priori les modifications sont mineures :
- Activer l'IGMP snooping sur le switch
- Modifier la config du proxy igmp dans l'ERL: changer le role de l'interface eth0 de disabled vers downstream
- Brancher tous les équipements sur le switch, y compris le décodeur, le switch à l'ERL, et allumer la TV : Si toutes les LEDs du switch clignotent c'est que l'IGMP snooping ne marche pas et que le switch broadcaste le traffic multicast.
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
J'utilise un GS105Ev2 qui fait IGMP Snooping sans probleme.
A ne pas confondre avec le GS105 (sans E).
c'est au cas ou ta config n'est pas bonne et que tu as fait sauter ton edge router tu peut y acceder en serie avec un terminal style minicom afin de modifier la config et retablir le service plutot que faire un reset et repartir a zero.
c'est tres utilisé sur le materiel reseau dans les sociétés
perso j'ai acheté le cable ca sert toujours et vu le prix ca vaux pas le coup de s'en passer http://www.amazon.fr/SODIAL-ble-donn%C2%A8%C2%A6es-RJ45-vers/dp/B008J7D72Y/ref=sr_1_2?ie=UTF8&qid=1448279948&sr=8-2&keywords=cable+rj45+db9 (http://www.amazon.fr/SODIAL-ble-donn%C2%A8%C2%A6es-RJ45-vers/dp/B008J7D72Y/ref=sr_1_2?ie=UTF8&qid=1448279948&sr=8-2&keywords=cable+rj45+db9)
le plus dur etant de trouver un port serie de nos jour, perso je passe par un raspberry pi avec port serie ;-)
ou sinon adaptateur usb db9 http://www.amazon.fr/Convertisseurs-usb-Convertisseur-serie-1port/dp/B0018S2948/ref=sr_1_2?ie=UTF8&qid=1448280045&sr=8-2&keywords=adaptateur+usb+db9 (http://www.amazon.fr/Convertisseurs-usb-Convertisseur-serie-1port/dp/B0018S2948/ref=sr_1_2?ie=UTF8&qid=1448280045&sr=8-2&keywords=adaptateur+usb+db9)
https://community.ubnt.com/t5/EdgeMAX/EdgeMAX-Lite-Expand-flash-memory/td-p/508921 (https://community.ubnt.com/t5/EdgeMAX/EdgeMAX-Lite-Expand-flash-memory/td-p/508921)
Par contre évidemment la garantie saute.
Je file ouvrir mon ER5PoE pour voir la tête de la clé. La largeur/longueur semble avoir de l'importance.
Je n'ai que de la clé 16Go de dispo, il me faudrait une 64Go...
Un truc comme ça (http://www.amazon.fr/SanDisk-allant-jusqu%C3%A0-100%C2%A0Mo-SDCZ43-064G-G46/dp/B00LLEODCK/ref=sr_1_2?s=computers&ie=UTF8&qid=1449239520&sr=1-2).
C'est vraiment utile de prendre la version 64 Go ? C'est pas overkill pour un firmware de routeur ?
La recopie de la cle d origine sur une cle kingston de 16Go est en cours.
Je vous tiens informes,
Je rajouterai les accentuees plus tard, j ai boote en qwerty.
Gnubyte
Jai relance la commande dd
A l issue je derai reparametrer le routeur parce que jai fatalement oublie de sauvegarder la config :o
Tu a confondu vitesse et précipitation, c'est vraiment dommage de tout refaire
Tu ne sauvegarde jamais ?
La sauvegarde ne sert à rien à postériori pour un flash from scratch, il manque les scripts, et vlan (j'ai encore essayé, la commande foire chez moi sans l'installation du paquet vlan). Rapatrier la configuration telle que sauvegardée ne sert pas à grand chose.
Je vois où tu veux en venir, tu évoques l'image du dump de ta clé quand je parlais de la fonction de sauvegarde de l'interface Web du routeur.
En fait, je ne touche pas du tout à la clé USB d'origine. Je double check les /dev/sdX pour être sûr de ne pas écraser la vieille clé.
Je vais effectuer une sauvegarde avec dd aussi.
dd if=/dev/sdX of=/home/user/ubiquiti_ER5_PoE_1.7.img bs=1M
Bon, maintenant, elle est bien rangée, et j'ai la 16Go en place. Je ne vais pas la changer tout de suite.La command dd est assez brutale. Elle peut disposer de pleins d'option de conversion, mais quand on lui fournit un device, un périphérique, en entrée ("if" pour input file, en l'occurence, un hook sur non pas un fichier mais carrèment un device) ("of" pour output de même), ça recopie tout bit à bit par paquets de tant qu'on a fourni via l'option "bs="
Si je me trompe, j'écrase la vieille clé originale et je la perds.
Donc si je comprend bien ta méthode donne exactement le même résultat mais en ligne de commande ?
Sauf que tu dois faire attention au support qui vas recevoir la sauvegarde, d'ou l'écrasement ?
L'avantage est de ne pas ouvrir le routeur et d'enlever la clé, mais gros risque de se tromper dans la ligne de commande
Ton fichier de sauvegarde est en .IMG ?
Pour cela tu utilises Putty ?
Par contre, un détail dont j'avais oublié de parler : A chaque renouvellement d'IP (PPPoE), tu verras que le proxy IGMP tombe sur l'ERL, et du coup plus de TV. Il suffit de le relancer ("restart igmp-proxy"). Ca doit être facilement automatisable, mais perso je ne l'ai pas encore fait vu que je n'utilise pas la TV Orange.
A chaque renouvellement d'IP (PPPoE), tu verras que le proxy IGMP tombe sur l'ERL, et du coup plus de TV. Il suffit de le relancer ("restart igmp-proxy"). Ca doit être facilement automatisable, mais perso je ne l'ai pas encore fait vu que je n'utilise pas la TV Orange.Bon, alors en fait c'est simple :
#!/bin/vbash
if [ "$1" != "pppoe0" ]
then
exit 0
fi
/opt/vyatta/sbin/config-igmpproxy.pl --action=restart
root@ubnt:/config/scripts/ppp/ip-up.d# ls -l
total 4
-rwxrwxr-x 1 root vyattacf 112 Dec 5 18:41 restart_igmp.sh
root@ubnt:/config/scripts/ppp/ip-up.d# cat restart_igmp.sh
#!/bin/vbash
if [ "$1" != "pppoe0" ]
then
exit 0
fi
/opt/vyatta/sbin/config-igmpproxy.pl --action=restart
# Create the dns record
set system static-host-mapping host-name erl.mondomaine.org inet 192.168.1.1
# Create the cert files
from startssl.com
# Decrypt the cert
Toolbox / Decrypt private key
# Create the .pem file
in a text file just copy/paste the decrypted private key + the certificate
# copy the file on
/etc/lighttpd/server.pem
# Troubleshooting (starting the web manually to check errors)
/usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf
# Optional : Generate the CSR
login on erl and sudo -i
openssl req -new -newkey rsa:2048 -nodes -out erl_mondomaine_org.csr -keyout erl_mondomaine_org.key -subj "/C=NL/ST=ZH/L=Maasland/O=mondomaine.org/OU=ICT/CN=erl.mondomaine.org"
J'aurais dit oui en https et pas en http
C'est d'ailleurs un probleme d'acces depuis IOS ou mac OS X
Tu peux installer le tien (genere par startssl par exemple) avec la procedure suivante :
# dmesg
# dd if=/dev/sdc of=./sauvegarde.img bs=1M
Attention, la commande n'affiche rien, et dure 25 bonnes minutes.# dd if=/dev/sdc of=/dev/sdd bs=1M
dd if=/chemin/vers/sauvegarde.img of=/dev/sdd bs=1M
Attention, c'est long. Laissez tourner, partez faire les courses, etc.
Bon, alors en fait c'est simple :
Logiquement, là, vous disposez d'une clé USB de plus grande taille (16Go chez moi), dotée de 2 partitions, la première de 149Mo en FAT16, la seconde en ext3 de 2Go. Le reste de la clé est inutilisé.
Edit: Je viens de voir ton post. Apparemment, il y a une ligne vide dans ton fichier avant le "shebang" (#!/bin/vbash) alors qu'il doit absolument être sur la première ligne. Le problème est peut-être seulement ça.
Et pour bénéficier des 16Go il faudrait redimensionner la partition ext3 autrement les 16Go ne servent a rienJ'ai indiqué que je n'avais pas fini, parce que comme bien des gens, j'ai une femme, délicieuse, des enfants, merveilleux, et un job, super valorisant et valorisé, et que tout ceci est affligeant de prise de tête chronovore 😈.
La partition ne se redimensionnera pas toute seule, donc à faire sous Linux
Qui a essayer ?
J'ai indiqué que je n'avais pas fini, parce que comme bien des gens, j'ai une femme, délicieuse, des enfants, merveilleux, et un job, super valorisant et valorisé, et que tout ceci est affligeant de prise de tête chronovore 😈.
ethernet eth2 {
description Internet
duplex auto
speed auto
vif 835 {
description "FTTH ORANGE"
mtu 1500
pppoe 0 {
default-route none
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server none
password ****************
user-id fti/xxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description TV
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
Je ne sais pas si c'est Orange ou Ubiquiti (perso, je dirai Orange) mais j'ai mis le vlan 851 sur le même bridge que les autres et la téléphonie est remontée direct sans que je touche à quoi que ce soit ...Je n'ai absolument rien fait, ce n'est pas moi qui suit à l'origine du travail dans ce topic.
Merci MikeTheFreeman pour le script de départ ... Les autres aussi mais j'ai surtout flashé sur le fait que tu utilises les dns opendns plutôt que ceux de google.
Bref, tout fonctionne avec un seul bridge. Si y'en a qui veulent ma conf ... J'y ai rajouté du port forwarding et des baux dhcp fixes.
interfaces {
bridge br0 {
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/user
password secret
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
Je n'ai absolument rien fait, ce n'est pas moi qui suit à l'origine du travail dans ce topic.
Moi aussi la téléphonie montait (ne pas confondre avec le sujet sur les vlan/egress), c'est juste qu'au bout d'un certain temps (maxi, un jour, mais parfois juste au bout de quelques heures), les appels entrants n'aboutissaient plus sur mon téléphone.
Sur hfr j'avais essayé de savoir si c'était mon modèle de téléphone analogique qui jouait mais plusieurs marques étaient impactées.
Pour open dns, c'était par réflexe, j'ai récemment changé pour les dns d'Open NIC car apparemment Open DNS n'est pas très net non plus.
A noter qu'il faut mettre le paramètre name-server à none pour l'interface pppoe du vlan 835 sinon c'est toujours les dns d'Orange qui sont utilisés au cas où l'on utilise l'ERL comme proxy DNS (encore une fois, ça a été découvert par un membre dans ce topic).
Oui oui je sais c'est c0mm0n mais bon, j'ai pris ton fichier qd même et j'ai suivi tes conseils ...
Je peux appelé mais effectivement les appels n'aboutissent plus sur mon tel au bout de qq heures ... Je verrai plus tard.
Oki pour OpenDNS :/
Je confirme aussi que dans la version 1.7, plus besoin de ce script.
Néanmoins j'ai toujours fonctionné avec un seul bridge sans souci d'appels... :oTu es bien en ERL + Livebox ? Dans quelle partie du LAN tu utilises ton switch ? En amont de l'ERL après l'ONT ?
Apres j'utilise un switch avec vlan, je ne sais pas si ca change quelque chose
Perso j'utilise les dns de fdn
Qui a déjà essayer la version 1.8 ?
Tu es bien en ERL + Livebox ? Dans quelle partie du LAN tu utilises ton switch ? En amont de l'ERL après l'ONT ?
Moi aussi j'utilise des switchs avec vlan : j'ai un vlan trunk entre la patte de mon lan sur l'ERL et mon switch.
En aval, je vois pas comment cela peut d'une quelconque manière avoir un impact sur les flux passant par la Livebox.
Quel est la marque/modèle de ton téléphone analogique ?
ethernet eth0 {
address 192.168.2.1/24
description LAN1
duplex auto
speed auto
vif 10 {
address 192.168.10.1/24
description guest
firewall {
in {
name GUEST_IN
}
local {
name GUEST_LOCAL
}
}
}
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VOIP
}
}
Deuzio, je me demande s'il n'y aurait que certain téléphones analogiques impactés (ou présentant une certaine configuration).
J'ai un Gigaset C620A.
Tu as essayé de laisser qu'un bridge ou tu es parti sur la configuration à deux bridges immédiatement ?
Un seul bridge donc.
Ton tel est en DECT ou tu le branches en analogique sur la livebox ?
Oui c'est un port pour téléphone analogique. Le mien est branché de cette façon également.
Il y en a qui le connectent en DECT (CAT-iq).
CAT-iq (Cordless Advanced Telephony - Internet and Quality).
C'est donc un protocole sans fil :)
Excusez-moi je n'ai pas la motivation de lire toutes les pages et je m'excuse par avance si la question à déjà été posée.
Peux-t-on remplacer la Livebox par ce modèle : Ubiquiti EdgeRouter PRO 8 Gigabit Routing Ports ? http://www.amazon.fr/Ubiquiti-Networks-ERPRO-8/dp/B00IA5J8M8/ref=sr_1_fkmr0_1?ie=UTF8&qid=1453133168&sr=8-1-fkmr0&keywords=Ubiquiti+EdgeRouter+PRO+8+Gigabit+Routing+Ports (http://www.amazon.fr/Ubiquiti-Networks-ERPRO-8/dp/B00IA5J8M8/ref=sr_1_fkmr0_1?ie=UTF8&qid=1453133168&sr=8-1-fkmr0&keywords=Ubiquiti+EdgeRouter+PRO+8+Gigabit+Routing+Ports)
C'est le même système que le plus petit?
Cdt,
DamienC
Oui sans aucun problème.Merci, clair et précis. Je le commande.
Il faudra juste adapter la configuration vu que c'est un 8 ports
Bonsoir, vous constatez quoi comme problème sur la livebox play ? je n'ai pas encore eu de soucis moi ... ou je ne les vois pas peut être
la deuxième quelqu'un fait du multi TV avec un edgerouter ?
ya t'il une manip à faire pour faire accepter la deuxieme box tv, la deuxieme box que j'ai, acheté a une autre personne, ne passe pas meme avec ma carte perso erreur S04.
vif 832 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 2"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
Bonjour,
quelqu'un à résolu ces problèmes d'appels entrant qui n'arrive plus au bout de quelques heures ?
Bonjouur,
quelqu'un à résolu ces problèmes d'appels entrant qui n'arrive plus au bout de quelques heures ?
j'ai suivi ce tutorial :
http://www.homelabs.fr/configuration/edgeos-livebox-pas-pas/
sur edge routeur lite 3
oui voila mais moi je suis dans la configuration avec la livebox encore
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server none
password secret
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.254/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.10
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.1 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/login {
password pass
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.20
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.8.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
concernant la configuration, vous pensez que la configuration avec Livebox derrière erl est moins bonne que celle avec juste l'erl ?Surtout beaucoup plus simple et aussi bonne je pense car chez moi sur mon 5 ports le téléphone fonctionne bien
J'ai fait ça par soucis de simplicité , je voulais garder le wifi de la livebox (mais je peux très bien le mettre en simple AP sur un port lan si vous me dites que c'est mieux sans LB)Moi je ne peu plus surfer via le WFi de la Livebox donc il me sert plus a rien
Pour les problèmes d'appels entrants KO au bout d'un certain temps, rajoute un bridge (voir config ci-dessous).Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server none
password secret
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.254/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.10
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.1 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/login {
password pass
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.20
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.8.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Tu as quel modèle de téléphone et comment tu l'as connecté (filaire ou en cat-iq) ?
Si j'ai bien compris toi aussi tu utiliser une livebox derrière l'erl.Attention moi je n'ai pas l'ERL mais l'ERPoE (5 ports)
Pour le wifi, tu n'aurai pas désactiver le serveur dhcp de ta livebox par hasard ?Non le DHCP est activé mais dans la Livebox je n'ai rien réglé donc a voir mais bon j'ai installer mon propre WiFi Ubiquiti
petit question: faut t'il désactiver l'upnp sur la livebox ? sur l'erl ? pour la configuration avec une livebox + erlMalheureusement je ne peu pas te dire
Pour les problèmes d'appels entrants KO au bout d'un certain temps, rajoute un bridge (voir config ci-dessous).Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server none
password secret
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.254/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.10
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.1 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/login {
password pass
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.20
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.8.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Tu as quel modèle de téléphone et comment tu l'as connecté (filaire ou en cat-iq) ?
j'ai repris cette configuration et maintenant le téléphone marche bien. par contre je rencontre une dégradation des temps de réponse sur mon réseau.
par exemple si j'essaye de me connecter à une machine en ssh sur mon réseau, cela met plus de temps que de normal (3/4 secondes)
serait-ce lié à cette configuration sur les bridges
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
je vais chercher en attendant
Le problème de garder le wifi de la livebox c'est qu'il sera sur un réseau parallèle de celui de l'erl. Les appareils connectés sur le wlan livebox ne pourront pas intéragir avec les appareils sur le réseau lan de l'ERL.
on peut mettre la livebox en mode point d'acces (AP): on coupe son serveur DHCP et surtout on ne branche pas son port WAN a l'ERL mais a la place un de ses 4 ports LAN a l'ERL.
A l'arrivé ca fait wifi + 3 ports LAN supplèmentaires. La box fait donc juste du switch+bridge avec son wifi. = exactement comme un AP.
La livebox arrive à chopper ses services (tel et tv) avec le câble réseau côté lan au lieu du wan ?non ces services arrivent par le port WAN.
Car c'est surtout ça l'intérêt de garder la livebox (comme AP, on a vu mieux quand même ^^).La livebox est très bien comme AP si on n'a pas d'AP... son wifi est très bon, j'ai 200Mbs/200Mbps (https://www.speedtest.net/my-result/a/1618324245) avec ma tablette.
6.3 ATM VP/VC ou VLAN 851
Le VLAN semble avoir changer, dans mon routeur j'avais mis eth0 851 et a la mise a jour il est a 832
Effectivement, avec la nouvelle architecture, la téléphonie passe par le même VLAN q'internet, le 832.
Par contre il est étonnant que tu puisses encore avoir internet en PPPoE sur le 835 dans ces conditions...
Bonjour Zoc,Etonnant parce qu'avec tous les tests "qu'on" (zommak surtout en fait) a effectués, à partir du moment ou le VLAN est 835 est utilisé (pour Internet en PPPoE), le VLAN 832 n'est pas utilisable (pas de réponse DHCP, donc pas de téléphone), je cite "la requête dhcp doit être faite sur le vlan832 avec au moins le vlan835 off sinon la requête n'aura pas de réponse"
Pourquoi étonnant ?, le reste n'a pas changé
les options de la requete Discover (DHCP) envoyée en prio 6 sur le vlan 832:
Option: (55) Parameter Request List
Length: 11
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (3) Router
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Parameter Request List Item: (119) Domain Search
Parameter Request List Item: (120) SIP Servers
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832 (on recoit en prio 7 donc)
Bootstrap Protocol (ACK)
Message type: Boot Reply (2)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x0cc032e9
Seconds elapsed: 1
Bootp flags: 0x8000, Broadcast flag (Broadcast)
Client IP address: 0.0.0.0
Your (client) IP address: XXXXXXXXXXXXXX
Next server IP address: 80.10.247.176
Relay agent IP address: 80.10.237.69
Client MAC address: Sagemcom_xxxxxxxxxxxxxxx
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (ACK)
Length: 1
DHCP: ACK (5)
Option: (54) DHCP Server Identifier
Length: 4
DHCP Server Identifier: 80.10.247.176
Option: (51) IP Address Lease Time
Length: 4
IP Address Lease Time: (86400s) 1 day
Option: (1) Subnet Mask
Length: 4
Subnet Mask: 255.255.248.0
Option: (3) Router
Length: 4
Router: 86.245.184.1
Option: (6) Domain Name Server
Length: 8
Domain Name Server: 80.10.246.136
Domain Name Server: 81.253.149.6
Option: (59) Rebinding Time Value
Length: 4
Rebinding Time Value: (69200s) 19 hours, 13 minutes, 20 seconds
Option: (58) Renewal Time Value
Length: 4
Renewal Time Value: (43200s) 12 hours
Option: (28) Broadcast Address
Length: 4
Broadcast Address: 86.245.191.255
Option: (15) Domain Name
Length: 9
Domain Name: orange.fr
Option: (120) SIP Servers
Length: 42
SIP Server Encoding: Fully Qualified Domain Name (0)
SIP Server Name: sbct3g.PUT.access.orange-multimedia.net
c'est pas clair 'avec le vlan 835 off' :) un vlan ne peut etre off. il veut dire que la livebox ne doit pas demander une IP (dhcp) sur 835 avant de demander une IP(dhcp) sur 832 ?J'avoue que ce n'est pas très clair pour moi non plus et ça m'a paru bizarre lorsqu'il en a parlé.
Elle demande notamment les serveurs SIP pour la téléphonie en meme tempsJe crois que zommak en a parlé plus loin dans son fil: A un moment il donne la configuration d'un serveur DHCP pour simuler l'architecture réseau d'Orange (afin de coller la livebox derrière le routeur) et il parle de configuration SIP à adapter en fonction de l'adresse du serveur SIP retournée par la requête DHCP sur le 832.
Depuis hier pour la 2em fois mon téléphone viens de décrocher.
Le voyant le plus a droite de la Livebox est repasser au rouge avec un message défilant.
La j'ignore se qui se passe car cela ne le faisait pas avant
Etonnant parce qu'avec tous les tests "qu'on" (zommak surtout en fait) a effectués, à partir du moment ou le VLAN est 835 est utilisé (pour Internet en PPPoE), le VLAN 832 n'est pas utilisable (pas de réponse DHCP, donc pas de téléphone), je cite "la requête dhcp doit être faite sur le vlan832 avec au moins le vlan835 off sinon la requête n'aura pas de réponse"
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
poe {
output off
}
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
disable
}
vif 840 {
bridge-group {
bridge br0
}
description TV
disable
}
vif 832 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description "Boitier ONT"
duplex auto
poe {
output off
}
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
disable
}
vif 840 {
bridge-group {
bridge br0
}
description TV
disable
}
[color=red]vif 832[/color] {
bridge-group {
bridge br0
}
description VoIP
}
}
Donc ça semble corroborer la supposition de @kgersen : Actuellement ton ERL choppe une IP publique en PPPoE, et la livebox une seconde IP publique en DHCP sur le VLAN 832 (avec la nouvelle architecture, il n'y a plus de VLAN séparé pour le téléphone).
Pas certain qu'ils apprécient chez Orange ;)
Si elle affiche "VLAN 832" et "DHCP" et qu'à un moment donné le téléphone fonctionne alors si, elle est connectée... Après, tout ne fonctionne peut-être pas, mais vu la nouvelle architecture réseau, elle a obtenu une adresse publique en plus de celle de l'ERL.
Effectivement... :-\
Bon, par contre, désolé, mais pour l'instant je ne vais pas pouvoir aider. Je viens de rebrancher ma livebox pour voir et je suis toujours en PPPoE. J'en ai profité pour la mettre à jour ceci dit.
y'a pas que DHCLIENT non?Certes, mais c'est lui qui fait le plus ch*er car dans l'optique ou la classification fonctionne(rait) sur l'ERL (A vérifier, même chez Ubiquiti ils ne savent pas nous dire avec certitude si ça va marcher ou pas avec l'offload...), si on doit tout "prioritiser" par défaut à 6 puis à 0, c'est bien à cause de lui.
sinon on suivra de pres: http://rtfm.net/FreeBSD/ERL/ pour voir peut-etre un jour PfSense sur l'ERL.... (j'en reve).
Certes, mais c'est lui qui fait le plus ch*er car dans l'optique ou la classification fonctionne(rait) sur l'ERL (A vérifier, même chez Ubiquiti ils ne savent pas nous dire avec certitude si ça va marcher ou pas avec l'offload...), si on doit tout "prioritiser" par défaut à 6 puis à 0, c'est bien à cause de lui.
Se passer d'offload à cause d'une règle CLASSIFY uniquement pour la téléphonie, je pense que c'est acceptable (sachant que déjà actuellement c'est le cas puisqu'on bridge et que l'offload sur un bridge n'est pas supporté). Par contre se passer totalement de l'offload parce qu'on doit classifier tout le traffic ça me gène déjà plus...
A lire mais en anglais :-X https://forum.pfsense.org/index.php?topic=63926.msg387713#msg387713
Mais tu connais peut-être déjà
tu croix que si on a une règle qui ne match que 'téléphonie, dhcp, arp, dhcpv6, icmpv6' alors les autres paquets peuvent être offload ?!C'est ce que je supposais effectivement.
je ne vois pas comment. Un paquet qui ne match pas doit être testé pour voir s'il ne match pas ...non ?! :p si c'est complètement bypassé par l'offload c'est tout ou rien.
ou alors je n'ai pas compris ton message...
La passerelle domestique Livebox Play se base notamment sur des logiciels publiés sous une licence dite
libre ou open source, comme par exemple le noyau Linux, Busybox ou Iptables, tous les trois publiés selon
les termes de la licence GNU General Public License (GNU GPL). Le client peut consulter la liste des logiciels
concernés, leur licence et télécharger leur code source complet et correspondant sur le site web http://www.livebox-floss.com
Access Denied (policy_denied)
Your system policy has denied access to the requested URL.
For assistance, contact your network support team.
static unsigned int
classify_tg(struct sk_buff *skb, const struct xt_target_param *par)
{
const struct xt_classify_target_info *clinfo = par->targinfo;
if (clinfo->priority == 0xff) {
u_int8_t dscp = 0;
if (par->family == NFPROTO_IPV4) {
if(ip_hdr(skb)) {
dscp = ipv4_get_dsfield(ip_hdr(skb)) >> XT_DSCP_SHIFT;
}
}
else {
if(ipv6_hdr(skb)) {
dscp = ipv6_get_dsfield(ipv6_hdr(skb)) >> XT_DSCP_SHIFT;
}
}
skb->priority = (dscp >> 3) & 7;
}
else {
skb->priority = clinfo->priority;
}
return XT_CONTINUE;
}
static unsigned int
classify_tg(struct sk_buff *skb, const struct xt_target_param *par)
{
const struct xt_classify_target_info *clinfo = par->targinfo;
skb->priority = clinfo->priority;
return XT_CONTINUE;
}
/*
* Send an arp packet.
*/
void arp_xmit(struct sk_buff *skb)
{
skb->apFlowData.controlFlags |= IPQOS_HOQ_PACKET;
skb->priority = CONFIG_SAH_ARP_PRIORITY;
/* Send it off, maybe filter it using firewalling first. */
NF_HOOK(NFPROTO_ARP, NF_ARP_OUT, skb, NULL, skb->dev, dev_queue_xmit);
}
Les 2 premières lignes qui configurent le skb ne sont pas dans le kernel d'origine.
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
lan-interface eth3
lan-interface eth4
lan-interface switch0
rule 1 {
description HTTP
forward-to {
address 192.168.1.25
port 80
}
original-port 80
protocol tcp_udp
}
wan-interface pppoe0
}
Bah oui, pourquoi ce ne serait pas normal ?
Je pense que ça à quelque chose à voir avec l'IPv6 qui doit être activée dans ton coin.
Si j'ai bien compris ce qu'on m'a expliqué (https://lafibre.info/orange-les-news/ip-fixe-orange/msg291314/#msg291314), les livebox des zones ipv6-activées utilisent DHCP plutôt que pppoe, et d'après tes dires elles utilisent aussi un autre VLAN.
ipv6 activé dans mon coin mais désactivé dans la boxMême avec l'ipv6 désactivé la box reste en DHCP.
J'ai toutefois ouvert un sujet chez ubnt (https://community.ubnt.com/t5/EdgeMAX/DHCPv6-extra-options-and-issue-with-prefix-length/m-p/1474515) pour voir ce qu'ils en pensent.
Bah oui, pourquoi ce ne serait pas normal ?
ONT-->Livebox en tapant https://192.168.2.21/ j'ai accès a la Livebox
ONT-->Routeur-->eth0 : Livebox en tapant https://192.168.2.21/ j'ai pas accès a la Livebox
Avant c'est possible
A quel endroit du routeur il faut voir cela ?
Bonsoir, avec cette configuration je dispose donc de 2 interfaces réseau (un réseau en 192.168.1.x et un réseau en 192.168.2.x)
le réseau en 192.168.2.x étant celui de la livebox, je me connecte en wifi dessus et récupère une ip en 192.168.2x.
cependant, mes autres pc en réseau filaire sont en 192.168.1.x et lorsque je connecte mon imprimante wifi ou chromecast par exemple, ils ne sont pas vu par mes pc sur le réseau en 192.168.1.x.
c'est une question vraiment conne pour les personnes dans le réseau mais je ne suis pas du tout expert du domaine. qu'elle est mon problème ? faut t'il que je fasse du nat forwarding entre mes 2 réseaux ou faut t'il que je fasse une route statique (interface,gateway) ...
merci d'avance
Pour atteindre l'interface de la livebox depuis le lan de l'ERL, il faut comprendre que c'est comme si tu essayais d'y accéder depuis l'extérieur (ta requête passe par le port wan de la livebox).
Il faut donc ouvrir les ports correspondants sur le firewall de la livebox (je crois même qu'il y a une page dédié pour l'accès à distance).
Si c'est pour faire communiquer tes périphériques entre tes deux lans, c'est encore un peu plus compliqué (nouveau bridge ? tunnel ?).
moi c'est communiquer entre les 2 lans qui m'intéresse, j'ai vu qu'il y avait plusieurs façons notamment via un 3ème vlan ou l'on met les périphériques partagés par les 2 vlans dessus et sinon on façon un peu plus crade(puisque le but des 2 vlans c'est un peu de cloisonner) lorsque les 2 vlans sont sur le même switch faire en sorte que le vlan1 voit le vlan2
y aurait t'il un expert réseau parmis nous ?
je vous recommande donc de poser des questions de configuration qui vous sont particulières dans un autre sujet plutot qu'ici ou on doit déjà jongler avec une dizaine de sous-sujets en permanence.
Tu as deux mode qui vont cohabiter pendant la migration vers l'ipv6 :
- mode de connexion ipv4 seulement en pppoe et avec vlan VoIP, TV, internet
- mode de connexion en ipv4/ipv6 en dhcp avec un vlan unique en 832
Voip : vlan 851
Ensuite j'ai rapidement testé OpenBSD: la c'est nettement mieux. y'a un support officiel donc des builds réguliers et une doc d'installation: http://www.openbsd.org/octeon.html
Par contre il est impératif d'avoir un cable série pour installer OpenBSD (et FreeBSD aussi d'ailleurs).
static inline char rt_tos2priority(u8 tos)
{
return ip_tos2prio[IPTOS_TOS(tos)>>1];
}
IPTOS_TOS est une macro qui fait un "et logique" entre "tos" et 0x1E. Donc entre 0x10 et 0x1E, ce qui donne 0x10.const __u8 ip_tos2prio[16]={0,0,0,0,2,2,2,2,6,6,6,4,4,4,4};
A l'index 0x8 (les index commencent à 0 en C pour ceux qui ne savent pas), il y a bien 6.LINUX: 802.1q VLAN INTERFACES
If you're using 802.1q vlan interfaces on Linux, it is necessary to
vconfig the subinterface(s) to rewrite the 802.1q information out of
packets received by the dhcpd daemon via LPF:
vconfig set_flag eth1.523 1 1
Note that this may affect the performance of your system, since the
Linux kernel must rewrite packets received via this interface. For
more information, consult the vconfig man pages.
- Le TOS est bien à ip.ip_tos = IPTOS_LOWDELAY (0x10); et on le voit bien dans la capture, le champs TOS a la bonne valeur.le point important est la: si on peut changé et mettre la bonne valeur de DSCP pour que la couche VLAN map a CS6.
tos = 0x10
const __u8 ip_tos2prio[16]={0,0,0,0,2,2,2,2,6,6,6,4,4,4,4};
static inline char rt_tos2priority(u8 tos)
{
return ip_tos2prio[(tos & 0x1E)>>1];
}
int vlan_dev_set_egress_priority(const struct net_device *dev,
u32 skb_prio, u16 vlan_prio)
{
struct vlan_dev_info *vlan = vlan_dev_info(dev);
struct vlan_priority_tci_mapping *mp = NULL;
struct vlan_priority_tci_mapping *np;
u32 vlan_qos = (vlan_prio << 13) & 0xE000;
/* See if a priority mapping exists.. */
mp = vlan->egress_priority_map[skb_prio & 0xF];
while (mp) {
if (mp->priority == skb_prio) {
if (mp->vlan_qos && !vlan_qos)
vlan->nr_egress_mappings--;
else if (!mp->vlan_qos && vlan_qos)
vlan->nr_egress_mappings++;
mp->vlan_qos = vlan_qos;
return 0;
}
mp = mp->next;
}
/* Create a new mapping then. */
mp = vlan->egress_priority_map[skb_prio & 0xF];
np = kmalloc(sizeof(struct vlan_priority_tci_mapping), GFP_KERNEL);
if (!np)
return -ENOBUFS;
np->next = mp;
np->priority = skb_prio;
np->vlan_qos = vlan_qos;
vlan->egress_priority_map[skb_prio & 0xF] = np;
if (vlan_qos)
vlan->nr_egress_mappings++;
return 0;
}
static inline u16
vlan_dev_get_egress_qos_mask(struct net_device *dev, struct sk_buff *skb)
{
struct vlan_priority_tci_mapping *mp;
mp = vlan_dev_info(dev)->egress_priority_map[(skb->priority & 0xF)];
while (mp) {
if (mp->priority == skb->priority) {
return mp->vlan_qos; /* This should already be shifted
* to mask correctly with the
* VLAN's TCI */
}
mp = mp->next;
}
return 0;
}
pour ARP , le code de la livebox a un define: CONFIG_SAH_ARP_PRIORITY=6 ; suffit de lui suivre pour voir ou il est utilisé.Je pense que mettre ARP en priorité 6 n'est pas notre principal problème de toute façon. @zommak ne l'a pas fait et tout fonctionne chez lui.
/*
* Send an arp packet.
*/
void arp_xmit(struct sk_buff *skb)
{
skb->apFlowData.controlFlags |= IPQOS_HOQ_PACKET;
skb->priority = CONFIG_SAH_ARP_PRIORITY;
/* Send it off, maybe filter it using firewalling first. */
NF_HOOK(NFPROTO_ARP, NF_ARP_OUT, skb, NULL, skb->dev, dev_queue_xmit);
}
bon on se prend le choux pour rien depuis 2 jours :'(
j'ai revérifier tout, fait les parametres dhcp a la main (edition direct a la main de /var/run/dhclient_eth1_832.conf )
et ... ca marche avec l'ERL sans touché a la QoS :
Tu est toujours sous OpenBSD ou l'ERL d'origine ?
ERL EdgeOS v1.8.0beta3 avec offload activé.
OpenBSD ca marche mais ca plafonne a 140Mbps.
le DHCPv6 ne marche pas mais le fichier /var/run/dhcp6c-eth1.832-pd.conf est généré par /opt/vyatta/sbin/dhcpv6-pd-client.pl. Je vais voir si y'a moyen d'injecter les "client-option" qui sont dans "dhcpv6-options" dans le .conf en modifiant le .pl. ca fait 15 ans que j'ai pas fait de Perl mais c'est comme le vélo il parait. :P
[DHCPv6] Update wide-dhcpv6-client to latest Debian version 20080615-16 (building our own package). This is suggested by and discussed with @goofball @Brontide @Aggraxis @jasonrm here for improvements in DHCPv6 PD behavior etc. goofball first tested his own updated package and reported positive result, and he and Aggraxis also helped test/verify our experimental package, so thanks very much!
root@ubnt:~# apt install dibbler-client
Reading package lists... Done
Building dependency tree... Done
The following extra packages will be installed:
dibbler-doc resolvconf
Suggested packages:
dibbler-server dibbler-relay
The following NEW packages will be installed:
dibbler-client dibbler-doc resolvconf
0 upgraded, 3 newly installed, 0 to remove and 19 not upgraded.
Need to get 1773 kB of archives.
After this operation, 2595 kB of additional disk space will be used.
Do you want to continue [Y/n]?
Get:1 http://http.us.debian.org/debian/ wheezy/main dibbler-client mips 0.8.2-1 [417 kB]
Get:2 http://http.us.debian.org/debian/ wheezy/main dibbler-doc all 0.8.2-1 [1287 kB]
Get:3 http://http.us.debian.org/debian/ wheezy/main resolvconf all 1.67 [69.0 kB]
Fetched 1773 kB in 1s (902 kB/s)
debconf: delaying package configuration, since apt-utils is not installed
Selecting previously unselected package dibbler-client.
(Reading database ... 34168 files and directories currently installed.)
Unpacking dibbler-client (from .../dibbler-client_0.8.2-1_mips.deb) ...
Selecting previously unselected package dibbler-doc.
Unpacking dibbler-doc (from .../dibbler-doc_0.8.2-1_all.deb) ...
Selecting previously unselected package resolvconf.
Unpacking resolvconf (from .../resolvconf_1.67_all.deb) ...
Setting up dibbler-client (0.8.2-1) ...
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 76.)
debconf: falling back to frontend: Readline
dibbler-client: DHCPv6 client
-----------------------------
The Dibbler client can be configured to be launched when the system is started.
If you choose this option, this host will have a correct IPv6 setup after
booting. Please ensure that a DHCPv6 server is available on the network.
Should the Dibbler client be launched when the system starts? no
Dibbler can configure any or all of a computer's network interfaces.
More than one interface may be specified by separating the interface names with
spaces.
Interfaces to be configured: eth1.832
The Dibbler client can request that the DHCPv6 server supplies additional
configuration parameters.
1. dns 2. domain 3. none of the above
(Enter the items you want to select, separated by spaces.)
Additional parameters to obtain: 1 2
Generating /etc/dibbler/client.conf-dpkg-new...
Setting up dibbler-doc (0.8.2-1) ...
Setting up resolvconf (1.67) ...
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 76.)
debconf: falling back to frontend: Readline
[ ok ] Restarting DNS forwarder and DHCP server: dnsmasq.
Processing triggers for resolvconf ...
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 76.)
debconf: falling back to frontend: Readline
[info] Reloading Squid HTTP Proxy 3.x configuration files.
done.
root@ubnt:~# ls /etc/dibbler/client.conf
client.conf client.conf-dpkg-new
root@ubnt:~# ls /etc/dibbler/client.conf
client.conf client.conf-dpkg-new
root@ubnt:~# more /etc/dibbler/client.conf
# Defaults for dibbler-client.
# installed at /etc/dibbler/client.conf by the maintainer scripts
# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 7
# To perform stateless (i.e. options only) configuration, uncomment
# this line below and remove any "ia" keywords from interface definitions
# stateless
iface eth1.832 {
# ask for address
ia
# ask for options
option dns-server
# option domain
# option dns-server
option domain
# option ntp-server
# option time-zone
# option sip-server
# option sip-domain
# option nis-server
# option nis-domain
# option nis+-server
# option nis+-domain
}
root@ubnt:~#
j'ai pas été plus loin mais ca semble jouable...:Suffit de prend la conf dibbler du 1er post de l'autre topic (https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/) et de mettre le script d'autoconf de l'ERL quand on a recu une PD (/opt/vyatta/sbin/dhcpv6-pd-response.pl).
...
my @pids = grep { /^dhcp6c-.*-pd\.pid/ } readdir($dir);
foreach my $pid (@pids) {
chomp $pid;
my $cmd;
if ($pid =~ /dhcp6c-(.+)-pd\.pid/) {
my $ifname = $1;
...
Le script n'est adapté qu'à wide-dhcpv6.Bon, rien à faire mon 832 récupère pas d'IP, même en se déconnectant du pppoe0, en down le 835.Tu as attendu combien de temps après avoir coupé le PPPoE ? J'imagine que dans le SI d'Orange il y a un truc qui vérifie qu'un client ne récupère pas 2 IP publiques (une en DHCP, l'autre en PPPoE) et qu'il faut un certains temps pour que la fin de connexion PPPoE soit prise en compte.
Actuellement, le statut de votre connectivité IPv6 est :activé
Le préfixe de votre Livebox est :2a01:cb00:xxxx:xxxx::/56
adresse IPv6 WAN 2a01:cb00:xx:xx:xx:xxxx:xxxx:xxxx
Voyons, quand même :D J'ai checké un minimum.
Suis en 5.15.8
Tu n'as pas par hasard l'option "IP fixe" (ou un abonnement FTTH Pro qui inclut l'option).Oh mince, j'ai une offre pro avec IP fixe :(
Parce qu'elle est incompatible avec la nouvelle architecture, et par conséquent ceux qui ont cette option restent en PPPoE.
Oh mince, j'ai une offre pro avec IP fixe :(@petrus m'a indiqué à plusieurs reprises que PPPoE n'était pas prêt de disparaitre car il restait nécessaire pour ceux ayant une IP fixe, la nouvelle architecture n'étant pas capable de supporter une IP qui resterait fixe même si le client déménage à l'autre bout de la france.
Vous en savez plus ?
Je ne pense pas que ce soit si compliqué de compiler. J'ai téléchargé la VM Qemu mips trouvée sur le forum ubnt (voir un de mes précédents messages), et même si c'est lent ça devrait être faisable.
Par contre il ne faut pas essayer de mettre à jour la VM, j'ai essayé de le faire hier soir (45 minutes...), ça a planté et maintenant apt me fait un "illegal instruction" :o
J'essayerai de faire un .deb ce WE (même si c'est pas très WAF compliant, mais de toute façon apparemment il pleut sur la côte d'azur samedi :p).
# Defaults for dibbler-client.
# installed at /etc/dibbler/client.conf by the maintainer scripts
# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 7
# To perform stateless (i.e. options only) configuration, uncomment
# this line below and remove any "ia" keywords from interface definitions
# stateless
downlink-prefix-ifaces "none"
script "/etc/dibbler/radvd.sh"
duid-type duid-ll
iface eth1.832 {
# prefix delegation IAID = 0xb793d260
pd 3079918176 {
t1 3600
t2 5400
}
# Option: Vendor Class (16)
# vendor-class-data: sagem
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
# ou
#option 16 string "sagem"
# Option: User Class (15)
# 0000 00 2b 46 53 56 44 53 4c 5f 6c 69 76 65 62 6f 78 .+FSVDSL_livebox
# 0010 2e 49 6e 74 65 72 6e 65 74 2e 73 6f 66 74 61 74 .Internet.softat
# 0020 68 6f 6d 65 2e 6c 69 76 65 62 6f 78 33 home.livebox3
# ca devrait aussi marché avec option 15 string "...." sauf si bug u8/u16 pour la longueur.
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
# Option: Authentication (11)
# Value: 0000000000000000000000 fti/........
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx
option dns-server
# option domain
# option ntp-server
# option time-zone
# option sip-server
# option sip-domain
# option nis-server
# option nis-domain
# option nis+-server
# option nis+-domain
}
en espérant qu'Orange accepte quelque soit le DUID fourni (ca va être l'@ MAC de l'ERL). A priori on peut pas changer le DUID pour mettre l'@ MAC de la livebox je n'ai pas trouvé l'info dans la doc de Dibbler. Mais a priori Orange ne check pas l'@ MAC des livebox, le fti/... suffit.4.1-ESV-R7
Usage: dhclient [-4|-6] [-SNTP1dvrx] [-nw] [-p <port>]
[-s server-addr] [-cf config-file] [-lf lease-file]
[-pf pid-file] [--no-pid] [-e VAR=val]
[-sf script-file] [interface]
4.2.3-P1
Usage: dhclient [-4|-6] [-SNTP1dvrx] [-nw] [-p <port>] [-D LL|LLT]
[-s server-addr] [-cf config-file] [-lf lease-file]
[-pf pid-file] [--no-pid] [-e VAR=val]
[-sf script-file] [-I authentication string] [--retry-on-auth-fail] [interface]
La livebox utilise dhclient pour l'IPv6-PD et l'ERL a dhclient mais juste pas la bonne version:
dhclient de l'ERL:Code: [Sélectionner]4.1-ESV-R7
Usage: dhclient [-4|-6] [-SNTP1dvrx] [-nw] [-p <port>]
[-s server-addr] [-cf config-file] [-lf lease-file]
[-pf pid-file] [--no-pid] [-e VAR=val]
[-sf script-file] [interface]
dhclient de la livebox 3:Code: [Sélectionner]4.2.3-P1
Usage: dhclient [-4|-6] [-SNTP1dvrx] [-nw] [-p <port>] [-D LL|LLT]
[-s server-addr] [-cf config-file] [-lf lease-file]
[-pf pid-file] [--no-pid] [-e VAR=val]
[-sf script-file] [-I authentication string] [--retry-on-auth-fail] [interface]
a noter l'option -I qui n'est pas standard. Donc SAH (SoftAtHome) ont du modifier le source. Mais la licence de dhclient (ISC) est de type BSD donc ils ne sont pas tenu de publier leur modif...
Il faudrait voir si la version standard 4.2.3 (ou plus) envoie les options dhcp quand on est en ia-pd v6 contrairement a la version 4.1-ESV-R7 qui ne le fait pas. ca sera une piste si Dibbler ne marche pas.
root@ubnt:/home/ubnt# dibbler-client run
| Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
| Authors : Tomasz Mrugalski<thomson(at)klub.com.pl>,Marek Senderski<msend(at)o2.pl>
| Licence : GNU GPL v2 only. Developed at Gdansk University of Technology.
| Homepage: http://klub.com.pl/dhcpv6/
2015.01.01 08:16:45 Client Notice My pid (2280) is stored in /var/lib/dibbler/client.pid
2015.01.01 08:16:45 Client Notice Detected iface eth1.832/9, MAC=04:18:d6:a1:75:3d.
2015.01.01 08:16:45 Client Notice Detected iface eth1.838/8, MAC=04:18:d6:a1:75:3d.
2015.01.01 08:16:45 Client Notice Detected iface eth1.840/7, MAC=04:18:d6:a1:75:3d.
2015.01.01 08:16:45 Client Notice Detected iface br0/6, MAC=04:18:d6:a1:75:3d.
2015.01.01 08:16:45 Client Notice Detected iface imq0/5, MAC=.
2015.01.01 08:16:45 Client Notice Detected iface eth2/4, MAC=04:18:d6:a1:75:3e.
2015.01.01 08:16:45 Client Notice Detected iface eth1/3, MAC=04:18:d6:a1:75:3d.
2015.01.01 08:16:45 Client Notice Detected iface eth0/2, MAC=04:18:d6:a1:75:3c.
2015.01.01 08:16:45 Client Notice Detected iface lo/1, MAC=00:00:00:00:00:00.
2015.01.01 08:16:45 Client Notice Parsing /etc/dibbler/client.conf config file...
2015.01.01 08:16:45 Client Info Interface eth1.832/9 configuration has been loaded.
2015.01.01 08:16:45 Client Info My DUID is 00:03:00:01:04:18:xx:xx:xx:xx.
2015.01.01 08:16:45 Client Info Loading old address database (client-AddrMgr.xml), using built-in routines.
2015.01.01 08:16:45 Client Info DB timestamp:1420096542, now()=1420096605, db is 63 second(s) old.
2015.01.01 08:16:45 Client Info All client's 00:03:00:01:04:xx:xx leases are not valid.
2015.01.01 08:16:45 Client Notice Creating control (::) socket on the lo/1 interface.
2015.01.01 08:16:45 Client Notice Creating socket (addr=fe80::618:xx:xx) on eth1.832/9 interface.
2015.01.01 08:16:45 Client Notice CONFIRM support compiled in.
2015.01.01 08:16:45 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/9 interface.
2015.01.01 08:16:45 Client Error AUTH: protocol 5299656 not supported yet.
2015.01.01 08:16:46 Client Info Processing msg (SOLICIT,transID=0x41f996,opts: 1 25 8 16 15 11 6)
2015.01.01 08:16:46 Client Error AUTH: protocol 5299656 not supported yet.
2015.01.01 08:16:48 Client Info Processing msg (SOLICIT,transID=0x41f996,opts: 1 25 8 16 15 11 6)
2015.01.01 08:16:48 Client Error AUTH: protocol 5299656 not supported yet.
2015.01.01 08:16:52 Client Info Processing msg (SOLICIT,transID=0x41f996,opts: 1 25 8 16 15 11 6)
2015.01.01 08:16:52 Client Error AUTH: protocol 5299656 not supported yet.
2015.01.01 08:17:00 Client Info Processing msg (SOLICIT,transID=0x41f996,opts: 1 25 8 16 15 11 6)
2015.01.01 08:17:00 Client Error AUTH: protocol 5299656 not supported yet.
2015.01.01 08:17:16 Client Info Processing msg (SOLICIT,transID=0x41f996,opts: 1 25 8 16 15 11 6)
2015.01.01 08:17:16 Client Error AUTH: protocol 5299656 not supported yet.
^C2015.01.01 08:17:35 Client Critical Signal received. Shutting down.
2015.01.01 08:17:35 Client Notice Shutting down entire client.
2015.01.01 08:17:35 Client Notice Creating RELEASE for 0 IA(s), 1 PD(s), (no TA) on the eth1.832/9 interface.
2015.01.01 08:17:35 Client Error Unable to send RELEASE. Unable to find DUID.
2015.01.01 08:17:36 Client Notice Bye bye.
Elle sert à quoi cette option tu crois ? Au pire ça doit se coder rapidement je pense.
ca va être dépendre d'Ubiquity de nous permettre ou pas d'avoir ca.
Restera le probleme de QoS 5 pour le traffic voix. ca va être dépendre d'Ubiquity de nous permettre ou pas d'avoir ca.A priori le traffic voix a un DSCP fixé à 0x2e, donc avec des règles traffic-policy on doit pouvoir le passer en priorité 5. Le seul problème c'est que du coup plus d'offload sur l'interface...
On atteint là clairement les limites d'un routeur à 100 euros...
Soit on a un équipement type 'appliance' (comme l'ERL) et on dépend du code du constructeur pour les fonctionnalités avancées comme l'offload ou la configuration aisée.
Soit on part sur un truc puissant et on fait tout soi-meme avec Linux (ou openBSD) = c'est comme si on mettait un PC dédié avec 2 cartes réseau. ou au pire openwrt car on a le code source.
Perso j'attend de voir ce que donne la Livebox 4.
Elle aura peut-être un mode bridge tout en gérant la téléphonie et la TV.
Le CCR1009 coute dans les 400€ pour 8 ports (donc 4 switchés), reste a voir si on a la perf de la brochure (fastpath) si on n'utilise pas leur OS. Ca fait cher pour du grand public, d'autant que ca fait pas Wifi.
Perso j'attend de voir ce que donne la livebox 4. Elle aura peut-être un mode bridge tout en gérant la téléphonie et la TV.
Le CCR1009 coute dans les 400€ pour 8 ports (donc 4 switchés), reste a voir si on a la perf de la brochure (fastpath) si on n'utilise pas leur OS. Ca fait cher pour du grand public, d'autant que ca fait pas Wifi.
Hello !
Oublie ;)
Le Microtik est au format 1U, consomme 35W et coûte 4x le prix...Le CRR1009-8G-1S-1S+PC est plus petit que ca : 27,2 x 19 x 4,7 cm, et consomme 30W.
Pourquoi oublier la Livebox 4 ?Il n'y aura jamais de mode bridge ;D
Pour la téléphonie j'ai envie de dire que si ton soft sip permet de setter le DCSP/TOS (ou via windows, linux sur l'ordi qui fait tourner le soft), qd ça passe par l'ERL il devrait le sortir avec la bonne valeur 802.1p non ?a priori non mais ca vaut le coup de tester vu l'histoire de la prio sur le DHCP qui finalement n'est pas nécessaire...il vaut mieux avoir des certitudes avant de trancher.
quid du http://routerboard.com/RB3011UiAS-RM ? il ne coute que 170€Effectivement.
Effectivement.
Après il faut voir que les perfs annoncées sont hors NAT (pour le CCR aussi d'ailleurs).
c'est un peu dommage d'aller mettre un switch 24 juste pour mapper la QoS L3->L2... mais effectivement c'est une solution déjà envisagée.
Quand au mikcrotik pourquoi ce modele la qui coute 400€?
quid du http://routerboard.com/RB3011UiAS-RM ? il ne coute que 170€
Après pas forcé de mettre un 24 ports, il en existe dans toutes les tailles.
Tu connais des petits switch qui font DSCP to 802.1p ? j'en ai pas trouvé encore.
Le même que le mien mais en 8 ports, ça devrait pouvoir le faire : http://www.zyxel.fr/products/zyxel-gs1900-8/
Dans la datasheet il y a :
• IEEE 802.1p priority queues per port
• IEEE 802.1p Queuing method (scheduler)
• Input priority mapping
Après, j'ai pas testé, y compris sur mon 24 ports...
Effectivement.
Après il faut voir que les perfs annoncées sont hors NAT (pour le CCR aussi d'ailleurs).
Sinon, il y a l'option d'utiliser RouterOS sur une VM sous ESX.
ca a l'air vu la doc : faudrait faire un "DSCP to Queue" en entrée (venant de l'ERL) puis un "Queue to CoS" en sortie (vers l'ONT).Yep, c'est aussi ce que je me disais.
ca reste a valider bien sur.
70 € quand le huit ports, 100€ la verison PoE.
C'est bon a savoir en dernier recours.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description SWITCH
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
lan-interface eth1
lan-interface eth0
rule 1 {
description VHS(http)
forward-to {
address 192.168.1.22
port 8089
}
original-port 8089
protocol tcp_udp
}
rule 2 {
description VHS(https)
forward-to {
address 192.168.1.22
port 4443
}
original-port 4443
protocol tcp_udp
}
rule 3 {
description QNAP(https)
forward-to {
address 192.168.1.3
port 5443
}
original-port 5443
protocol tcp_udp
}
rule 4 {
description QNAP(http)
forward-to {
address 192.168.1.3
port 8880
}
original-port 8880
protocol tcp_udp
}
rule 5 {
description EDGE
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
rule 6 {
description VHS(ftp)
forward-to {
address 192.168.1.22
port 21
}
original-port 21
protocol tcp_udp
}
rule 7 {
description VHS(trans)
forward-to {
address 192.168.1.22
port 58370
}
original-port 58370
protocol tcp_udp
}
rule 8 {
description VHS(Plex)
forward-to {
address 192.168.1.22
port 32400
}
original-port 32400
protocol tcp_udp
}
rule 9 {
description "Cam entr\u007fe"
forward-to {
address 192.168.1.44
port 8044
}
original-port 8044
protocol tcp_udp
}
rule 10 {
description QNAP(dom)
forward-to {
address 192.168.1.3
port 17000
}
original-port 17000
protocol tcp_udp
}
rule 11 {
description HC2
forward-to {
address 192.168.1.8
port 80
}
original-port 8088
protocol tcp_udp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.22 {
stop 192.168.2.200
}
}
}
shared-network-name SWITCH {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping BureauA {
ip-address 192.168.1.92
mac-address d8:cb:8a:50:0a:83
}
static-mapping BureauB {
ip-address 192.168.1.4
mac-address 00:24:8c:02:4f:71
}
static-mapping Fibaro {
ip-address 192.168.1.8
mac-address 00:22:4d:b5:89:85
}
static-mapping NICOQNAP {
ip-address 192.168.1.3
mac-address 00:08:9b:f3:4a:ea
}
static-mapping PS3 {
ip-address 192.168.1.20
mac-address 44:94:fc:a4:2f:7b
}
static-mapping VHS {
ip-address 192.168.1.22
mac-address 6c:62:6d:b3:eb:d8
}
static-mapping raspberrypi {
ip-address 192.168.1.18
mac-address b8:27:eb:33:b7:97
}
}
}
}
dns {
dynamic {
interface pppoe0 {
service dyndns {
host-name xxxxxxxx.ddns.net
login xxxxxx
password xxxxxxxx
}
}
}
forwarding {
cache-size 1000
listen-on eth0
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxx {
password xxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Faudrait demander à ubnt ou vyatta de dégager wide-dhcpv6 par dibbler ou isc
J'ai commencé à regarder les scripts vyatta concernant DHCP6, et clairement il y a énormèment de chose à réécrire pour remplacer wide par dibbler.
Il y a notamment une grosse différence: Sur l'ERL il y a un process wide-dhcp par interface, alors que dibbler c'est obligatoirement un process unique.
Moi je pense que je vais encore faire plus "sale": Fichier de config dibbler écrit à la main, dibbler lancé dans /etc/rc.local. Il reste juste le problème de la génération de radvd.conf, je ne sais pas si je vais le générer directement (cf. script de @zommak), ou si je vais passer un minimum par les scripts vyatta pour ça.
De toute façon, je ne compte pas faire de DHCP6 sur mon LAN (l'autoconf stateless suffira largement), donc pas besoin de modifier la configuration du serveur DHCP6 à chaque fois que le prefix change (c'est ce que fait le script actuel à l'obtention du préfix, entre autres).
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send dhcp-client-identifier 1:00:37:b7:xx:xx:xx;" /* MAC Livebox */
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:xx:xx:xx:xx:xx:xx:xx:xx;" /* fti/.... */
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;"
default-route update
default-route-distance 210
name-server update
}
Note that due to the major changes in the transition to the new routing protocol stack, a number of (uncommon) config settings have been "deprecated". We also have basic "Config Guide" documents that includes basic information and examples for some of the new features and are working on more. These are all currently documented in the beta forum, and we are moving the documents to the regular forum and will provide update with links.
Il y a donc des chances qu'il faille modifier la config avant que tout refonctionne.
The list below shows other config settings that are no longer supported.
protocols bgp <> address-family ipv6-unicast network <> path-limit <>
protocols bgp <> neighbor <> address-family ipv6-unicast capability dynamic
protocols bgp <> neighbor <> address-family ipv6-unicast nexthop-local unchanged
protocols bgp <> neighbor <> disable-connected-check
protocols bgp <> neighbor <> local-as <> no-prepend
protocols bgp <> neighbor <> ttl-security hops <>
protocols bgp <> parameters disable-network-import-check
protocols bgp <> peer-group <> address-family ipv6-unicast capability dynamic
protocols bgp <> peer-group <> address-family ipv6-unicast nexthop-local unchanged
protocols bgp <> peer-group <> disable-connected-check
protocols bgp <> peer-group <> local-as <> no-prepend
protocols bgp <> peer-group <> ttl-security hops <>
protocols ospf area <> range <> cost <>
protocols ospf max-metric router-lsa
protocols ospf mpls-te
protocols ospfv3 area <> export-list <>
protocols ospfv3 area <> import-list <>
protocols ripng network <>
policy route-map <> rule <> call <>
policy route-map <> rule <> continue <>
policy route-map <> rule <> match ip route-source prefix-list <>
policy route-map <> rule <> match peer <>
policy route-map <> rule <> on-match
Quelqu'un a-t-il essayé l'update vers la 1.8 ?
http://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-8-0/ba-p/1490756 (http://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-8-0/ba-p/1490756)
Tout re-fonctionne de suite ?
(config ERL PPPOE + LIVEBOX)
Je l'ai fait sur la 1.8 rc1, il faut juste modifier le fichier vyata de connexion ppp (j'ai pas le nom exact sous la main), cf mettre en commentaires les authent pap/chap; c'est indiqué dans le tuto. Après ça, le reste fonctionne de suite, l'autre modif qu'on faisait du vyata-interfaces pour les classless routes a été intégrée ;)
Bref, pour passer à la 1.8 :
- sauvegarde config
- mise à jour
- modif du fichier vyata-ppp...
- reboot ;)
moins d'une minute chrono
system {
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
}
ont ->ERPoE eth3 -> switch GS108Tv2 -> decodeur TV
eth4 -> switch GS108Tv2 -> mon pc
Pour les utilisateurs profanes d'ERL, petit récap' de la situation suite à la migration en cours de l'infra Orange vers un modèle DHCP pour l'IPv4 et IPv6.
N'hésitez pas à corriger si j'écris une boulette. C'est plus orienté vers ceux qui suivent d'un œil la discussion et voudraient avoir des informations concrètes des changements et des modifications à mettre en œuvre pour avoir une install 100% fonctionnelle avec un ERL.
J'éditerai au fur et à mesure en fonction des retours des utilisateurs plus expérimentés.
VoIP : la voip arrive dans le vlan 851 et dans le vlan 832 également (pour les softphone Orange ?). Les trames encapsulant SIP et RTP arrivent avec un CoS à 5.
Dans le topic Microtik, le téléphone monterait sur la livebox avec un bridge entre le vlan 851 wan et le vlan 851 livebox.
J'édite pour préciser l’ambiguïté.
Dans le topic Microtik, le téléphone monterait sur la livebox avec un bridge entre le vlan 851 wan et le vlan 851 livebox.
J'édite pour préciser l’ambiguïté.
TV : la tv arrive sur le vlan 838/840. Prio du CoS à 4 ?5 pour le multicast TV (VLAN 840), 4 pour la VOD (VLAN 838) y compris DHCP.
Priorisation des fluxSolution 3 : Patcher dhclient. J'ai compilé un dhclient qui fixe le skb_priority à 6 (SO_PRIORITY), et qui donc devrait être taggué en prio 6 en utilisant l'egress-qos idoine. Reste à tester, ce que je n'ai pas encore fait.
Solution 1 : ajout de fonctionnalités par Ubiquiti pour un tag à la volée des flux selon le type (par DPI ?) sans faire sauter l'offload.
Solution 2 : overrider le mécanisme de raw socket sur certains protocoles
Solution 3 : Patcher dhclient. J'ai compilé un dhclient qui fixe le skb_priority à 6 (SO_PRIORITY), et qui donc devrait être taggué en prio 6 en utilisant l'egress-qos idoine. Reste à tester, ce que je n'ai pas encore fait.
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 832 {
}
}
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option SIP code 120 = string;"
global-parameters "option authsend code 90 = string;"
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.1
lease 86400
subnet-parameters "option authsend 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
}
ethernet eth2 {
description LAN2
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
}
}
en complement de ton recap, voici ce qui marche chez moi pour le moment:
Ipv4:Code: [Sélectionner]ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send dhcp-client-identifier 1:00:37:b7:xx:xx:xx;" /* MAC Livebox */
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:xx:xx:xx:xx:xx:xx:xx:xx;" /* fti/.... */
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;"
default-route update
default-route-distance 210
name-server update
}
ne pas oublier le patch pour l'option 90: https://gist.github.com/kgersen/5b8fb20a817aa6e88308#file-modif-os-patch
service {
nat {
rule 5010 {
outbound-interface eth1.832
type masquerade
}
}
}
les ports eth2 à eth4 sont réunis dans le switch0
ont ->ERPoE eth3 -> switch GS108Tv2 -> decodeur TV
eth4 -> switch GS108Tv2 -> mon pc
ubnt@ubnt:~$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=54 time=17.5 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=54 time=17.8 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=54 time=17.0 ms
64 bytes from 8.8.8.8: icmp_req=4 ttl=54 time=17.2 ms
64 bytes from 8.8.8.8: icmp_req=5 ttl=54 time=17.6 ms
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 17.002/17.457/17.815/0.329 ms
ubnt@ubnt:~$ show ip route
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
> - selected route, * - FIB route, p - stale info
IP Route Table for VRF "default"
S *> 0.0.0.0/0 [210/0] via 90.107.136.1, eth1.832
C *> 10.122.14.0/24 is directly connected, br0
K *> 80.10.117.120/31 [0/0] via 10.122.14.254, br0
K *> 80.10.204.0/22 [0/0] via 10.122.14.254, br0
K *> 81.253.206.0/24 [0/0] via 10.122.14.254, br0
K *> 81.253.210.0/23 [0/0] via 10.122.14.254, br0
K *> 81.253.214.0/23 [0/0] via 10.122.14.254, br0
C *> 90.107.136.0/21 is directly connected, eth1.832
C *> 127.0.0.0/8 is directly connected, lo
K *> 172.19.20.0/23 [0/0] via 10.122.14.254, br0
K *> 172.20.224.167/32 [0/0] via 10.122.14.254, br0
K *> 172.23.12.0/22 [0/0] via 10.122.14.254, br0
C *> 192.168.1.0/24 is directly connected, switch0
K *> 193.253.67.88/29 [0/0] via 10.122.14.254, br0
K *> 193.253.153.227/32 [0/0] via 10.122.14.254, br0
K *> 193.253.153.228/32 [0/0] via 10.122.14.254, br0
ubnt@ubnt:~$
nat {
rule 5010 {
outbound-interface eht1.832
type masquerade
}
rule 5011 {
outbound-interface br0
type masquerade
}
}
nat {
rule 5010 {
destination {
group {
}
}
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
Tu as rebooté l'ERL après avoir fait la modif ?En rebootant ça passe en effet :) Reste plus que la TV
Parfois, certains paramètres ne sont pas pris en compte lors du commit (notamment les paramètres DHCP client) si l'interface est déjà active (c'est pour moi un bug, mais toujours présent dans la 1.8). Il faut donc rebooter.
En rebootant ça passe en effet :) Reste plus que la TV
EDIT: le tel fonctionne aussi nickel
un test de tel pendant un speedtest a fond , ca donne quoi niveau qualité de voix ?Je testerai à l'occasion, il me reste que la VOD à faire marcher, je posterai la conf si ça interesse des gens
j'ai une config dhcpv4 clean avec Livebox, tout fonctionne
un test de tel pendant un speedtest a fond , ca donne quoi niveau qualité de voix ?
OK, merci pour le retour. Tu peux poster ta config de base (en virant les éléments personnels) ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action accept
description OpenVPN
destination {
port 1194
}
log disable
protocol udp
}
rule 3 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
description BR_TV
}
ethernet eth0 {
address 192.168.10.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XXXXXXXX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
traffic-policy {
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.20.1/24
description "VLAN TV Canal 2"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
openvpn vtun0 {
encryption aes256
hash sha256
mode server
openvpn-option --comp-lzo
server {
push-route 192.168.10.0/24
push-route 192.168.20.0/24
subnet 192.168.30.0/24
}
tls {
ca-cert-file /config/auth/XXX.cer
cert-file /config/auth/XXX.cer
dh-file /config/auth/XXX.pem
key-file /config/auth/XXX.key
}
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
rule 1 {
description ssh
forward-to {
address 192.168.10.205
port 22
}
original-port XXXX
protocol tcp_udp
}
wan-interface eth1.832
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LAN1 {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
lease 86400
start 192.168.10.2 {
stop 192.168.10.200
}
}
}
shared-network-name LAN2 {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.20.2 {
stop 192.168.20.20
}
subnet-parameters "option rfc3118-auth 0:0:0:0:0:0:0:0:0:0:0:64:XXXXXXXXXXX;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.20.2
mac-address 00:37:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
type masquerade
}
}
snmp {
community public {
authorization ro
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user XXX {
authentication {
encrypted-password $XXXX
plaintext-password ""
public-keys xxx@xxxx.com {
key AAAA....=
type ssh-rsa
}
}
full-name administrator
level admin
}
}
name-server 92.222.80.28
name-server 78.138.97.93
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
c'est cool voisin ;)J'avais même pas vu ^^"
tu ferais mieux d'enlever ton numéro de téléphone, tes adresses mac and co
tu ferais mieux d'enlever ton numéro de téléphone, tes adresses mac and co
j'ai corrigé l'adresse mac, mais je peux pas supprimer l'image avec le tel sans supprimer tout le message, pas grave
Bravo :)
Tu choppes aussi le /56 au niveau de l'ERL ?
Et avec l'ipv6, tous les services continuent de fonctionner ?J'ai pas encore tout testé, mais je me souviens que ssh n'aimait pas ipv6 par ex, ce qui plantait certains de mes backups
après j'ai prévu de m'occuper de la clé usb dans ce foutu ERL, elle m'énerve ;)
oui, mais non... c'est pas parce que t'as augmenté la partition que egdeos la voit ;)
il te dit quoi df -h en ligne de commande ?
Kernel command line: bootoctlinux $loadaddr coremask=0x3 root=/dev/sda2 rootdelay=15 rw rootsqimg=squashfs.img rootsqwdir=w mtdparts=phys_mapped_flash:512k(boot0),512k(boot1),64k@1024k(eeprom) console=ttyS0,115200
$ iperf3 -6 -c bouygues.testdebit.info -R
Connecting to host bouygues.testdebit.info, port 5201
Reverse mode, remote host bouygues.testdebit.info is sending
[ 4] local 2a01:x:x:x:x:x:x:x port 50644 connected to 2001:860:f70b::61 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 101 MBytes 844 Mbits/sec
[ 4] 1.00-2.00 sec 110 MBytes 924 Mbits/sec
[ 4] 2.00-3.00 sec 109 MBytes 918 Mbits/sec
[ 4] 3.00-4.00 sec 105 MBytes 879 Mbits/sec
[ 4] 4.00-5.00 sec 98.5 MBytes 826 Mbits/sec
[ 4] 5.00-6.00 sec 97.5 MBytes 818 Mbits/sec
[ 4] 6.00-7.00 sec 102 MBytes 853 Mbits/sec
[ 4] 7.00-8.00 sec 103 MBytes 862 Mbits/sec
[ 4] 8.00-9.00 sec 105 MBytes 877 Mbits/sec
[ 4] 9.00-10.00 sec 97.0 MBytes 814 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 1.01 GBytes 864 Mbits/sec 207 sender
[ 4] 0.00-10.00 sec 1.00 GBytes 862 Mbits/sec receiver
root@ubnt:~# configure
[edit]
root@ubnt# set system offload ipv6 forwarding enable
[edit]
root@ubnt# set system offload ipv6 vlan enable
[edit]
root@ubnt# commit
[edit]
root@ubnt# save
Saving configuration to '/config/config.boot'...
Done
[edit]
root@ubnt# exit
offload {
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
MAJ des connaissances concernant l'adaptation de la configuration de l'ERL pour le support de l'archi en DHCP pour ipv4/ipv6 :
...
Du coup, ai-je besoin de vraiment refaire la même configuration au niveau des vlans et de la QoS, si je n'ai que le flux data à gérer au bout du compte ?Hormis le VLAN 832 sur lequel passe tout le flux data, et éventuellement les problèmes de CoS que certains rencontrent (ce n'est pas encore très clair, mais apparemment chez certains impossible d'obtenir une IP sans faire de CoS), ca devrait être simple.
Les tutos publiés ici étaient devenus obsoletes.Merci archive.org! Pour ceux que ça intéresse voici :
Vous retrouverez son contenu original ici : http://www.homelabs.fr/configuration/ubiquiti-edgeos/ (http://www.homelabs.fr/configuration/ubiquiti-edgeos/)
Ouais mais ça c'est fonctionnel en 1.7 (ce sont les tutos que j'ai utilisé), là en 1.8 le br0 ne récupère pas d'IP.Perso je suis passé de la 1.7 à la 1.8 sans perdre quoi que ce soit (ma config est très très similaire à celle du github de c0mm0n). J'ai juste supprimé mon script qui redémarrait igmpproxy à chaque fois que PPPoE remonte, puisque c'est inclus dans la 1.8.
Merci :)
Justement je croyais que b416 avait mit un autre os : https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg309292/#msg309292 ?
Bon tentative de maj en 1.8, ça ne fonctionne pas totalement, j'ai un commit failed dans les logs au boot, et je n'ai plus d'IP sur le br0 (donc je perds la tv).Dans ma config je n'obtiens plus d'IP sur br0 non plus, mais ça n'a pas l'air de gêner quiconque, la télé et la VOD marchent bien. Par contre c'est une config avec Livebox.
Quelqu'un aurait une procédure complète pour repartir d'un ERL vierge en 1.8 pour une conf sans livebox ?
Merci d'avance,
Dans ma config je n'obtiens plus d'IP sur br0 non plus, mais ça n'a pas l'air de gêner quiconque, la télé et la VOD marchent bien. Par contre c'est une config avec Livebox.Dans une config avec Livebox l'adresse ip sur le bridge est effectivement inutile, et l'a toujours été (mon bridge n'avait pas d'IP quand j'avais encore la livebox et la TV/VOD fonctionnaient bien), bien que la config de c0mm0n en mette un.
# Defaults for dibbler-client.
# installed at /etc/dibbler/client.conf by the maintainer scripts
# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 7
downlink-prefix-ifaces "none"
script "/etc/dibbler/radvd.sh"
iface "eth1.832" {
pd
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:identifiant fti
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:identifiant fti
}
#!/bin/bash
LAN0=eth0
LAN2=eth2.832
WAN=eth1.832
taille=${#PREFIX1}
taille=$((taille-4))
cat > /etc/radvd.conf << EOF
interface ${LAN0}
{
AdvSendAdvert on;
AdvManagedFlag off;
AdvOtherConfigFlag on;
prefix ${PREFIX1:0:taille}a0::/64
{
AdvOnLink on;
AdvAutonomous on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
};
RDNSS ${PREFIX1:0:taille}a0::1
{
AdvRDNSSLifetime 1200;
};
};
interface ${LAN2}
{
AdvSendAdvert on;
AdvManagedFlag on;
AdvOtherConfigFlag on;
prefix ${PREFIX1:0:taille}10::/64
{
AdvOnLink on;
AdvAutonomous off;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
};
RDNSS ${PREFIX1:0:taille}10::1
{
AdvRDNSSLifetime 1200;
};
};
EOF
cat > /etc/dibbler/server.conf << EOF
log-level 7
log-mode full
iface "${LAN0}" {
T1 43200
T2 69120
prefered-lifetime 86400
valid-lifetime 86400
# option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
pd-class {
pd-pool ${PREFIX1:0:taille}10::/58
pd-length 60
}
}
iface "${LAN2}" {
T1 43200
T2 69120
prefered-lifetime 86400
valid-lifetime 86400
option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
option dns-server ${PREFIX1:0:taille}c0::1
pd-class {
pd-pool ${PREFIX1:0:taille}c0::/58
pd-length 60
}
}
EOF
mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add ${PREFIX1:0:taille}a0::/64 dev ${LAN0}
ip -6 addr add ${PREFIX1:0:taille}a0::1/64 dev ${LAN0}
ip -6 route add ${PREFIX1:0:taille}10::/64 dev ${LAN2}
ip -6 route add fe80::<addr livebox> dev ${LAN2}
ip -6 route add ${PREFIX1:0:taille}c0::/60 via fe80::<addr livebox> dev ${LAN2}
ip -6 addr add ${PREFIX1:0:taille}10::1/64 dev ${LAN2}
service radvd restart >> /var/log/radvd.log
EOF
cat > /etc/ip6deconf-new.sh << EOF
ip -6 route flush ${PREFIX1:0:taille}10::
ip -6 route flush default
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del ${PREFIX1:0:taille}10::/64 dev ${LAN0}
ip -6 addr del ${PREFIX1:0:taille}10::1/64 dev ${LAN0}
ip -6 route del ${PREFIX1:0:taille}10::/64 dev ${LAN2}
ip -6 route del fe80::<addr livebox> dev ${LAN2}
ip -6 route del ${PREFIX1:0:taille}c0::/60 via fe80::<addr livebox> dev ${LAN2}
ip -6 addr del ${PREFIX1:0:taille}10::1/64 dev ${LAN2}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
dibbler-server stop >> /var/log/radvd.log
dibbler-server start >> /var/log/radvd.log
service radvd restart >> /var/log/radvd.log
service radvd restart
name-server 208.67.222.222
name-server 208.67.220.220
name-server 2620:0:ccc::2
name-server 2620:0:ccd::2
update-rc.d dibbler-client enable/disable
Je publierai ma conf quand je serai passé à DHCP (15 mars au plus tôt dans le sud-est).
Pour l'instant en PPPoE ca n'a que peu d'intérêt, et d'ailleurs elle est déjà publiée dans le message initial (de c0mm0n, edité par @kgersen), première page de ce fil.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" /* Adr Mac Livebox + 4 */
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description "LAN LIVEBOX"
duplex auto
ip {
}
poe {
output off
}
speed auto
}
ethernet eth1 {
description "WAN ONT"
duplex auto
poe {
output off
}
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" /* Adr Mac Livebox */
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;" /* Votre identifiant : fti/xxxxxxxx */
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description "SIP Proxy"
forward-to {
address 192.168.1.200
}
original-port 5070
protocol udp
}
rule 2 {
description "SIP RTP"
forward-to {
address 192.168.1.200
}
original-port 7070-7089
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name DHCP-ETH0 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.240
}
}
}
shared-network-name DHCP-SWITCH0 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.199
}
}
}
shared-network-name LAN3 {
authoritative disable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
lease 86400
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 80.10.246.2
name-server 80.10.246.129
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
- Connection DHCP IPv4 : Internet + TV + Téléphone sans livebox
ça marche pasCode: [Sélectionner]service radvd restart
service radvd stop
service radvd start
ethernet eth0 {
description "LAN LIVEBOX"
duplex auto
vif 832 {
address 192.168.2.1/24
description "VLAN TV"
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "LAN LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "VLAN TV"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "WAN ONT"
duplex auto
poe {
output off
}
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description "SIP Proxy"
forward-to {
address 192.168.1.200
}
original-port 5070
protocol udp
}
rule 2 {
description "SIP RTP"
forward-to {
address 192.168.1.200
}
original-port 7070-7089
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name DHCP-ETH0 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.240
}
static-mapping DecodeurTV {
ip-address 192.168.2.22
mac-address d8:6c:e9:3e:75:a7
}
}
}
shared-network-name DHCP-SWITCH0 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.199
}
static-mapping xxxxxxxxxx {
ip-address 192.168.1.8
mac-address xx:xx:xx:xx:xx:xx
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password xxxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 80.10.246.2
name-server 80.10.246.129
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
ethernet eth0 {
address 192.168.2.1/24
description "LAN LIVEBOX"
duplex auto
speed auto
vif 832 {
description "VLAN TV"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth0 {
address 192.168.2.1/24
description "LAN LIVEBOX"
duplex auto
speed auto
vif 832 {
description "VLAN TV"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
ethernet eth0 {
description "LAN LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "VLAN TV"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
Bonjour,
Nouveau sur le forum, je suis abonné à la fibre Jet depuis plus d'un an.
Je souhaiterai remplacer ma livebox par un edgerouter.
Je ne suis pas un pro en réseau (je suis développeur donc l'informatique ça va) et donc avant de me lancer dans l'achat du routeur, j'ai un peu peur de l'ampleur de la tâche.
Y'aurait t'il une âme charitable qui pourrait m'aider ou me guider ?
Existe-t-il un tuto très complet sur la procédure (à moins que celle de ce topic suffise mais ça me parait léger pour un débutant) ?
Vous trouverez ci-dessous mon fichier config.boot pour la configuration suivante :
- Connection DHCP IPv4 : Internet + TV + Téléphone sans livebox
- DNS Orange (pour la téléphonie) et Google
- EdgeRouter PoE v1.8 :
- ONT est branché sur l'ETH1
- Le switch de l'ERPoE est composé des ports ETH2, ETH3 et ETH4
- Le switch de l'ERPoE a pour adresse 192.168.1.1
- Le port ETH0 a pour adresse 192.168.2.1
- les ports 5070 et 7070-7089 sont redirigés vers une Raspberry PI2 qui gère siproxd-orange et un serveur Asterisk pour la téléphonie.
Normalement, j'ai supprimé mes spécificités (Adresses MAC, Login fti/xxx, Alimentation des ports ETH3 et ETH4, DynDNS NO-IP, ...).Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "WAN VIDEO"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" /* Adr Mac Livebox + 4 */
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description "LAN LIVEBOX"
duplex auto
ip {
}
poe {
output off
}
speed auto
}
ethernet eth1 {
description "WAN ONT"
duplex auto
poe {
output off
}
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" /* Adr Mac Livebox */
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;" /* Votre identifiant : fti/xxxxxxxx */
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "WAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description LAN
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description "SIP Proxy"
forward-to {
address 192.168.1.200
}
original-port 5070
protocol udp
}
rule 2 {
description "SIP RTP"
forward-to {
address 192.168.1.200
}
original-port 7070-7089
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name DHCP-ETH0 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.240
}
}
}
shared-network-name DHCP-SWITCH0 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.199
}
}
}
shared-network-name LAN3 {
authoritative disable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
lease 86400
}
}
}
dns {
forwarding {
cache-size 0
listen-on switch0
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 80.10.246.2
name-server 80.10.246.129
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
Cette partie là n'est plus nécessaire selon plusieurs posts. Chez sans cette ligne, ça fonctionne.
Je suis en 1.7, sans livebox avec un ERL 3 ports. Il n'y a pas besoin d'installer le paquet VLAN.
Ma config (nettoyée, j'espère ne pas en avoir trop enlevé) :Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the Router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.66.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Livebox Network"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.66.0/24 {
default-router 192.168.66.1
dns-server 192.168.66.1
lease 86400
start 192.168.66.100 {
stop 192.168.66.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "Masquerading Livebox network"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Pour que la TV fonctionne, il faut également ajouter le script joint (rfc3442-classless-routes, enlever l'extension .txt) dans /etc/dhcp3/dhclient-exit-hooks.d/ puis faire un "chmod 755 /etc/dhcp3/dhclient-exit-hooks.d/rfc3442-classless-routes". C'est le seul script nécessaire.
Avec cette config, sans installer le moindre autre package, j'ai Internet + TV + VOD + Telephonie (avec asterisk + siproxd + siproxd_orange sur un raspberry PI, il manque juste les règles de firewall car elles font apparaitre l'IP de ma machine sur le LAN).
- LAN sur eth0 (attention, plage 192.168.66.0/24 chez moi, à adapter selon le besoin).
- ONT sur eth1
- "Réseau dédié TV" sur eth2 (plage 192.168.2.0/24)
DHCP client identfier = ? (mac livebox)DHCP client identifier = 1:mac livebox
Password = ? (mot de passe connexion)
User = ? (fti)
encrypted-password = ???
DHCP client identifier = 1:mac livebox
user-id = fti/....
password = mot de passe de connexion
Ensuite, le reste (user et encrypted-password) concerne les identifiants de connexion et mot de passe pour se connecter à l'ERL (rien à voir avec la connexion donc). Je te conseille de reprendre ceux de ta configuration actuelle (visibles dans /config/config.boot sur ton ERL) si tu veux pouvoir te connecter à ton ERL une fois la config en place...
Parcontre jaimerais savoir comment vous avez configure le firewall dans votre config.La configuration basique du firewall qu'il y a dans mon script ne permet pas par défaut de se connecter à l'interface WEB/SSH depuis le WEB.Jai l'interface web et ssh accesible depuis le net.(je pense d'avoir connecte sur mon hotspot 4g!!)
service {
gui {
https-port 443
listen-address 192.168.X.Y
}
ssh {
listen-address 192.168.X.Y
port 22
protocol-version v2
}
La configuration basique du firewall qu'il y a dans mon script ne permet pas par défaut de se connecter à l'interface WEB/SSH depuis le WEB.
Personnellement j'ai rajouté une sécurité supplèmentaire en ne faisant écouter les serveur SSH et WEB que sur l'interface interne:Code: [Sélectionner]service {
gui {
https-port 443
listen-address 192.168.X.Y
}
ssh {
listen-address 192.168.X.Y
port 22
protocol-version v2
}
@mathew.lear.fr@gmail.com : clique sur "show advanced options" et vérifie que l'option auto-firewall soit cochée.
T'as utilisé une config pppoe ou dhcp ? Si 1. tes réglages semblent OK, si 2. il faut modifier la wan interface.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description Lan
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXXXX
user-id fti/XXXXXXX
}
}
vif 838 {
bridge-group {
bridge br0
}
description "TV Services"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description Livebox
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description "TV Services"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "HTTP to Tali"
forward-to {
address 192.168.1.100
}
original-port 80
protocol tcp
}
rule 2 {
description "HTTPS to Tali"
forward-to {
address 192.168.1.100
}
original-port 443
protocol tcp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name Lan {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
static-mapping Tali {
ip-address 192.168.1.100
mac-address XX:XX:XX:XX:XX:XX
}
}
}
shared-network-name Livebox {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/XXXXXXX {
password XXXXXXX
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
snmp {
community public {
authorization ro
}
contact Me
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user XXXXXXXXXX {
authentication {
encrypted-password XXXXXXXXXX
plaintext-password ""
}
full-name Me
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
(http://i.imgur.com/La1UfXp.png)
Je conseille également fortement d'utiliser un bridge supplèmentaire rien que pour le VLAN 851. Quand j'utilisais encore la Livebox pour la téléphonie, ça fonctionnait également très mal avec un seul bridge TV+VOIP.
Salut ZOC, tu a garder cette config ou pas ? jaimerais esssaye... Merci
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Internet to the LAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description HOME
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server none
password secret
user-id fti/user
}
}
vif 838 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description tv
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description voip
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.254/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description tv
}
vif 840 {
bridge-group {
bridge br0
}
description tv
}
vif 851 {
bridge-group {
bridge br1
}
description voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name livebox.lan {
authoritative enable
description livebox.lan
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.10
}
}
}
shared-network-name home.lan {
authoritative disable
description home.lan
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
lease 86400
start 192.168.1.1 {
stop 192.168.1.99
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
https-port 443
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/login {
password pass
}
}
mode local
}
client-ip-pool {
start 192.168.2.11
stop 192.168.2.20
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.8.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Salut ZOC, tu a garder cette config ou pas ? jaimerais esssaye... Merci
interfaces {
...
bridge br1 {
}
...
}
puis on met les interfaces dedans :...
interfaces {
ethernet eth1 {
...
vif 851 {
...
bridge-group {
bridge br1
}
...
}
...
ethernet eth2 {
...
vif 851 {
...
bridge-group {
bridge br1
}
...
}
...
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:*:*:*:*:*:*;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;"
client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Décodeur TV"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description ""
forward-to {
address 192.168.1.*
port 3389
}
original-port 3389
protocol tcp
}
rule 2 {
description ""
forward-to {
address 192.168.1.*
port 21
}
original-port 21
protocol tcp
}
rule 3 {
description ""
forward-to {
address 192.168.1.*
port 27618
}
original-port 27618
protocol tcp_udp
}
rule 4 {
description ""
forward-to {
address 192.168.1.*
port 88
}
original-port 88
protocol udp
}
rule 5 {
description ""
forward-to {
address 192.168.1.*
port 3074
}
original-port 3074
protocol tcp_udp
}
rule 6 {
description ""
forward-to {
address 192.168.1.*
port 53
}
original-port 53
protocol tcp_udp
}
rule 7 {
description ""
forward-to {
address 192.168.1.*
port 500
}
original-port 500
protocol udp
}
rule 8 {
description ""
forward-to {
address 192.168.1.*
port 3544
}
original-port 3544
protocol udp
}
rule 9 {
description ""
forward-to {
address 192.168.1.*
port 4500
}
original-port 4500
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LiveboxTV {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
dynamic {
interface eth1.832 {
service dyndns {
host-name *.*.*
login ******
password ************
server dynupdate.no-ip.com
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password *******************
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
host 192.168.1.* {
facility all {
level notice
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Je conseille également fortement d'utiliser un bridge supplèmentaire rien que pour le VLAN 851. Quand j'utilisais encore la Livebox pour la téléphonie, ça fonctionnait également très mal avec un seul bridge TV+VOIP.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
bridge br1 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXXXXX
user-id fti/XXXXXXXX
}
}
vif 838 {
bridge-group {
bridge br0
}
description "TV Services"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
description Livebox
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description "TV Services"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "HTTP to Tali"
forward-to {
address 192.168.1.100
}
original-port 80
protocol tcp
}
rule 2 {
description "HTTPS to Tali"
forward-to {
address 192.168.1.100
}
original-port 443
protocol tcp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.10 {
stop 192.168.1.200
}
static-mapping Tali {
ip-address 192.168.1.100
mac-address XX:XX:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/XXXXXXXX {
password XXXXXXXX
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
snmp {
community public {
authorization ro
}
contact Me
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user XXXXXXXX {
authentication {
encrypted-password XXXXXXXX
plaintext-password ""
}
full-name Me
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
Salut à tous,
Je confirme que tout à l'air de mieux marcher avec deux bridges :).
En mettant le VLAN 851 pour la VoIP sur un bridge séparé (br1), je n'ai plus eu de désynchronisation du téléphone hier soir et tout était opérationnel encore ce matin (TV, Téléphone et Internet OK).
Je continue de surveiller la Livebox de temps en temps, mais tout à l'air bon ;D.
Au cas ou, si ça peut en aider certains, voici ma configuration:J'ai laissé un exemple de static-mapping et port forwarding (80 et 443) si ça peut en aider certains.
- ERLite3 en version 1.8, ONT sur le eth1 et Livebox Play sur le eth2 pour la TV et le Téléphone
- PPPOE
- Lan sur le eth0, IPs dans la plage 192.168.1.0/24 avec serveur DHCP
- La Livebox est atteignable via son interface de gestion distante (son IP coté WAN devrait être dans la plage 192.168.2.210 à 192.168.2.220, fournie par le serveur PPPOE de l'ERLite)
- Deux bridges: br0 pour la TV, br1 pour la VoIP
J'ai également laissé le service SNMP dans ma configuration, que j'utilise pour interroger et générer des graphes de l'activité du routeur et des interfaces (avec Munin).
(http://i.imgur.com/dDlgMCL.jpg)
Configuration de la Livebox (préconisations de Gnubyte):
(http://imgur.com/zb0FbR2.jpg)
La configuration du routeur:Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
}
bridge br1 {
}
ethernet eth0 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXXXXX
user-id fti/XXXXXXXX
}
}
vif 838 {
bridge-group {
bridge br0
}
description "TV Services"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
description Livebox
duplex auto
speed auto
vif 835 {
description FTTH
}
vif 838 {
bridge-group {
bridge br0
}
description "TV Services"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br1
}
description VoIP
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "HTTP to Tali"
forward-to {
address 192.168.1.100
}
original-port 80
protocol tcp
}
rule 2 {
description "HTTPS to Tali"
forward-to {
address 192.168.1.100
}
original-port 443
protocol tcp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.10 {
stop 192.168.1.200
}
static-mapping Tali {
ip-address 192.168.1.100
mac-address XX:XX:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/XXXXXXXX {
password XXXXXXXX
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
snmp {
community public {
authorization ro
}
contact Me
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user XXXXXXXX {
authentication {
encrypted-password XXXXXXXX
plaintext-password ""
}
full-name Me
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
A ne pas oublier:
- Mettre ses identifiants fti/ à deux endroits dans la configuration (pppoe-server & eth1/vif 835)
- Ne pas oublier d’exécuter le script de c0mm0n pour le serveur PPPOE (https://github.com/c0mm0n/edgemax4orange/blob/master/pppoe_server_mod.sh) via SSH, en étant root
- Mettre ses identifiants pour se connecter à l'interface de gestion dans la partie system/login
Je remet également le schema de kgersen, vraiment top pour tout visualiser :)
(http://i.imgur.com/La1UfXp.png)
Merci encore pour l'aide :).
static-mapping Tali {
ip-address 192.168.1.100
mac-address XX:XX:XX:XX:XX:XX
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "HTTP to Tali"
forward-to {
address 192.168.1.100
}
original-port 80
protocol tcp
}
rule 2 {
description "HTTPS to Tali"
forward-to {
address 192.168.1.100
}
original-port 443
protocol tcp
}
wan-interface pppoe0
}
@mathew.lear.fr
Normalement le DHCP de la configuration que j'ai posté doit fournir des adresses pour le eth0 (192.168.1.1/24).
Dans ma configuration j'ai laissé un exemple de mapping statique (en masquant l'adresse MAP réelle) et de port forwarding.
Essaye peut être de le retirer, l'adresse MAC étant volontairement fausse:
Peut-être un problème de CoS...
Manifestement elle serait nécessaire à certains endroits mais pas partout. Et dans ce cas on n'a pas vraiment de solution pour l'ERL pour l'instant.
Personnellement j'ai compilé un dhclient qui est sensé pouvoir envoyer des requêtes en priorité 6 (associé à une configuration "egress-qos 0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"). Mais je ne l'ai pas encore testé et j'espère que ce ne sera pas nécessaire chez moi (toujours pas de DHCP, enfin peut-être que si car la migration est sensée avoir débuté le 15 mars ici mais je n'ai pas encore rebranché la LB pour voir).
J'ai testé mon dhclient depuis (même si je ne suis toujours pas en DHCP), j'ai sniffé ce qui sortait de l'ERL et mes requêtes sortent bien en priorité 6 ;) ). Du coup j'ai aussi compilé un dibbler-client modifié pour IPv6.
Moi je suis parti de leur version pour le firmware 1.8. C'est sous licence GPL, donc il sont obligés de publier les sources, ici : https://www.ubnt.com/download/edgemax/default/default/erlite-3erpoe-5-firmware-v180 (Download GPL archive).
Ton dhclient fonctionne à merveille ;)Génial, bonne nouvelle et merci pour le test 8)
Génial, bonne nouvelle et merci pour le test 8)Par curiosité, quels sont les CFLAGS que tu as utilisé pour compiler ?
(J'utilise une VM Qemu MIPS pour compiler sans avoir a me casser la tête avec la cross-compilation, ni compiler directement sur l'ERL).
debian/autogen.h
./configure CFLAGS="-O2 -Wall -D_GNU_SOURCE"
make
ip.ip_tos = IPTOS_CLASS_CS6;
dans common/packet.cAprès avoir ajouté :Non, ça ne marchera pas, le kernel ne mappe ip_tos sur skb->priority que pour les paquets qui traversent le routeur, pas pour les paquets dont l'origine est le routeur.Code: [Sélectionner]ip.ip_tos = IPTOS_CLASS_CS6;
dans common/packet.c
J'ai bon ? :)
int if_register_lpf (info)
struct interface_info *info;
{
int val;
int sock;
struct ifreq tmp;
struct sockaddr_ll sa;
/* Make an LPF socket. */
if ((sock = socket(PF_PACKET, SOCK_RAW,
htons((short)ETH_P_ALL))) < 0) {
if (errno == ENOPROTOOPT || errno == EPROTONOSUPPORT ||
errno == ESOCKTNOSUPPORT || errno == EPFNOSUPPORT ||
errno == EAFNOSUPPORT || errno == EINVAL) {
log_error ("socket: %m - make sure");
log_error ("CONFIG_PACKET (Packet socket) %s",
"and CONFIG_FILTER");
log_error ("(Socket Filtering) are enabled %s",
"in your kernel");
log_fatal ("configuration!");
}
log_fatal ("Open a socket for LPF: %m");
}
val = 1;
setsockopt(sock, SOL_PACKET, PACKET_AUXDATA, &val, sizeof(val));
/* ZOC: Set SO_PRIORITY (skb->priority in Linux kernel) to 6.
vlan code will then map this priority to 802.1p priority according
to egress configuration for the VLAN */
val = 6;
setsockopt(sock, SOL_SOCKET, SO_PRIORITY, &val, sizeof (val));
...
Ce qu'il faut faire, c'est fixer directement la priorité skb (SO_PRIORITY) sur la socket (dans common/lpf.c) :Je n'aurais pas trouvé tout de suite... Merci pour la correction !
J'ai testé mon dhclient depuis (même si je ne suis toujours pas en DHCP), j'ai sniffé ce qui sortait de l'ERL et mes requêtes sortent bien en priorité 6 ;) ). Du coup j'ai aussi compilé un dibbler-client modifié pour IPv6.
Ce qu'il faut:
- pour le vif 832 de l'interface WAN, dans la config : egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
- remplacer /sbin/dhclient3 par celui joint (compressé au format tgz) à ce message (faire une sauvegarde de l'ancien au cas où...). S'assurer qu'il a les droits d'exécution.
- rebooter l'erl.
J'ai déjà demandé le premier, relance si tu veux ! (dans le forum beta)
Je pense que ça doit être faisable, et ça va dépendre de la capacité du switch de mapper le TOS IP sur la CoS : Le client DHCP de l'ERL èmet ses requêtes avec le champ IP_TOS a 0x10. Il suffirait dont sur le switch de mapper IP TOS 0x10 -> 802.1p priorité 6.
Et après, tant qu'à faire, pour s'approcher encore un peu plus du comportement de la livebox, il faudrait aussi changer la CoS pour la VOIP (et je crois qu'ils sont envoyés avec un DSCP, donc il faut aussi faire une correspondance DSCP -> 802.1p), ainsi que pour ICMP et IGMP, voir ARP, même s'il semble que pour ces 3 protocoles ce ne soit jamais nécessaire.
Edit: @Dam64 on peut imaginer qu'il n'ait pas envie de modifier le firmware de son ERL. D'autant plus que mes modifications ne survivront pas à une mise à jour firmware et qu'il faudra donc recommencer à chaque nouvelle version...
J'ai testé mon dhclient depuis (même si je ne suis toujours pas en DHCP), j'ai sniffé ce qui sortait de l'ERL et mes requêtes sortent bien en priorité 6 ;) ). Du coup j'ai aussi compilé un dibbler-client modifié pour IPv6.
Ce qu'il faut:
- pour le vif 832 de l'interface WAN, dans la config : egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
- remplacer /sbin/dhclient3 par celui joint (compressé au format tgz) à ce message (faire une sauvegarde de l'ancien au cas où...). S'assurer qu'il a les droits d'exécution.
- rebooter l'erl.
DHCP ou PPPoE le comportement devrait pourtant être similaire.
Maintenant je n'utilise pas FTP.
Je pense que ça doit être faisable, et ça va dépendre de la capacité du switch de mapper le TOS IP sur la CoS : Le client DHCP de l'ERL èmet ses requêtes avec le champ IP_TOS a 0x10. Il suffirait dont sur le switch de mapper IP TOS 0x10 -> 802.1p priorité 6.
Et après, tant qu'à faire, pour s'approcher encore un peu plus du comportement de la livebox, il faudrait aussi changer la CoS pour la VOIP (et je crois qu'ils sont envoyés avec un DSCP, donc il faut aussi faire une correspondance DSCP -> 802.1p), ainsi que pour ICMP et IGMP, voir ARP, même s'il semble que pour ces 3 protocoles ce ne soit jamais nécessaire.
Edit: @Dam64 on peut imaginer qu'il n'ait pas envie de modifier le firmware de son ERL. D'autant plus que mes modifications ne survivront pas à une mise à jour firmware et qu'il faudra donc recommencer à chaque nouvelle version...
Pour tout tagguer à 6 pas besoin de switch et de firmware perso.
Ce qu'il veut faire c'est tagguer en fonction du DSCP des paquets, donc avec une priorité adaptée au type de traffic. Sachant que le client DHCP de l'ERL fixe un DSCP différent du reste du traffic, ça doit être faisable.
Hum ok, j'avais compris son poste comme un souhait de faire une solution "générique", pas forcement propre à l'ERL (du coup sans forcèment avec des packets DHCP sortant avec une propriété DSCP déja fixée), d'où ma remarque.
Quoi que, vu la doc du switch, on peut créer une class diffserv en filtrant sur pas mal de paramètres, dont le port source, la mac de destination... et y marquer une CoS. On devrait pouvoir matcher que les requêtes DHCP du coup, je suppose... Ce qui rendrait service à tous les autres routeurs (ceux qui gèrent les bonnes options DHCP mais pas la CoS)...
EDIT : même si les vlans et priorités ne sont pas les même, le principe est je crois similaire ici (google fibre, routeur pfsense=>switchgs108t=>ont ) : http://flyovercountry.org/2014/02/google-fiber-gigabit-speeds-your-router-part-2-qos/ (y'a une part 1 avec le schéma expliqué)
regardes le https://lafibre.info/infrastructure/switch-mikrotik/: 24 ports 1G, 2 port 10G (!!) pour 260€.
Oui, clairement je n'ai pas besoin de routage. Les switchs d'Ubiquiti me font de l'oeil ;D
j'ai viré l'ERL pour le moment suite au passage en IPv6, car les conf actuelles sont trop de bidouille pour moi (et mon niveau en réseau) et je vois que vous discutez du switch netgear GS108t v2. J'en ai actuellement un en sortie de port du modem vers la box TV. Sur ce switch j'ai également un RPI et un HP Gen8. Comment je fais pour activer comme il faut l'IGMP snooping sur le switch, si quelqu'un peut m'aider, car pour le moment, mes perfs réseau sur cette boucle sont catastrophiques
(désolé du léger HS)
personne pour me donner un coup de main ? ou un tuto associé
j'avais regardé mais la conf que j'avait fait coupait tout et je n'avais plus de TV .... Je me repenches dessus ce soir. Merci pour le lien
(pour moi le 802.1q persiste entre la Livebox et le boîtier TV non ?)
non la livebox ne passe aucun vlan coté lan. Le boitier TV discute avec elle en IP sur le LAN comme n'importe quel autre appareil branché sur le LAN.Ok désolé, je n'avais jamais regardé en détail. Reste peut-être à voir côté QoS, le switch dispose de 4 files d'attente hardware, c'est peut-être exploitable directement pour gérer la concurrence, ou sinon en parallèle à la définition de classes de service.
mais comment savoir, si effectivement ca broadcast sur tous les ports
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action accept
description OpenVPN
destination {
port 1194
}
log disable
protocol udp
}
rule 3 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
description BR_TV
}
ethernet eth0 {
address 10.0.0.254/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:18:1e:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
traffic-policy {
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.20.1/24
description "VLAN TV Canal 2"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "Kikoo"
forward-to {
address 10.0.0.200
port 14151
}
original-port 1415
protocol tcp
}
wan-interface eth1.832
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 10.0.0.0/24 {
bootfile-name /tftpboot/pxelinux.0
bootfile-server 10.0.0.10
default-router 10.0.0.254
dns-server 10.0.0.10
dns-server 8.8.8.8
domain-name XXXXX.lan
lease 1800
start 10.0.0.111 {
stop 10.0.0.119
}
subnet-parameters "filename "/pxe-boot/pxelinux.0";"
}
}
shared-network-name LAN2TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.20.2 {
stop 192.168.20.20
}
subnet-parameters "option rfc3118-auth 0:0:0:0:0:0:0:0:0:0:0:64:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.20.2
mac-address 18:1e:XX:XX:XX:XX
}
}
}
}
dns {
dynamic {
interface eth1.832 {
service dyndns {
host-name xxxxxx.xxxxxxxxx.fr
login xxxxxx
password xxxxxxx
server www.ovh.com
}
web dyndns
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
type masquerade
}
}
snmp {
community clusty {
authorization ro
}
contact "xxxxxxxx"
location Lille
}
ssh {
port 22
protocol-version v2
}
upnp {
listen-on eth0 {
outbound-interface eth1.832
}
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user jeremy {
authentication {
encrypted-password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
plaintext-password ""
}
full-name administrator
level admin
}
}
name-server 10.0.0.10
name-server 92.222.80.28
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
# encode
$opt90 = "fti/xxxxxxx"
"Valeur encodee:`n$opt90`n" + ("00:"*(22 - ($opt90.Length))) + (($opt90.ToCharArray() | % { "{0:x2}" -f ([int]$_)}) -join ":") + "`n"
# decode
$hexString = "00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30"
"Valeur decodee:`n$hexString`n" + (-join ($hexString -split ":" |% { [char]([convert]::ToInt32($_,16)) }))
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address 172.16.16.x/24
description LIVEBOX
}
vif 838 {
bridge-group {
bridge br0
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
duplex auto
speed auto
vif 832 {
address dhcp
address dhcpv6
description "Internet VoIP et Canal 2"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:x;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description VoD
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "Canal 1 et zapping"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.x.x/16
address 192.168.x.x/16
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br1 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.0.0/16 {
default-router 192.168.x.x
dns-server 192.168.x.x
dns-server 8.8.8.8
domain-name xxxxxxxxx.xxx
lease 86400
start 192.168.x.x {
stop 192.168.x.x
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 172.16.16.0/24 {
default-router 172.16.16.x
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 172.16.16.x {
stop 172.16.16.x
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
}
dns {
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 192.168.x.x
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.x.x {
facility all {
level err
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
Est ce mieux de créer un deuxième bridge pour le téléphone ?Tu ne peux plus créer un second bridge pour le téléphone puisque sur la nouvelle architecture réseau d'Orange le téléphone passe dans le même VLAN que Internet.
si t'es pret a sacrifier 2 ports [du switch manageable] tu peux les utiliser entre l'ONT et l'ERL pour faire le marquage QoS. Ca simplifiera un peu la config de l'ERL.Or je ne sais pas où cela intervient dans le processus, ni ce que ça change.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.0.254/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Livebox Network"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading Livebox network"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
oui c'est en archi DHCP la, y'a le vlan 832.D'ailleurs si la TV n'est pas sur le même subnet elle ne peut pas accéder au reste du réseau, si ? Parce que à priori il n'y a pas de problème pour mettre le STB sur le switch grace au IGMP Snooping d'après ce que j'ai compris (plus de pb de multicast).
oui la TV marche. tu perds que le Tel en mode 'inerte' (Tel que peux gérer toi meme avec Asterix par exemple).
voila un schema qui détail un peu plus ce qui se passe 'dans la livebox':
(https://drive.google.com/uc?id=0B5ma-el6j-bDaWZXdHU2V0pSaDA)
son WAN sert uniquement pour le Tel en fait.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description "Voip"
}
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.1
mac-address 00:37:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.254/24
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
@kiki92 : Pour la config en full DHCP tu peux prendre exemple sur celle de b416, nettoyée des trucs perso par Mike ici (https://lafibre.info/remplacer-livebox/switch-gs108tv2-pour-prendre-en-charge-la-cos-devant-les-routeurs/msg324165/#msg324165) Pour l'option 90 du serveur DHCP de l'ERL (pour la box), ce n'est pas précisé mais il faut apparemment envoyer ça (https://lafibre.info/remplacer-livebox/switch-gs108tv2-pour-prendre-en-charge-la-cos-devant-les-routeurs/msg324305/#msg324305) alors qu'on pourrait penser que c'est l'identifiant de connexion comme pour le client. Ce qui n'est pas le cas.
Si je dis pas de bêtise, tu auras ton réseau local en 192.168.0.0/24, la TV et le Tel servi par la livebox, réseau en 192.168.2.0/24.
Bien penser à modifier la qos du VLAN 832 une fois le nouveau dhclient mis en place, rappel ici (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg319883/#msg319883)
Pour l'IPV6, zoc n'a pas fourni dibbler il me semble, seulement dhclient, donc pour le moment tu ne peux pas le mettre en place. ;)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
description BR_TV
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;" /* adresse mac Livebox */
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX;" /* identifiant en hexa */
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "VLAN TV Canal 2"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
wan-interface eth1.832
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LAN2 {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.100
mac-address XX:XX:XX:XX:XX:XX /* adresse mac Livebox*/
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user xxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxxxxxxxxxx
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
Merci à tous.J'ai actualisé le 1er post avec la conf posté par renaud07, elle me semble être correct.
Merci d'avoir vérifié :) J'étais pas sûr, surtout au niveau des accolades, avec les copier/coller on a vite fait d'en oublier une.
Ca n'est pas un config testé en live ?
Je n'ai pas check la syntax en fait. D'ailleurs, il me semble qu'il y a un souci d'accolade au niveau du vif 840.
Pour ca, je recommande une éditeur de texte comme vscode (https://code.visualstudio.com/) ou atom (https://atom.io/) et activer le linter pour du C , ca permet de checker les accolades par exemple.
Ah non pas du tout, je n'ai pas encore d'ERL3 (d'ailleurs, étant en ADSL cette config ne conviendrait pas), mais après avoir lu des centaines de pages, je pense avoir compris le principe. Je vais passer le fichier dans atom et je reposterais le fichier corrigé ;)
Faudrait peut être le citer dans ton message alors car si quelqu'un fait le test à ta place et que cela plante ...
@Jeanb avait déjà fait une demande similaire dans le forum beta, mais pour remplacer wide-dhcp6 par dibbler. Parce qu'en fait, il ne suffit pas de rajouter des commandes dans le "langage" du routeur pour configurer les options (c'est assez trivial à faire et je l'aurais fait), mais le client DHCP6 ne supporte tout simplement pas les options et ne les supportera sans doute jamais (il n'est plus maintenu...).
Apparemment c'est déjà dans la todo list d'un des employés, mais vu le boulot que ca représente (la philosophie entre wide-dhcp6 et dibbler est totalement différente), ça risque de ne pas être pour tout de suite.
La conf présente dans le post https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg326708/#msg326708 (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg326708/#msg326708)
est elle valable sans switch manageable ?
Quel est l'avantage d'avoir la TV sur eth0, et juste le téléphone sur la Livebox ?
(ca ferait aurait : eth0 : LAN + TV, eth1 : ONT et eth2 : Livebox + Tél)
@kiki92 : ça dépend de ta zone : si tu es dans un zone avec marquage, il faut le dhcp client compilé de zoc (ou un switch configuré).
Dans le cas contraire, ça fonctionne tout de même.
J'ai cru comprendre que l'intérêt de la tv sur eth0 c'est d'avoir le décodeur tv sur le switch pour certaines problématiques de brassage. Pour moi je préfère encore que le décodeur tv soit sur la livebox.
Ce qui serait plus pratique serait d'avoir la livebox sur le switch mais c'est techniquement pas faisable.
Dans ton cas tu peux juste te contenter d'enlever le bridge.J'essaierai de faire ca en le supprimant et en branchant la box tv sur le LAN (faut pas rajouter le paragraphe sur igmp-proxy ?)
a dépend de ta zone : si tu es dans un zone avec marquage, il faut le dhcp client compilé de zoc (ou un switch configuré).J'utilise le dhclient de base et ca fonctionne :)
J'ai cru comprendre que l'intérêt de la tv sur eth0 c'est d'avoir le décodeur tv sur le switch pour certaines problématiques de brassageJ'avais tiré un cable spécialement pour rapprocher la lb serveur du player :(
Si on met le décodeur TV sur la livebox, celui n'a plus accès au reste du réseau (serveur multimédia par exemple).J'avais constaté ce manque mais comme la livebox sait lire à peu près pas grand chose, c'était pas bloquant.
interfaces {
bridge br0 {
description BR_TV
}
bridge br1 {
description BR_TV
}
.....
eth1 {
vif 840 {
bridge-group {
bridge br1
}
eth2 {
vif 840 {
bridge-group {
bridge br1
}
@kgersen : j'ai corrigé la config c'est ok du coup ?
a priori oui mais personne ne l'a testée en live encore.
Question bête : pourquoi séparer les vlans (838 et 840)?
C'est a priori plus performant et plus stable. Par exemple il y avait une config où TV et Tel étaient mélangés sur le même bridge, résultat : au bout d'un moment on perdait le téléphone, séparer les 2 résout le problème. C'est pareil avec la TV.
Je recommande donc 2 bridges dans le cas "livebox gere la TV"
Si le décodeur TV est directement sur l'ERL il ne faut pas de bridge.
Le bridge 838+840 est utile pour 'traverser' l'ERL c'est a dire uniquement dans le cas ou la livebox routeur gere encore la TV (ie le décodeur TV est derriere la livebox qui est derriere l'ERL).
Idéalement il faut 2 bridges: eth1.838 bridgé avec eth2.838 et eth1.840 bridgé avec eth2.840. Le but d'un bridge est de relier directement une interface a une autre (d'ou le nom bridge=pont).
Par simplicité et parce que la config d'origine ici faisait comme ca, on a pris l'habitude de ne faire qu'un seul bridge avec les 4 interfaces dedans: eth1.838 eth2.838 eth1.840 eth2.840. Ca marche mais c'est moins "propre".
Pour faire une analogie: on a 2 routes qui doivent traverser une rivière, dans un cas on fait 2 ponts, un pour chaque route dans l'autre cas on fait qu'un seul pont et on connecte les 2 routes de chaque coté du pont. C'est mieux de faire 2 ponts, a tout point de vue.
Je recommande donc 2 bridges dans le cas "livebox gere la TV" et aucun dans le cas "ERL gere la TV".
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "VLAN TV VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "Voip"
}
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.xxx
mac-address XX:XX:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
J'ai essayé d'ajouter le fichier rfc3442-classless-routes dans /etc/dhcp3/dhclient-exit-hooks.d/, et là il n'y a plus internet :(Ah, donc tu as bien un switch manageable.
Avec le GS108E, tu dois pouvoir activer l'igmp snooping. Comme je l'ai dit précédemment il fait parti de la gamme qui ont besoin de l'appli windows pour être configurés. Elle se trouve sur cette page (http://support.netgear.fr/product/GS108Ev2) tu as également le PDF pour les explications.
Pour le patch c'est étrange que ça ne fonctionne plus après l'avoir mis... (t'as bien fait le chmod ?) faudrait demander à kgersen, je suis pas assez calé sur ce point. Sinon est-ce que sans le patch tu reçois quand même les routes ? Que renvoie la commande show ip route ?
Ah, donc tu as bien un switch manageable.Sur le swich, j'ai créé le vlan 840 (en plus du vlan 1 par défaut),affecté aux ports correspondants à l'ERL et box TV, puis définit l'IGMP Snooping sur le 840.
Avec le GS108E, tu dois pouvoir activer l'igmp snooping. Comme je l'ai dit précédemment il fait parti de la gamme qui ont besoin de l'appli windows pour être configurés. Elle se trouve sur cette page (http://support.netgear.fr/product/GS108Ev2) tu as également le PDF pour les explications.
Pour le patch c'est étrange que ça ne fonctionne plus après l'avoir mis... (t'as bien fait le chmod ?) faudrait demander à kgersen, je suis pas assez calé sur ce point. Sinon est-ce que sans le patch tu reçois quand même les routes ? Que renvoie la commande show ip route ?
IP Route Table for VRF "default"
S *> 0.0.0.0/0 [210/0] via 86.245.X.1, eth1.832
C *> 10.11.224.0/22 is directly connected, eth1.838
C *> 86.245.X.0/21 is directly connected, eth1.832
C *> 127.0.0.0/8 is directly connected, lo
C *> 192.168.1.0/24 is directly connected, eth0
C *> 192.168.2.0/24 is directly connected, eth2.832
C *> 192.168.255.0/24 is directly connected, eth1.840
le GS108E peut se confihurer via inerface web directement, pas forcèment besoin du prosafe utility
Y'a une interface maintenant ? Car j'ai lu plusieurs fois que E = utilitaire et T = interface web. Bonne nouvelle alors.Apparemment, l'interface est fourni avec la version V3 du switch (moi, j'ai la V2).
@kiki92 : Alors ça fonctionne mieux avec l'igmp snooping ? Concernant la commande il te manque les routes, c'est donc normal que la VOD ne fonctionne pas. Mais je ne pourrais pas t'en dire plus sur le non fonctionnement du patch. Peut-être une incompatibilité avec la 1.8 ?A l'allumage de la TV, j'ai une chaine, mais je ne peux en changer, les chaines étant noires. Pas de VOD non plus.
Peut-être une incompatibilité avec la 1.8 ?J'utilise le patch "classless static routes" sur mon 1.8 sans problème.
sudo chmod 755 /etc/dhcp3/dhclient-exit-hooks.d/rfc3442-classless-route
sudo chown root /etc/dhcp3/dhclient-exit-hooks.d/rfc3442-classless-route
On peut pas spécifier des routes en dur ?Les routes ne servent que pour la VOD. Pour la TV c'est du multicast, c'est géré par igmpproxy sur l'ERL, et tu n'as même pas besoin d'avoir un DHCP fonctionnel pour que la TV marche. Donc si écran noir le problème vient d'ailleurs.
root@ubnt:/etc/dhcp3/dhclient-exit-hooks.d# ls -ltr
total 9
-rw-r--r-- 1 root root 806 Jan 30 01:56 ntpdate
-rw-r--r-- 1 root root 1250 Jan 30 01:56 ntp
-rwxr-xr-x 1 root root 1512 Jan 30 02:04 vyatta-dhclient-hook
-rw-r--r-- 1 root root 1024 Jan 30 02:05 debug
-rw-r--r-- 1 root root 0 Jan 30 02:08 pptpd
-rw-r--r-- 1 root root 0 Jan 30 02:08 l2tpd
-rw-r--r-- 1 root root 0 Feb 13 00:42 ipsecd
-rwxr-xr-x 1 root root 1554 Apr 13 17:35 rfc3442-classless-routes
@Kgersen: ont-ils le marquage de la Cos comme le GS108Tv2 ?
non la QoS dans le GS105e n'est très limitée.
Les routes ne servent que pour la VOD. Pour la TV c'est du multicast, c'est géré par igmpproxy sur l'ERL, et tu n'as même pas besoin d'avoir un DHCP fonctionnel pour que la TV marche. Donc si écran noir le problème vient d'ailleurs.Bon en bypassant le switch Netgear (donc connection directe entre ERL et LB TV), la TV fonctionne bien, et toujours pas la VOD.
Tu es bien dans une config sans Livebox ?
Merci :)
J'avais aussi une autre question : sur l'ERL en ssh, le compte root est activé ou faut définir un MDP ? Car j'ai des nanostations et je ne peux me connecter qu'avec le compte ubnt. Le frimware n'est pas à jour donc c'est peut-être pour ça...
pas de mot de passe: je me connecte avec 'ubnt' avec le mot de passe que j'ai défini (ou 'ubnt' aussi par défaut) et une fois connecté , je tape 'sudo -i' et ca donne un prompt root sans demander de mot de passe.
renaud@renaud-PC:~$ ssh ubnt@nano1
ubnt@nano1's password:
BusyBox v1.11.2 (2012-08-16 13:34:40 EEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
XM.v5.5.2# sudo -i
-sh: -i: not found
XM.v5.5.2# ls
bin dev etc init jffs lib mnt proc sbin sys tmp usr var
XM.v5.5.2#
tu as une vieille version ou quoi ? :/
Bon en bypassant le switch Netgear (donc connection directe entre ERL et LB TV), la TV fonctionne bien, et toujours pas la VOD.Bon, ca marche les routes, donc ca venait pas du fichier rfc3442-classless-routes :)
Donc le switch bloque le multicast, et il manque les routes pour la VOD.
vif 838 {
address dhcp
aging 300
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
Apparemment, le dhcp ne supporte pas les deux en même temps (router+classless). @flipperJe ne vois pas a quoi correspond le static port routeur, grosso modo, j'avais RAZ les paramètres du switch, puis modif mdp et configuration comme évoqué ici:
Tu as du activer le static router port sur le switch pour que ca marche ?
Merci pour l'info.
Remplacer les X de dhcp-client-identifier par l'adresse MAC de ta livebox
Remplacer les X de rfc3118-auth par ton identifant internet sans le fti/ transformé en hexadécimal pour ce faire voir ici (https://jsfiddle.net/kgersen/45zudr15/embedded/result/)
Patcher le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour l'option 90 voir ici (https://gist.github.com/kgersen/5b8fb20a817aa6e88308#file-modif-os-patch) en bas de page
Ajouter le patch rfc3442-classless-routes pour la TV voir ici (https://gist.github.com/kgersen/58c26951f087e89cef28) en bas de page.
Je viens de me rendre compte que jai le V1, qui ne gère pas du tout la CoS et qui n'a pas été mis à jour depuis 2005... Totalement déçu.
Edit : Même pas d'IGMP Snooping
Quelqu'un sait comment "déplanter" le service radvd de la Livebox ?
Quelqu'un sait comment "déplanter" le service radvd de la Livebox ?go la plutot: https://lafibre.info/orange-internet/la-livebox-ne-distribue-plus-dipv6/
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address 172.16.16.x/24
description LIVEBOX
ethernet eth2 {
address 192.168.x.x/16
address 192.168.x.x/16
duplex auto
speed auto
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.0.0/16 {
default-router 192.168.x.x
dns-server 192.168.x.x
dns-server 8.8.8.8
domain-name xxxxxxxxx.xxx
lease 86400
start 192.168.x.x {
stop 192.168.x.x
shared-network-name LIVEBOX {
authoritative enable
subnet 172.16.16.0/24 {
default-router 172.16.16.x
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 172.16.16.x {
stop 172.16.16.x
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
name-server 192.168.x.x
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.x.x {
facility all {
level err
}
}
}
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description LIVEBOX
ethernet eth2 {
address 192.168.66.1/24
duplex auto
speed auto
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.66.0/24 {
default-router 192.168.66.1;
dns-server 192.168.66.1
dns-server 8.8.8.8
lease 86400
start 192.168.66.10 {
stop 192.168.66.50
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.100 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
name-server 8.8.4.4
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.66.1 {
facility all {
level err
}
}
}
Parfaite Renaud07,
Merci, et pour la livebox, je laisse le dhcp active pour le stb ? et quelle address ip pour le livebox , 192.168.2.1 ou 192.168.2.21 ?
Oui il faut laisser le dhcp activé.
Pour la LB, il ne faut pas mettre 192.168.2.0/24 sinon tu vas avoir un problème de routage (même sous réseau en WAN et LAN) tu devrais donc laisser 192.168.1.1, vu que tu ne t'en sers pas non plus pour le LAN de l'ERL.
Si tu parles de l'ip statique pour le WAN de la LB tu peux mettre ce que tu veux hormis 192.168.2.1 qui est déjà pris par eth0. Mais dans la config de thegibs ce n'est pas spécifié et il n'y en a pas spécialement besoin.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description LIVEBOX
}
vif 838 {
bridge-group {
bridge br0
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
duplex auto
speed auto
vif 832 {
address dhcp
address dhcpv6
description "Internet VoIP et Canal 2"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:39:63:32:6B:61:xx:xx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description VoD
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "Canal 1 et zapping"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.66.1/24
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br1 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.66.0/24 {
default-router 192.168.66.1
dns-server 192.168.66.1
dns-server 8.8.8.8
lease 86400
start 192.168.66.50 {
stop 192.168.66.199
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.100 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
}
dns {
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user mathew {
authentication {
encrypted-password $6$E4xfu3Z2Bb7Db$e5x9rhLLvVgvzthXjntQ8N7XO9toBbBZ7IV7jGV8JZknKQvI0.w9kamu1v4NgWW0cG.kUkt1q/Yu129bNjazu1
}
level admin
}
}
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.66.1 {
facility all {
level err
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
OK, c'est une bonne nouvelle.
Pour l'ERL il suffira donc de patcher le fichier perl qui génère le fichier de configuration DHCP. Pas très difficile.
Update: Alors, pour un firmware 1.7 (et sans doute suivants), il faut modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl. Rechercher la ligneCode: [Sélectionner]$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
et rajouter en dessousCode: [Sélectionner]$output .= "option rfc3118-auth code 90 = string;\n\n";
Puis rebooter l'ERL. A partir de ce moment, il devrait (je mets au conditionnel car je n'ai pas encore testé) être possible de faireCode: [Sélectionner]set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"
dans le fichier de config de l'ERL ;)
Exact, j'allais justement te le poster ;)
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.100 {
stop 192.168.2.200
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description LIVEBOX
}
vif 838 {
bridge-group {
bridge br0
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
Bonjour,
Je suis actuellement en 1.7 et j'aimerai passer en 1.8. Vu le nombre de pages dans ce thread je me demandais est-ce qu'il y a quelque part une page (à jour) qui énumère toutes les manips à faire pour faire marcher l'edgemax en 1.8 à la manière de https://github.com/c0mm0n/edgemax4orange
Et si il existe aussi une page pour avoir de l'ipv6 je suis preneur aussi.
Cordialement.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description "LAN1"
duplex auto
speed auto
}
ethernet eth1 {
description "Internet_ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier [...];"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth [...];"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier [...];"
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "LAN2_Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description "Voip"
}
}
ethernet eth3 {
}
ethernet eth4 {
}
ethernet eth5 {
}
switch switch0 {
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.1
mac-address 18:1E:78:44:C9:20
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
}
ssh {
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password "$1$zKNoUbAo$gomzUbYvgyUMcD436Wo66."
}
full-name "administrator"
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
c'est normal le VLAN pour le web est le 835
donc tu crée un vlan 835 rattaché a ton port eth ou est branché l'ont
tu créé une connexion pppoe avec ton identifiant pass au port ethx.835 et tu sera connecté
non il est en DHCP, c'est bien 832.Oui c'est bien ce qu'il me semblait :/.
je me permet une petite question toute bête a chaque fois que je demarre ma box tv elle me demande un compte et mot de passe TV, une fois rentré tout fonctionne l'un de vous sais d'ou ca peut venir je susi obligé de le rentrer plusieurs fois par jour c'est un peu ennervant ?Parce que tu n'utilises pas les DNS d'Orange. Le cas classique, c'est d'avoir configuré les DNS de Google ou OpenDNS dans la config de l'ERL... Du coup dnsmasq utilise ceux-ci au lieu de ceux présents dans la réponse DHCP...
je galere depuis 12 mois la dessus pas eue le temps de m'y pencher.J'ai bien galéré aussi pour comprendre...
Parce que tu n'utilises pas les DNS d'Orange. Le cas classique, c'est d'avoir configuré les DNS de Google ou OpenDNS dans la config de l'ERL... Du coup dnsmasq utilise ceux-ci au lieu de ceux présents dans la réponse DHCP...
static-mapping decodeur {
ip-address 192.168.1.10
dns-server 80.10.246.136
dns-server 81.253.149.6
mac-address XX:XX:XX:XX:XX:XX
Et est-ce qu'on pourrait pas via le dhcp du LAN indiquer les DNS orange uniquement pour le décodeur ? Où c'est uniquement pour l'ensemble du DHCP ?J'ai essayé, ça n'a pas marché, et pourtant c'était d'autant plus facile dans mon cas que le décodeur est seul sur un LAN connecté à l'interface eth2 (et donc la config serveur DHCP poussant les DNS orange était globale au range de ce LAN). Je n'ai pas vraiment cherché à comprendre pourquoi.
la modif dans le fichier vyatta-interfaces.pl doit correspondre avec le nom mis dans la config.
La tu as mis "rfc3118-auth", c'est bien le meme nom dans le fichier vyatta-interfaces.pl ?
J'ai essayé, ça n'a pas marché, et pourtant c'était d'autant plus facile dans mon cas que le décodeur est seul sur un LAN connecté à l'interface eth2 (et donc la config serveur DHCP poussant les DNS orange était globale au range de ce LAN). Je n'ai pas vraiment cherché à comprendre pourquoi.
Et est-ce qu'on pourrait pas via le dhcp du LAN indiquer les DNS orange uniquement pour le décodeur ? Où c'est uniquement pour l'ensemble du DHCP ? Genre un truc comme çaCode: [Sélectionner]static-mapping decodeur {
ip-address 192.168.1.10
dns-server 80.10.246.136
dns-server 81.253.149.6
mac-address XX:XX:XX:XX:XX:XX
./dhclient3: cannot execute binary file
ubnt@ubnt:~$ lscpu
Architecture: mips
Byte Order: Little Endian
CPU(s): 4
On-line CPU(s) list: 0-3
Thread(s) per core: 2
Core(s) per socket: 2
Socket(s): 1
J'ai déjà ce qu'il me faut en switch mais ils ne sont pas manageables et je pense qu'en commander un reviendra au même prix que changer mon Edge X par un ERL donc il n'y a plus qu'à attendre quelques jours pour le remboursement de l'EdgeX et la commande de l'ERL :).
Et quand tu dis que ça baisse un peu les perfs, je passe de 950 Mbps (Livebox) à 450 donc un facteur 2 je pense que le routeur est plus en cause que le protocole :(.
Ok, merci pour tes conseils. Je vais donc commander l'ERL, il ne coûte que 20 € de plus ::)
Salut, est-ce que tu atteins 1 Gbps avec ton ERX ?
Je suis les forums ubiquiti et à priori avec la 1.8.5 ça dépasse pas 650 Mbps, ça fait une bonne amélioration mais le compte n'y est toujours pas... :(
Parce que tu n'utilises pas les DNS d'Orange. Le cas classique, c'est d'avoir configuré les DNS de Google ou OpenDNS dans la config de l'ERL... Du coup dnsmasq utilise ceux-ci au lieu de ceux présents dans la réponse DHCP...
J'imagine qui faut définir la priorité selon les DSCP, mais j'avoue être un peu largué là-dessus, auriez-vous des idées ?
interfaces {
ethernet eth1 {
vif 832 {
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
}
}
}
bien que nécessaire pour que le dhclient patché soit opérationnel provoque quelques effets de bord sur le traffic normal.egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
ce qui devrait préserver la prio 6 pour le DHCP.Essaye donc de remplacer l'instruction egress vlan832 de ta config parCode: [Sélectionner]egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
ce qui devrait préserver la prio 6 pour le DHCP.
A mon sens, la priorité 802.1q est utilisée par Orange pour aiguiller le traffic privé (dhcp, sip orange) par rapport au traffic internet standard.
Ton SIP OVH serait donc dirigé vers l'infra orange au lieu de déboucher sur le net.
Je suppose que l'instructionBonne remarque. Effectivement du coup je conseille la configuration egress-qos que tu donnes, qui limite les effets de bord au maximum.Code: [Sélectionner]interfaces {
bien que nécessaire pour que le dhclient patché soit opérationnel provoque quelques effets de bord sur le traffic normal.
ethernet eth1 {
vif 832 {
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
}
}
}
Essaye donc de remplacer l'instruction egress vlan832 de ta config parCode: [Sélectionner]egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
ce qui devrait préserver la prio 6 pour le DHCP.
Bonne remarque. Effectivement du coup je conseille la configuration egress-qos que tu donnes, qui limite les effets de bord au maximum.
La téléphonie via Orange marche avec 5:0 ?
Si n'affiche pas RTP mais UDP c'est qu'il ne sait pas comment interpréter une trame (il manque l'ouverture de la session SIP par exemple), typique d'une capture en cours d'appel par exemple.
Il me semble que dans ce cas, on peut tout de même lui spécifier le protocole utilisé, "à la main".
RTP c'est sur de l'UDP (et plus rarement sur TCP).
Quand Wireshark affiche 'RTP' pour une trame c'est qu'il a analysé ce qui s'est passé avant et déduit que cette trame c'est du RTP (et il indique la 'setup frame' en commentaire dans le detail de la trame). Si n'affiche pas RTP mais UDP c'est qu'il ne sait pas comment interpréter une trame (il manque l'ouverture de la session SIP par exemple), typique d'une capture en cours d'appel par exemple.
root@ubnt:~# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 - u/u bro -> eth0.838 LIVEBOX (VoD)
br1 - u/u br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)
eth0 - u/u eth0 VERS LIVEBOX
eth0.832 192.168.2.1/24 u/u eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)
eth0.838 - u/u eth0.838 LIVEBOX (VoD)
eth0.840 - u/u eth0.840 LIVEBOX (ZAPPING + CANAL 1)
eth1 - u/u eth1 ONT (FIBRE RJ45)
eth1.832 x.y.z.t/21 u/u eth1.832 (INTERNET + VOIP + CANAL 2)
eth1.838 - u/u eth1.838 (VoD)
eth1.840 - u/u eth1.840 (ZAPPING + CANAL 1)
eth2 - u/u
eth3 - u/u
eth4 - u/u
lo 127.0.0.1/8 u/u
::1/128
switch0 192.168.1.1/24 u/u SWITCH
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier xx:xx:xx:xx;"/* MAC Livebox */
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx;" /*fti/..... */
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier xx:xx:xx:xx;"/* MAC Livebox */
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description "Voip"
}
}
loopback lo
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-authentication code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.15 {
stop 192.168.1.95
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.1
mac-address xx:xx:xx:xx;"/* MAC Livebox */
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user admin {
authentication {
plaintext-password "xxxxxxxxxx" /*mot de passe edgeos*/
}
full-name "administrator"
level admin
}
}
name-server 80.10.246.2
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
Dans la configuration du vif 832, ce n'est pas nécessaire si on a un switch qui gère la QoS. Accessoirement, cette config de QoS (elle est de moi à l'origine) a des effets de bords non négligeables (par exemple certains jeux PS4, PES2016 par exemple, n'arrivent plus à se connecter au serveur pour le jeu en multi). Dans les cas où elle est nécessaire (et elle devra alors s'accompagner d'un dhclient patché), il faut préférer la configuration ci-dessous (et je n'ai pas encore remarqué d'effets de bord):egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
la migration est en cours me concernant :P par contre actuellement je suis sur pfSenseSi tu arrives à le faire marcher sur ton pfSense alors l'espoir d'y arriver sur un ERL est grand.
Sinon est-ce qu'il y a des personnes qui ont fait des avancées sur l'ipv6 sur nos edgemax ?Ca fait 50 jours que j'ai de l'IPv6 sur mon ERL... Mais c'est de la bidouille et comme je n'ai pas le temps de faire un tuto j'ai transmis les infos à @nanostra (je crois :P) il y a déjà quelques temps afin qu'il puisse expérimenter chez lui et faire un tuto en bonne et due forme ;)
Si tu arrives à le faire marcher sur ton pfSense alors l'espoir d'y arriver sur un ERL est grand.
Actuellement, le seul problème que je pourrais imaginer, c'est qu'Orange passe d'IGMPv2 à IGMPv3, car igmp-proxy ne le supporte pas. Ceci dit, ce problème devrait être résolu avec le firmware 1.8.5.
Petit conseil, vire leC'est fait !Code: [Sélectionner]egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
Dans la configuration du vif 832, ce n'est pas nécessaire si on a un switch qui gère la QoS. Accessoirement, cette config de QoS (elle est de moi à l'origine) a des effets de bords non négligeables (par exemple certains jeux PS4, PES2016 par exemple, n'arrivent plus à se connecter au serveur pour le jeu en multi). Dans les cas où elle est nécessaire (et elle devra alors s'accompagner d'un dhclient patché), il faut préférer la configuration ci-dessous (et je n'ai pas encore remarqué d'effets de bord):Code: [Sélectionner]egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
Je pense que Orange arrêtera les connexions PPPoe dès lors que toute la France sera en DHCPJe n'en suis pas certain. Techniquement il est difficile de remplacer PPPoE par DHCP pour les clients qui ont une "vraie IP fixe" contractuellement. Ca concerne donc majoritairement les clients pro.
- Préfixe IPv6 "quasi" fixe (pas changé non plus une seule fois en presque 2 mois)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier xx:26:xx:52:2A:xx;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:00:69:2f:00:70:6B:6B:00:36:72;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier xx:26:xx:52:2A:xx;"
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description "Voip"
}
}
loopback lo
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-authentication code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.15 {
stop 192.168.1.95
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:00:69:2f:00:70:6B:6B:00:36:72;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.1
mac-address xx:26:xx:52:2A:xx;"
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 50
}
login {
user ubnt {
authentication {
encrypted-password "$1$zKNoUbAo$gomzUbYvgyUMcD436Wo66."
}
level admin
}
}
name-server 193.183.98.154
name-server 95.85.9.86
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
Peut être une modif du côté d'orange ? Avec la sorite de la LB 4 ça ne m'étonnerais guère...Ca m'étonnerait.
root@ubnt:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 86.246.80.1 0.0.0.0 UG 0 0 0 eth1.832
10.244.232.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1.838
86.246.80.0 0.0.0.0 255.255.248.0 U 0 0 0 eth1.832
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.255.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1.840
IP Route Table for VRF "default"
S *> 0.0.0.0/0 [210/0] via 86.246.80.1, eth1.832
C *> 10.244.232.0/24 is directly connected, eth1.838
C *> 86.246.80.0/21 is directly connected, eth1.832
C *> 127.0.0.0/8 is directly connected, lo
C *> 192.168.1.0/24 is directly connected, eth0
C *> 192.168.255.0/24 is directly connected, eth1.840
Merci
# set classless routes based on the format specified in RFC3442
# e.g.:
# new_rfc3442_classless_static_routes='24 192 168 10 192 168 1 1 8 10 10 17 66 41'
# specifies the routes:
# 192.168.10.0/24 via 192.168.1.1
# 10.0.0.0/8 via 10.10.17.66.41
RUN="yes"
if [ "$RUN" = "yes" ]; then
if [ -n "$new_rfc3442_classless_static_routes" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
set -- $new_rfc3442_classless_static_routes
while [ $# -gt 0 ]; do
net_length=$1
via_arg=''
case $net_length in
32|31|30|29|28|27|26|25)
net_address="${2}.${3}.${4}.${5}"
gateway="${6}.${7}.${8}.${9}"
shift 9
;;
24|23|22|21|20|19|18|17)
net_address="${2}.${3}.${4}.0"
gateway="${5}.${6}.${7}.${8}"
shift 8
;;
16|15|14|13|12|11|10|9)
net_address="${2}.${3}.0.0"
gateway="${4}.${5}.${6}.${7}"
shift 7
;;
8|7|6|5|4|3|2|1)
net_address="${2}.0.0.0"
gateway="${3}.${4}.${5}.${6}"
shift 6
;;
0) # default route
net_address="0.0.0.0"
gateway="${2}.${3}.${4}.${5}"
shift 5
;;
*) # error
return 1
;;
esac
# take care of link-local routes
if [ "${gateway}" != '0.0.0.0' ]; then
via_arg="via ${gateway}"
fi
# set route (ip detects host routes automatically)
ip -4 route add "${net_address}/${net_length}" \
${via_arg} dev "${interface}" >/dev/null 2>&1
done
fi
fi
fi
Il faut faire un chmod 755 dessus pour qu'il soit fonctionnel.Et qu'il appartienne à l'utilisateur root et groupe root...
root@ubnt:/etc/dhcp3/dhclient-exit-hooks.d# ls -l
total 9
-rw-r--r-- 1 root root 1024 Jan 30 02:05 debug
-rw-r--r-- 1 root root 0 Feb 13 00:42 ipsecd
-rw-r--r-- 1 root root 0 Jan 30 02:08 l2tpd
-rw-r--r-- 1 root root 1250 Jan 30 01:56 ntp
-rw-r--r-- 1 root root 806 Jan 30 01:56 ntpdate
-rw-r--r-- 1 root root 0 Jan 30 02:08 pptpd
-rwxr-xr-x 1 root root 1552 May 25 10:46 rfc3442-classless-routes
-rwxr-xr-x 1 root root 1512 Jan 30 02:04 vyatta-dhclient-hook
Ah oui oups ... bon bah on va dire qu'il faut enlever routers alors :) en tout cas sans ça marche
rfc3442-classless-routes
Bon je confirme problème de VOD réglé ! Alors j'ai apporté 2 modifications à mon fichier de config la première j'ai rajouté le dns name-server 80.10.246.129 en dessous de name-server 80.10.246.2 comme indiqué par renaud007 et la seconde en comparant la config de zoc et la mienne j'ai mis ma ligne client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" de mon vif 838 en dessous de client-option "send vendor-class-identifier "sagem";" comme pour le vif 832 et là bingo ! J'ai également laissé l'option routes et ça fonctionne. Bref comme j'ai fais les 2 modifs en même temps j'en conclu que le problème venait soit du dns manquant soit de l'emplacement de la ligne send dhcp-client-identifier
je viens tester et pas de changementQuelle version de firmware ?
Tu peux essayer de rentrer manuellement les routes, voici la liste :
Quelle version de firmware ?j'ai la version 1.8.
Parce que c'est 1.7 minimum obligatoire, le client DHCP des versions précédentes ne supporte pas le script rfc3442-classless-static-routes.
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:X:X:X:X:58:98;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
# set classless routes based on the format specified in RFC3442
# e.g.:
# new_rfc3442_classless_static_routes='24 192 168 10 192 168 1 1 8 10 10 17 66 41'
# specifies the routes:
# 192.168.10.0/24 via 192.168.1.1
# 10.0.0.0/8 via 10.10.17.66.41
RUN="yes"
if [ "$RUN" = "yes" ]; then
if [ -n "$new_rfc3442_classless_static_routes" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
set -- $new_rfc3442_classless_static_routes
while [ $# -gt 0 ]; do
net_length=$1
via_arg=''
case $net_length in
32|31|30|29|28|27|26|25)
net_address="${2}.${3}.${4}.${5}"
gateway="${6}.${7}.${8}.${9}"
shift 9
;;
24|23|22|21|20|19|18|17)
net_address="${2}.${3}.${4}.0"
gateway="${5}.${6}.${7}.${8}"
shift 8
;;
16|15|14|13|12|11|10|9)
net_address="${2}.${3}.0.0"
gateway="${4}.${5}.${6}.${7}"
shift 7
;;
8|7|6|5|4|3|2|1)
net_address="${2}.0.0.0"
gateway="${3}.${4}.${5}.${6}"
shift 6
;;
0) # default route
net_address="0.0.0.0"
gateway="${2}.${3}.${4}.${5}"
shift 5
;;
*) # error
return 1
;;
esac
# take care of link-local routes
if [ "${gateway}" != '0.0.0.0' ]; then
via_arg="via ${gateway}"
fi
# set route (ip detects host routes automatically)
ip -4 route add "${net_address}/${net_length}" \
${via_arg} dev "${interface}" >/dev/null 2>&1
done
fi
fi
fi
Et ben... tout à cause de l'encodage, ça ne m'avais même pas effleuré l'esprit ;D
Bonjour Mesdames, Messieurs,
Savons nous si le post en 1ere page est toujours d'actualités car on dirait qu'il y a des add-ons rien qu'en lisant les derniers posts sur les DNS & co?
Quelqu'un a pu confirmer que cela marché toujours derrière une Livebox 4 ?
Merci
Bonjour Mesdames, Messieurs,
Savons nous si le post en 1ere page est toujours d'actualités car on dirait qu'il y a des add-ons rien qu'en lisant les derniers posts sur les DNS & co?
Quelqu'un a pu confirmer que cela marché toujours derrière une Livebox 4 ?
Merci
C:\Users\Louis>nslookup - 192.168.1.100
Default Server: dc-server.home.com
Address: 192.168.1.100
> authentification.ena1.orange.fr
Server: dc-server.home.com
Address: 192.168.1.100
Non-authoritative answer:
Name: authentification.ena1.orange.fr
Address: 81.253.207.64
> thotfr.orange.com
Server: dc-server.home.com
Address: 192.168.1.100
Non-authoritative answer:
Name: thotfr.orange.com.x-echo.com
Addresses: 80.12.110.122
80.12.36.254
Aliases: thotfr.orange.com
> cbm.ena1.orange.fr
Server: dc-server.home.com
Address: 192.168.1.100
Non-authoritative answer:
Name: cbm.ena1.orange.fr
Address: 81.253.206.79
152 87.477806 192.168.1.17 192.168.1.100 DNS 88 Standard query 0x67b3 A check1.browser.fr.orange.com
153 87.482278 192.168.1.100 192.168.1.17 DNS 104 Standard query response 0x67b3 A check1.browser.fr.orange.com A 80.12.251.6
185 88.825205 192.168.1.17 192.168.1.100 DNS 91 Standard query 0x4276 A authentification.ena1.orange.fr
186 88.829057 192.168.1.100 192.168.1.17 DNS 107 Standard query response 0x4276 A authentification.ena1.orange.fr A 81.253.207.64
212 89.743302 192.168.1.17 192.168.1.100 DNS 85 Standard query 0xb8c6 A aiguillage.ena1.orange.fr
213 89.747332 192.168.1.100 192.168.1.17 DNS 101 Standard query response 0xb8c6 A aiguillage.ena1.orange.fr A 81.253.206.72
237 90.438784 192.168.1.17 192.168.1.100 DNS 81 Standard query 0xec6b A rightv.ntv2.orange.fr
238 90.446216 192.168.1.100 192.168.1.17 DNS 97 Standard query response 0xec6b A rightv.ntv2.orange.fr A 81.253.206.92
337 92.532906 192.168.1.17 192.168.1.100 DNS 81 Standard query 0xcefe A advise.ena1.orange.fr
338 92.537145 192.168.1.100 192.168.1.17 DNS 97 Standard query response 0xcefe A advise.ena1.orange.fr A 81.253.206.74
426 92.999406 192.168.1.17 192.168.1.100 DNS 89 Standard query 0x1ead A recommandation.ena1.orange.fr
427 93.004163 192.168.1.100 192.168.1.17 DNS 105 Standard query response 0x1ead A recommandation.ena1.orange.fr A 81.253.206.74
435 93.548767 192.168.1.17 192.168.1.100 DNS 77 Standard query 0xb8ea A thotfr.orange.com
436 93.554638 192.168.1.100 192.168.1.17 DNS 148 Standard query response 0xb8ea A thotfr.orange.com CNAME thotfr.orange.com.x-echo.com A 80.12.110.122 A 80.12.36.254
479 95.300519 192.168.1.17 192.168.1.100 DNS 91 Standard query 0xd809 A servicediscovery.ena1.orange.fr
480 95.304879 192.168.1.100 192.168.1.17 DNS 107 Standard query response 0xd809 A servicediscovery.ena1.orange.fr A 81.253.206.73
1072 94.106710 192.168.1.17 192.168.1.1 DNS 91 Standard query 0xc8c1 A authentification.ena1.orange.fr
1073 94.110832 192.168.1.1 192.168.1.17 DNS 107 Standard query response 0xc8c1 A authentification.ena1.orange.fr A 81.253.207.64
1367 95.304907 192.168.1.17 192.168.1.1 DNS 80 Standard query 0x38a2 A rmstb.ena1.orange.fr
1371 95.309500 192.168.1.1 192.168.1.17 DNS 96 Standard query response 0x38a2 A rmstb.ena1.orange.fr A 81.253.207.126
1560 96.010729 192.168.1.17 192.168.1.1 DNS 85 Standard query 0x955c A aiguillage.ena1.orange.fr
1566 96.014736 192.168.1.1 192.168.1.17 DNS 101 Standard query response 0x955c A aiguillage.ena1.orange.fr A 81.253.206.72
2143 96.849131 192.168.1.17 192.168.1.1 DNS 81 Standard query 0x6b9e A rightv.ntv2.orange.fr
2144 96.852494 192.168.1.1 192.168.1.17 DNS 97 Standard query response 0x6b9e A rightv.ntv2.orange.fr A 81.253.206.92
3356 99.440895 192.168.1.17 192.168.1.1 DNS 89 Standard query 0x2285 A recommandation.ena1.orange.fr
3357 99.444449 192.168.1.1 192.168.1.17 DNS 105 Standard query response 0x2285 A recommandation.ena1.orange.fr A 81.253.206.74
3469 99.529211 192.168.1.17 192.168.1.1 DNS 81 Standard query 0x3fb8 A advise.ena1.orange.fr
3473 99.532577 192.168.1.1 192.168.1.17 DNS 97 Standard query response 0x3fb8 A advise.ena1.orange.fr A 81.253.206.74
3627 100.005741 192.168.1.17 192.168.1.1 DNS 88 Standard query 0x7165 A check1.browser.fr.orange.com
3630 100.010988 192.168.1.1 192.168.1.17 DNS 104 Standard query response 0x7165 A check1.browser.fr.orange.com A 80.12.251.6
4391 101.174526 192.168.1.17 192.168.1.1 DNS 91 Standard query 0xa88c A servicediscovery.ena1.orange.fr
4399 101.178782 192.168.1.1 192.168.1.17 DNS 107 Standard query response 0xa88c A servicediscovery.ena1.orange.fr A 81.253.206.73
5388 102.837642 192.168.1.17 192.168.1.1 DNS 77 Standard query 0x7afd A thotfr.orange.com
5389 102.841790 192.168.1.1 192.168.1.17 DNS 148 Standard query response 0x7afd A thotfr.orange.com CNAME thotfr.orange.com.x-echo.com A 80.12.36.254 A 80.12.110.122
5998 103.938192 192.168.1.17 192.168.1.1 DNS 80 Standard query 0xf7af A rmstb.ena1.orange.fr
5999 103.939322 192.168.1.1 192.168.1.17 DNS 96 Standard query response 0xf7af A rmstb.ena1.orange.fr A 81.253.207.126
11336 111.324948 192.168.1.17 192.168.1.1 DNS 91 Standard query 0xf61c A authentification.ena1.orange.fr
11337 111.326093 192.168.1.1 192.168.1.17 DNS 107 Standard query response 0xf61c A authentification.ena1.orange.fr A 81.253.207.64
12288 112.497334 192.168.1.17 192.168.1.1 DNS 81 Standard query 0x0dad A rightv.ntv2.orange.fr
12289 112.498411 192.168.1.1 192.168.1.17 DNS 97 Standard query response 0x0dad A rightv.ntv2.orange.fr A 81.253.206.92
12525 113.009421 192.168.1.17 192.168.1.1 DNS 78 Standard query 0x6fd9 A cbm.ena1.orange.fr
12526 113.011181 192.168.1.17 192.168.1.1 DNS 89 Standard query 0x1492 A recommandation.ena1.orange.fr
12527 113.012301 192.168.1.1 192.168.1.17 DNS 105 Standard query response 0x1492 A recommandation.ena1.orange.fr A 81.253.206.74
12531 113.014588 192.168.1.1 192.168.1.17 DNS 94 Standard query response 0x6fd9 A cbm.ena1.orange.fr A 81.253.206.79
pitite question de noob (ERL3 reçu hier): le commit après le laod boot.config, il est sensé prendre combien de temps? le mien m'a fait une erreur du genre device br0 unknown, et après plus rien pendant plus de 20 minutes... ;(
thx
Pas plus de 10sec chez moi.ok merci... pas eu le temps de ressayer hier soir, je verrai ça ce soir.
Si tu as une erreur c'est par rapport à ta syntaxe certainement, demande au pro qui circule sur ce forum ;) , ils seront t'aider ( avec un petit Bonjour.....merci ).
L'IPv6 ne sera plus actif ? quels impacts ? quels conséquences ?Outre le fait qu'utiliser IPv6 et le démocratiser est une très bonne chose, en soit l'impact pour toi devrait être limité/inexistant.
le port internet / tv ira vers un switch 16 ports non managé, ensuite 1 port va vers 2 switch non managé en cascade pour arriver au decodeur tv, cela pose t il un problème ?
Outre le fait qu'utiliser IPv6 et le démocratiser est une très bonne chose, en soit l'impact pour toi devrait être limité/inexistant.
La TV d'Orange est diffusée en multicast.
De ce fait, il est fortement conseillé d'avoir des switch manageables pour pouvoir filtrer le multicast et éviter d'envoyer la chaine de TV que tu regarde sur l'ensemble de ton LAN (broadcast inutile) via la fonction d'IGMP Snooping du switch.
Quel est le risque ? quand on regarde aucune chaine, un flux est il diffusé ?
Quel est le risque ? quand on regarde aucune chaine, un flux est il diffusé ?Le risque, c'est que certains équipements (mon imprimante HP par exemple), bascule son port réseau en 10 Mbits quand elle passe en veille. Du coup elle fait lagguer la TV en HD+ car un switch non manageable diffuse les paquets multicast/broadcast à la vitesse de l'équipement le plus lent...
Le risque, c'est que certains équipements (mon imprimante HP par exemple), bascule son port réseau en 10 Mbits quand elle passe en veille. Du coup elle fait lagguer la TV en HD+ car un switch non manageable diffuse les paquets multicast/broadcast à la vitesse de l'équipement le plus lent...et du coup ce soir j'ai constaté que ma borne wifi passait tellement à faire du drop qu'elle répondait moyen du coup ;o)
/sbin/ip6tables -I INPUT -i eth1.832 --dst 2a01:xxxx:xxxx:xx10::1 -j DROP
/sbin/ip6tables -I INPUT -i eth1.832 --dst 2a01:xxxx:xxxx:xxa0::1 -j DROP
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.1.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address dhcp
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:36:63:6B:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/16
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br1 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
}
dns {
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name ubnt
login {
user root {
authentication {
encrypted-password $6$JzOmHWTSo3b5drU$uc/b4CLHkL6Bk4Wq9r/4vbwmdZRUgnEvJ.dDV6vbH78SokBxJHV4RF2lLrsRkeMkDq4woBSOhdA0aWIpPCUte0
plaintext-password ""
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password $6$yG4Fr1V0p0ETMiT$l9L0Ru9c7ig4fpTlbuH5EDdM2cxutAaUGOMUyuapPoPJtjDmTY2mNIMSwFQEFylMJaTswNZnLEkZXpGmgxG2w1
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 192.168.10.1
name-server 8.8.8.8
name-server 8.8.4.4
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.10.12 {
facility all {
level err
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1614 */
Il me semble cependant que cela soit difficile à automatiser compte tenu du fait que la seule façon de récupérer le préfix est de brancher directement la livebox sur l'ONT.Hein ???
root@bdx-val-rt1:~# dibbler-client run
| Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
| Authors : Tomasz Mrugalski<thomson(at)klub.com.pl>,Marek Senderski<msend(at)o2.pl>
| Licence : GNU GPL v2 only. Developed at Gdansk University of Technology.
| Homepage: http://klub.com.pl/dhcpv6/
2016.06.15 23:15:11 Client Notice My pid (14454) is stored in /var/lib/dibbler/client.pid
2016.06.15 23:15:11 Client Notice Detected iface eth1.838/19, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface eth1.851/18, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface eth1.840/17, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface eth1.841/16, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface eth4/15, MAC=24:a4:3c:3c:c1:5d.
2016.06.15 23:15:11 Client Notice Detected iface eth3/14, MAC=24:a4:3c:3c:c1:5c.
2016.06.15 23:15:11 Client Notice Detected iface dummy0/13, MAC=a6:f0:c9:5f:ac:b7.
2016.06.15 23:15:11 Client Notice Detected iface switch0.198/12, MAC=24:a4:3c:3c:c1:5a.
2016.06.15 23:15:11 Client Notice Detected iface switch0.199/11, MAC=24:a4:3c:3c:c1:5a.
2016.06.15 23:15:11 Client Notice Detected iface eth1.832/10, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface br0/9, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface eth2/6, MAC=24:a4:3c:3c:c1:5b.
2016.06.15 23:15:11 Client Notice Detected iface imq0/5, MAC=.
2016.06.15 23:15:11 Client Notice Detected iface switch0/4, MAC=24:a4:3c:3c:c1:5a.
2016.06.15 23:15:11 Client Notice Detected iface eth1/3, MAC=24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Notice Detected iface eth0/2, MAC=24:a4:3c:3c:c1:58.
2016.06.15 23:15:11 Client Notice Detected iface lo/1, MAC=00:00:00:00:00:00.
2016.06.15 23:15:11 Client Notice Parsing /etc/dibbler/client.conf config file...
2016.06.15 23:15:11 Client Info Interface eth1.832/10 configuration has been loaded.
2016.06.15 23:15:11 Client Info My DUID is 00:01:00:01:1e:f4:6c:40:24:a4:3c:3c:c1:59.
2016.06.15 23:15:11 Client Info Loading old address database (client-AddrMgr.xml), using built-in routines.
2016.06.15 23:15:11 Client Info DB timestamp:1466025302, now()=1466025311, db is 9 second(s) old.
2016.06.15 23:15:11 Client Info All client's 00:01:00:01:1e:f4:6c:40:24:a4:3c:3c:c1:59 leases are not valid.
2016.06.15 23:15:11 Client Notice Creating control (::) socket on the lo/1 interface.
2016.06.15 23:15:11 Client Notice Creating socket (addr=fe80::26a4:3cff:fe3c:c159) on eth1.832/10 interface.
2016.06.15 23:15:11 Client Notice CONFIRM support compiled in.
2016.06.15 23:15:11 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/10 interface.
2016.06.15 23:15:11 Client Error AUTH: protocol 5313592 not supported yet.
2016.06.15 23:15:12 Client Info Processing msg (SOLICIT,transID=0x19b91,opts: 1 25 8 16 15 11 11 6)
2016.06.15 23:15:12 Client Error AUTH: protocol 5313592 not supported yet.
2016.06.15 23:15:14 Client Info Processing msg (SOLICIT,transID=0x19b91,opts: 1 25 8 16 15 11 11 6)
2016.06.15 23:15:14 Client Error AUTH: protocol 5313592 not supported yet.
downlink-prefix-ifaces "none"
iface eth1.832 {
pd ### on demande une délégation de prefix ipv6 (c'est un /56)
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxx
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxx
}
default-action drop
description "WAN6 to GW"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Allow ICMP6"
log disable
protocol icmpv6
}
rule 4 {
action accept
description DHCP6
destination {
port 546
}
log disable
protocol udp
}
#!/bin/bash
env > /tmp/dibbler.log 2>&1
if [ "$SRV_MESSAGE" != "REPLY" ]
then
exit 1
fi
ETH0_SUFFIX="01::1"
STATUS_FILE=/run/dibbler.lease
if [ -f "$STATUS_FILE" ]
then
source $STATUS_FILE
fi
TRIM_SIZE=${#PREFIX1}
TRIM_SIZE=$((TRIM_SIZE - 4))
PREFIX1=${PREFIX1:0:TRIM_SIZE}
if [ "$PREFIX1" != "$CURRENT_PREFIX1" ]
then
if [ "$CURRENT_PREFIX1" != "" ]
then
ip addr delete "$CURRENT_PREFIX1$ETH0_SUFFIX/64" dev eth0
fi
echo "CURRENT_PREFIX1=$PREFIX1" > $STATUS_FILE
ip addr add "$PREFIX1$ETH0_SUFFIX/64" dev eth0
service radvd restart >/dev/null 2>&1
fi
ipv6 {
address {
autoconf
}
}
ipv6 {
dup-addr-detect-transmits 1
router-advert {
prefix ::/64 {
}
}
}
Chain VZONE_local_IN (1 references)
pkts bytes target prot opt in out source destination
58 6032 RETURN all lo any anywhere anywhere
0 0 ipv6-wan-to-local all eth1 any anywhere anywhere
0 0 RETURN all eth1 any anywhere anywhere
0 0 ipv6-wan-to-local all eth1.832 any anywhere anywhere
0 0 RETURN all eth1.832 any anywhere anywhere
73 23684 DROP all any any anywhere anywhere
Chain VZONE_local_OUT (1 references)
pkts bytes target prot opt in out source destination
58 6032 RETURN all any lo anywhere anywhere
0 0 ipv6-local-to-wan all any eth1 anywhere anywhere
0 0 RETURN all any eth1 anywhere anywhere
127 26564 ipv6-local-to-wan all any eth1.832 anywhere anywhere
127 26564 RETURN all any eth1.832 anywhere anywhere
321 49134 DROP all any any anywhere anywhere
Chain VZONE_wan (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all eth1.832 any anywhere anywhere
0 0 RETURN all eth1 any anywhere anywhere
0 0 DROP all any any anywhere anywhere
Chain ipv6-local-to-wan (2 references)
pkts bytes target prot opt in out source destination
127 26564 RETURN all any any anywhere anywhere /* ipv6-local-to-wan-1 */ state NEW,RELATED,ESTABLISHED
0 0 DROP all any any anywhere anywhere /* ipv6-local-to-wan-2 */ state INVALID
0 0 RETURN all any any anywhere anywhere /* ipv6-local-to-wan-3 */
0 0 LOG all any any anywhere anywhere /* ipv6-local-to-wan-10000 default-action drop */ LOG level warning prefix "[ipv6-local-to-wa-default-D]"
0 0 DROP all any any anywhere anywhere /* ipv6-local-to-wan-10000 default-action drop */
Chain ipv6-wan-to-local (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all any any anywhere anywhere /* ipv6-wan-to-local-1 */ state RELATED,ESTABLISHED
0 0 DROP all any any anywhere anywhere /* ipv6-wan-to-local-2 */ state INVALID
0 0 RETURN ipv6-icmp any any anywhere anywhere /* ipv6-wan-to-local-3 */
0 0 RETURN udp any any anywhere anywhere /* ipv6-wan-to-local-4 */ udp dpt:dhcpv6-client
0 0 LOG all any any anywhere anywhere /* ipv6-wan-to-local-10000 default-action drop */ LOG level warning prefix "[ipv6-wan-to-loca-default-D]"
0 0 DROP all any any anywhere anywhere /* ipv6-wan-to-local-10000 default-action drop */
root@bdx-val-rt1:~# tcpdump -i eth1.832 -vvvvvv -n ip6
tcpdump: listening on eth1.832, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:09.005768 IP6 (hlim 1, next-header UDP (17) payload length: 172) fe80::26a4:3cff:fe3c:c159.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=64020e (client-ID hwaddr/time type 1 time 519334976 24a43c3cc159) (IA_PD IAID:1 T1:4294967295 T2:4294967295) (elapsed-time 0) (vendor-class) (user-class) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (option-request vendor-class user-class authentication))
10:02:10.027988 IP6 (hlim 1, next-header UDP (17) payload length: 172) fe80::26a4:3cff:fe3c:c159.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=64020e (client-ID hwaddr/time type 1 time 519334976 24a43c3cc159) (IA_PD IAID:1 T1:4294967295 T2:4294967295) (elapsed-time 100) (vendor-class) (user-class) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (option-request vendor-class user-class authentication))
10:02:12.063921 IP6 (hlim 1, next-header UDP (17) payload length: 172) fe80::26a4:3cff:fe3c:c159.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=64020e (client-ID hwaddr/time type 1 time 519334976 24a43c3cc159) (IA_PD IAID:1 T1:4294967295 T2:4294967295) (elapsed-time 300) (vendor-class) (user-class) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (option-request vendor-class user-class authentication))
10:02:16.109815 IP6 (hlim 1, next-header UDP (17) payload length: 172) fe80::26a4:3cff:fe3c:c159.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=64020e (client-ID hwaddr/time type 1 time 519334976 24a43c3cc159) (IA_PD IAID:1 T1:4294967295 T2:4294967295) (elapsed-time 700) (vendor-class) (user-class) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (option-request vendor-class user-class authentication))
Frame 305: 204 bytes on wire (1632 bits), 204 bytes captured (1632 bits) on interface 0
Ethernet II, Src: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::237:b7ff:xxxx:xxxx, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546 (546), Dst Port: 547 (547)
DHCPv6
Message type: Solicit (1)
Transaction ID: 0x04372a
Client Identifier
Option: Client Identifier (1)
Length: 10
Value: 000300010037b7xxxxxx
DUID: 000300010037b7xxxxxx
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: 00:37:b7:xx:xx:xx
Option Request
Option: Option Request (6)
Length: 4
Value: 000b0017
Requested Option code: Authentication (11)
Requested Option code: DNS recursive name server (23)
Elapsed time
Option: Elapsed time (8)
Length: 2
Value: 0508
Elapsed time: 12880 ms
Authentication
Option: Authentication (11)
Length: 22
Value: 0000000000000000000000667469zzzzzz
Protocol: 0
Algorithm: 0
RDM: 0
Replay Detection: 0000000000000000
Authentication Information: 667469zzzzzzz
User Class
Option: User Class (15)
Length: 45
Value: 002b46535644534c5f6c697665626f782e496e7465726e65...
Vendor Class
Option: Vendor Class (16)
Length: 11
Value: 0000040e0005736167656d
Enterprise ID: SAGEMCOM SAS (1038)
vendor-class-data: sagem
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 12
Value: b7xxxxxx000000e1000001518
IAID: b7xxxxxx
T1: 3600
T2: 5400
on notera quand l'@ mac est utilisé comme identifiant (IAID) du PD.En pratique avec dibbler ça marche sans préciser l'IAID du PD (je ne sais pas ce que prend dibbler dans ce cas là, je n'ai pas regardé). Et pour le DUID, celui calculé par dibbler à partir de l'@Mac du port de l'ERL convient également.
2016.06.16 14:57:02 Client Info Creating REQUEST. Backup server list contains 1 server(s).
2016.06.16 14:57:02 Client Error AUTH: protocol 5332784 not supported yet.
2016.06.16 14:57:03 Client Info Received REPLY on eth1.832/19,trans-id=0xbd8cfb, 4 opts: 25 2 1 11
2016.06.16 14:57:03 Client Notice PD: Adding prefix 2a01:cbxx:xxxx::/56 to all interfaces (prefix will be split to /64 prefixes if necessary).
2016.06.16 14:57:03 Client Info PD: Using 0 suitable interface(s):[none]
2016.06.16 14:57:03 Client Warning All IA(s), TA and PD(s) has been configured, but some options (16 15 ) were not assigned.
2016.06.16 14:57:03 Client Notice Insist-mode disabled, giving up (not sending INF-REQUEST).
root@osmc:~# tcpdump -i eth1 -vv ip6
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
16:34:25.602274 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::26a4:3cff:fe3c:c158 > ip6-allnodes: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 0s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:xxxx:xxxx:xxxx::/64, Flags [onlink, auto, router], valid time 2592000s, pref. time 604800s
0x0000: 40e0 0027 8d00 0009 3a80 0000 0000 2a01
0x0010: xxxx xxxx xxxx 0000 0000 0000 0000
source link-address option (1), length 8 (1): 24:a4:3c:3c:c1:58
0x0000: 24a4 3c3c c158
16:34:25.938988 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::26a4:3cff:fe3c:c158 > ip6-allnodes: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:xxxx:xxxx:xxxx::/64, Flags [onlink, auto, router], valid time 2592000s, pref. time 604800s
0x0000: 40e0 0027 8d00 0009 3a80 0000 0000 2a01
0x0010: xxxx xxxx xxxx 0000 0000 0000 0000
source link-address option (1), length 8 (1): 24:a4:3c:3c:c1:58
0x0000: 24a4 3c3c c158
Pour info le firmware 1.8.5 est sorti :ERL mis à jour ce matin. Enfin, plus exactement j'ai acheté un deuxième ERL pour éviter les remarques de madame qu'internet ne marche plus pendant que je refais toute la config (car il y a pas mal de choses à refaire à la main malheureusement). Et puis comme ça j'ai un ERL de secours en cas de panne (que je garde en 1.8 pour l'instant, il a prouvé sa stabilité avec plus de 60 jours d'uptime).
http://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-8-5/ba-p/1591710
Voici un premier jet : https://github.com/sylr/edgemax-orange-dhcp/
Par contre je ne garantis rien, surtout pas les instructions du README.
Y'a peut être des choses qui n'ont plus trop de sens.
A vos risques et périls :)
PS: J'ai enlevé le PoE 24v du port 5 dans la conf pour éviter de faire flambler des trucs chez les petits malins qui copient collent sans regarder.
CURRENT_PREFIX1=2a01:cb19:blabla:00
root@ubnt# ifconfig eth1.832
eth1.832 Link encap:Ethernet HWaddr 44:d9:e7:9b:9d:c3
inet addr:90.XXXX.XXX.XXX Bcast:90.76.159.255 Mask:255.255.248.0
inet6 addr: fe80::46d9:e7ff:XXXX:XXXX/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4348 errors:0 dropped:0 overruns:0 frame:0
TX packets:4717 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:511354 (499.3 KiB) TX bytes:437600 (427.3 KiB)
ethernet eth0 {
address 192.168.1.1/24
description "Local Network"
duplex auto
ip {
}
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "ONT Internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier XX:XX:XX:XX:XXXXXX;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:7A;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
ipv6-name WAN6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
Par contre sur l'interface eth1.832, en ifconfig j'ai autre chose...Non, c'est normal qu'il n'y ait pas d'IP publique sur eth1.832 : L'interface a une adresse Link-Local, ce qui est suffisant pour parler au routeur d'Orange en face qui a lui aussi une adresse Link-Local (fe80::ba0:bab).Code: [Sélectionner]root@ubnt# ifconfig eth1.832
Du coup doit y avoir un petit souci là non ?
eth1.832 Link encap:Ethernet HWaddr 44:d9:e7:9b:9d:c3
inet addr:90.XXXX.XXX.XXX Bcast:90.76.159.255 Mask:255.255.248.0
inet6 addr: fe80::46d9:e7ff:XXXX:XXXX/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4348 errors:0 dropped:0 overruns:0 frame:0
TX packets:4717 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:511354 (499.3 KiB) TX bytes:437600 (427.3 KiB)
En lisant le /var/run/dibbler.lease j'ai:Code: [Sélectionner]CURRENT_PREFIX1=2a01:cb19:blabla:00
Par contre sur l'interface eth1.832, en ifconfig j'ai autre chose...
[/code]
Où est-ce qu'il faut que je sonde pour trouver si ca communique pas ?
Merci d'avance :)
Non, c'est normal qu'il n'y ait pas d'IP publique sur eth1.832 : L'interface a une adresse Link-Local, ce qui est suffisant pour parler au routeur d'Orange en face qui a lui aussi une adresse Link-Local (fe80::ba0:bab).
Par contre tu devrais avoir des IP sur eth0 et eth2 (je ne connais pas bien le script de sylr, mais sachant qu'il est parti du miens ça doit fonctionner).
eth0 Link encap:Ethernet HWaddr 44:d9:e7:9b:9d:c2
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::46d9:e7ff:blabla:9dc2/64 Scope:Link
inet6 addr: 2a01:cb19:blabla:40::1/64 Scope:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:47264 errors:0 dropped:0 overruns:0 frame:0
TX packets:79205 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6156021 (5.8 MiB) TX bytes:74008653 (70.5 MiB)
Est-ce que tu peux nous coller le contenu complet de /var/run/dibbler.lease et /tmp/dibbler.log, ainsi que l'output de "ip -6 addr".
Aussi elle ressemble a quoi ta varialble INT_SUFFIX dans dibbler-radvd.sh ?
root@ubnt:~# cat /run/dibbler.lease
CURRENT_PREFIX1=2a01:cb19:886c:00
INT_ADDRESSES="eth0#2a01:cb19:886c:0040::1/64"
root@ubnt:~# cat /tmp/dibbler.log
PREFIX1LEN=56
CLNT_OPTION6=[generic]
CLNT_OPTION8=0
SRV_MESSAGE=REPLY
CLNT_OPTION16=00:00:04:0e:00:XXXXXXXXXXX
SRV_OPTION2=00:02:00:00:05:58:44:45:53:48:41:59:45:53:53:55:44:52:4f:54
SRV_OPTION1=00:01:00:01:1f:00:28:5b:44:d9:e7:9b:9d:c3
CLNT_OPTION15=00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:XXXXXXXXXXXXXXXXXXXX
PREFIX1PREF=86400
DOWNLINK_PREFIX_IFACES=[none]
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
CLNT_MESSAGE=REQUEST
PWD=/var/lib/dibbler
PREFIX1VALID=86400
SRV_OPTION11=[generic]
DOWNLINK_PREFIXES=
REMOTE_ADDR=ff02::1:2
SHLVL=1
PREFIX1=2a01:cb19:886c:3d00::
IFINDEX=8
IFACE=eth1.832
_=/usr/bin/env
------------------
ip addr add 2a01:cb19:886c:0040::1/64 dev eth0
root@ubnt:~# ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 2a01:cb19:886c:40::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::46d9:e7ff:fe9b:9dc2/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
6: eth1.840@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
7: eth1.838@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
8: eth1.832@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
INT_SUFFIX="eth0#40::1/64"
Bonjour,
J'ai commandé un ERLITE-3. Je viens de lire la fin de ce lon fil, et j'aurais voulu connaître la différence entre les modes PPPoE ou DHCP et quel est l'intérêt de l'un ou l'autre.
Enfin, j'espère que ce matériel va mettre fin à pas mal de problèmes dans mon réseau, et surtout de découvrir et apprendre concernant les vlan et le routage.
sudo tcpdump -i <interface> -vv icmp6
sylvain@sethi-4:~$ sudo tcpdump -i en3 -vv icmp6
tcpdump: listening on en3, link-type EN10MB (Ethernet), capture size 262144 bytes
11:38:12.604061 IP6 (flowlabel 0xfd2bb, hlim 255, next-header ICMPv6 (58) payload length: 8) sethi-4.local > ip6-allrouters: [icmp6 sum ok] ICMP6, router solicitation, length 8
11:38:12.605563 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::26a4:3cff:fe3c:c158 > ip6-allnodes: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb19:xxxx:xxxx::/64, Flags [onlink, auto, router], valid time 2592000s, pref. time 604800s
0x0000: 40e0 0027 8d00 0009 3a80 0000 0000 2a01
0x0010: cb19 xxxx xxxx 0000 0000 0000 0000
source link-address option (1), length 8 (1): 24:a4:3c:3c:c1:58
0x0000: 24a4 3c3c c158
Bonjour,
J'ai commandé un ERLITE-3. Je viens de lire la fin de ce lon fil, et j'aurais voulu connaître la différence entre les modes PPPoE ou DHCP et quel est l'intérêt de l'un ou l'autre.
11:59:06.498033 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::46d9:e7ff:fe9b:9dc2 > ip6-allnodes: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb19:886c:40::/64, Flags [onlink, auto, router], valid time 2592000s, pref. time 604800s
0x0000: 40e0 0027 8d00 0009 3a80 0000 0000 2a01
0x0010: cb19 886c 0040 0000 0000 0000 0000
source link-address option (1), length 8 (1): 44:d9:e7:9b:9d:c2
0x0000: 44d9 e79b 9dc2
11:59:29.458890 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a01:cb19:886c:40:30a2:6b49:a11c:7daf > ff02::1:ff9b:9dc2: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::46d9:e7ff:fe9b:9dc2
source link-address option (1), length 8 (1): 6c:62:6d:e6:b4:21
0x0000: 6c62 6de6 b421
ip6-allrouters: [icmp6 sum ok] ICMP6, [b]router solicitation[/b], length 8
ipv6-name WAN6_LOCAL {
default-action drop
description "WAN6 to GW"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Allow ICMP6"
log disable
protocol icmpv6
}
rule 4 {
action accept
description DHCP6
destination {
port 546
}
log disable
protocol udp
}
}
PPPoE: ancienne infrastructure d'Orange, va disparaitre a terme mais probablement pas avant 2017 voir 2018. MTU de 1480, IPv4 non fixe, pas d'IPv6, VoIP dans vlan séparé. plus simple a configurer.
DHCP: nouvelle infrastructure d'Orange. MTU 1500, IPv4 Fixe, IPv6 fixe, VoIP dans le meme vlan qu'Internet, plus complexe a configurer.
A moins de vouloir IPv6 et/ou une IPv4 fixe il est plus simple de rester en PPPoE mais ca peut cesser de fonctionner un jour.
Ok merci, par contre ça m'intrigue, C'est ONT qui récupère l'ip externe de la connexion. L'adresse IP récupérée en mode DHCP du routeur correspond à quoi ?
Ok merci, par contre ça m'intrigue, C'est ONT qui récupère l'ip externe de la connexion.Non, jamais de la vie...
Non, Il faut que tu laisses radvd envoyer des annonces RA (via icmpv6) depuis eth0.
Mais d'après ta conf tu n'a aucune règle sur eth0 donc ca devrait passer.
"ip -6 addr" sur ton ubuntu ca donne quoi ?
sudo ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2a01:cb19:886c:40:1913:c44d:2c30:42a2/64 scope global temporary dynamic
valid_lft 598272sec preferred_lft 79272sec
inet6 2a01:cb19:886c:40:225:22ff:fec6:861a/64 scope global dynamic
valid_lft 2591628sec preferred_lft 604428sec
inet6 fe80::225:22ff:fec6:861a/64 scope link
valid_lft forever preferred_lft forever
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 5 {
description sip2rtp
forward-to {
address 192.168.1.25
}
original-port 7070-7089
protocol tcp_udp
}
wan-interface eth1.832
}
EDIT: Je viens de penser à un truc. J'ai du port forwarding qui passe par l'eth0 avec autofirewall enabled. Ca peut foutre le bazar ca non ?non, le port forwarding est IPv4 uniquement. J'en ai dans ma config et ça n'interfère pas avec IPv6.
non, le port forwarding est IPv4 uniquement. J'en ai dans ma config et ça n'interfère pas avec IPv6.
ET bien il me semble que ca marche, tu as bien 1 (tu en as même 2) ipv6 publiques sur eth0.
SI tu vas sur http://test-ipv6.com/ depuis ton ubuntu ca donne quoi ?
show ipv6 route
(sur l'ERL)
Code: [Sélectionner]show ipv6 route
(sur l'ERL)
root@ubnt:~# show ipv6 route
IPv6 Routing Table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
IA - OSPF inter area, E1 - OSPF external type 1,
E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
N2 - OSPF NSSA external type 2, B - BGP
Timers: Uptime
IP Route Table for VRF "default"
K ::/0 [0/1024] via fe80::ba0:bab, eth1.832, 01:42:46
C ::1/128 via ::, lo, 01:54:53
C 2a01:cb19:886c:40::/64 via ::, eth0, 01:51:56
C fe80::/64 via ::, eth1.832, 01:54:12
"ping6 2a01:cb19:886c:40::1" depuis ton ubuntu ?
rtorrent@coloq:~$ ping6 2a01:cb19:886c:40::1
PING 2a01:cb19:886c:40::1(2a01:cb19:886c:40::1) 56 data bytes
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=1 ttl=64 time=1.28 ms
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=2 ttl=64 time=0.448 ms
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=3 ttl=64 time=0.328 ms
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=4 ttl=64 time=0.319 ms
"ping6 2a00:1450:400c:c04::65" ? (c'est google)
root@ubnt:~# ping6 ipv6.google.com
PING ipv6.google.com(lhr25s09-in-x0e.1e100.net) 56 data bytes
C'est moche mais si tu vires tout le scope firewall sur eth1.832 est-ce que ca marche ?
"ip6tables -L -v" sur ubnt
root@ubnt:~# ip6tables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
116 17061 VYATTA_FW_LOCAL_HOOK all any any anywhere anywhere
116 17061 VYATTA_POST_FW_IN_HOOK all any any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
415 40420 VYATTA_FW_IN_HOOK all any any anywhere anywhere
415 40420 VYATTA_FW_OUT_HOOK all any any anywhere anywhere
415 40420 VYATTA_POST_FW_FWD_HOOK all any any anywhere anywhere
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
178 22942 VYATTA_POST_FW_OUT_HOOK all any any anywhere anywhere
Chain VYATTA_FW_IN_HOOK (1 references)
pkts bytes target prot opt in out source destination
Chain VYATTA_FW_LOCAL_HOOK (1 references)
pkts bytes target prot opt in out source destination
Chain VYATTA_FW_OUT_HOOK (1 references)
pkts bytes target prot opt in out source destination
Chain VYATTA_POST_FW_FWD_HOOK (1 references)
pkts bytes target prot opt in out source destination
415 40420 ACCEPT all any any anywhere anywhere
Chain VYATTA_POST_FW_IN_HOOK (1 references)
pkts bytes target prot opt in out source destination
116 17061 ACCEPT all any any anywhere anywhere
Chain VYATTA_POST_FW_OUT_HOOK (1 references)
pkts bytes target prot opt in out source destination
178 22942 ACCEPT all any any anywhere anywhere
Chain WAN6_LOCAL (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all any any anywhere anywhere /* WAN6_LOCAL-1 */ state RELATED,ESTABLISHED
0 0 DROP all any any anywhere anywhere /* WAN6_LOCAL-2 */ state INVALID
0 0 RETURN ipv6-icmp any any anywhere anywhere /* WAN6_LOCAL-3 */
0 0 RETURN udp any any anywhere anywhere /* WAN6_LOCAL-4 */ udp dpt:dhcpv6-client
0 0 DROP all any any anywhere anywhere /* WAN6_LOCAL-10000 default-action drop */
root@ubnt:~#
Tu as toujours l'ipv6 sur l'eth0 du ubnt apres le reboot ?
root@ubnt# sudo ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 2a01:cb19:886c:40::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::46d9:e7ff:fe9b:9dc2/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
6: eth1.840@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
7: eth1.838@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
8: eth1.832@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
Depuis l'ubnt ca passe pas:
Sur mon ubuntu non plus. Pareil si je tente avec ping6 2a00:1450:400c:c04::65
root@ubnt:~# ping6 2a00:1450:400c:c04::65
PING 2a00:1450:400c:c04::65(2a00:1450:400c:c04::65) 56 data bytes
64 bytes from 2a00:1450:400c:c04::65: icmp_seq=1 ttl=47 time=37.6 ms
64 bytes from 2a00:1450:400c:c04::65: icmp_seq=2 ttl=47 time=49.7 ms
rtorrent@coloq:~$ sudo ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2a01:cb19:886c:40:49f9:ac31:648c:118f/64 scope global temporary dynamic
valid_lft 521085sec preferred_lft 2085sec
inet6 2a01:cb19:886c:40:1913:c44d:2c30:42a2/64 scope global temporary deprecated dynamic
valid_lft 435287sec preferred_lft 0sec
inet6 2a01:cb19:886c:40:225:22ff:fec6:861a/64 scope global dynamic
valid_lft 2591822sec preferred_lft 604622sec
inet6 fe80::225:22ff:fec6:861a/64 scope link
valid_lft forever preferred_lft forever
- Si j'ai bien compris, en mode DHCP, l'ERL3 se connectera au FAI en mode DHCP (en passant par l'ONT) Et le port 1 de l'ERL se retrouve avec l'IP publique.oui. pour être plus précis ca sera le port eth1.832 (donc le VLAN 832 sur le port eth1)
- Il faut alors configurer un DHCP pour mon réseau sur le port 2 (10.0.0.X), sur lequel je connecterais mon switch :le serveur DHCP n'a pas forcement besoin d'être dans l'ERL, il peut rester dans ton serveur debian si ca marche deja bien comme cela.
* J'aimerai pouvoir déclarer les adresses MAC des appareils autorisés à se connecter, est-ce possible ?
* Sur mon réseau actuel, j'ai un serveur debian qui sert de DHCP-PXE. J'avais dû installer ces 2 services sur le même machine et désactiver le DHCP de la livebox : est ce qu'il est possible que l'ERL soit DHCP du réseau, et qu'il puisse relayer la connexion TFTP du PXE sur une autre machine ?
- Lorsque je recevrais l'ERL3, j'aurai sans doute un grand nombre de questions, faudra t-il poster ici ? ou ne vaudrait il pas mieu que je crée un nouveau topic ?
tu ping 2a01:cb19:886c:40::1 depuis ton ubuntu ?
rtorrent@coloq:~$ ping6 2a01:cb19:886c:40::1
PING 2a01:cb19:886c:40::1(2a01:cb19:886c:40::1) 56 data bytes
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=1 ttl=64 time=1.11 ms
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=2 ttl=64 time=0.266 ms
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
sysctl -a | grep "net.ipv6.*\.forwarding"
Juste une idée comme ca t'as activé le offload du forwarding ?Code: [Sélectionner]offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
ca donne quoi ca ?Code: [Sélectionner]sysctl -a | grep "net.ipv6.*\.forwarding"
root@ubnt:~# sysctl -a | grep "net.ipv6.*\.forwarding"
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.eth0.forwarding = 1
net.ipv6.conf.eth1.forwarding = 1
net.ipv6.conf.eth1/832.forwarding = 1
net.ipv6.conf.eth1/838.forwarding = 1
net.ipv6.conf.eth1/840.forwarding = 1
net.ipv6.conf.eth2.forwarding = 1
net.ipv6.conf.imq0.forwarding = 1
net.ipv6.conf.lo.forwarding = 1
ip -6 route
Vu le comportement et la config, j'aurais tendance à penser que le problème est plus du coté du PC Ubuntu... Est-ce que la route par défaut pour IPv6 correspond bien à l'adresse Link-Local de l'interface LAN de l'ERL ?Code: [Sélectionner]ip -6 route
Tu peux également faire un traceroute6 vers l'IP de Google pour voir si tu arrives au moins jusuq'à l'ERL.
rtorrent@coloq:~$ ip -6 route
2a01:cb19:886c:40::/64 dev eth0 proto kernel metric 256 expires 2591727sec
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::46d9:e7ff:fe9b:9dc2 dev eth0 proto ra metric 1024 expires 1527sec hoplimit 64
root@ubnt# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 44:d9:e7:9b:9d:c2
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::46d9:e7ff:fe9b:9dc2/64 Scope:Link
inet6 addr: 2a01:cb19:886c:3d10::1/64 Scope:Global
inet6 addr: 2a01:cb19:886c:40::1/64 Scope:Global
root@ubnt# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 44:d9:e7:9b:9d:c3
inet6 addr: fe80::46d9:e7ff:fe9b:9dc3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:33459441 errors:0 dropped:15109 overruns:0 frame:0
TX packets:14097355 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:40991085592 (38.1 GiB) TX bytes:16703484016 (15.5 GiB)
rtorrent@coloq:~$ traceroute6 2a00:1450:400c:c04::65
traceroute to 2a00:1450:400c:c04::65 (2a00:1450:400c:c04::65) from 2a01:cb19:886c:40:95a4:850:a50f:1aa6, 30 hops max, 16 byte packets
1 2a01:cb19:886c:40::1 (2a01:cb19:886c:40::1) 0.732 ms 0.373 ms 0.476 ms
2 * * *
iface eth1.832 {
pd ### on demande une délégation de prefix ipv6 (c'est un /56)
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:ST:RI:NG:HE:XA:DE:VO:TR:EI:DE:NT:IF:IA:NT:0F:TI
option 11 hex 00:00:00:00:00:00:ST:RI:NG:HE:XA:DE:VO:TR:EI:DE:NT:IF:IA:NT:0F:TI
option dns-server
}
iface eth0 {
ia
}
ethernet eth0 {
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
}
ethernet eth1 {
vif 832 {
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
}
commit
[ service nat rule 5010 outbound-interface pppoe0 ]
NAT configuration warning: interface pppoe0 does not exist on this system
#!/bin/sh -e
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
Je ne l'ai pas fait cette fois, à quoi cela peut il servir ?A modifier la configuration du serveur PPPoE de l'ERL pour permettre à la Livebox de s'y connecter en PPPoE, ce qui est nécessaire pour continuer à pouvoir utiliser le téléphone et la TV (Quand on utilise la configuration en PPPoE et pas en DHCP).Code: [Sélectionner]#!/bin/sh -e
Je ne l'ai pas fait cette fois, à quoi cela peut il servir ?
sed -i '/#/! s/\$str \.= "refuse-pap/#\$str \.= "refuse-pap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-chap/#\$str \.= "refuse-chap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "refuse-mschap/#\$str \.= "refuse-mschap/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
sed -i '/#/! s/\$str \.= "require-mschap-v2/#\$str \.= "require-mschap-v2/g' /opt/vyatta/share/perl5/Vyatta/PPPoEServerConfig.pm
Est ce qu'il est toujours possible d"utiliser l'interface web après une configuration en ssh ?Oui.
A modifier la configuration du serveur PPPoE de l'ERL pour permettre à la Livebox de s'y connecter en PPPoE, ce qui est nécessaire pour continuer à pouvoir utiliser le téléphone et la TV (Quand on utilise la configuration en PPPoE et pas en DHCP).
Oui.
Je@nb (je crois que c'est lui) a ouvert un fil à ce sujet sur le forum EdgeMax beta, un dev. d'ubnt a dit que c'était une bonne idée. Mais pas de deadline...
ça fait plusieurs fois que je suis obligé de rebooter mon ERL pour que la télé fonctionne... ya un truc qui faudrait que je checke dans ma conf? (les histoires d'IGMP notamment?)Généralement quand la TV ne fonctionne plus, c'est que le processus igmpproxy est mort. Il n'est généralement pas nécessaire de rebooter l'ERL, un simple
restart igmp-proxy
Dans la console (par SSH par exemple) devrait réparer la TV.protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth0.66 {
role disabled
threshold 1
}
interface eth0.67 {
role disabled
threshold 1
}
interface eth0.68 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth0.69 {
role disabled
threshold 1
}
interface eth0.70 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface vtun0 {
role disabled
threshold 1
}
}
}
Pour info la méthode solution PPPoE avec ERL sans Livebox fonctionne très bien avec le dernier firmware 1.9, il faut juste penser à remettre le fichier rfc3442-classless-routes après l'upgrade.
cp /home/mon_utilisateur/dhclient3 /sbin/dhclient3
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
Dans la config du vif 832 de l'interface reliée à l'ONT (et avoir un firmware >= 1.7.0 car ce paramètre n'existe pas sur les firmwares plus anciens). C'est ce paramètre qui va mapper le TOS 0x10 vers la priorité 802.1p 6.egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
0x10 est la valeur attendue (car le kernel ne permet pas de mapper 0xC0 vers une prio 802.1p).Pour la petite histoire j'ai dit une connerie ;D (Mais ça fait bien longtemps déjà que j'ai modifié dhclient donc j'ai un peu oublié).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:48:83:C7:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:48:83:C7:XX:XX:XX;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.254/24
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name MonRouter
login {
user MonUser {
authentication {
encrypted-password $SuperMotDePasse
plaintext-password ""
}
level admin
}
}
name-server 81.253.149.2
name-server 80.10.246.132
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
sub dhcp_update_config {
my ($conf_file, $intf) = @_;
my $output = dhcp_conf_header();
my $hostname = get_hostname();
$output .= "option rfc3442-classless-static-routes code 121 = array of unsig
$output .= "option rfc3118-authentication code 90 = string;\n\n";
$output .= "interface \"$intf\" {\n";
if (defined($hostname)) {
$output .= "\tsend host-name \"$hostname\";\n";
}
$output .= "\trequest subnet-mask, broadcast-address, routers, domain-name-s
my $domainname = is_domain_name_set();
if (!defined($domainname)) {
$output .= ", domain-name";
}
show interfaces ethernet eth1 vif 838
show ip route
Il semblerait qu'il soit peut-être possible de fixer "outside-address" à "0.0.0.0" à partir du firmware 1.8?Sur le sujet dans le forum beta ils semblent dire que oui...
J'attends une éventuelle simplification de la config DHCP sans livebox pour migrer🙄Entre nous ça n'arrivera pas.
Bon je débarque ici, j'ai un ERL3 tout frais et à jour, et j'ai pas vraiment la foi de me faire les 200 pages du topic, une âme charitable pourrait me donner le topic pour juste avoir internet en IPv4/DHCP ? Les liens de la première page ont l'air anciens.. :/
mici ;D
Au cas où cela pourrait vous servir, je vous propose une alternative en PowerShell pour encoder/décoder les chaines pour les options 90 et 120 du DHCP
Apres si tu veux un truc plug-and-play avec pour débutant personne n'a encore pris la peine d'en faire un.
J'avais le souvenir d'un générateur de confs en PPPoe, non ?
Modifier le binaire /sbin/dhclient3 patché (afin de passer les requêtes DHCP en priorité 802.1p 6)
client-option "send vendor-class-identifier "sagem";"
/* Remplacer xx:xx:xx:xx:xx:xx par la MAC de votre Livebox */
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search;"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search;"
default-route update
default-route-distance 210
name-server update
}
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
duplex auto
speed auto
vif 832 {
description "VLAN Internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:74:74:77:33:71:36:76;"
client-option "send dhcp-client-identifier 1:40:F2:01:61:00:A8;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search;"
default-route update
default-route-distance 210
name-server update
}
}
}
ethernet eth1 {
address 10.222.222.254/24
description "LAN Daevel"
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.0.1/22
description "LAN Boostinlyon"
duplex auto
speed auto
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br1 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_BoostInLyon {
authoritative disable
subnet 192.168.0.0/22 {
default-router 192.168.0.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.0.30 {
stop 192.168.3.254
}
}
}
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.0.1
listen-address 10.222.222.254
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
}
host-name ubnt
login {
user hugues {
authentication {
encrypted-password
plaintext-password ""
}
full-name Hugues
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.x.x {
facility all {
level err
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
Bon ça marche pas de mon coté avec cette conf
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address dhcp
description "VLAN Internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:74:74:77:33:71:36:76;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search;"
default-route update
default-route-distance 210
name-server update
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
}
}
ethernet eth1 {
address 10.222.222.254/24
description "LAN Daevel"
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.0.1/22
description "LAN Boostinlyon"
duplex auto
speed auto
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_BoostInLyon {
authoritative disable
subnet 192.168.0.0/22 {
default-router 192.168.0.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.0.30 {
stop 192.168.3.254
}
}
}
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth0.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.0.1
listen-address 10.222.222.254
port 22
protocol-version v2
}
}
system {
config-management {
}
host-name ubnt
login {
user hugues {
authentication {
encrypted-password
plaintext-password ""
}
full-name Hugues
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.x.x {
facility all {
level err
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 10 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "Bridge TOIP"
hello-time 2
max-age 20
multicast disable
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "Bridge TV"
hello-time 2
max-age 20
multicast disable
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "Reseau local"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 2"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXXXXX
user-id fti/XXXXXXXXX
}
}
vif 838 {
bridge-group {
bridge br1
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description "VLAN TOIP"
egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Reseau Livebox"
duplex auto
speed auto
vif 832 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 2"
}
vif 835 {
description "VLAN Internet"
}
vif 838 {
bridge-group {
bridge br1
}
description "VLAN TV VOD"
}
vif 840 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
}
vif 851 {
bridge-group {
bridge br0
}
description "VLAN TOIP"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description Console_DiskStation
forward-to {
address 192.168.1.4
port 5551
}
original-port 5551
protocol tcp_udp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.1.2 {
stop 192.168.1.50
}
}
}
}
dns {
dynamic {
interface eth0 {
service dyndns {
host-name XXXXXXXX.noip.me
login XXXXXXXXXXXXXX@gmail.com
password XXXXXXXXXXXX
server dynupdate.no-ip.com
}
web dyndns
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/XXXXXXXXXX {
password XXXXXXXXXXXX
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user admin {
authentication {
encrypted-password $XXXXXXXXXXXXXXXXX.
plaintext-password ""
}
full-name administrateur
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository squeeze {
components "main contrib non-free"
distribution squeeze
password ""
url http://http.us.debian.org/debian
username ""
}
repository squeeze-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
mon config.boot est toujours fonctionnelle avec ce firmware ?Oui.
Oui.Et pourquoi pas ? ça leur coute pas plus cher.
Bon par contre un jour il va falloir penser à passer de PPPoE à DHCP... Parce qu'Orange ne va pas conserver le support des 2 protocoles pendant une éternité.
Et pourquoi pas ? ça leur coute pas plus cher.Bien sur que ça leur coute plus cher...
Bien sur que ça leur coute plus cher...Admettons, dans ce cas disons qu'à l’échelle d'une organisation comme orange, ça ne leur coute pas significativement plus cher.
Maintenir 2 architectures réseau et des équipements nécessaires uniquement pour supporter le PPPoE (LNS entre autres), ça coute plus qu'une architecture unifiée.
Zoc, concernant la solution DHCP avec ERL + TV (via ERL) + Livebox routeur pour Tel et Wifi, les binaires dhclient3 CoS 6 et dibbler-client CoS 6 que tu fournies servent à quoi ? Ils sont obligatoires ? Le dibbler semble optionnel.
Bien sur que ça leur coute plus cher...Bien sur le PPPoE nécessite des serveurs de BAS, ça a un coup.
Maintenir 2 architectures réseau et des équipements nécessaires uniquement pour supporter le PPPoE (LNS entre autres), ça coute plus qu'une architecture unifiée.
Zoc, y a t-il une opportunité de simplifier la configuration DHCP sans Livebox avec du VLAN tagging via un switch ES-24-LITE?Probablement, mais je n'ai toujours pas acheté le switch ;D
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 10 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 31 {
action drop
description "ferme port 8080"
log disable
protocol tcp_udp
source {
port 8080
}
}
}
nmap -sT -p0-33000 X.X.X.X
PORT STATE SERVICE
21/tcp open ftp
24/tcp open priv-mail
25/tcp open smtp
80/tcp open http
443/tcp open https
554/tcp open rtsp
1723/tcp open pptp
...
cat config.boot
firewall {
all-ping disable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 10 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 10 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.254/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxxxxxxxx
user-id fti/xxxxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description HTTPS
forward-to {
address 192.168.1.100
port 443
}
original-port 443
protocol tcp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 192.168.1.254
dns-server 8.8.8.8
lease 86400
start 192.168.1.1 {
stop 192.168.1.50
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxxxxxxxx {
password xxxxxxxxxxxx
}
}
mode local
}
interface eth2.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
gui {
https-port 443
listen-address ip-address
ssh {
listen-address ip-address
port 22
protocol-version v2
Pour dibbler, effectivement, je n'ai pas fourni de version autre que celle qui a été donnée sur un autre fil du forum par @Jeanb (et qui ne fonctionnera pas là où la CoS est obligatoire d'ailleurs), pour plusieurs raison:Bonjour zoc,
- Il faut le configurer à la main (@kgersen a donné un exemple de configuration qui fonctionne, sur lequel je me suis basé).
- Il faut écrire un script spécifique à votre configuration réseau, ce qui demande certaines connaissances (par exemple chez moi j'ai 4 VLANs sur eth0, et donc mon script attribue un /64 à chaque VLAN).
- Mon script ne configure pas radvd, et donc ne peux pas diffuser d'adresses de serveur DNS IPv6 (j'ai sur mon LAN un résolveur DNS et pour l'instant je ne supporte que les requêtes en IPv4).
- Mon script ne supporte pas DHCP6 stateless non plus coté LAN.
- Je n'ai malheureusement pas le temps d'écrire un tuto, donc je préfère ne rien poster plutôt que de ne pas avoir le temps de faire le support
Je vais tout de même fournir le paquet Debian de dibbler-client patché pour supporter la CoS (joint à ce message), mais vous allez devoir mettre les mains dedans pour le configurer selon vos besoins.
Ma question est donc: es-tu au courant, ou quelqu'un d'autre de l'existence d'une version patchée mipsel pour un ER-x ?
firewall {
all-ping enable
broadcast-ping disable
group {
port-group Guest_Allowed_TCP {
description ""
port ntp
port http
port https
port 110
port 995
port 143
port 993
port 587
port 53
}
port-group Guest_Allowed_UDP {
description ""
port ntp
port 53
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name VLAN10_IN {
default-action drop
description VLAN10_IN
rule 10 {
action accept
description "Allow Unifi Website"
destination {
address 192.168.1.105
port 8880
}
log disable
protocol tcp
}
rule 20 {
action accept
description "Allow Unifi Website"
destination {
address 192.168.1.105
port 8843
}
log disable
protocol tcp
}
rule 30 {
action drop
description "Block P2P"
log disable
p2p {
all
}
protocol tcp_udp
}
rule 40 {
action drop
description "Drop access to 192.168.1.0"
destination {
address 192.168.1.0/24
}
log disable
protocol all
}
rule 50 {
action accept
description "Authorized TCP on Guest LAN"
destination {
group {
port-group Guest_Allowed_TCP
}
}
log enable
protocol tcp
}
rule 60 {
action accept
description "Authorized UDP on Guest LAN"
destination {
group {
port-group Guest_Allowed_UDP
}
}
log disable
protocol udp
}
}
name VLAN10_LOCAL {
default-action drop
description VLAN10_LOCAL
rule 10 {
action accept
description "Allow DNS on VLAN10"
destination {
port 53
}
log disable
protocol tcp_udp
}
rule 20 {
action drop
description "Drop access to 192.168.10.1"
destination {
address 192.168.10.1
}
log disable
protocol all
}
rule 30 {
action accept
description "Authorized TCP on Guest LAN"
destination {
group {
port-group Guest_Allowed_TCP
}
}
log disable
protocol tcp
}
rule 40 {
action accept
description "Authorized UDP on Guest LAN"
destination {
group {
port-group Guest_Allowed_UDP
}
}
log disable
protocol udp
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
address dhcpv6
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth xxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.1.1/24
description "LOCAL LAN"
duplex auto
speed auto
vif 10 {
address 192.168.10.1/24
description GuestVLAN
firewall {
in {
name VLAN10_IN
}
local {
name VLAN10_LOCAL
}
}
mtu 1500
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br1 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name xxxxxxxxxxxxxx
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth xxxxxxxxx"
subnet-parameters "option SIP xxxxxxxxxxxx"
}
}
shared-network-name VLAN10 {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
lease 86400
start 192.168.10.2 {
stop 192.168.10.20
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
listen-on eth1
listen-on eth2.10
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
port 522
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ERL
login {
user root {
authentication {
encrypted-password xxxxx
plaintext-password ""
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password xxxxx
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 37.187.0.40
name-server 95.85.9.86
name-server 87.98.175.85
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.1.105 {
facility all {
level err
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
address dhcpv6
Les tests de perf sont-ils effectués depuis l'ER-X ou une machine derrière ? Le routeur n'offload pas son propre traffic donc ça peut expliquer le débit en retrait.
Si c'est un package destiné à une Debian Jessy c'est sans doute normal d'avoir ces problèmes de dépendance. Et je déconseille fortement la mise à jour de la libc sur le routeur car ça va probablement tout casser.
@kgersen : C'est vrai que mettre net et TV sur eth0 n'est pas une mauvaise idée. Je me demandais justement quelle solution était la mieux étant intéressé par la chose également. Du coup dans mon cas je mettrais la box sur eth2 pour servir le tel uniquement, ça me parait pas mal :)
Pour le bridge c'est vrai qu'il n'est plus indispensable, mais étant donné que j'ai repris la config en vitesse j'ai pas fait la modif. Et puis ça évite que les flux remontent chez orange via le 838 il me semble, non ?
EDIT : suivant les recomentations, un fichier de conf qui devrait aller :
Cette configuration n'est valable qu'en fibre.Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description "Voip"
}
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.1
mac-address 00:37:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Le bridge a été enlevé, DHCP et NAT uniquement sur eth1.838. J'ai rajouté en plus eth2 pour servir le téléphone via la box (vif 832 uniquement).
Expurgé d'eth2 (j'ai laissé une adresse statique, sans dhcp) :Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.254/24
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user xxxxxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name "administrator"
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Cependant, je viens de faire un test par hazard, et je me suis rendu compte que les ports 21 25 554 1723 et surtout un proxy sur 8080 sont ouvert sans que je fasse quoi que ce soit.
(...)
Quelqu'un aurait une idée svp ?
il y a moyen d'énumérer les associations UPnP gateway en se connectant en console à l'ERL (mais je n'ai pas la commande par coeur sous la main). Ainsi tu sauras quelle IP interne a demandé le port.
show upnp2 rules
pppoe0 pppoe0 pppoe 1492 disconnected
Ou alors, je ne l'avais jamais remarquée.La 1.9 ne changera rien, j'ai également scanné l'ip publique de mon erl et les même ports tcp sont déclarés ouvert (sauf le 8080).Testé à l'instant, ce n'est pas le cas chez moi, hormis pour 80 et 443, mais c'est normal j'héberge des sites web et j'ai donc une redirection de ports pour ces deux là, et quelques autres (j'héberge aussi un serveur mail/imap et donc les ports correspondants sont aussi ouverts).
Petite question, qqun ici a déjà remplacé une livebox pro pour un erl3 ?
yes, moi :)
Pas de DHCP, pas d'IPv6, juste du PPPoE sur un Vlan, aucune difficulté, tout se fait avec la GUI :)
Salut sylr,
J'ai eu quelques soucis dimanche dernier. Lorsque je bootais le décodeur tv je perdais la connectivité. Ca revenait en faisant un dhcp renew.
Depuis, plus de soucis...
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
static {
}
}
vif 840 {
address 192.168.255.254/32
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
Le problème n'est pas l'ERL mais le switch qui manifestement ne supporte pas l'igmp snooping (ou alors il est mal configuré) et du coup transforme le multicast en broadcast.
Bonjour,
Est-ce que quelqu'un a déjà migré vers la version 1.9.1 (avec une config et patch identiques à v1.8.0) ?
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-9-1/ba-p/1766160
J'aimerai bien voir les différences en ce qui concerne L2TP/IPsec notamment (utilise le module kernel), actuellement je plafonne a 8-9 Mbits/s symétrique maximum (en version 1.8.0)
A+
Vincent
J'ai fait l'upgrade 1.9.0 -> 1.9.1 sans soucis.
Mais je suis encore en pppoe pour info.
Salut à tous.
primo, bravo à tous les auteurs, membres actifs de nous permettre d'obtenir une meilleur solution que la livebox !
J'ai actuellement un ERL3 remplacant ma livebox et me permettant d'avoir TV + Tel + Internet en DHCP.
Mon problème est le suivant, j'heberge pour un ami des serveurs, avec plusieurs ip en local, qui utilisent des vpn en pptp.
Le passage à l'ERL3 devait apporter une stabilité à la ligne, mais apparemment, j'ai un souci de config.
En effet, régulièrement, les VPN perdent la connexion.
Les machines tournent en windows 10. J'ai comme alternative de mettre un idle time pour reconnecter le vpn lorsqu'il coupe, mais je prefererais que ça tourne sans coupure !
le même vpn fonctionne parfaitement sur une ligne adsl chez mon pote.
J'ai lu que le port 1743 était utilisé pour le maintien de connexion, donc je me demande s'il peut avoir un role à jouer et s'il faut que je l'ouvre de manière spécifique.
Mais ce n'est pas un port forwarding, vu que j'ai plusieurs ip en local.
je suis très noob dans ce domaine, donc je viens poser la question ici..
Merci à tous :)
Effectivement, pas clair :)
Donc il y a 4 machines, chacune se connectant à un serveur vpn différent. Elles sont donc clientes. Mais je ne peux pas mettre l'ERL en vpn pour toutes
Et régulièrement, quasiment toutes les heures, les connexions ne sont plus actives, elles ne déconnectent pas mais restent en idle sans que le flux ne passe.
Est-ce plus clair?
oui je pensais au décodeur LB4 pour avoir aussi le décodeur TV 4
Par contre si la LB4 se connecte directement à la FO sans passer par l'ONT, c'est mort pour utiliser l'ERL3 ?
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description WEB
forward-to {
address 192.168.70.11
}
original-port 80,443
protocol tcp
}
wan-interface eth1.832
}
Je suis parti sur une config basé sur celle postée par Renaud07 avec la TV sur le LAN.
Je vois bien comment le vlan840 est envoyé sur le eth0 par IGMP (upstream eth1, downstream eth0).
Par contre pour le vlan 838, le schéma indique qu'il est envoyé sur le eth0 par NAT. Les seules règles du fichier de config utilise la fonction masquerade, du coup le vlan 838 est dispo sur eth2 aussi, non ? Si c'est le cas le schéma me paraît "trompeur".
oui en théorie mais en comme eth2 n'est pas utilisé autrement qu'avec le vlan832 ("eth2" tout court n'a pas d'IP) mettre le lien jaune vers eth2 sur le dessein ajouterai de la confusion. Le but du dessin était de faire comprendre le principe de la config et pas tout les flux possibles.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:40:xx:xx:xx:xx:xx;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:40:xx:xx:xx:xx:xx;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 10.0.1.1/24
description LAN
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
vif 832 {
address 192.168.2.254/24
description Voip
mtu 1500
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description "Diskstation admin"
forward-to {
address 10.0.1.150
port 5001
}
original-port xxxxx
protocol tcp_udp
}
rule 2 {
description "Diskstation ssh"
forward-to {
address 10.0.1.150
port 22
}
original-port xx
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name DHCP-SWITCH0 {
authoritative disable
subnet 10.0.1.0/24 {
default-router 10.0.1.1
dns-server 10.0.1.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 10.0.1.100 {
stop 10.0.1.254
}
static-mapping DiskStation {
ip-address 10.0.1.150
mac-address 00:11:32:02:c9:59
}
}
}
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.100 {
stop 192.168.0.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
static-mapping Livebox {
ip-address 192.168.2.1
mac-address 40:C7:29:40:19:F8
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp {
listen-on switch0 {
outbound-interface eth1.832
}
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
domain-name ubiquiti
host-name ubiquiti
login {
}
name-server 8.8.8.8
name-server 8.8.4.4
name-server 2001:4860:4860::8888
name-server 2001:4860:4860::8844
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
dibbler-client run
Du coup, je me retrouvais avec des prefixes 2a01:xxxx:410 et 2a01:xxxx:4a0 qui ne redirigeaient sur rien.#sous android, dans une application terminal, pour obtenir les DNS et leurs priorités
getprop | grep net.dns
#!/bin/bash
LAN0=switch0
LAN2=switch0.832
WAN=eth1.832
taille=${#PREFIX1}
taille=$((taille-4))
cat > /etc/radvd.conf << EOF
interface ${LAN0}
{
AdvSendAdvert on;
AdvManagedFlag off;
AdvOtherConfigFlag on;
prefix ${PREFIX1:0:taille}ce:a0::/64
{
AdvOnLink on;
AdvAutonomous on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
};
RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 ${PREFIX1:0:taille}ce:a0::1
{
AdvRDNSSLifetime 1200;
};
};
interface ${LAN2}
{
AdvSendAdvert on;
AdvManagedFlag on;
AdvOtherConfigFlag on;
prefix ${PREFIX1:0:taille}ce:10::/64
{
AdvOnLink on;
AdvAutonomous off;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
};
RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 ${PREFIX1:0:taille}ce:10::1
{
AdvRDNSSLifetime 1200;
};
};
EOF
cat > /etc/dibbler/server.conf << EOF
log-level 7
log-mode full
iface "${LAN0}" {
T1 43200
T2 69120
option dns-server 2001:4860:4860::8888
prefered-lifetime 86400
valid-lifetime 86400
# option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
pd-class {
pd-pool ${PREFIX1:0:taille}ce:a0::/58
pd-length 60
}
}
iface "${LAN2}" {
T1 43200
T2 69120
option dns-server 2001:4860:4860::8888
prefered-lifetime 86400
valid-lifetime 86400
option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
option dns-server ${PREFIX1:0:taille}ce:c0::1
pd-class {
pd-pool ${PREFIX1:0:taille}ce:c0::/58
pd-length 60
}
}
EOF
mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add ${PREFIX1:0:taille}ce:a0::/64 dev ${LAN0}
ip -6 addr add ${PREFIX1:0:taille}ce:a0::1/64 dev ${LAN0}
ip -6 route add ${PREFIX1:0:taille}ce:10::/64 dev ${LAN2}
ip -6 route add fe80::xxxx:xxxx:xxxx:xxxx dev ${LAN2}
ip -6 route add ${PREFIX1:0:taille}ce:c0::/60 via fe80::xxxx:xxxx:xxxx:xxxx dev ${LAN2}
ip -6 addr add ${PREFIX1:0:taille}ce:10::1/64 dev ${LAN2}
service radvd restart >> /var/log/radvd.log
EOF
cat > /etc/ip6deconf-new.sh << EOF
ip -6 route flush ${PREFIX1:0:taille}10::
ip -6 route flush default
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del ${PREFIX1:0:taille}ce:10::/64 dev ${LAN0}
ip -6 addr del ${PREFIX1:0:taille}ce:10::1/64 dev ${LAN0}
ip -6 route del ${PREFIX1:0:taille}ce:10::/64 dev ${LAN2}
ip -6 route del fe80::xxxx:xxxx:xxxx:xxxx dev ${LAN2}
ip -6 route del ${PREFIX1:0:taille}ce:c0::/60 via fe80::xxxx:xxxx:xxxx:xxxx dev ${LAN2}
ip -6 addr del ${PREFIX1:0:taille}ce:10::1/64 dev ${LAN2}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
dibbler-server stop >> /var/log/radvd.log
dibbler-server start >> /var/log/radvd.log
# Defaults for dibbler-client.
# installed at /etc/dibbler/client.conf by the maintainer scripts
# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 7
# To perform stateless (i.e. options only) configuration, uncomment
# this line below and remove any "ia" keywords from interface definitions
# stateless
downlink-prefix-ifaces "none"
script "/etc/dibbler/radvd.sh"
iface "eth1.832" {
pd
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:xxxxxxxx #id fti
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:xxxxxxxx #id fti
}
Faisable en installant dibbler (patché également) et en écrivant un script adapté à ton architecture réseau. C'est en place depuis mars dernier chez moi.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Allow Packets from Internet to the router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.60.254/24
description LAN
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
mtu 1500
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password ****************
user-id fti/***********
}
}
}
ethernet eth2 {
duplex auto
speed auto
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name DHCP {
authoritative disable
subnet 192.168.60.0/24 {
default-router 192.168.60.254
dns-server 192.168.60.2
dns-server 192.168.0.250
lease 86400
start 192.168.60.40 {
stop 192.168.60.220
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description "Masquerading outgoing connexions"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user admin {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name admin
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
sudo sysctl -a | grep conntrack | grep timeout
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_generic_timeout = 600
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 7440
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 180
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
enable-default-log
rule 10 {
action accept
description "Allow Established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Allow Packets from Internet to the router"
rule 1 {
action accept
description "Allow established sessions to the router"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth7
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.60.254/24
description "LAN"
duplex auto
speed auto
}
ethernet eth1 {
description "INTERNET via ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:XXXXXXXXXXXXXX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
}
ethernet eth2 {
description "OSEF"
disable
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-authentication code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name DHCP {
authoritative disable
subnet 192.168.60.0/24 {
default-router 192.168.60.254
dns-server 192.168.60.2
dns-server 192.168.0.250
domain-name mydom.lan
lease 86400
start 192.168.60.40 {
stop 192.168.60.220
}
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "Masquerading outgoing connexions"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 50
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name RTR34M
domain-name irfasud.local
login {
user admin {
authentication {
plaintext-password *****
}
full-name admin
level admin
}
user root {
authentication {
plaintext-password *****
}
full-name root
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
vif 832 {
address 193.248.XX.YY/32
gateway 193.253.AA.BB
description "Internet Orange DHCP"
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
/home/ubnt/tmp/ n'est pas la même chose que /tmp/ ? Du coup je ne sais pas ou est arrivé le précédent upload :(
Alors voici ce que j'ai à l'écran:
(http://img15.hostingpics.net/thumbs/mini_946607edge.png) (https://www.hostingpics.net/viewer.php?id=946607edge.png)
Dans le CLI j'ai fait: show version et je suis visiblement en 1.2.0 donc j'ai téléchargé la dernière version mais impossible à mettre à jour, j'ai essayé plusieurs version et toujours le même message:
- There was an error upgrading the system -
#!/bin/bash
LAN0=switch0
LAN2=switch0.832
WAN=eth1.832
SUBNET1=10
SUBNET2=20
echo "Prefix1 : ${PREFIX1}" > /var/log/script_radvd.log
echo "Prefix2 : ${PREFIX2}" >> /var/log/script_radvd.log
echo "Prefix1Len : ${PREFIX1LEN}" >> /var/log/script_radvd.log
echo "Taille : ${#PREFIX1}" >> /var/log/script_radvd.log
echo "Taille : ${taille}" >> /var/log/script_radvd.log
echo "Prefix edited : ${PREFIX1:0:taille}" >> /var/log/script_radvd.log
echo "Addr1 : ${ADDR1}" >> /var/log/script_radvd.log
echo "Addr2 : ${ADDR2}" >> /var/log/script_radvd.log
echo "Option1 : ${OPTION1}" >> /var/log/script_radvd.log
echo "Option2 : ${OPTION2}" >> /var/log/script_radvd.log
SUBPREFIX=$(echo $PREFIX1 | tr ":" "\n")
BITCNT=0
#Searching closest block to round our Prefix
for p in {0..128..16}
do
if [ $PREFIX1LEN -lt $p ]; then
RNDPFXLEN=$p
#echo "Rounded Prefix Len : $RNDPFXLEN"
break
fi
done
echo "Closest Block : $RNDPFXLEN" >> /var/log/script_radvd.log
#Converting IPv6 in Binary with bc
for j in $SUBPREFIX
do
BIN=$(echo "obase=2; ibase=16; ${j^^}" | bc)
BIN=$(printf "%016d" $BIN)
BITCNT=$(echo $BITCNT+${#BIN} | bc)
PREFIXBIT=$PREFIXBIT$BIN
# echo "Value : $j Nb Bits : $BITCNT Prefix Bits : $PREFIXBIT"
done
echo "Prefix With Real Mask : ${PREFIXBIT:0:$PREFIX1LEN}" >> /var/log/script_radvd.log
PREFIXSUB1=${PREFIXBIT:0:$PREFIX1LEN}$(printf "%08d" $(bc <<< "ibase=16; obase=2; $SUBNET1"))
PREFIXSUB2=${PREFIXBIT:0:$PREFIX1LEN}$(printf "%08d" $(bc <<< "ibase=16; obase=2; $SUBNET2"))
#Converting back our IPv6 to Hex
REALPREFIX1=$(echo "obase=16; ibase=2; $PREFIXSUB1" | bc)
REALPREFIX2=$(echo "obase=16; ibase=2; $PREFIXSUB2" | bc)
RPF1LEN=${#PREFIXSUB1}
RPF2LEN=${#PREFIXSUB2}
echo "Real Prefix 1 : $REALPREFIX1 / $RPF1LEN" >> /var/log/script_radvd.log
echo "Real Prefix 2 : $REALPREFIX2 / $RPF2LEN" >> /var/log/script_radvd.log
COUNTER=0
#Modify IPv6 to include the : for each blocks
for (( i=0; i<=${#REALPREFIX1} ; i++ ))
do
if ! (( i % 4 )) && [ $i -gt 0 ] && [ $i != ${#REALPREFIX1} ];
then
RPF1=$RPF1:
RPF2=$RPF2:
fi
RPF1=$RPF1${REALPREFIX1:$i:1}
RPF2=$RPF2${REALPREFIX2:$i:1}
done
#Here is our final prefix
RPF1=${RPF1,,}
RPF2=${RPF2,,}
echo "Working IPv6 Prefix 1 : $RPF1 / $RPF1LEN" >> /var/log/script_radvd.log
echo "Working IPv6 Prefix 2 : $RPF2 / $RPF2LEN" >> /var/log/script_radvd.log
cat > /etc/radvd.conf << EOF
interface ${LAN0}
{
AdvSendAdvert on;
AdvManagedFlag off;
AdvOtherConfigFlag on;
prefix $RPF1::/$RPF1LEN
{
AdvOnLink on;
AdvAutonomous on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
};
RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
{
AdvRDNSSLifetime 1200;
};
};
interface ${LAN2}
{
AdvSendAdvert on;
AdvManagedFlag on;
AdvOtherConfigFlag on;
prefix $RPF2::/$RPF2LEN
{
AdvOnLink on;
AdvAutonomous off;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
};
RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
{
AdvRDNSSLifetime 1200;
};
};
EOF
cat > /etc/dibbler/server.conf << EOF
log-level 7
log-mode full
iface "${LAN0}" {
T1 43200
T2 69120
option dns-server 2001:4860:4860::8888
prefered-lifetime 86400
valid-lifetime 86400
# option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
pd-class {
pd-pool $RPF1::/$RPF1LEN
pd-length 60
}
}
iface "${LAN2}" {
T1 43200
T2 69120
option dns-server 2001:4860:4860::8888
prefered-lifetime 86400
valid-lifetime 86400
option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
option dns-server $RPF2:c0::1
pd-class {
pd-pool $RPF2:::/RPF2LEN
pd-length 60
}
}
EOF
mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add $RPF1::/$RPF1LEN dev ${LAN0}
ip -6 addr add $RPF1::1/$RPF1LEN dev ${LAN0}
ip -6 route add $RPF2::/$RPF2LEN dev ${LAN2}
ip -6 route add fe80::xxxx:xxxx:xxxx:xxxx dev ${LAN2} #4 derniers bloc de l'IPv6 de la LB
ip -6 route add $RPF2:c0::/60 via fe80::42c7:29ff:fe40:19f8 dev ${LAN2}
ip -6 addr add $RPF2::1/$RPF2LEN dev ${LAN2}
service radvd restart >> /var/log/radvd.log
EOF
cat > /etc/ip6deconf-new.sh << EOF
ip -6 route flush $RPF1::
ip -6 route flush default
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del $RPF1::/$RPF1LEN dev ${LAN0}
ip -6 addr del $RPF1::1/$RPF1LEN dev ${LAN0}
ip -6 route del $RPF2::/$RPF2LEN dev ${LAN2}
ip -6 route del fe80::xxxx:xxxx:xxxx:xxxx dev ${LAN2} #4 derniers bloc de l'IPv6 de la LB
ip -6 route del $RPF2:c0::/60 via fe80::42c7:29ff:fe40:19f8 dev ${LAN2}
ip -6 addr del $RPF2::1/$RPF2LEN dev ${LAN2}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
dibbler-server stop >> /var/log/radvd.log
dibbler-server start >> /var/log/radvd.log
Vide ton cache navigateur, surtout.Ça ne change rien par contre avec Google Chrome pas de soucis. Y'aurais pas une histoire comme Flash Player ou un truc du genre?
L'interface de l'EdgeMax fonctionne pas trop mal dans Safari chez moi (mais pour ce que je m'en sers...).Tu fait tout depuis un terminal?
Par contre le contrôleur UniFi fonctionne très mal, ils conseillent vivement d'utiliser Chrome ou Firefox.Il manque quoi à Safari?
Tu fait tout depuis un terminal?Oui, les interfaces graphiques c'est pour les faibles ;D
Promis, le jour qu'il y aura de jolie graphique et des cases à cocher dans le Terminal je m'y met ;D ;D ;D
est-ce qu'il y a quelqu'un qui remonte les informations de son ERL sur le controller ?On ne peut pas. Il y a pas mal de monde qui demande cette fonctionnalité sur le forum d'ubnt d'ailleurs.
Sinon pour savoir ce que ton sw sort, soit tu regardes les MIB, soit tu poll direct et tu verras bien
franck@Mercury:~/.snmp/mibs:> snmpwalk -v1 -c public uap-1.mgnt.zoc.me .1.3.6.1.4.1.41112.1.6.1
UBNT-UniFi-MIB::unifiRadioName.0 = STRING: wifi0
UBNT-UniFi-MIB::unifiRadioName.1 = STRING: wifi1
UBNT-UniFi-MIB::unifiRadioRadio.0 = STRING: ng
UBNT-UniFi-MIB::unifiRadioRadio.1 = STRING: na
UBNT-UniFi-MIB::unifiRadioRxPackets.0 = Counter32: 43757144
UBNT-UniFi-MIB::unifiRadioRxPackets.1 = Counter32: 66253838
UBNT-UniFi-MIB::unifiRadioTxPackets.0 = Counter32: 10566622
UBNT-UniFi-MIB::unifiRadioTxPackets.1 = Counter32: 1080
UBNT-UniFi-MIB::unifiRadioCuTotal.0 = INTEGER: 32
UBNT-UniFi-MIB::unifiRadioCuTotal.1 = INTEGER: 0
UBNT-UniFi-MIB::unifiRadioCuSelfRx.0 = INTEGER: 28
UBNT-UniFi-MIB::unifiRadioCuSelfRx.1 = INTEGER: 0
UBNT-UniFi-MIB::unifiRadioCuSelfTx.0 = INTEGER: 2
UBNT-UniFi-MIB::unifiRadioCuSelfTx.1 = INTEGER: 0
UBNT-UniFi-MIB::unifiRadioOtherBss.0 = INTEGER: 19
UBNT-UniFi-MIB::unifiRadioOtherBss.1 = INTEGER: 0
UBNT-UniFi-MIB::unifiVapBssId.0 = STRING: xx:xx:xx:xx:xx:xx
UBNT-UniFi-MIB::unifiVapBssId.1 = STRING: xx:xx:xx:xx:xx:xx
UBNT-UniFi-MIB::unifiVapCcq.0 = INTEGER: 849
UBNT-UniFi-MIB::unifiVapCcq.1 = INTEGER: 333
UBNT-UniFi-MIB::unifiVapChannel.0 = INTEGER: 6
UBNT-UniFi-MIB::unifiVapChannel.1 = INTEGER: 36
UBNT-UniFi-MIB::unifiVapExtChannel.0 = INTEGER: 1
UBNT-UniFi-MIB::unifiVapExtChannel.1 = INTEGER: 1
UBNT-UniFi-MIB::unifiVapEssId.0 = STRING: Mon SSID
UBNT-UniFi-MIB::unifiVapEssId.1 = STRING: Mon SSID
UBNT-UniFi-MIB::unifiVapName.0 = STRING: ath0
UBNT-UniFi-MIB::unifiVapName.1 = STRING: ath1
UBNT-UniFi-MIB::unifiVapNumStations.0 = INTEGER: 2
UBNT-UniFi-MIB::unifiVapNumStations.1 = INTEGER: 4
UBNT-UniFi-MIB::unifiVapRadio.0 = STRING: ng
UBNT-UniFi-MIB::unifiVapRadio.1 = STRING: na
UBNT-UniFi-MIB::unifiVapRxBytes.0 = Counter32: 3323585443
UBNT-UniFi-MIB::unifiVapRxBytes.1 = Counter32: 3609138016
UBNT-UniFi-MIB::unifiVapRxCrypts.0 = Counter32: 14538
UBNT-UniFi-MIB::unifiVapRxCrypts.1 = Counter32: 8306
UBNT-UniFi-MIB::unifiVapRxDropped.0 = Counter32: 14566
UBNT-UniFi-MIB::unifiVapRxDropped.1 = Counter32: 8306
UBNT-UniFi-MIB::unifiVapRxErrors.0 = Counter32: 14566
UBNT-UniFi-MIB::unifiVapRxErrors.1 = Counter32: 8306
UBNT-UniFi-MIB::unifiVapRxFrags.0 = Counter32: 0
UBNT-UniFi-MIB::unifiVapRxFrags.1 = Counter32: 0
UBNT-UniFi-MIB::unifiVapRxPackets.0 = Counter32: 6212464
UBNT-UniFi-MIB::unifiVapRxPackets.1 = Counter32: 64203414
UBNT-UniFi-MIB::unifiVapTxBytes.0 = Counter32: 3203180941
UBNT-UniFi-MIB::unifiVapTxBytes.1 = Counter32: 637937355
UBNT-UniFi-MIB::unifiVapTxDropped.0 = Counter32: 115
UBNT-UniFi-MIB::unifiVapTxDropped.1 = Counter32: 43081
UBNT-UniFi-MIB::unifiVapTxErrors.0 = Counter32: 0
UBNT-UniFi-MIB::unifiVapTxErrors.1 = Counter32: 96713
UBNT-UniFi-MIB::unifiVapTxPackets.0 = Counter32: 10007992
UBNT-UniFi-MIB::unifiVapTxPackets.1 = Counter32: 62027891
UBNT-UniFi-MIB::unifiVapTxRetries.0 = Counter32: 20937
UBNT-UniFi-MIB::unifiVapTxRetries.1 = Counter32: 0
UBNT-UniFi-MIB::unifiVapTxPower.0 = INTEGER: 20
UBNT-UniFi-MIB::unifiVapTxPower.1 = INTEGER: 20
UBNT-UniFi-MIB::unifiVapUp.0 = INTEGER: true(1)
UBNT-UniFi-MIB::unifiVapUp.1 = INTEGER: true(1)
UBNT-UniFi-MIB::unifiVapUsage.0 = STRING: user
UBNT-UniFi-MIB::unifiVapUsage.1 = STRING: user
Il y a de quoi faire (mais il va falloir patcher Observium). Mais on s'éloigne du sujet du fil...
Pourtant la MIB UniFi est dans la version CE d'Octobre, donc tout espoir n'est pas perdu :P
@Hugues, on doit pas parler des mêmes bornes. Voila ce qui ressort des miennes.
Le SNMP c'est bien, mais pour avoir les flux en fonctions des IP ou des ports il aurait été intéressant d'avoir du netflow, dommage...
Faut savoir ce qu'on veut, c'est un routeur SoHoJ'ai jamais dit le contraire, c'était juste pour informer ceux qui seraient tentés de l'activer :)
Faut savoir ce qu'on veut, c'est un routeur SoHo, tu peux pas router du Giga avec du Flow, de la QoS, du DPI, du loadbalancing, des règles de FW.... Pour 100€ ^_^
Bonjour à vous tous et merci bien pour ce tuto.
Peut-être que l'un d'entre vous a eu ce problème, mais je ne me sens pas de parcourir les 249 pages :-X
J'ai suivi le tuto pour la configuration en pppoe en retirant tout ce qui est téléphonie et TV dont je n'ai pas l'utilité en entreprise.
Nous avons 5 sites équipés de la FttH Orange + Edge Router Lite 3 en version 1.9.0 et tous ont le même problème : les téléchargements de fichiers de plus de quelques mégas (> à 5 Mo environ) plantent systématiquement. On a aussi des sessions TSE qui ont tendance à "freezer" obligeant à déconnecter/reconnecter la connexion bureau à distance, plusieurs fois par jour. Bref, une instabilité sur les flux continus.
Je vous colle mon fichier de conf (j'ai retiré les routes statiques et les VPN IPSec site-to-site), si quelqu'un a une solution...
Merci ;DCode: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Allow Packets from Internet to the router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.60.254/24
description LAN
duplex auto
speed auto
}
ethernet eth1 {
description INTERNET
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
mtu 1500
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password ****************
user-id fti/***********
}
}
}
ethernet eth2 {
duplex auto
speed auto
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name DHCP {
authoritative disable
subnet 192.168.60.0/24 {
default-router 192.168.60.254
dns-server 192.168.60.2
dns-server 192.168.0.250
lease 86400
start 192.168.60.40 {
stop 192.168.60.220
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description "Masquerading outgoing connexions"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user admin {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name admin
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
Bonjour :)
Je reviens vers mon problème.
J'ai essayé plusieurs trucs :
- Routeur Netgear derrière la livebox : c'est OK mais je ne peux monter qu'un seul VPN. Or il m'en faut 5.
- Downgrade du ERL3 en version 1.8.0 au lieu de 1.9.1. Le problème reste le même
Cela permet de confirmer que le problème vient bien de la conf de l'ERL3...
Si quelqu'un a une autre idée, je prends :D
show conntrack table ipv4 source 192.168.1.x:y
(ajuste l'ip et le port ou ne met pas de port) route add <ip publique> dev eth0
- placer une règle ARP pour que l'ERL simule l'IP de la passerelle orangeJe bloque sur un cas de figure qui n'a pas (encore) été évoqué ici.
Est-il possible de "bridger" ou "déléguer" en 1 pour 1 l'IP publique attribuée par le DHCP orange (ou plus généralement une IP WAN) ?
En gros c'est le comportement de la freebox en mode "bridge".
Il était également possible de le faire avec les routeurs SpeedTouch. (ST536 etc)
J'imagine qu'il faudrait sur l'ERL:
- placer une route de type (eth0 étant l'interface LAN)Code: [Sélectionner]route add <ip publique> dev eth0
- placer une règle ARP pour que l'ERL simule l'IP de la passerelle orange
Quelqu'un a-t-il déjà réussi une manipulation de ce genre ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.77.254/24
description LAN
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "DHCP Orange"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:48:x:x:x:x:x;" ( Mac Livebox Modem )
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:x:x:x:x:x:x:x:x:x:x;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
out {
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:40:x:x:x:x:x;" ( Mac decodeur TV )
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "TV - Multicast"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "QNAP SSH"
forward-to {
address 192.168.77.18
port 22
}
original-port 22
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.77.0/24 {
default-router 192.168.77.254
dns-server 192.168.77.254
lease 86400
start 192.168.77.10 {
stop 192.168.77.200
}
static-mapping Livebox {
ip-address 192.168.77.1
mac-address 48:x:x:x:x:x ( Mac Livebox Modem )
}
}
}
shared-network-name TV {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.10 {
stop 192.168.2.10
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface eth1.832 {
service custom-noip {
host-name xxxxxx.ddns.net
login xxxxxxx@gmail.com
password xxxx
protocol noip
}
web dyndns
}
}
forwarding {
cache-size 1000
listen-on eth0
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user xxxxxx {
authentication {
encrypted-password $6$8DVANxxxxxxxxxxx
plaintext-password ""
}
full-name xxxx
level admin
}
user xxxx {
authentication {
encrypted-password $6$20xxxxxxxxxxxxxxxNDYDD3Z.L7xEdXk521RE0
plaintext-password ""
}
full-name Admin
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
name-server 80.10.246.3
name-server 81.253.149.10
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
name-server 8.8.8.8
name-server 8.8.4.4
name-server 80.10.246.3
name-server 81.253.149.10
shared-network-name TV {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.3
dns-server 81.253.149.10
lease 86400
start 192.168.2.10 {
stop 192.168.2.10
}
}
root@ubnt:/config# dhclient -v eth1.832
Internet Systems Consortium DHCP Client 4.1-ESV-R7
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
can't create /var/db/dhclient.leases: No such file or directory
Listening on LPF/eth1.832/80:2a:a8:f1:17:75
Sending on LPF/eth1.832/80:2a:a8:f1:17:75
Sending on Socket/fallback
DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 6
DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 13
DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 13
No DHCPOFFERS received.
No working leases in persistent database - sleeping.
Là, évidemment, ça ne peut pas fonctionner. La façon dont tu lances dhclient depuis la CLI fait que le fichier de configuration dhclient (/var/run/dhclient_eth1_832.conf) généré à partir de la config du routeur n'est pas utilisé...Code: [Sélectionner]root@ubnt:/config# dhclient -v eth1.832
Configure
set service dns forwarding name-server 8.8.8.8
set service dns forwarding name-server 8.8.4.4
L'ERL inclut un cache DNS, tu passe bien chez google (Beurk) mais par ton ERL;D ;D
Edit: dans cette même fenêtre on peu les renseigner et ils sont à présent renseignés aussi dans l'interface réseau de mon iMac. Par contre j'en conclu
qu'il n'y à aucune interaction entre l'interface graphique et un Terminal ?? :(
Edit: Je viens de lire Livebox Pro... Es-tu certain qu'elle se connecte en DHCP et pas en PPPoE ? C'est un abonnement pro avec une IP fixe ? Je pose la question, car IP fixe = PPPoE obligatoire.
@keshav26:
au vue de ta config, je présume que ton décodeur TV est branché sur eth2 ?
deja:Code: [Sélectionner]name-server 8.8.8.8
name-server 8.8.4.4
name-server 80.10.246.3
name-server 81.253.149.10
met plutot que les DNS de Google.
et dans le DHCP pour eth2, met que les DNS Orange:Code: [Sélectionner]shared-network-name TV {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.3
dns-server 81.253.149.10
lease 86400
start 192.168.2.10 {
stop 192.168.2.10
}
}
parce que en l'état ton décodeur TV a 2 chances sur 4 de tomber sur une résolution DNS par Google au lieu d'Orange ce qui peut perturber la VoD et les services interactifs.
show dhcp client leases
interface : eth1.832
ip address : 90.116.XXX.YYY [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.116.160.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 86400
last update: Wed Mar 1 06:30:57 CET 2017
expiry : Thu Mar 02 06:30:54 CET 2017
reason : RENEW
interface : eth1.838
ip address : 10.138.XXX.YYY [Active]
subnet mask: 255.255.248.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Wed Mar 1 07:00:46 CET 2017
expiry : Thu Mar 02 10:26:26 CET 2017
reason : RENEW
Ca ressemble quand même énormèment à un renouvellement DNS qui échoue vu la périodicité. Quand tu dis la TV tout court, ça concerne aussi le direct ? Parce que si c'est le cas, c'est peut-être aussi igmpproxy qui crashe.
Quand le problème est présent, est-ce que tu pourrais nous copier le résultat de la commandeCode: [Sélectionner]show dhcp client leases
(Tu peux cacher l'adresse IP de la ligne "ip address"). Ca doit donner ça:Code: [Sélectionner]interface : eth1.832
ip address : 90.116.XXX.YYY [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.116.160.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 86400
last update: Wed Mar 1 06:30:57 CET 2017
expiry : Thu Mar 02 06:30:54 CET 2017
reason : RENEW
interface : eth1.838
ip address : 10.138.XXX.YYY [Active]
subnet mask: 255.255.248.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Wed Mar 1 07:00:46 CET 2017
expiry : Thu Mar 02 10:26:26 CET 2017
reason : RENEW
show dhcp client leases
Dans 48h c'est réglé comme une horloge de toute façon.restart igmp-proxy
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth0.66 {
role disabled
threshold 1
}
interface eth0.67 {
role disabled
threshold 1
}
interface eth0.68 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth0.69 {
role disabled
threshold 1
}
interface eth0.70 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
Ca ressemble quand même énormèment à un renouvellement DNS qui échoue vu la périodicité. Quand tu dis la TV tout court, ça concerne aussi le direct ? Parce que si c'est le cas, c'est peut-être aussi igmpproxy qui crashe.
Quand le problème est présent, est-ce que tu pourrais nous copier le résultat de la commandeCode: [Sélectionner]show dhcp client leases
(Tu peux cacher l'adresse IP de la ligne "ip address"). Ca doit donner ça:Code: [Sélectionner]interface : eth1.832
ip address : 90.116.XXX.YYY [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.116.160.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 86400
last update: Wed Mar 1 06:30:57 CET 2017
expiry : Thu Mar 02 06:30:54 CET 2017
reason : RENEW
interface : eth1.838
ip address : 10.138.XXX.YYY [Active]
subnet mask: 255.255.248.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Wed Mar 1 07:00:46 CET 2017
expiry : Thu Mar 02 10:26:26 CET 2017
reason : RENEW
root@ubnt:/home/admin# show dhcp client leases
interface : eth1.832
ip address : 90.116.YYY.ZZZ [Active]
subnet mask: 255.255.252.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.116.192.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 86400
last update: Wed Mar 1 06:26:31 CET 2017
expiry : Thu Mar 02 06:26:27 CET 2017
reason : BOUND
interface : eth1.838
ip address : 10.138.YYY.ZZZ [Active]
subnet mask: 255.255.248.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Wed Mar 1 06:26:08 CET 2017
expiry : Thu Mar 02 09:51:47 CET 2017
reason : BOUND
Bonjour à tous,
Il y a de ça un an ou plus, on avait discuté de l'opportunité de changer la clé USB des ERL pour en augmenter l'espace disque. Ce que l'on avait fait. Enfin, on avait surtout changé la clé USB, redimensionné la partition support, mais pour ma part, sans déplier la partition loop pour en augmenter la taille. Au bout du compte, le temps m'avait manqué pour terminer car la saison de grosse charge de travail était revenue.
Y-aurait-il dans l'assistance une bonne âme qui pourrait, après un reboot+ reset à froid de 10 secondes, soit après remise à l'origine de sa clé USB, en effectuer une copie dd pour la poster, sans aucune configuration ni rien ? Ca me permettrait de repartir d'une base propre. J'ai ressorti ma sauvegarde, mais elle a la même panne en fait.
Je pense que j'ai, durant les manipulations de l'an dernier, abîmé un peu structure d'un des fichiers stocké sur la clé, car quand je redémarre mon ER5 PoE il plante. Du coup, à moins de l'onduler, à la moindre coupure de courant, je dois me retaper une config from scratch. J'ai stocké tous les fichiers de configuration et je maîtriserais la manip dans le noir tant je l'ai faite de fois, mais si je pouvais repartir d'un dump propre, ce serait cool.
Au plaisir de vous lire.
L'ERL est il livré avec le minimum syndical ou arrive t'il à poil ;DAucune règle par défaut.
Donc sous entendu que tout rentre et sort :'(
show log tail
zoc,
J'ai fait un show dhcp client leases et j'ai remarqué quelques chose de bizarre voici le résultatCode: [Sélectionner]
root@ubnt:/home/admin# show dhcp client leases
interface : eth1.832
ip address : 90.116.YYY.ZZZ [Active]
subnet mask: 255.255.252.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.116.192.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 86400
last update: Wed Mar 1 06:26:31 CET 2017
expiry : Thu Mar 02 06:26:27 CET 2017
reason : BOUND
interface : eth1.838
ip address : 10.138.YYY.ZZZ [Active]
subnet mask: 255.255.248.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Wed Mar 1 06:26:08 CET 2017
expiry : Thu Mar 02 09:51:47 CET 2017
reason : BOUND
Chez moi dans le status de "reason" sont en "BOND" est ce que c'est normal?
C'est peut etre la source du problème? ::)
Merci
admin@ubnt:~$ show dhcp client leases
interface : eth1.832
ip address : 90.xxx.yyy.zzz [Active]
subnet mask: 255.255.252.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.116.192.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 86400
last update: Mon Mar 6 09:39:31 CET 2017
expiry : Tue Mar 07 09:39:27 CET 2017
reason : BOUND
interface : eth1.838
ip address : 10.xxx.yyy.zzz [Active]
subnet mask: 255.255.248.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Mon Mar 6 09:05:07 CET 2017
expiry : Tue Mar 07 12:30:46 CET 2017
reason : RENEW
Mar 6 09:39:24 ubnt miniupnpd[2144]: ioctl(s, SIOCGIFADDR, ...): Cannot assign
requested address
Mar 6 09:39:24 ubnt miniupnpd[2144]: Failed to get IP for interface eth1.832
Mar 6 09:39:24 ubnt miniupnpd[2144]: SendNATPMPPublicAddressChangeNotification:
cannot get public IP address, stopping
ethernet eth1 {
description "Arrivee Fibre WAN"
duplex auto
speed auto
vif 832 {
address dhcp
description "VLAN Internet Orange"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
out {
}
}
}
Ma recherche du jour ;)
Lors de son installation mon server c'est vu attribuer via le dhcp de l'ERL une ip mais pour une raison qui m'échappe il n'en change plus.
Comment peut on avoir un range d'ip allant de 192.168.1.38 à 192.168.1.55 alors que le server est en 192.168.1.24 ?
(http://img4.hostingpics.net/pics/771158DHCPServer.png) (https://www.hostingpics.net/viewer.php?id=771158DHCPServer.png)
(http://img4.hostingpics.net/pics/954032TrafficAnalysis.png) (https://www.hostingpics.net/viewer.php?id=954032TrafficAnalysis.png)
iface lo inet loopback
iface enp0s10 net dhcp
et cocher "Bridge" entre eth1 et eth2.Ce qui est une erreur, si le but est de mettre l'ERL sur une connexion fibre, car les bridges désactivent l'accélération matérielle et le débit s'en trouvera énormèment diminué. Derrière du xDSL ça n'a pas d'impact, ça devient problématique dés qu'on veut dépasser 200 Mb/s.
Ce qui est une erreur, si le but est de mettre l'ERL sur une connexion fibre, car les bridges désactivent l'accélération matérielle et le débit s'en trouvera énormèment diminué. Derrière du xDSL ça n'a pas d'impact, ça devient problématique dés qu'on veut dépasser 200 Mb/s.Oui mais la je n'est pas le choix si je veux pouvoir utiliser les deux ports et puis c'est aussi en attendant la fibre, là je suis toujours en xDSL.
Sinon, normal de ne pas avoir d'adresses sur les interfaces physiques:Je prend bonne note ;)
- eth0. est l'interface support pour PPPoE, pas besoin d'IP
- eth1 et eth2 sont bridgées, donc elles ne peuvent pas avoir d'IP, c'est le bridge (br0) qui porte l'IP
Donc si je te suis bien c'est le br0 qui distribue les ip pour les machines, donc question: est ce normal encore une fois que nous soyons sur "Manually devine IP address" et pas sur "Use DHCP" ?Br0 ne distribue rien du tout, c'est une interface :)
Br0 ne distribue rien du tout, c'est une interface :)Je viens de trouver en "image" ce que tu viens de dire. Ce n'est pas très simple à appréhender car tout est "éclaté" en faite :(
La configuration que tu nous montres indique que l'interface br0 a une IP fixe, ce qui est normal pour un routeur. Ensuite c'est le serveur DHCP qui écoute sur l'interface br0 qui attribue des IP aux postes clients.
Un bridge sur un ERL ? Malheureux...Temps que j'aurais pas compris comment créer une sorte de DMZ pour mon server en le plaçant sur eth2 j'ai pas le choix :-\
concrètement peuvent bien servir la présence de ces deux sous réseau?
Mes machines dans la DMZ ne peuvent établir aucune communication vers mon LAN, seules les connexions initiées depuis mon LAN ou le WAN sur une liste de port (pour le WEB et le mail) et à destination de machines bien précises sont autorisées.
Donc tu n'as aucune confiance en tes capacités de sysadmin ? Une machine sécurisée n'a aucune raison de ne plus l'être si tu y fais attention.Mes machines hébergent des applications (wordpress et nextcloud) dans lesquelles j'ai une confiance limitée malgrés toutes les promesses de leurs développeurs.
je devrai créer des routes entres eth1 (LAN) et eth2 (Server)Non, pas besoin de créer de routes. Par défaut (en l'absence de règles de firewall) le routeur route tout le traffic entre ses interfaces, même celui que tu ne veux pas.
J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles. Et la tu me dit tout le contraire.Le but d'un routeur, c'est de router entre différents réseaux. Donc par défaut (sans firewall), l'ERL route entre eth0, eth1 et eth2. Il faut arrêter de penser "routeur grand public", où tout est restreint par défaut.
Donc un client Plex en 192.168.1.34 (TV) pourra initier une connexion sur la partie server de Plex (Server) en 192.168.2.56 ?Oui. Seule l'autodiscovery du serveur (je ne sais pas si ca existe avec Plex, je ne l'utilise pas) ne fonctionnera pas, car le routeur ne route pas le broadcast/multicast entre ses interfaces. Il faudra donc explicitement configurer les clients avec l'adresse IP du serveur.
Tu entend quoi par "même celle que je ne veux pas"?J'entends que tu peux vouloir restreindre les connexions initiées depuis la DMZ vers le LAN. Par défaut, il n'y a aucune restriction.
@Zoc, y'a quelques choses qui m'échappe la. J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles. Et la tu me dit tout le contraire.
Donc un client Plex en 192.168.1.34 (TV) pourra initier une connexion sur la partie server de Plex (Server) en 192.168.2.56 ?
Quel est le rapport avec le "Remplacement de la Livebox par un routeur Ubiquiti Edgemax" ? :)
@Zoc, y'a quelques choses qui m'échappe la. J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles.
Tout à fait ! J'avais fait un post sur l'ERL sinon : https://lafibre.info/routeur/ubiquiti-edgerouter-liteSalut @Hugues tu peux remettre les illustrations sur ton post stp?
J'ai testé mon dhclient depuis (même si je ne suis toujours pas en DHCP), j'ai sniffé ce qui sortait de l'ERL et mes requêtes sortent bien en priorité 6 ;) ). Du coup j'ai aussi compilé un dibbler-client modifié pour IPv6.
Ce qu'il faut:
- pour le vif 832 de l'interface WAN, dans la config : egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
- remplacer /sbin/dhclient3 par celui joint (compressé au format tgz) à ce message (faire une sauvegarde de l'ancien au cas où...). S'assurer qu'il a les droits d'exécution.
- rebooter l'erl.
Merci pour toute les recherches, ton binaire est compile pour quelle ARCH ? Il ne passe pas sur mon "edgerouter x sfp"
Zoc l'avait posté ici :Il n'est pas tout à fait complet en pratique, car le RENEW passe par un autre chemin dans le code et par une socket qui n'est pas configurée avec la bonne priorité. Ca n'empêche pas le renouvellement du bail de se faire, mais au lieu de se produire au début de la période de renouvellement, il ne se produira qu'à la fin quand dhclient va repasser sur la méthode emplyée pour la requête initiale.
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg320099/#msg320099
Je l'utilise sans soucis, j'ai pas encore regardé si la version (vyatta-dhcp3-client_4.1-ESV-R7-ubnt7_mipsel.deb) a bougé en 1.9.1Non, c'est la même.
Vu que l'on peu aussi entrer FTI/ et Pass dans le Modem, y'a t'il un intérêt à lui laisser tout faire (sychro et initialisation) ?
Et laisser l'ERL "router" ;D
Edit: BAS ?
Même principe Hugues, comprendre ;)
Gnubyte, bridger signifie en faite que l'on désactive toute fonction de routage (NAT) aussi bien sûr un ModemÇa signifie pour un routeur, qu'on le transforme juste en bypass, il fait passer les paquets d'une interface à une autre, sans router.
que sur une Box?
Donc un Modem transforme le signal de la paire FT cuivre en trame Ethernet (rj45) ?
Merci pour ta réponse Kune.
En effet, c'est bien le cas. Cela fait un bout de temps que je l'avais branchée comme ceci. Je sais que cela n'est pas conforme mais si je branche la RJ sur le switch de la LB, la synchro ne fonctionne pas...
Si tu peux te passer du tel. Branche la livebox à travers son switch et bien-sûr désactivé le DHCP de la livebox pour laisser l'ERL attribuer les IPNon, j'ai besoin du téléphone. Par contre, même sans le téléphone, cela ne fonctionne pas mieux, pas de dhcp ni d'internet :-\
Nous sommes bien d'accord qu'avec le tout dernier firmware il n'y à aucune modification à apporter (script, etc..)?En PPPoE non, en DHCP si, systématiquement, et il n'y a aucune chance qu'on ait un jour un firmware qui marche sans modification (c'est trop spécifique à Orange pour que ce soit inclus dans un futur firmware).
Juste à configurer une nouvelle connexion? Par contre comment savoir si celle ci est DHCP/Vlan ou encore PPPoe ?Les 2 sont systématiquement supportés, mais PPPoE est voué à disparaitre (pas à court terme). Accessoirement, PPPoE est aussi dans un VLAN (835).
Et pour l'ERL en particulier, je suis prêt à parier que la configuration par l'interface graphique va flinguer la clé USB intégrée 10 fois plus vite qu'une configuration par le CLI. Pourquoi ? Parce qu'à chaque confirmation dans l'interface graphique, le routeur sauvegarde la configuration. Sachant que cette clé USB est le point faible de ce routeur...
Parfait pour la connexion SSH, au temps si mettre tout de suite :)
Par contre comment établie ton cette configuration? Car je suppose qu'elle doit être différente pour chacun?
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
configure
load config.orange.txt
Des trois fichiers tous sont à modifié ou seul celui nommé config.orange.txt pour s'adapter au besoin de chacun?Seul le fichier config.orange.txt est à adapter.
Il est spécifié que l'adresse Mac de la LiveBox doit être renseignée donc ce qui signifieL'adresse Mac n'est nécessaire que pour le client DHCP sur le VLAN 838, qui sert pour la VOD. Il est possible de ne pas configurer du tout le VLAN 838 et donc de ne pas avoir à rentrer d'adresse Mac.
que même si on l'utilise pas ou doit tout de même la conserver et payer une location pour rien?
Seul le fichier config.orange.txt est à adapter.Parfait, est ce qu'une sorte de tuto a était fait tout au long des 264 pages pour d'une part connaitre les commandes pour accéder à la configuration de
Maintenant, bonne chance pour arriver à ne pas louer la box (qui est sensée être nécessaire pour l'accès aux services selon les CGV).Je vous dirais ça le 6 Avril mais le forfait ET la location sont deux choses bien différentes donc je ne vois pas en quoi je serais obligé de la louer.
Parfait, est ce qu'une sorte de tuto a était fait tout au long des 264 pages pour d'une part connaitre les commandes pour accéder à la configuration deA ma connaissance, non. Mais j'ai donné ci-dessus le chemin complet de tous les fichiers à modifier.
l'ERL et d'une autre pour y trouver les fichiers à modifier?
Parfait, est ce qu'une sorte de tuto a était fait tout au long des 264 pages pour d'une part connaitre les commandes pour accéder à la configuration de
l'ERL et d'une autre pour y trouver les fichiers à modifier?
ssh ubnt@ipdurouteur
sudo chmod 755 /sbin/dhclient3
sudo chown root:root /sbin/dhclient3
sudo nano /chemin/du/fichier
E: Unable to locate package nano
@zoc : Tu n'a pas oublié le commit-save après le load ?Possible ;D
ubnt@router# set system package repository debian url http://ftp.us.debian.org/debian
[edit]
ubnt@router# set system package repository debian distribution wheezy
[edit]
ubnt@router# set system package repository debian components main
[edit]
ubnt@router# commit
[ system package repository debian ]
Adding new entry to /etc/apt/sources.list...
[edit]
ubnt@router# sudo apt-get update
Get:1 http://ftp.us.debian.org wheezy Release.gpg [2373 B]
Get:2 http://ftp.us.debian.org wheezy Release [191 kB]
Get:3 http://ftp.us.debian.org wheezy/main mipsel Packages [5698 kB]
Get:4 http://ftp.us.debian.org wheezy/main Translation-en [3846 kB]
Fetched 9738 kB in 37s (260 kB/s)
Reading package lists... Done
[edit]
ubnt@router# sudo apt-get install nano
Reading package lists... Done
Building dependency tree... Done
Suggested packages:
spell
The following NEW packages will be installed:
nano
0 upgraded, 1 newly installed, 0 to remove and 4 not upgraded.
Need to get 582 kB of archives.
After this operation, 1703 kB of additional disk space will be used.
Get:1 http://ftp.us.debian.org/debian/ wheezy/main nano mipsel 2.2.6-1+b1 [582 kB]
Fetched 582 kB in 0s (985 kB/s)
debconf: delaying package configuration, since apt-utils is not installed
Selecting previously unselected package nano.
(Reading database ... 33970 files and directories currently installed.)
Unpacking nano (from .../nano_2.2.6-1+b1_mipsel.deb) ...
Setting up nano (2.2.6-1+b1) ...
update-alternatives: using /bin/nano to provide /usr/bin/editor (editor) in auto
mode
update-alternatives: using /bin/nano to provide /usr/bin/pico (pico) in auto mode
[edit]
ubnt@router#
1- Avant que l'on y copie quoique ce soit le dossier /etc/dhcp3/dhclient-exit-hooks.d est vide, c'est normal?Chez moi il n'est pas vide:
root@gateway:/etc/dhcp3/dhclient-exit-hooks.d# ls -l
total 9
-rw-r--r-- 1 root root 1024 Jun 7 2016 debug
-rw-r--r-- 1 root root 0 Nov 15 10:00 ipsecd
-rw-r--r-- 1 root root 0 Oct 25 11:10 l2tpd
-rw-r--r-- 1 root root 1250 Jul 30 2016 ntp
-rw-r--r-- 1 root root 806 Jul 30 2016 ntpdate
-rw-r--r-- 1 root root 0 Oct 25 11:10 pptpd
-rwxr-xr-x 1 root root 1491 Jan 1 2015 rfc3442-classless-routes
-rwxr-xr-x 1 root root 1512 Oct 24 17:36 vyatta-dhclient-hook
2. Quelle est le chemin complet de /sbin/dhclient3? (il n'est pas à la racine en tout cas...).C'est le chemin complet...
root@gateway:~# ls -l /sbin/dhclient3
-rwxr-xr-x 1 root root 485672 Jun 7 2016 /sbin/dhclient3
3. Pour transférer les trois fichiers vers l'ERL vous utilisez la commande "cp"?scp en ce qui me concerne...
ubnt@ubnt:~$ ls -l /etc/dhcp3/dhclient-exit-hooks.d
total 5
-rw-r--r-- 1 root root 1024 Jun 7 2016 debug
-rw-r--r-- 1 root root 0 Nov 15 09:00 ipsecd
-rw-r--r-- 1 root root 0 Oct 25 09:10 l2tpd
-rw-r--r-- 1 root root 1250 Jul 29 2016 ntp
-rw-r--r-- 1 root root 806 Jul 29 2016 ntpdate
-rw-r--r-- 1 root root 0 Oct 25 09:10 pptpd
-rwxr-xr-x 1 root root 1512 Oct 24 15:36 vyatta-dhclient-hook
Moi j'utilise vi pour éditer les fichiers (souvenir de mes débuts en IUT informatique en 1992 sur terminaux UNIX en mode texte ::) )
Je pensais que la toute première commande ce devait être "configure" ce qui nous fait passer de "ubnt@ubnt:~$" à "ubnt@ubnt#". Le # indique que
nous sommes en "root" ou je me trompe? Car dans ce cas le fichier est vide pour moi...
renaud-PC renaud # ls -l /etc/dhcp/dhclient-exit-hooks.d/
total 20
lrwxrwxrwx 1 root root 8 déc. 9 19:36 debug -> ../debug
-rw-r--r-- 1 root root 1250 avril 8 2016 ntp
-rw-r--r-- 1 root root 806 avril 8 2016 ntpdate
-rw-r--r-- 1 root root 1756 avril 13 2016 rfc3442-classless-routes
-rw-r--r-- 1 root root 1117 oct. 4 21:43 timesyncd
-rwxr-xr-x 1 root root 1025 nov. 24 2015 zzz_avahi-autoipd
renaud@renaud-PC ~ $ ls -l /etc/dhcp/dhclient-exit-hooks.d/
total 20
lrwxrwxrwx 1 root root 8 déc. 9 19:36 debug -> ../debug
-rw-r--r-- 1 root root 1250 avril 8 2016 ntp
-rw-r--r-- 1 root root 806 avril 8 2016 ntpdate
-rw-r--r-- 1 root root 1756 avril 13 2016 rfc3442-classless-routes
-rw-r--r-- 1 root root 1117 oct. 4 21:43 timesyncd
-rwxr-xr-x 1 root root 1025 nov. 24 2015 zzz_avahi-autoipd
2- La commande (si toute fois sans est une...) "configure" est l'équivalent de "su" ou "sudo"? Car je vois que ça me fait passer de ça "ubnt@ubnt:/$" à ça "ubnt@ubnt#".Le shell du routeur n'est pas à proprement parler un shell classique (bash par exemple), mais un shell (vbash, v = vyatta) adapté au besoin. "configure" n'a rien en commun avec sudo (d'ailleurs on ne change pas d'utilisateur en l'utilisant), mais une commande qui fait passer le shell d'un mode "operationnel" où l'utilisateur peut exécuter des commandes pour connaitre l'état des différents systèmes du routeur vers un mode de "configuration" où il est possible d'entrer des commandes (set/delete/commit/save...) de configuration.
Bizarre que ce soit vide quand tu passes en root...Chez moi root ou pas root, configure ou pas configure, les fichiers présents dans ce dossier sont toujours les mêmes...
Non, ce boitier est fourni à tous les clients qui ne peuvent pas avoir d'ONT au format SFP, pour diverses raisons (si l'arrivée fibre est trop loin de la box par exemple), ainsi que les anciens clients (dont je fais partie).Il est donc soumis au titre de la location (3€/mois) tout comme la LB ou pas?
je préfère le rendre et acheter mon propre ONT, genre le TP-Link.Impossible de changer l'ONT par un autre, ou alors avec exactement le même modèle (sachant qu'il restera le problème de l'obtention du SLID pour sa configuration, donnée confidentielle). Sa mise à disposition est incluse dans le prix du forfait et ne fait pas partie des 3€ de location de la box.
Impossible de changer l'ONT par un autre, ou alors avec exactement le même modèle (sachant qu'il restera le problème de l'obtention du SLID pour sa configuration, donnée confidentielle).Exact, le technicien à connecté le Huawei à son ordinateur pour y entrée justement les données pour l'obtention du SLID.
Sa mise à disposition est incluse dans le prix du forfait et ne fait pas partie des 3€ de location de la box.C'est entre autre ce que je voulais savoir :)
Et je ne pense pas que TP-Link fasse des ONT. Si tu parles du MC220-L, ce n'est pas un ONT... c'est un convertisseur SFP <-> Ethernet dans lequel il est possible d'inserer un ONT au format SFP... Fourni par Orange (au même titre que le Huawei que tu as).Défaut de vocabulaire ;)
Accessoirement, oui on peut sauvegarder la conf, ...Tu fait ça de quelle manière? Depuis le Terminal je suppose ... ;)
L'Huawei n'étant pas en mesure de tenir le débit de 500MegaC'est entièrement faux...
Tu fait ça de quelle manière? Depuis le Terminal je suppose ... ;)C'est le seul truc que je fais avec l'interface WEB (bouton system en bas à gauche).
C'est entièrement faux...
(Voir mon avatar)
Me reste plus qu'a trouver deux point d'accès wifi digne de ce nom pour de tel débit mais la c'est du HS ;)
Merci @zoc pour ta config que j'ai adapté pour chez moi.Etrange, tu n'es pas le premier à avoir ce problème, voir https://lafibre.info/remplacer-livebox/perte-reguliere-dinternet-suite-a-passage-en-dhcp/24/ (avec une config qui n'est pas la mienne, mais très similaire).
J'ai eu une petite déconvenue.... la connexion s'est coupée.
J'ai shut down le port pour le relancer (ETH1) et aussi essayé de renew le dhcp mais rien ne fonctionnait.
J'ai du redémarrer l'ERL pour que ça reparte.
#!/bin/vbash
run=/opt/vyatta/bin/vyatta-op-cmd-wrapper
NEW_IP=`/sbin/ifconfig eth1.832 2>/dev/null | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}'`
if [ -z "$NEW_IP" ]; then
logger -t watchdog -p err "Interface eth1.832 down"
exit 0
fi
# The list of hosts to ping
PING_HOSTS="www.orange.fr www.google.com"
# Reading the default gateway
read _ _ GATEWAY _ < <(/sbin/ip -4 route list match 0/0)
# Pinging hosts, stopping at the first answer
for HOST in $PING_HOSTS; do
logger -t watchdog -p info "Pinging $HOST"
/bin/ping -c4 $HOST > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p warn "Failed pinging $HOST"
else
exit 0
fi
done
# If we are here, then nothing is pinging. Try
# the default gateway
/bin/ping -c4 $GATEWAY > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p err "Internet connection is broken"
$run renew dhcp interface eth1.832
$run renew dhcp interface eth1.838
service dibbler-client restart
fi
Etrange, tu n'es pas le premier à avoir ce problème, voir https://lafibre.info/remplacer-livebox/perte-reguliere-dinternet-suite-a-passage-en-dhcp/24/ (avec une config qui n'est pas la mienne, mais très similaire).
Personnellement je n'ai pas ce problème. Ceci dit, la configuration que j'ai donné n'est pas exactement la même que la mienne coté LAN (J'ai beaucoup de VLANs et j'utilise un firewall en mode zone au lieu du mode "interface"). Mais je suis parti de ma config que j'ai nettoyée pour obtenir la configuration basique dont j'ai donné le fichier. Au niveau des VLAN coté WAN notamment je pense avoir tout simplement recopié ma config mot pour mot (hormis mon identifiant Orange...)
ethernet eth2 {
description "VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description Voip
}
}
interface : eth1.832
ip address : 90.126.228.90 [Active]
subnet mask: 255.255.254.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.126.xxx.x
name server: 81.253.149.13 80.10.246.5
dhcp server: 80.10.247.48
lease time : 86400
last update: Fri Apr 28 08:37:51 CEST 2017
expiry : Sat Apr 29 08:37:46 CEST 2017
reason : BOUND
interface : eth1.838
ip address : 10.136.58.247 [Active]
subnet mask: 255.255.255.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Thu Apr 27 19:40:29 CEST 2017
expiry : Fri Apr 28 23:06:08 CEST 2017
reason : RENEW
Firewall pin holes
pkts bytes target prot opt in out source destination
1 47 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.86 udp dpt:18363
3 152 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.86 tcp dpt:18363
54 7398 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.64 udp dpt:52140
2 108 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.86 udp dpt:24524
3 168 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.86 tcp dpt:24524
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.75 udp dpt:5353
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.75 udp dpt:4500
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.81 udp dpt:48779
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.81 tcp dpt:48779
NAT port forwards
pkts bytes target prot opt in out source destination
15 900 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18156 to:192.168.0.250:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13497 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28159 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11946 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15015 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21049 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18300 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11360 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23725 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:27613 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19877 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18609 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19543 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10743 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11024 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29570 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21204 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15291 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10454 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22519 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25253 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20722 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10721 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20614 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25169 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10541 to:192.168.0.86:32400
5 300 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21328 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:16775 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11872 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12359 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13590 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22319 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13637 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13725 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14204 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20645 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15519 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19343 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26943 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:16360 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20724 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20257 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13654 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19587 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22399 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24393 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29042 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:16865 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:27379 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26472 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26340 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14877 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17433 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14049 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19192 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11588 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22034 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23270 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22895 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12976 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10323 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22774 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23153 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20824 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11339 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22315 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12134 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19608 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22703 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18074 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28253 to:192.168.0.86:32400
1 47 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:18363 to:192.168.0.86:18363
1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18363 to:192.168.0.86:18363
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22752 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21674 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18582 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22607 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19375 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:16055 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28338 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21826 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22073 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22152 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21077 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15510 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29087 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10457 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13639 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15952 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17011 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10217 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23370 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22081 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15430 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29586 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13267 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13017 to:192.168.0.86:32400
1 137 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:52140 to:192.168.0.64:52140
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26175 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18738 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22527 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12131 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12118 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:16134 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23137 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26969 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22590 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24543 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20224 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:14343 to:192.168.0.93:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12958 to:192.168.0.93:32400
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:24524 to:192.168.0.86:24524
1 56 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24524 to:192.168.0.86:24524
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19590 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23386 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12312 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:16641 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20956 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26495 to:192.168.0.86:32400
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11273 to:192.168.0.86:32400
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5353 to:192.168.0.75:5353
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500 to:192.168.0.75:4500
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:48779 to:192.168.0.81:48779
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:48779 to:192.168.0.81:48779
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4503 to:192.168.0.53:4500
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5356 to:192.168.0.53:5353
Apr 28 15:53:56 ubnt miniupnpd[1994]: addmasqueraderule() : chain MINIUPNPD-POSTROUTING not found
Apr 28 15:53:56 ubnt miniupnpd[1994]: add_redirect_rule2(): addmasqueraderule returned -1
Apr 28 15:53:56 ubnt miniupnpd[1994]: PCP MAP: failed to add mapping UDP 5356->192.168.0.53:5353 'PCP MAP 3ad4890bfd7bcbf74464789d'
Apr 28 16:08:54 ubnt miniupnpd[1994]: addmasqueraderule() : chain MINIUPNPD-POSTROUTING not found
Apr 28 16:08:54 ubnt miniupnpd[1994]: add_redirect_rule2(): addmasqueraderule returned -1
Apr 28 16:08:54 ubnt miniupnpd[1994]: PCP MAP: failed to add mapping UDP 4503->192.168.0.53:4500 'PCP MAP 3ad4890bfd7bcbf74464789d'
Apr 28 16:08:56 ubnt miniupnpd[1994]: addmasqueraderule() : chain MINIUPNPD-POSTROUTING not found
Apr 28 16:08:56 ubnt miniupnpd[1994]: add_redirect_rule2(): addmasqueraderule returned -1
Apr 28 16:08:56 ubnt miniupnpd[1994]: PCP MAP: failed to add mapping UDP 5356->192.168.0.53:5353 'PCP MAP 3ad4890bfd7bcbf74464789d'
Apr 28 16:23:54 ubnt miniupnpd[1994]: addmasqueraderule() : chain MINIUPNPD-POSTROUTING not found
Apr 28 16:23:54 ubnt miniupnpd[1994]: add_redirect_rule2(): addmasqueraderule returned -1
Apr 28 16:23:54 ubnt miniupnpd[1994]: PCP MAP: failed to add mapping UDP 4503->192.168.0.53:4500 'PCP MAP 3ad4890bfd7bcbf74464789d'
Apr 28 16:23:56 ubnt miniupnpd[1994]: addmasqueraderule() : chain MINIUPNPD-POSTROUTING not found
Apr 28 16:23:56 ubnt miniupnpd[1994]: add_redirect_rule2(): addmasqueraderule returned -1
Apr 28 16:23:56 ubnt miniupnpd[1994]: PCP MAP: failed to add mapping UDP 5356->192.168.0.53:5353 'PCP MAP 3ad4890bfd7bcbf74464789d'
En vous remerciant pour ces tutos fort utile quoique adressés à un public averti...
Bonjour,
Après achat d'un EdgeRouter PoE, j'ai réussi à mettre en place la configuration suivante :
DHCP avec ERL + TV (via ERL) + Livebox routeur pour Tel et Wifi
Livebox avec adresse ip 192.168.1.254
La box est connectée au port LAN de la livebox sur eth0, et eth2 renvoie sur le port wan de la box via un vlan pour la TV et le téléphone.
En passant par le wifi de la livebox, elle obtient bien une adresse ip sur la plage 192.168.0.X, sur le serveur DHCP du EdgeRouter.
Ma question :
Est-ce possible d’accéder à l'interface d'administration de la livebox dans cette configuration (pour monitorer le wifi par exemple).
En essayant d’accéder à http://192.168.1.254, cela ne fonctionne pas.
Probablement une table de routage à modifier??
Enfin, pour la redirection de port afin d'acceder à mon NAS à l'exterieur, comment dois-je m'y prendre sur le routeur pour faire la redirection? J'ai spécifié interface WAN eth1.832, interface LAN eth0, rentré l'adresse IP de mon NAS en fixe, mais il n'est pas accessible depuis l’extérieur.
En vous remerciant pour ces tutos fort utile quoique adressés à un public averti...
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description web
forward-to {
address 192.168.0.250
port 8080
}
original-port 8080
protocol tcp_udp
}
wan-interface eth1.832
}
admin@ubnt:/config$ show dhcp client leases
interface : eth1.832
ip address : 90.126.xx.xx [Active]
subnet mask: 255.255.254.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.126.xx.1
name server: 81.253.149.13 80.10.246.5
dhcp server: 80.10.247.48
lease time : 86400
last update: Wed May 3 07:44:30 CEST 2017
expiry : Thu May 04 07:44:25 CEST 2017
reason : BOUND
interface : eth1.838
ip address : 10.136.58.247 [Active]
subnet mask: 255.255.255.0
dhcp server: 192.168.3.254
lease time : 98742
last update: Wed May 3 00:05:46 CEST 2017
expiry : Thu May 04 03:31:26 CEST 2017
reason : RENEW
May 2 20:08:53 ubnt ntpd[7008]: ntpd exiting on signal 15
May 2 20:08:55 ubnt ntpd[26760]: ntpd 4.2.6p2@1.2194-o Mon Jan 23 08:22:26 UTC 2017 (1)
May 2 20:08:55 ubnt ntpd[26761]: proto: precision = 53.348 usec
May 2 20:08:57 ubnt ntpd[26761]: ntpd exiting on signal 15
May 2 20:08:58 ubnt dhclient: send_packet: Network is unreachable
May 2 20:08:58 ubnt dhclient: send_packet: please consult README file regarding broadcast address.
May 2 20:08:58 ubnt dhclient: dhclient.c:2164: Failed to send 313 byte long packet over fallback interface.
May 2 20:08:59 ubnt ntpd[26850]: ntpd 4.2.6p2@1.2194-o Mon Jan 23 08:22:26 UTC 2017 (1)
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:x:x:x:x:x:x:x:x:x:x:x;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
root@gateway:~$ sha1sum /sbin/dhclient3
38ad7c805a84ebb4397209c79cccc7ed0a3c49a7 /sbin/dhclient3
root@ubnt:/tmp# sha1sum dhclient3
37bc568bea6c563d2823602c4b892e57bf14b079 dhclient3
The USG WAN interface will be assigned an IPv6 address from DHCPv6, and the LAN will be assigned an IPv6 subnet from the ISP-provided Prefix Delegation (PD). This requires the user's ISP to have an IPv6 infrastructure as well as providing IPv6 to the user as a service, including with PD.
On the LAN side, SLAAC (Stateless Address Autoconfiguration) will be used. This enables autoconfiguration of IPv6 addresses on connected clients. Stateless autoconfiguration or SLAAC is where the host is assigned a 64-bit prefix, and then the last 64 bits of their address are obtained with help of the EUI-64 process, or obtained randomly for hosts with privacy-addressing enabled.
https://help.ubnt.com/hc/en-us/articles/115005868927-UniFi-How-to-Implement-IPv6-with-DHCPv6-and-Prefix-Delegation-on-USG
"interfaces": {
"ethernet": {
"eth0": {
"dhcpv6-pd": {
"pd": {
"0": {
"interface": {
"eth1": "''"
},
"prefix-length": "64"
}
},
"rapid-commit": "enable"
},
"firewall": {
"in": {
"ipv6-name": "wan_in-6"
},
"local": {
"ipv6-name": "wan_local-6"
}
}
},
"eth1": {
"ipv6": {
"dup-addr-detect-transmits": "1",
"router-advert": {
"cur-hop-limit": "64",
"link-mtu": "0",
"managed-flag": "true",
"max-interval": "600",
"other-config-flag": "false",
"prefix": {
"::/64": {
"autonomous-flag": "true",
"on-link-flag": "true",
"valid-lifetime": "2592000"
}
},
"reachable-time": "0",
"retrans-timer": "0",
"send-advert": "true"
The USG WAN interface will be assigned an IPv6 address from DHCPv6, and the LAN will be assigned an IPv6 subnet from the ISP-provided Prefix Delegation (PD). This requires the user's ISP to have an IPv6 infrastructure as well as providing IPv6 to the user as a service, including with PD.
Sur l'ERL, le client DHCP (wide-dhcpv6, oui ils n'utilisent pas isc-dhcpd pour IPv6) ne supporte tout simplement aucune option custom... Donc si c'est pareil sur l'USG, c'est mort...
oui si on peut mettre ces options dans le fichier json (y'a une doc sur ce fichier ?).
attention aussi:
Orange ne provisionne pas d'IPv6 coté WAN pour la livebox. Le lien IPv6 entre la livebox et l'infrastructure d'Orange se fait avec les adresses link-local IPv6 (fe80:...). (dans l'ERL avec EdgeOS c'est l'option "prefix-only" -> "set interfaces ethernet ethX dhcpv6-pd prefix-only" voir comment faire l'equivalent dans le .json).
La configuration de la route par défaut se fait par 'Router advertisement' (RA) et fournit une IPv6 link-local comme passerelle par défaut (fe80::ba0:bab en principe).
Il faut voir comment activer ceci dans l'USG.
les conditions a réunir sont donc:
- autoconf route par défaut coté WAN (RA)
- pas de configuration d'adresse IPv6 sur l'interface WAN
- configuration DHCPv6-PD pour obtenir le prefix /56. Envoyer les options 16/15/11.
- autoconf du /64 coté LAN apres réception du préfix.
- CoS 6 pour certains endroits
apres c'est peut-etre plus simple d'utiliser dibbler sur l'USG si on peut l'installer ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 10 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
poe {
output off
}
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:30:7C:B2:34:XXXXXXXXX; "
client-option "send user-class "+FSVDSL_livebox.Internet.s oftathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00: 00:66:74:69:2f:65:34:67:77:34:XXXXXXXXXXXX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp -rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:30:7C:B2:34:XXXXXXX; "
client-option "send user-class "\047FSVDSL_livebox.MLTV.so ftathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-ro utes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description Voip
}
}
ethernet eth3 {
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description essai
forward-to {
address 192.168.1.20
port 8080
}
original-port 8080
protocol tcp_udp
}
rule 2 {
description "bureau distance"
forward-to {
address 192.168.1.10
port 3389
}
original-port 3389
protocol tcp_udp
}
rule 3 {
description routeur
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 4 {
description Livebox
forward-to {
address 192.168.1.254
port 80
}
original-port 81
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
static {
interface-route 192.168.0.0/24 {
next-hop-interface vtun0 {
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.254
dns-server 8.8.8.8
lease 86400
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
static-mapping Livebox {
ip-address 192.168.2.1
mac-address 30:7C:B2:34:92:13
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00: 00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:XXXXXXXXX;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54: 6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:6 5:74:0;"
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user root {
authentication {
encrypted-password XXXXX
plaintext-password ""
}
full-name administrator
level admin
}
user ubnt {
authentication {
encrypted-password XXXXXXX
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
Bonsoir
Je viens de faire la même configuration que toi.
J'ai fixé l'adresse ip de la box en ip fixe (dans l'interface de la livebox) dans le même range que mon LAN.
Et j'y accède sans problème depuis le réseau.
Pour le forwarding de port:Code: [Sélectionner]port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description web
forward-to {
address 192.168.0.250
port 8080
}
original-port 8080
protocol tcp_udp
}
wan-interface eth1.832
}
A+
- J'ai modifié mes règles de firewall sur le vlan 838, pour autoriser les réponses DHCP (je ne vois toujours pas trop le rapport puisque c'est pas sur le même VLAN, mais bon...)
Depuis, j'ai bien des RENEW.
name ORANGE_LOCAL {
default-action drop
description ORANGE_LOCAL
rule 1 {
action accept
description ESTAB
log disable
protocol all
state {
established enable
related enable
}
}
rule 2 {
action drop
description INVAL
log disable
protocol all
state {
invalid enable
}
}
rule 100 {
action accept
description DHCP
destination {
port 68
}
log disable
protocol udp
}
rule 110 {
action accept
description IGMP
log disable
protocol igmp
}
rule 120 {
action accept
description "RTP TV"
destination {
port 8200,8202
}
log disable
protocol udp
}
manque de bol, c'est fibré mais pas cuivré :-\C'est plutôt une chance :).
Donc direction Free Fibre, histoire de pouvoir faire de l'autohébergement, mais manque de bol, Orange à l'exclusivité quelques mois.Pas le moins du monde, il n'y a aucune exclusivité, juste des FAIs qui ont fait ou pas les investissements nécessaires pour te proposer leurs offres.
C'est plutôt une chance :).
Pas le moins du monde, il n'y a aucune exclusivité, juste des FAIs qui ont fait ou pas les investissements nécessaires pour te proposer leurs offres.
Ah et pas de soucis pour l'autohébergement chez Orange ;).
Je parle de l'exclusivité temporaire (3 mois) donc impossible d'aller chez Free pendant encore quelques temps (bâtiment neuf, fibré par Orange qui ouvre aux autres FAIs après un lap de temps), mais si j'arrive à me passer de la livebox et foutre l'ERL3, j'vais peut être pas changer :P
Pour l'autohébergement, je pense aussi à mon serveur mail, chose à priori impossible chez Orange qui bloque à priori le port 25.
Je parle de l'exclusivité temporaire (3 mois) donc impossible d'aller chez Free pendant encore quelques temps (bâtiment neuf, fibré par Orange qui ouvre aux autres FAIs après un lap de temps), mais si j'arrive à me passer de la livebox et foutre l'ERL3, j'vais peut être pas changer :P
Pour l'autohébergement, je pense aussi à mon serveur mail, chose à priori impossible chez Orange qui bloque à priori le port 25.
Pas de période d'exclusivité comme l'a déjà dit Nico, c'est un gel commercial où personne ne peut proposer ses offres, le temps justement que les concurrents viennent s'installer s’ils ont envie. Décidèment cette croyance a la vie dure...
Pour contourner ça il faut mettre le SMTP d'Orange en relais. Ou monter un VPN.
C'est pas "une croyance", c'est simplement le discours que m'a tenu le mec de chez Free hein
Ben le gars de Free ment, ça n'existe purement et simplement pas, il y'a bien 3 mois de gel commercial, mais ça concerne aussi Orange.
C'est pas "une croyance", c'est simplement le discours que m'a tenu le mec de chez Free hein, surtout qu'il était prévu un rendez-vous commun entre Free et Orange qu'ils ont annulées à cause de ça et donc faillait que je relance la procédure d'inscription chez Free après le laps de temps, donc en attendant, j'ai pris Orange.
Après pour mon serveur mail, je ne veux justement pas "contourner" si je veux host mes serveurs chez moi, c'est pas pour setup leur relais dans mes confs ou foutre un vpn derrière, donc je vois si je reste ou pas chez Orange et en fonction de ça, je garderais ou pas mon dédié 8), mais si j'arrive déjà à me débarrasser de la livebox, je pense que je vais pas bouger et que je garderais mon dédié pour les mails et que je rapatrie le reste.
Bizarre que tu puisses souscrire avant les 3 mois... Sinon oui cette "exclusivité" est souvent tenue par les hotliner alors que c'est faux.
Gardes ton dédié pour les mails. Mis à part ça tout le reste peut-être auto-hébergé sans problème. Et pour remplacer la LB c'est vraiment pas compliqué les fichers de conf de l'ERL sont déjà tout pêt y'a plus qu'à mettre les infos perso.
Et si tu nous montait ton fichier de conf pour commencer ? Concernant la MAC de la box, il ne la faut que pour la partie TV (838) sur le 832 (le net) pas besoin. Point à ne pas négliger aussi c'est la Cos des paquets, si les requêtes DHCP ne passent pas en prio 6, pas de réponse possible. Tu as pensé à modifier le client DHCP par celui de zoc ?
Tu parles de ça -> https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg319883/#msg319883 ?
Exact
J'look demain à tête (un peu) reposé, j'vais vérif les autres fichiers à modif en plus du config pour être sur que je zap rien.
il était en 1.2, j'ai du me taper les MAJs intermédiairePas besoin, tu peux tres bien passer de la 1.2 à la dernière disponible directement... c'est ce que j'ai fait sur mes 2 ERL.
Pas besoin, tu peux tres bien passer de la 1.2 à la dernière disponible directement... c'est ce que j'ai fait sur mes 2 ERL.
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 10.73.73.0/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxxxx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:A0:1B:29:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 10.73.74.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description https
forward-to {
address 10.73.73.11
port 443
}
original-port 443
protocol tcp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 10.73.73.0/24 {
default-router 10.73.73.254
dns-server 10.73.73.254
domain-name home
lease 86400
ntp-server 10.73.73.254
start 10.73.73.2 {
stop 10.73.73.253
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 10.73.74.0/24 {
default-router 10.73.74.254
dns-server 10.73.74.254
lease 86400
ntp-server 10.73.74.254
start 10.73.74.100 {
stop 10.73.74.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user admin {
authentication {
encrypted-password xxxxxxxxxxxxxx
plaintext-password ""
}
full-name Admin
level admin
}
user root {
authentication {
encrypted-password xxxxxxxxxxxxxx.
plaintext-password ""
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action accept
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action accept
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:A0:1B:29:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:A0:1B:29:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 10.73.73.254/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxxxxxxxx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.1.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description https
forward-to {
address 10.73.73.11
port 443
}
original-port 443
protocol tcp
}
wan-interface eth1.832
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 10.73.73.0/24 {
default-router 10.73.73.254
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name home
lease 86400
start 10.73.73.2 {
stop 10.73.73.253
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 81.253.149.9
dns-server 80.10.246.136
domain-name orange.fr
lease 86400
start 192.168.1.30 {
stop 192.168.1.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxxxxxxxx;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp {
}
upnp2 {
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name ubnt
login {
user admin {
authentication {
encrypted-password xxxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name Admin
level admin
}
user root {
authentication {
encrypted-password xxxxxxxxxxxxxxxxx
plaintext-password ""
}
level admin
}
}
name-server 81.253.149.9
name-server 80.10.246.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding disable
pppoe disable
vlan disable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
Après quelques tests, il me reste encore un pb : buffering VoD UHD (provoquant des pauses, et reprise de la vidéo).
Avez-vous une piste pour ce nouveau, et je l'espère, dernier pb ?
Reproduit via mon LAN (à travers un switch avec plusieurs device). Et aussi en utilisant seulement le port Eth2 pour la TV.
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding disable
pppoe disable
vlan disable
}
ipv6 {
forwarding disable
}
}
mais c'est quoi l'intérêt d'avoir un routeur à la place de sa livebox?
Faut-il mettre vlan à enable ?Oui, et le forwarding aussi.
offload {
hwnat disable
ipsec disable
ipv4 {
forwarding enable
pppoe disable
vlan enable
}
ipv6 {
forwarding disable
}
}
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 10.73.73.254/24
description "eth0 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxxxxxxxxxx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "eth1.838 (VoD)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 10.73.74.1/24
description "eth2 LOCAL LAN TV"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description https
forward-to {
address 10.73.73.11
port 443
}
original-port 443
protocol tcp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 10.73.73.0/16 {
default-router 10.73.73.254
dns-server 10.73.73.254
ntp-server 10.73.73.254
domain-name home
lease 86400
start 10.73.73.2 {
stop 10.73.73.253
}
}
}
shared-network-name TV {
authoritative enable
subnet 10.73.74.0/24 {
default-router 10.73.74.1
dns-server 81.253.149.9
dns-server 80.10.246.136
lease 86400
start 10.73.74.30 {
stop 10.73.74.50
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user admin {
authentication {
encrypted-password xxxxxxx
plaintext-password ""
}
full-name Admin
level admin
}
user root {
authentication {
encrypted-password xxxxxxxx
plaintext-password ""
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_DECODEUR_TV
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
description switch
mtu 1500
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_DECODEUR_TV_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
disable-password-authentication
listen-address 192.168.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.1.4977347.170426.0359 */
ethernet eth3 {
description Livebox
duplex auto
speed auto
vif 832 {
address 192.168.3.254/24
description Voip
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.3.1
mac-address YY:YY:YY:YY:YY:YY
}
}
}
listen-on eth3
dans la conf dnsfirewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
switch switch0 {
address 192.168.2.1/24
description switch
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
vif 832 {
address 192.168.3.254/24
description Voip
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_DECODEUR_TV_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.3.1
mac-address YY:YY:YY:YY:YY:YY
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on switch0
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
disable-password-authentication
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.1.4977347.170426.0359 */
18:27:41.045259 b0:b2:8f:ca:39:c5 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 329: (tos 0x4, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 315)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from b0:b2:8f:ca:39:c5, length 287, xid 0x46c87703, secs 1, Flags [Broadcast] (0x8000)
Client-Ethernet-Address b0:b2:8f:ca:39:c5
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Lease-Time Option 51, length 4: 3600
Parameter-Request Option 55, length 12:
Subnet-Mask, Default-Gateway, Domain-Name-Server, LOG
Hostname, Domain-Name, BR, Static-Route
NTP, WWW, Classless-Static-Route, Option 125
User-Class Option 77, length 14:
instance#1: "PC_MLTV_WHD93", length 13
Vendor-Class Option 60, length 5: "sagem"
END Option 255, length 0
18:27:42.057346 b0:b2:8f:ca:39:c5 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 329: (tos 0x4, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 315)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from b0:b2:8f:ca:39:c5, length 287, xid 0x46c87703, secs 2, Flags [Broadcast] (0x8000)
Client-Ethernet-Address b0:b2:8f:ca:39:c5
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Lease-Time Option 51, length 4: 3600
Parameter-Request Option 55, length 12:
Subnet-Mask, Default-Gateway, Domain-Name-Server, LOG
Hostname, Domain-Name, BR, Static-Route
NTP, WWW, Classless-Static-Route, Option 125
User-Class Option 77, length 14:
instance#1: "PC_MLTV_WHD93", length 13
Vendor-Class Option 60, length 5: "sagem"
END Option 255, length 0
18:27:45.084488 b0:b2:8f:ca:39:c5 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 329: (tos 0x4, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 315)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from b0:b2:8f:ca:39:c5, length 287, xid 0x46c87703, secs 5, Flags [Broadcast] (0x8000)
Client-Ethernet-Address b0:b2:8f:ca:39:c5
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Lease-Time Option 51, length 4: 3600
Parameter-Request Option 55, length 12:
Subnet-Mask, Default-Gateway, Domain-Name-Server, LOG
Hostname, Domain-Name, BR, Static-Route
NTP, WWW, Classless-Static-Route, Option 125
User-Class Option 77, length 14:
instance#1: "PC_MLTV_WHD93", length 13
Vendor-Class Option 60, length 5: "sagem"
END Option 255, length 0
C'est comme si le routeur n'écoutait pas sur l'interface....Jun 24 18:19:54 ubnt dhcpd: /opt/vyatta/etc/dhcpd.conf line 41: unknown option dhcp.rfc3118-auth
Jun 24 18:19:54 ubnt dhcpd: #011#011option rfc3118-auth 00:
Jun 24 18:19:54 ubnt dhcpd: ^
Jun 24 18:19:54 ubnt dhcpd: /opt/vyatta/etc/dhcpd.conf line 42: unknown option dhcp.SIP
Jun 24 18:19:54 ubnt dhcpd: #011#011option SIP 0:
Jun 24 18:19:54 ubnt dhcpd: ^
Jun 24 18:19:54 ubnt dhcpd: WARNING: Host declarations are global. They are not limited to the scope you declared them in.
Jun 24 18:19:54 ubnt dhcpd: Configuration file errors encountered -- exiting
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
switch switch0 {
address 192.168.2.1/24
description switch
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
vif 832 {
address 192.168.3.254/24
description Voip
mtu 1500
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN_DECODEUR_TV_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.136
dns-server 81.253.149.6
domain-name orange.fr
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
static-mapping Livebox {
ip-address 192.168.3.1
mac-address YY:YY:YY:YY:YY:YY
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on switch0
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
disable-password-authentication
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.1.4977347.170426.0359 */
Problème résolu: il manquait les parametres globaux dans la conf service/dhcp-server:Code: [Sélectionner]global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
Oui, parce que au final ce n'est pas le même fichier de configuration qui est généré. La modification du script perl est nécessaire au bon fonctionnement du client DHCP. Les "global-parameters" sont nécessaires au fonctionnement du serveur DHCP.
Pour mon problème d'initialisation de la livebox.Bon a priori j'ai un prb avec mon ERLPoe car la requête DHCP de la livebox arrive bien au routeur via le vlan 832 (sur l'interface switch0) mais quand elle est forwardé a l'interface switch0.832 le checksum du paquet UDP est mauvais.
Est ce que monter une interface virtuelle taggé 832 avec le serveur dhcp en écoute dessus suffit ou il faut d'autre vlan ?
Y'a des gens qui sont passés en 1.9.1.x ? Tout marche, dhcp, ipv6, tv ?
Interconnecter eth0 et eth2, ça veut dire les bridger, et un bridge ça désactive aussi l'accélération matérielle.
Donc le plus simple c'est LAN+TV sur eth0, ONT sur eth1, et eth2 non utilisé, ou pour autre chose, une DMZ par exemple, ou la LB pour la téléphonie...
Chez moi j'ai:
ETH1: ONT
ETH0.66: LAN
ETH0.67: TVIP (mes décodeurs + 2 raspberry PI avec Kodi)
ETH0.68: VOIP (mes téléphones SIP + VM asterisk)
ETH0.69: réseau de management (accès SSH routeur et switchs)
ETH0.70: DMZ (serveurs mails et web exposés à l'extérieur)
ETH2: Normalement inutilisé mais écoute sur le port SSH pour accès de secours si plus rien d'autre ne marche ;D )
t'as config me semble le meilleur :)
J'ai retiré une fibre du PB vers la salle informatique, , donc prise ftth déplacé. (pas besoin de dire qu'un client n'a pas à faire ça, je suis technicien Ftth pour Orange)
De la salle informatique tiré un câble RJ45 CAT6 vers salon.
Comme ça pas besoin d'acheter un switch, du coup ça va être comme ça
ON - > ETH1 |Routeur|ETH0 -> switch 24 ports (salle informatique) -> Switch 16 ports Salon
J'ai utilisé la config de zoc
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg428992/#msg428992
il tourne à 52% CPU en moyenne et ram 15%, je c'est pas si c'est normal
edit : Le lendemain 2%
(https://img15.hostingpics.net/thumbs/mini_981326Capture.png) (https://www.hostingpics.net/viewer.php?id=981326Capture.png)
Vous avez un bon tuto pour ajouter l'ipv6 qui va avec la config de zoc ?
ton ONT est sur ETH0 ?
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
pourquoi sur le fichier /etc/dibbler/client.conf
tu mets 2 fois les identifiants ?Code: [Sélectionner]option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
Voici la configuration de base, sans Livebox (donc pas de téléphone), qui a les caractéristiques suivantes:
- Fonctionne en DHCP, IPv4 uniquement.
- ONT connecté à ETH1
- Réseau "DATA" connecté sur eth0
- Réseau dédié pour le(s) decodeur(s) TV sur eth2. Il est possible de les mettre sur eth0 également, dans ce cas il faut modifier la configuration d'igmp-proxy, en passant le role de eth2 à "disabled" et celui d'eth0 à "downstream"
- Adaptée au firmware 1.9.1. Ne fonctionnera pas sur les firmwares précédents.
Etapes:
- Remplacer /sbin/dhclient3 par la version liée à ce message, s'assurer que le propriétaire est root, groupe root, droits 755
- Copier le fichier rfc3442-classless-routes.sh dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d (et supprimer l'extension .sh qui a été rajoutée par le forum lors de l'upload) , s'assurer que le propriétaire est root, groupe root, droits 755
- Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl: Il faut rechercher la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n"; et rajouter juste au dessous $output .= "option rfc3118-auth code 90 = string;\n\n";. Ca doit donner ca:
Code: [Sélectionner]$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
Avant d'aller plus loin, il est temps de rebooter pour s'assurer que le routeur démarre toujours bien. Ensuite, éditer le fichier config.orange.txt joint. Attention, sous Windows n'utilisez pas le Bloc-Notes (Notepad), mais un éditeur capable de préserver les caractères de fin de ligne Unix, comme Notepad++ (gratuit):
- Remplacer les XX:XX... par votre identifiant "fti/xxxxxx" encodé en hexadécimal
- Remplacer les YY:YY:YY... par l'adresse mac de votre Livebox (pas le décodeur, le modem)
- Copier le fichier sur le routeur, remplacer la configuration existante à l'aide des commandes ci-dessous:
Code: [Sélectionner]configure
load config.orange.txt
Le routeur devrait redémarrer et la connexion s'effectuer.
Je n'en sais rien, je n'ai pas trop le temps de me pencher sur la question...
Le dhclient3 que je fournis est patché et compilé par moi-même à partir du package source vyatta-dhcp3_4.1-ESV-R7-ubnt8.tgz disponible dans l'archive des packages sous licences GPL utilisés par le firmware.
Si ce package n'a pas changé de version alors le binaire est toujours valable. S'il a changé de version, alors il est probable que l'ancien binaire continue de fonctionner, mais évidemment sans les améliorations/corrections qui pourraient avoir été apportées par Ubiquiti.
Personnellement je ne passerai pas à la version 1.9.7, trop peu de modifications qui m'intéressent par rapport à la 1.9.1, sachant que je n'ai même pas installé la 1.9.1.1. J'attends un firmware qui apportera le support d'IKEv2 (pour l'instant j'utilise un package non officiel pour ça, mais il est prévu un support officiel "bientôt").
Tout fonctionne en 1.9.7 avec le correctif dhcp3
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role disabled
threshold 1
}
}
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
enlève le disable-quickleaveil sert à quoi disable-quickleave
PS : UNMS fonctionne très bien du coupBof...
top - 01:33:41 up 2 days, 5:12, 2 users, load average: 1.28, 1.14, 1.06
Tasks: 78 total, 2 running, 76 sleeping, 0 stopped, 0 zombie
%Cpu(s): 31.5 us, 19.4 sy, 0.0 ni, 46.7 id, 0.0 wa, 0.0 hi, 2.3 si, 0.0 st
KiB Mem: 495516 total, 488404 used, 7112 free, 4740 buffers
KiB Swap: 0 total, 0 used, 0 free, 48248 cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2110 root 20 0 341m 339m 592 R 94.8 70.2 2992:30 miniupnpd
31074 root 20 0 3768 1432 1012 R 2.0 0.3 0:00.28 top
630 root 20 0 141m 6644 3716 S 1.6 1.3 15:07.94 ubnt-util
1961 www-data 20 0 38180 6224 4340 S 1.0 1.3 0:01.01 php-cgi
1962 www-data 20 0 38172 6164 4308 S 1.0 1.2 0:00.90 php-cgi
3 root 20 0 0 0 0 S 0.7 0.0 7:07.23 ksoftirqd/0
9 root 20 0 0 0 0 S 0.7 0.0 19:38.88 rcu_sched
235 root 20 0 0 0 0 S 0.3 0.0 3:35.01 kworker/0:1
31057 root 20 0 11748 3500 2924 S 0.3 0.7 0:00.61 sshd
1 root 20 0 2568 764 656 S 0.0 0.2 0:08.48 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
4 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0
5 root 0 -20 0 0 0 S 0.0 0.0 0:00.01 kworker/0:0H
6 root 20 0 0 0 0 S 0.0 0.0 0:13.61 kworker/u4:0
7 root rt 0 0 0 0 S 0.0 0.0 0:09.60 migration/0
8 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_bh
10 root rt 0 0 0 0 S 0.0 0.0 0:16.84 watchdog/0
11 root rt 0 0 0 0 S 0.0 0.0 0:05.62 watchdog/1
12 root rt 0 0 0 0 S 0.0 0.0 0:00.13 migration/1
13 root 20 0 0 0 0 S 0.0 0.0 0:10.65 ksoftirqd/1
14 root 20 0 0 0 0 S 0.0 0.0 0:00.03 kworker/1:0
15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/1:0H
16 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper
17 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns
115 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 writeback
117 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 bioset
119 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd
124 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
131 root 20 0 0 0 0 S 0.0 0.0 0:00.15 khubd
153 root 20 0 0 0 0 S 0.0 0.0 0:46.99 kworker/1:1
177 root 20 0 0 0 0 S 0.0 0.0 0:00.17 khungtaskd
178 root 20 0 0 0 0 S 0.0 0.0 0:01.18 kswapd0
179 root 20 0 0 0 0 S 0.0 0.0 0:00.00 fsnotify_mark
180 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 unionfs_siod
181 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 crypto
251 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 deferwq
254 root 20 0 0 0 0 S 0.0 0.0 0:00.00 scsi_eh_0
255 root 20 0 0 0 0 S 0.0 0.0 0:02.71 usb-storage
267 root 0 -20 0 0 0 S 0.0 0.0 0:00.99 kworker/1:1H
268 root 20 0 0 0 0 S 0.0 0.0 0:00.36 kjournald
269 root 0 -20 0 0 0 S 0.0 0.0 0:00.15 kworker/0:1H
273 root 0 -20 0 0 0 S 0.0 0.0 0:01.20 loop8
346 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 octeon-ethernet
535 root 20 0 1956 496 416 S 0.0 0.1 0:00.01 netplugd
542 root 20 0 1948 276 220 S 0.0 0.1 2:41.61 rngd
553 daemon 20 0 2700 324 208 S 0.0 0.1 0:00.00 atd
560 root 20 0 2968 932 768 S 0.0 0.2 0:01.57 cron
562 root 20 0 4492 1180 1000 S 0.0 0.2 0:23.02 ubnt-infctld
569 root 20 0 2760 312 204 S 0.0 0.1 0:20.88 ubnt-daemon
570 root 20 0 18324 2584 2248 S 0.0 0.5 0:15.14 ubnt-cfgd
581 root 20 0 7304 3696 1976 S 0.0 0.7 0:28.36 imi
584 root 20 0 7272 2916 1956 S 0.0 0.6 0:47.67 nsm
588 root 20 0 5964 2316 1600 S 0.0 0.5 1:07.41 ribd
633 root 20 0 18324 1644 1292 S 0.0 0.3 0:00.00 ubnt-cfgd
1227 root -51 0 0 0 0 S 0.0 0.0 0:00.00 irq/117-octeon-
1374 root 20 0 18324 1648 1296 S 0.0 0.3 0:00.01 ubnt-cfgd
Bof...Tu as bien saisie les credentials ?
(https://pix.milkywan.xyz/PnyRg52q.png)
Tu as bien saisie les credentials ?
Je pense que c'est du à une intervention d'Orange sur leur réseau, qui a du concerner un équipement IPv4 uniquement, et qui a eu pour conséquence la réinitialisation de leur anti-spoofing. Ca s'est résolu tout seul au renew DHCP suivant.Bonjour,
J'ai déjà eu le cas quelques fois (y compris lors d'interventions annoncées), et du coup j'ai un script exécuté toutes les 5 minutes qui effectue un ping vers différentes destinations et qui relance le client DHCP si aucune ne répond.
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
et la lb4 decodeur aurra aussi une ip du LAN?
Sinon pour moi vous avez une idée ?si je comprends bien je mets une ip du lan a la lb4 router et elle se debrouille avec la lb4 decoder si je le branche dessus.
Une idée ? Besoin de la conf j'imagine ?
firewall {
all-ping enable
broadcast-ping disable
group {
network-group NetworkSIPOVH {
description "Network SIP OVH"
network 91.121.129.0/24
}
port-group SIP {
description PortsSIP
port 5060
port 2427
port 5962
port 2424
port 30000-40000
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 21 {
action accept
description "Ping "
destination {
group {
}
}
log disable
protocol icmp
}
rule 22 {
action accept
description SIP
destination {
group {
port-group SIP
}
}
log enable
protocol udp
source {
group {
network-group NetworkSIPOVH
}
}
}
rule 23 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
rule 4 {
action accept
description "Ping outside"
destination {
group {
address-group ADDRv4_eth1.832
}
}
log disable
protocol icmp
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth <Replaced>;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 80.10.246.2
dns-server 212.99.2.8
dns-server 81.253.149.1
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth <Replaced>;"
subnet-parameters "option SIP <Replaced>;"
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface eth1 {
service custom-OVH {
host-name <Replaced>
login <Replaced>
password <Replaced>
protocol <Replaced>
server www.ovh.com
}
web dnspark
}
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp {
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
conntrack {
expect-table-size 2048
hash-size 32768
modules {
sip {
disable
enable-indirect-media
}
}
table-size 262144
}
domain-name FD-HOME
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password <Replaced>
}
full-name Ubiquity
level admin
}
}
name-server 80.10.246.2
name-server 212.99.2.8
name-server 81.253.149.1
ntp {
server fr.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
traffic-control {
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
Une idée ? Besoin de la conf j'imagine ?
Merci aux ames charitables :)
interfaces {
...
...
ethernet eth1 {
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
...
...
}
protocols {
igmp-proxy {
...
...
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
protocols {
igmp-proxy {
...
...
interface eth0 {
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
interfaces {
...
...
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
...
...
}
service {
dhcp-server {
disabled false
hostfile-update disable
...
...
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
use-dnsmasq disable
}
...
...
}
- Est-ce que le vif 840 doit impérativement utiliser l'IP 192.168.255.254 (lignes 106 à 110) ?Non, tu peux utiliser n’importe quelle adresse que tu n’utilises pas déjà sur ton réseau. En fait l’adresse sur le vif 840 ne sert à rien à part faire en sorte que igmpproxy soit content. Il n’y aura jamais aucun traffic avec cette adresse.
- Si je n'utilise pas ETH2 et que je fais passer TV/VOD sur ETH0 :Pas besoin de l’alt-subnet.
- Dans ce fichier de config, ETH2 utilise l'IP 192.168.2.1Oups, effectivement :)
mais si je comprends bien, le DHCP est activé sur cette interface ETH2. Vous confirmez qu'il y a bien "coquille" dans le "shared-network-name" et que ce service DHCP n'a rien à voir avec ETH1 ?
system {
...
task-scheduler {
task watchdog {
executable {
path /config/scripts/orange_watchdog.sh
}
interval 5m
}
}
...
}
J'ai repris la conf "officielle", amendé la mienne (viré le offload hwnat disable, mis le mss clamp, rajouté le igmp proxy et supprimé les sections traffic control & traffic-analysis).
Bref, a part les identifiants, je ne vois pas en quoi ma conf differe d'une qui marche :o :-\
firewall {
...
name WAN_IN {
...
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
rule 4 {
action accept
description "VPN: Allow L2TP"
destination {
port 500,1701,4500
}
log disable
protocol udp
}
rule 5 {
action accept
description "VPN: Allow ESP"
log disable
protocol 50
}
}
...
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name IKEV2_DHCP_Server {
authoritative disable
subnet 10.73.74.1/24 {
default-router 10.73.74.1
dns-server 10.73.74.1
lease 86400
start 10.73.74.230 {
stop 10.73.74.243
}
}
}
shared-network-name LAN_ETH0_DHCP {
...
}
vpn {
ipsec {
auto-firewall-nat-exclude enable
ipsec-interfaces {
interface eth1.832
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
remote-access {
authentication {
mode x509
}
client-ip-pool {
subnet 10.73.74.1/24
}
compatibility-mode enable
dns-servers {
server-1 80.10.246.3
server-2 81.253.149.10
}
ike-settings {
authentication {
mode x509
x509 {
ca-cert-file /config/auth/certs/rootCA/caCert.pem
local-id @vpn.mondomain.fr
remote-id "*@vpn.mondomain.fr"
remote-ca-cert-file /config/auth/certs/rootCA/caCert.pem
server-cert-file /config/auth/certs/strongswan/serverCert.pem
server-key-file /config/auth/certs/strongswan/serverKey.pem
server-key-type rsa
}
}
fragmentation disable
ike-lifetime 86400
operating-mode ikev2-mobike
}
inactivity 28800
outside-address 0.0.0.0
}
}
}
#!/bin/bash
ipsec pki --gen --type rsa --size 4096 --outform pem > Certs/CA/ca.key
ipsec pki --self --ca --lifetime 3650 --in Certs/CA/ca.key --type rsa --dn "C=FR, O=Zoc, CN=Zoc VPN CA" --outform pem > Certs/CA/ca.pem
chmod 600 Certs/CA/ca.key
#!/bin/bash
SERVER_NAME=$1
ipsec pki --gen --type rsa --size 2048 --outform pem > Certs/${SERVER_NAME}.key
chmod 600 Certs/${SERVER_NAME}.key
ipsec pki --pub --in Certs/${SERVER_NAME}.key --type rsa | ipsec pki --issue --lifetime 730 --cacert Certs/CA/ca.pem --cakey Certs/CA/ca.key --dn "C=FR, O=Zoc, CN=${SERVER_NAME}" --san ${SERVER_NAME} --flag serverAuth --flag ikeIntermediate --outform pem > Certs/${SERVER_NAME}.pem
#!/bin/bash
CLIENT_NAME=$1
ipsec pki --gen --type rsa --size 2048 --outform pem > Certs/${CLIENT_NAME}.key
chmod 600 Certs/${CLIENT_NAME}.key
ipsec pki --pub --in Certs/${CLIENT_NAME}.key --type rsa | ipsec pki --issue --lifetime 730 --cacert Certs/CA/ca.pem --cakey Certs/CA/ca.key --dn "C=FR, O=Zoc, CN=${CLIENT_NAME}" --san ${CLIENT_NAME} --outform pem > Certs/${CLIENT_NAME}.pem
openssl pkcs12 -in Certs/${CLIENT_NAME}.pem -inkey Certs/${CLIENT_NAME}.key -certfile Certs/CA/ca.pem -export -out Certs/${CLIENT_NAME}.p12
vpn {
ipsec {
auto-firewall-nat-exclude disable
ipsec-interfaces {
interface eth1.832
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
remote-access {
authentication {
mode x509
}
client-ip-pool {
subnet 192.168.200.0/24
}
compatibility-mode enable
dhcp-interface eth1.832
dns-servers {
server-1 192.168.66.11
server-2 192.168.66.12
}
esp-settings {
proposal 1 {
encryption aes128
hash sha1
}
}
ike-settings {
authentication {
mode x509
x509 {
ca-cert-file /config/auth/ca.pem
local-id home.zoc.me
remote-id "*.vpn.zoc.me"
remote-ca-cert-file /config/auth/ca.pem
server-cert-file /config/auth/home.zoc.me.pem
server-key-file /config/auth/home.zoc.me.key
server-key-type rsa
}
}
fragmentation enable
ike-lifetime 86400
operating-mode ikev2-mobike
proposal 1 {
encryption aes128
hash sha1
}
}
inactivity 28800
}
}
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.1/24
description LAN-ET-TV
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00:00:00:00:00:00:X.X.X.X.X.X.X;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:78:94:B4:E0:1E:D8;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.0.2/24
description LAN-WiFi
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
start 192.168.0.10 {
stop 192.168.0.50
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "Masquerading TV"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user root {
authentication {
encrypted-password $6$Nf4eZ1MX$Reqp9QtJgZpmhNBLks3P4GQcr6Ey5U/QlCO6tW/lgIGwgZfr8CkDOzMCBjgN/mGIFPANsdqYA6TdmPynbvpxz.
plaintext-password ""
}
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
~ barautromain$ ping google.fr
PING google.fr (192.168.0.3): 56 data bytes
64 bytes from 192.168.0.3: icmp_seq=0 ttl=64 time=1.943 ms
64 bytes from 192.168.0.3: icmp_seq=1 ttl=64 time=1.748 ms
64 bytes from 192.168.0.3: icmp_seq=2 ttl=64 time=1.764 ms
64 bytes from 192.168.0.3: icmp_seq=3 ttl=64 time=2.275 ms
64 bytes from 192.168.0.3: icmp_seq=4 ttl=64 time=1.479 ms
dig google.fr
; <<>> DiG 9.8.3-P1 <<>> google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40960
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;google.fr. IN A
;; ANSWER SECTION:
google.fr. 0 IN A 192.168.0.3
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description WAN
duplex auto
mtu 1540
speed auto
vif 35 {
description "Internet ONT"
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
mtu 1540
pppoe 0 {
default-route force
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1500
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
address dhcp
description "VOD ONT"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
mtu 1540
}
vif 839 {
address 192.168.3.1/24
description "TV ONT"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
mtu 1540
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface eth0.35 {
role disabled
threshold 1
}
interface eth0.838 {
role disabled
threshold 1
}
interface eth0.839 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface pppoe0 {
role disabled
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for WAN"
log disable
outbound-interface eth0.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
@vtimd
thank you for the reply.
Can you explain what shoud i change in my config? I am a basic user.
Thank you :)
ubnt@ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/u WAN
eth0.35 - u/u Internet ONT
eth0.838 - u/u VOD ONT
eth0.839 192.168.3.1/24 u/u TV ONT
eth1 192.168.2.1/24 u/u TV
eth2 192.168.1.1/24 u/u LAN
lo 127.0.0.1/8 u/u
::1/128
pppoe0 79.163.191.232 u/u
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
speed auto
vif 35 {
description "Internet ONT"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 839 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for Funbox"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
# set classless routes based on the format specified in RFC3442
# e.g.:
# new_rfc3442_classless_static_routes='24 192 168 10 192 168 1 1 8 10 10 17 66 41'
# specifies the routes:
# 192.168.10.0/24 via 192.168.1.1
# 10.0.0.0/8 via 10.10.17.66.41
RUN="yes"
if [ "$RUN" = "yes" ]; then
if [ -n "$new_rfc3442_classless_static_routes" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
set -- $new_rfc3442_classless_static_routes
while [ $# -gt 0 ]; do
net_length=$1
via_arg=''
case $net_length in
32|31|30|29|28|27|26|25)
net_address="${2}.${3}.${4}.${5}"
gateway="${6}.${7}.${8}.${9}"
shift 9
;;
24|23|22|21|20|19|18|17)
net_address="${2}.${3}.${4}.0"
gateway="${5}.${6}.${7}.${8}"
shift 8
;;
16|15|14|13|12|11|10|9)
net_address="${2}.${3}.0.0"
gateway="${4}.${5}.${6}.${7}"
shift 7
;;
8|7|6|5|4|3|2|1)
net_address="${2}.0.0.0"
gateway="${3}.${4}.${5}.${6}"
shift 6
;;
0) # default route
net_address="0.0.0.0"
gateway="${2}.${3}.${4}.${5}"
shift 5
;;
*) # error
return 1
;;
esac
# take care of link-local routes
if [ "${gateway}" != '0.0.0.0' ]; then
via_arg="via ${gateway}"
fi
# set route (ip detects host routes automatically)
ip -4 route add "${net_address}/${net_length}" \
${via_arg} dev "${interface}" >/dev/null 2>&1
done
fi
fi
fi
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
speed auto
vif 35 {
description "Internet ONT"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 839 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for Funbox"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
speed auto
vif 35 {
description "Internet ONT"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 839 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for Funbox"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "TV - multicast"
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
speed auto
vif 35 {
description "Internet ONT"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 839 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
disable-quickleave
interface br1 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for Funbox"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "TV - multicast"
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
description WAN
duplex auto
speed auto
vif 35 {
description "Internet ONT"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 839 {
bridge-group {
bridge br1
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0.839 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for Funbox"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
firewall {
all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description 80
destination {
address 192.168.1.1
port 80
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description 443
destination {
address 192.168.1.1
port 443
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description 81
destination {
address 192.168.1.39
port 81
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
}
interfaces {
ethernet eth0 {
description WAN
duplex auto
speed auto
vif 35 {
description "Internet ONT"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password XXXXX
user-id XXXXX@neostrada.pl
}
}
vif 838 {
address dhcp
description "VLAN TV VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagemcom";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\038FSVDSL_funbox2.MLTV.softathome.Funbox2";"
client-option "request subnet-mask,routers,rfc3442-classless-static-routes;"
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 839 {
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description TV
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description Linksys
forward-to {
address 192.168.1.39
port 81
}
original-port 81
protocol tcp_udp
}
rule 2 {
description Linksys_RTSP
forward-to {
address 192.168.1.39
port 10554
}
original-port 10554
protocol tcp_udp
}
rule 3 {
description Linksys_ONVIF
forward-to {
address 192.168.1.39
port 10080
}
original-port 10080
protocol tcp_udp
}
rule 4 {
description UBNT
forward-to {
address 192.168.1.1
port 80
}
original-port 80
protocol tcp_udp
}
rule 5 {
description UBNT2
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface eth0.35 {
role disabled
threshold 1
}
interface eth0.838 {
role disabled
threshold 1
}
interface eth0.839 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface pppoe0 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name FunBox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 194.204.152.34
dns-server 194.204.159.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Linksys13822 {
ip-address 192.168.1.39
mac-address XX:XX:XX:XX:XX:XX
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service custom-noip {
host-name XXXXX.ddns.net
login XXXXX
password XXXXX
protocol noip
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "masquerade for Funbox"
log disable
outbound-interface eth0.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan pppoe0
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
modules {
sip {
disable
}
}
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXX.
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository debian {
components main
distribution wheezy
password ""
url http://ftp.us.debian.org/debian
username ""
}
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Warsaw
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024004.171005.0403 */
vif 839 {
address 192.168.3.1/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
It doesn't make sense tough, the upstream interface doesn't need an ip address, this is theoretically not needed for igmp-proxy to send multicast flow to the tv decoder interface (the french config template doesn't have one for instance).It does absolutely make sense...
Ouais suis en 1.9.7h4 no pb :)
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
Comment as tu fais pour qu'ils te proposent une lb4 ? Je suis sur les anciens forfaits jet avec OCS et ils ne veulent pas me donner de lb4 dans que je change sur la nouvelle formule JET qui coute 15-20€ de plus que celle que j'ai. En fait j'aimerai juste le décodeur...
Sinon la cellule SAV me propose le remplace de ma Livebox 3 par une Livebox 4.
Merci infiniment pour ton retour, je galere avec ca depuis 1 mois. Ca marche !
Je suis preneur d'explications sur le fonctionnement de la qos, j'ai rien trouver sur leur doc ubiquity en ligne.
Sinon la cellule SAV me propose le remplace de ma Livebox 3 par une Livebox 4.Sauf si ça a changé récemment, le passage de la LB3 à la LB4 n'implique pas un changement d'ONT. Je suis passé de la LB3 à la LB4 il y a un an et j'ai conservé mon ONT externe... et mon ERL. Seuls les nouveaux clients directement en LB4 se voient proposé le SFP.
Si j'ai bien compris, je ne pourrais pas garder pour edge router lite vu qu'il n'a pas de port SFP. Vous confirmez ?
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
global-parameters "option Vendor-specific code 125 = string;"
subnet-parameters " option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-authentication code 90 = string;"
global-parameters "option SIP-servers code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.40
}
static-mapping Livebox {
ip-address 192.168.2.10
mac-address xx:xx:xx:xx:xx:xx
}
subnet-parameters "option rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP-servers 00:6:73:62:63:74:33:67:3:4d:53:52:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:00;"
subnet-parameters " option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
disable
duplex auto
speed auto
}
ethernet eth1 {
disable
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.2.1/24
description "eth2 TV DECODER LAN"
duplex auto
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
ethernet eth5 {
disable
duplex auto
speed auto
}
ethernet eth6 {
description "eth6 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth6.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth YY:YY....;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description "eth6.838 (VOD)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description "eth6.840 (TV)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth7 {
address 192.168.1.1/24
description "eth7 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth7
rule 1 {
description "Synology sDSM"
forward-to {
address 192.168.1.XX
port 5001
}
original-port 5001
protocol tcp_udp
}
wan-interface eth6.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth6 {
role disabled
threshold 1
}
interface eth6.832 {
role disabled
threshold 1
}
interface eth6.838 {
role disabled
threshold 1
}
interface eth6.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth7 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_TV_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.10
dns-server 80.10.246.3
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH7_DHCP {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.100 {
stop 192.168.1.254
}
static-mapping GigasetDECT {
ip-address 192.168.1.90
mac-address 7C:2F:80:XX:XX:XX
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface eth6.832 {
service dyndns {
#mes params DYnDNS pour "l'IP fixe"
}
}
}
forwarding {
cache-size 200
listen-on eth7
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth6.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth6.838
protocol all
type masquerade
}
}
snmp {
community ubnt {
authorization ro
}
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
}
system {
config-management {
commit-revisions 50
}
domain-name ILCO-HOME
host-name ubnt
login {
user root {
authentication {
encrypted-password VOTRE_PASS
plaintext-password ""
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password VOTRE_PASS
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 208.67.222.222
name-server 208.67.220.220
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.4.5024021.171005.0533 */
Etonnant qu'il n'apparaisse que maintenant, puisque c'est un bug bien connu en PPPoE, et apparemment toujours pas fixé sur la dernière version publique du firmware:
https://community.ubnt.com/t5/EdgeMAX/Corrupted-downloads-when-ipv4-pppoe-offload-enabled/td-p/1147576/page/4
Il semblerait par contre que la 1.10 en bêta, corrige le problème.
In 1.10.0-alpha.1 we changed the way how dhclient configuration is generated. Previously it was generated by vyatta-interfaces.pl script which you manually updated in order to add new options.
But now dhclient configuration is generated by /usr/sbin/ubnt-interface binary and it is not possible to update it without doing recompilation.
I will create enhancement request to add global dhclient option to configuration.
J'ai repris un dump de la transaction dhcp de la livebox avec WireShark, pour voir si il avait changer/ou ce qu'il manquait.
par curiosité :
a quoi sert global-parameters "option rfc3442-classless-static-routes code 121 = array of integer 8;" ?
Je ne l'ai pas dans ma config...
C'est une demande d'évolution (feature request). Pour l'instant pas de date de livraison donée.
Pour les utilisateurs d'un ERL avec Orange, ce sera un point bloquant pour passer à la 1.10.
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-authentication code 90 = string;"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
Dans la version 1.10.0-beta2 l'option est disponible :) ;D
Si vous avez besoin de changer la CoS pour le DHCP et vous avez un switch qui le fait, vous n'avez plus à changer le binaire dhclient.
La configuration que j'ai fait est (ONT branché à eth1):Code: [Sélectionner]set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-authentication code 90 = string;"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
set interfaces ethernet eth1 vif 832 dhcp-options client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
Pour la QoS pas de changement, c'est soit recompilation, ... , car ma solution à base de qemu est vraiment trop lente, presque une heure pour compiler le client dhcp...Et une éternité pour dibbler-client.
Jan 16 07:30:38 erl_router ntpd_intres[1951]: host name not found: 0.ubnt.pool.ntp.org
Jan 16 07:31:18 erl_router ntpd_intres[1951]: host name not found: 1.ubnt.pool.ntp.org
Jan 16 07:31:58 erl_router ntpd_intres[1951]: host name not found: 2.ubnt.pool.ntp.org
Jan 16 07:32:38 erl_router ntpd_intres[1951]: host name not found: 3.ubnt.pool.ntp.org
platipus@erl_router:~# ping 178.33.111.49
PING 178.33.111.49 (178.33.111.49) 56(84) bytes of data.
64 bytes from 178.33.111.49: icmp_req=1 ttl=54 time=5.31 ms
64 bytes from 178.33.111.49: icmp_req=2 ttl=54 time=5.12 ms
64 bytes from 178.33.111.49: icmp_req=3 ttl=54 time=5.18 ms
64 bytes from 178.33.111.49: icmp_req=4 ttl=54 time=5.27 ms
64 bytes from 178.33.111.49: icmp_req=5 ttl=54 time=5.19 ms
^C
--- 178.33.111.49 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 5.122/5.216/5.314/0.093 ms
platipus@erl_router:~# ping 0.ubnt.pool.ntp.org
ping: unknown host 0.ubnt.pool.ntp.org
platipus@erl_routeur:~# curl http://93.184.220.239
curl: (7) couldn't connect to host
pc:~ platipus$ curl http://93.184.220.239
<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<title>404 - Not Found</title>
</head>
<body>
<h1>404 - Not Found</h1>
</body>
</html>
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
par offload {
hwnat disable
}
}
car toutes les options mises dans la config ne sont pas compatible quand je commit.firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth4
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:64:71:XX:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
address 192.168.10.1/24
description "eth4 LOCAL LAN SWITCH"
duplex auto
speed auto
}
switch switch0 {
description LAN1
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth4
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name MRTSMTRTR001
login {
user gma {
authentication {
encrypted-password
}
level admin
}
user root {
authentication {
encrypted-password
plaintext-password ""
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.5.4884695.160608.1104 */
Quelle architecture CPU faut-il utiliser dans QEMU pour compiler pour l'ER-X et avec quel utilitaire (commande) ?Je ne connais pas le CPU de l'ER-X, donc je ne peux pas répondre à la question.
Si quelqu'un pouvait expliquer pourquoi j'ai dû positionner pour tout ça des règles sur WAN_LOCAL et surtout pourquoi sur les ports source ?Ca ne devrait pas être nécessaire si la première règle de la chaine WAN_LOCAL accepte les connexions dans l'état establised ou related. En tout cas moi je n'ai aucune règle matchant sur le port source...
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
Je ne connais pas le CPU de l'ER-X, donc je ne peux pas répondre à la question.
Ensuite, en pratique ce n'est pas aussi simple que tu sembles l'imaginer... Dans QEMU, il faut installer une Debian Wheezy (dans l'architecture correspondant au CPU du routeur), puis utiliser les outils classiques Debian pour compiler à partir du package source, après avoir appliqué mon patch. Il va donc falloir apprendre un minimum le fonctionnement des packages debian (ça prendrait des heures à expliquer ici)...
dhclient3 --help
bash: /sbin/dhclient3: cannot execute binary file
Ce qui est étrange c'est que ma VM QEMU a bien un CPU similaire au ER-X :cat /proc/cpuinfo
system type : MT7621
machine : Unknown
processor : 0
cpu model : MIPS 1004Kc V2.15
BogoMIPS : 583.68
VM QEMU : cat /proc/cpuinfo
system type : MIPS Malta
processor : 0
cpu model : MIPS 4Kc V0.0
BogoMIPS : 1142.78
Et voici la commande utilisée pour démarrer ma VM QEMU pour compiler : qemu-system-mips -m 256M -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=ttyS0" -nographic -vga none -serial mon:stdio -net nic,macaddr=02:00:00:b9:46:32 -net bridge,br=vmbr0 -cpu 4Kc
Auriez-vous des idées ? Merci d'avance :-)
MacBook-Pro-de-Gautier:dhclient Gautier$ file dhclient3
dhclient3: ELF 32-bit MSB executable, MIPS, MIPS-II version 1 (SYSV), dynamically linked, interpreter /lib/ld.so.1, for GNU/Linux 2.6.26, BuildID[sha1]=ebe0ff19e121238c2335dff8e7bd5bf3227a9e4b, with debug_info, not stripped
cat /etc/debian_version
7.11
ELF 32-bit LSB executable, MIPS, MIPS-II version 1 (SYSV), dynamically linked, interpreter /lib/ld.so.1, for GNU/Linux 2.6.26, BuildID[sha1]=4cac801f8873f395b6b09df0d41242fb7bea5a90, stripped
Le problème pourrait venir d’ou ? Comment faire pour le diagnostiquer ?Dans un premier temps je vérifierais que les requêtes DHCP sortent bien avec la priorité 6 (si ce n'est pas le cas, ça veut dire que ce n'est pas le bon client dhcp qui est utilisé ou que le paramètre egress-qos est mal configuré dans le VLAN 832).
Bonjour à tous,
Un grand bravo pour toutes ces informations, j'ai pu installer mon ERL du premier coup et tout marche ;) (sauf la fonction enregistrement à distance depuis l'application mobile Orange TV, si vous avez une idée à ce sujet d'ailleurs...).
Dans un premier temps je vérifierais que les requêtes DHCP sortent bien avec la priorité 6 (si ce n'est pas le cas, ça veut dire que ce n'est pas le bon client dhcp qui est utilisé ou que le paramètre egress-qos est mal configuré dans le VLAN 832).
Dans un second temps j'essayerais de sniffer la requête DHCP qui sort de la Livebox pour voir la différence avec celle envoyée par le routeur (notamment la chaine d'authentification qui est normalement plus longue que celle du tuto, sachant que la version courte marche chez moi et certains d'entre nous, mais que d'autres ont rapporté que ça ne marchait que s'ils dupliquaient entièrement la chaine de la LB).
Merci pour ta réponse rapide, comment vérifier facilement si les requêtes sortent bien avec la priorité 6 ?Dans les 2 cas il faut utiliser wireshark. L'idée c'est de brancher un cable en sortie de l'ERL (pour le 1er test) ou de la livebox (2eme test) vers un PC et d'enregistrer toutes les requêtes DHCP qui sortent (avec un filtre dans wireshark pour ne capturer que le DHCP). Ensuite dans le dump de wireshark il sera possible de voir la priorité des paquets ainsi que leur contenu.
Pour ta deuxième solution, je suppose qu'il faut utiliser wireshark ? Pourrais-tu me faire une brève explication du procédé ?
La livebox indique-t-elle qu'elle est toujours connectée à Internet ?Si non, commencez par appliquer ceci https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/msg507991/#msg507991
(le paramètre "subnet-parameters" doit aller dans le bloc "subnet"...).
C'est encore mieux expliqué ici: https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/msg514784/#msg514784
Ca devrait rendre le téléphone opérationnel. Pour la TV je ne vois pas le rapport mais il est possible que ça règle aussi le problème (mon décodeur n'étant pas branché sur la livebox je ne peux pas conclure, n'ayant pas le problème).
Bonjour. J’utilise la version 1.10-beta3 depuis 18 jours sans problèmes. La version finale delà 1.10 devra bien fonctionner. Il faut cependant modifier ton fichier de config.
En 1.10 dibbler-client ne fonctionne plus chez moi, il ne récupère plus le prefixe.J'ai du mal à voir comment c'est possible puisque c'est notre propre paquet, qui donc ne change pas d'une version du firmware à l'autre. Et en dessous c'est un kernel Linux classique.
En 1.10 dibbler-client ne fonctionne plus chez moi, il ne récupère plus le prefixe.
Par contre tout fonctionne si on connait son prefixe
fttmeh as tu l'ipv6 dans la beta3 ?
log de dibbler-client run
2018.02.01 21:48:09 Client Notice Parsing /etc/dibbler/client.conf config file...
2018.02.01 21:48:09 Client Debug PD: Following interfaces marked as downlink: none
2018.02.01 21:48:09 Client Debug Prefix delegation option (no parameters) found.
2018.02.01 21:48:09 Client Debug Will send option 16 (hex data, len11)
2018.02.01 21:48:09 Client Debug Will send option 15 (hex data, len45)
2018.02.01 21:48:09 Client Debug Will send option 11 (hex data, len22)
2018.02.01 21:48:09 Client Debug Will send option 11 (hex data, len22)
2018.02.01 21:48:09 Client Debug Parsing /etc/dibbler/client.conf done, result=0(success)
2018.02.01 21:48:09 Client Debug 1 interface(s) specified in /etc/dibbler/client.conf
2018.02.01 21:48:09 Client Info Interface eth1.832/12 configuration has been loaded.
2018.02.01 21:48:09 Client Debug DUID's value = 000:01:00:01:22:06:31:xx:xx:xx:xx:xx:xx:xx was loaded from client-duid file.
2018.02.01 21:48:09 Client Info My DUID is 00:01:00:01:22:06:31:xx:xx:xx:xx:xx:xx:xx.
2018.02.01 21:48:09 Client Info Loading old address database (client-AddrMgr.xml), using built-in routines.
2018.02.01 21:48:09 Client Info DB timestamp:1517518156, now()=1517518605, db is 449 second(s) old.
2018.02.01 21:48:09 Client Debug Auth: Replay detection value loaded 0
2018.02.01 21:48:09 Client Info All client's 00:01:00:01:22:06:31:xx:xx:xx:xx:xx:xx:xx leases are not valid.
2018.02.01 21:48:09 Client Debug Bind reuse enabled (multiple instances allowed).
2018.02.01 21:48:09 Client Notice Creating control (::) socket on the lo/1 interface.
2018.02.01 21:48:09 Client Notice Creating socket (addr=fe80::822a:a8ff:fe4c:375d) on eth1.832/12 interface.
2018.02.01 21:48:09 Client Debug Initialising link-state detection for interfaces: eth1.832/12
2018.02.01 21:48:09 Client Notice CONFIRM support compiled in.
2018.02.01 21:48:09 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/12 interface.
2018.02.01 21:48:09 Client Error AUTH: protocol 11320104 not supported yet.
2018.02.01 21:48:09 Client Debug Sending SOLICIT(opts:1 25 8 16 15 11 11 6 ) on eth1.832/12 to multicast.
2018.02.01 21:48:09 Client Debug Sleeping for 1 second(s).
2018.02.01 21:48:10 Client Info Processing msg (SOLICIT,transID=0xf9544b,opts: 1 25 8 16 15 11 11 6)
2018.02.01 21:48:10 Client Error AUTH: protocol 11320104 not supported yet.
2018.02.01 21:48:10 Client Debug Sending SOLICIT(opts:1 25 8 16 15 11 11 6 ) on eth1.832/12 to multicast.
2018.02.01 21:48:10 Client Debug Sleeping for 2 second(s).
2018.02.01 21:48:12 Client Info Processing msg (SOLICIT,transID=0xf9544b,opts: 1 25 8 16 15 11 11 6)
2018.02.01 21:48:12 Client Error AUTH: protocol 11320104 not supported yet.
2018.02.01 21:48:12 Client Debug Sending SOLICIT(opts:1 25 8 16 15 11 11 6 ) on eth1.832/12 to multicast.
2018.02.01 21:48:12 Client Debug Sleeping for 4 second(s).
2018.02.01 21:48:16 Client Info Processing msg (SOLICIT,transID=0xf9544b,opts: 1 25 8 16 15 11 11 6)
2018.02.01 21:48:16 Client Error AUTH: protocol 11320104 not supported yet.
2018.02.01 21:48:16 Client Debug Sending SOLICIT(opts:1 25 8 16 15 11 11 6 ) on eth1.832/12 to multicast.
2018.02.01 21:48:16 Client Debug Sleeping for 8 second(s).
2018.02.01 21:48:24 Client Info Processing msg (SOLICIT,transID=0xf9544b,opts: 1 25 8 16 15 11 11 6)
2018.02.01 21:48:24 Client Error AUTH: protocol 11320104 not supported yet.
2018.02.01 21:48:24 Client Debug Sending SOLICIT(opts:1 25 8 16 15 11 11 6 ) on eth1.832/12 to multicast.
2018.02.01 21:48:24 Client Debug Sleeping for 16 second(s).
2018.02.01 21:48:40 Client Info Processing msg (SOLICIT,transID=0xf9544b,opts: 1 25 8 16 15 11 11 6)
2018.02.01 21:48:40 Client Error AUTH: protocol 11320104 not supported yet.
2018.02.01 21:48:40 Client Debug Sending SOLICIT(opts:1 25 8 16 15 11 11 6 ) on eth1.832/12 to multicast.
2018.02.01 21:48:40 Client Debug Sleeping for 33 second(s).
Il faudrait vraiment que je trouve le temps de proposer un patch pour dhclient un peu plus évolué, avec la QoS configurable depuis le fichier de conf... Du coup comme ça on pourrait la changer avec le même mécanisme de "global-options"...
Ensuite il ne restera plus que le problème de l'IPv6. A un moment on leur avait suggéré de remplacer wide-dhcpv6 par dibbler, mais pour l'instant ça n'a pas l'air d'être leur priorité...
Si j'avais pu proposer un patch et qu'il avait été accepté ;D
Et en l'occurrence ce n'est pas le cas pour la 1.10 (j'ai commencé à travailler sur un patch un peu plus propre, avec une priorité paramétrable dans le fichier de config mais je n'ai pas eu le temps de finaliser).
Donc remplacement du dhclient3 et ajout du script pour les routes toujours nécessaires pour la 1.10. Le seuls changement est qu'elle rajoute une option "global-parameters" aux paramètres client DHCP, ce qui évite de devoir patcher vyatta-interfaces.pl (qui de toute façon n'est plus utilisé) donc le modifier ne marche plus.
Voici la configuration de base, sans Livebox (donc pas de téléphone), qui a les caractéristiques suivantes:
Fonctionne en DHCP, IPv4 uniquement.
ONT connecté à ETH1
Réseau "DATA" connecté sur eth0
Réseau dédié pour le(s) decodeur(s) TV sur eth2. Il est possible de les mettre sur eth0 également, dans ce cas il faut modifier la configuration d'igmp-proxy, en passant le role de eth2 à "disabled" et celui d'eth0 à "downstream"
Adaptée au firmware 1.9.1. Ne fonctionnera pas sur les firmwares précédents.
Etapes:
Remplacer /sbin/dhclient3 par la version liée à ce message, s'assurer que le propriétaire est root, groupe root, droits 755
Copier le fichier rfc3442-classless-routes.sh dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d (et supprimer l'extension .sh qui a été rajoutée par le forum lors de l'upload) , s'assurer que le propriétaire est root, groupe root, droits 755
Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl: Il faut rechercher la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n"; et rajouter juste au dessous $output .= "option rfc3118-auth code 90 = string;\n\n";. Ca doit donner ca:
Code: [Sélectionner]
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
Avant d'aller plus loin, il est temps de rebooter pour s'assurer que le routeur démarre toujours bien. Ensuite, éditer le fichier config.orange.txt joint. Attention, sous Windows n'utilisez pas le Bloc-Notes (Notepad), mais un éditeur capable de préserver les caractères de fin de ligne Unix, comme Notepad++ (gratuit):
Remplacer les XX:XX... par votre identifiant "fti/xxxxxx" encodé en hexadécimal
Remplacer les YY:YY:YY... par l'adresse mac de votre Livebox (pas le décodeur, le modem)
Copier le fichier sur le routeur, remplacer la configuration existante à l'aide des commandes ci-dessous:
Code: [Sélectionner]
configure
load config.orange.txt
Le routeur devrait redémarrer et la connexion s'effectuer.
penses-tu que de réécrire le tuto avec le firmware 1.10 serait pertinent ?J'ai déjà modifié il y a quelques jours le message référencé dans le premier message de ce sujet, afin de faire la différence entre un firmware pré 1.10 et 1.10 et suivants... La seule différence est qu'il ne faut plus patcher vyatta-interfaces.pl et à la place utiliser le paramètre "global-option" dans le fichier de config (ça fait donc un truc à patcher en moins).
release dhcp interface eth1.832
suivi d'unrenew dhcp interface eth1.832
...et j'ai perdu l'IPv4 que j'avais pourtant depuis presque un an.Je viens de tester le FW 1.10, tout semble fonctionner bien correctement.
Concernant les packages à remplacer :
- Ubiquiti ayant monté la version d'ISC DHCP vers 4.1-ESV-R8, j'ai recompilé le dhclient3 à partir des sources GPL et du patch de zoc. Je ne pense pas que ce soit fondamental cependant...
- le package dibbler-client utilisé précédemment fonctionne bien.
Deux remarques liées au DHCP :
- l'IPv6 n'a pas fonctionné directement, dibbler renvoyant une erreur au sujet d'une option AUTH non reconnue.
A mon sens c'est lié au DUID qui a changé lors de la réinstallation de dibbler, alors que le bail précédent était toujours en place.
- ce n'est pas lié au firmware 1.10, mais pour le première fois, j'ai tenté unCode: [Sélectionner]release dhcp interface eth1.832
suivi d'unCode: [Sélectionner]renew dhcp interface eth1.832
...et j'ai perdu l'IPv4 que j'avais pourtant depuis presque un an.
- Ubiquiti ayant monté la version d'ISC DHCP vers 4.1-ESV-R8, j'ai recompilé le dhclient3 à partir des sources GPL et du patch de zoc. Je ne pense pas que ce soit fondamental cependant...
Tu es parti sur ce tuto là que tu as mis à jour ? https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-security-release-v1-10-0/ba-p/2233263Il s'agit des release notes ?
Petite question qu'elle toolchain as tu utilisé pour compiler ?
Merci
liste paquets
apt-cache policy libc6
dpkg -l libc6
downgrade libc6
apt-get install libc6=2.13-38+deb7u10 libc-bin=2.13-38+deb7u10
installation packages
apt-get install build-essential libtool autoconf automake debhelper
po-debconf
sources
tar xf dibbler_1.0.1.orig.tar.gz
tar xf dibbler_1.0.1-1.debian.tar.gz
mv debian dibbler-1.0.1
cd dibbler-1.0.1
patch -p1 < ../prio.diff
build
dpkg-buildpackage -us -uc
remplacements binaires
/bin/TAR (pkg tar)
/bin/GZIP (pkg gzip)
/usr/bin/FIND (pkg findutils)
/usr/bin/DU (pkg coreutils)
patch dh-fixperms
chown “no dereference”
Il s'agit des release notes ?
J'utilise à quelques détails près la configuration Zoc du premier post,
ainsi que les ajouts IPv6 du fil :
https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax-configuration-ipv6/
4) CRL not accessibleSi vous avez des idées, je suis preneur.
Example - The CRL URL defined in the certificate attributes isn't resolveable or the CRL isn't accessible.
Resolution - The CRL URL must be resolveable and the CRL must be available. Update DNS so this CRL's FQDN will resolve correctly on the internet. Note: you should be able to browse to the URL defined in the cert attributes and pull down the CRL.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
group {
network-group PRIVATE_NETS {
network 192.168.0.0/16
network 172.16.0.0/12
network 10.0.0.0/8
}
}
modify balance {
rule 10 {
action modify
description "do NOT load balance lan to lan"
destination {
group {
network-group PRIVATE_NETS
}
}
modify {
table main
}
}
rule 20 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_pppoe0
}
}
modify {
table main
}
}
rule 30 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_pppoe1
}
}
modify {
table main
}
}
rule 70 {
action modify
modify {
lb-group AMG
}
}
}
options {
mss-clamp {
mss 1412
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
poe {
output off
}
vif 835 {
address dhcp
description "Fibre 1"
dhcp-options {
global-option "option rfc3118-authentication code 90 = string;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send vendor-class-identifier "sagem";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:77:75:68:79:6B:72:33;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password ahhahahahah
user-id fti/wuhykr3
}
}
}
ethernet eth1 {
duplex auto
speed auto
poe {
output off
}
vif 832 {
address dhcp
description "Fibre 2"
dhcp-options {
global-option "option rfc3118-authentication code 90 = string;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send vendor-class-identifier "sagem";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:64:61:62:36:36:66:77;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
pppoe 1 {
default-route auto
mtu 1492
name-server auto
password ahhahahahah
user-id fti/dab66fw
}
}
}
ethernet eth2 {
duplex auto
speed auto
poe {
output off
}
}
ethernet eth3 {
duplex auto
speed auto
poe {
output off
}
}
ethernet eth4 {
duplex auto
speed auto
poe {
output off
}
}
loopback lo {
}
switch switch0 {
address 192.168.10.1/24
description Local
firewall {
in {
modify balance
}
}
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
load-balance {
group AMG {
interface pppoe0 {
}
interface pppoe1 {
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
lease 86400
start 192.168.10.38 {
stop 192.168.10.243
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
https-port 443
}
nat {
rule 5000 {
outbound-interface pppoe0
type masquerade
description "masquerade for fibre 1"
}
rule 5002 {
outbound-interface pppoe1
type masquerade
description "masquerade for fibre 2"
}
}
ssh {
port 22
protocol-version v2
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose enable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $6$/xDffGzlxp$zls9.8vizLs9.Rp3sNvn18pXUTOYjTwar9Ni8vp3uR7UN/BtyEQ2fHtO2B7R6MZCr1Up62xswtBxdcvWPtFnN1
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.0.5056246.180125.1007 */
Bonjour chers experts,
J'ai configuré il y a un an un EdgeRouter Lite à la place d'une livebox pro fibre. J'essaie tant bien que mal depuis de nombreuses heures de configurer un EdgeRouter PoE (5) avec 2 fibres orange en load balancing.
Le firmware est le dernier (1.10). Je n'ai donc pas modifié le dhcpclient3, ni le fichier python (j'ai oublié son petit nom).
La fibre n°1 est sur eth0 - pppeo0, la fibre n°2 sur eth1 - pppeo1. Mon LAN est sur le switch0 (eth 2 / 3 / 4)
pppeo0 est bien connecté, et j'obtiens une IP sur eth0.
pppeo1 fait le mort, et eth1 n'a pas d'IP.
J'ai testé plein de choses, impossible d'avoir une IP sur eth1. (les identifiants sont bons et la ligne fonctionnelle, eth1 est la fibre actuellement utilisée sur le edge lite).
Je me suis basé sur la configuration donné par le wizard (load balancing)
Voici ma config.boot :Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
group {
network-group PRIVATE_NETS {
network 192.168.0.0/16
network 172.16.0.0/12
network 10.0.0.0/8
}
}
modify balance {
rule 10 {
action modify
description "do NOT load balance lan to lan"
destination {
group {
network-group PRIVATE_NETS
}
}
modify {
table main
}
}
rule 20 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_pppoe0
}
}
modify {
table main
}
}
rule 30 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_pppoe1
}
}
modify {
table main
}
}
rule 70 {
action modify
modify {
lb-group AMG
}
}
}
options {
mss-clamp {
mss 1412
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
poe {
output off
}
vif 835 {
address dhcp
description "Fibre 1"
dhcp-options {
global-option "option rfc3118-authentication code 90 = string;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send vendor-class-identifier "sagem";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:77:75:68:79:6B:72:33;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
pppoe 0 {
default-route auto
mtu 1492
name-server auto
password ahhahahahah
user-id fti/wuhykr3
}
}
}
ethernet eth1 {
duplex auto
speed auto
poe {
output off
}
vif 832 {
address dhcp
description "Fibre 2"
dhcp-options {
global-option "option rfc3118-authentication code 90 = string;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send vendor-class-identifier "sagem";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:64:61:62:36:36:66:77;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
pppoe 1 {
default-route auto
mtu 1492
name-server auto
password ahhahahahah
user-id fti/dab66fw
}
}
}
ethernet eth2 {
duplex auto
speed auto
poe {
output off
}
}
ethernet eth3 {
duplex auto
speed auto
poe {
output off
}
}
ethernet eth4 {
duplex auto
speed auto
poe {
output off
}
}
loopback lo {
}
switch switch0 {
address 192.168.10.1/24
description Local
firewall {
in {
modify balance
}
}
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
load-balance {
group AMG {
interface pppoe0 {
}
interface pppoe1 {
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
lease 86400
start 192.168.10.38 {
stop 192.168.10.243
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
https-port 443
}
nat {
rule 5000 {
outbound-interface pppoe0
type masquerade
description "masquerade for fibre 1"
}
rule 5002 {
outbound-interface pppoe1
type masquerade
description "masquerade for fibre 2"
}
}
ssh {
port 22
protocol-version v2
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose enable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $6$/xDffGzlxp$zls9.8vizLs9.Rp3sNvn18pXUTOYjTwar9Ni8vp3uR7UN/BtyEQ2fHtO2B7R6MZCr1Up62xswtBxdcvWPtFnN1
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.0.5056246.180125.1007 */
Si quelqu'un a une idée du pourquoi je ne choppe pas d'IP sur eth1, je suis preneur :-)
Merci bien,
Stéphane
Pour les firmwares antérieurs à 1.10, Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl:
A partir du firmware 1.10 exécution de la commande de configuration ci-dessous (en mode configure donc. Cela doit être fait après avoir chargé le fichier de configuration définitif (donc après l'étape 3 à la fin de ce message):Code: [Sélectionner]set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
dhcp-options {
global-option "option rfc3118-authentication code 90 = string;"
Perso je compile dans une VM QEMU trouvée ici: https://people.debian.org/~aurel32/qemu/mips/
Si tout fonctionnait bien hier, j'ai eu la surprise de découvrir le routeur ce matin dans un état de timeout.Question 1: Tu as le décodeur TV branché sur le LAN ?
Je le redémarre, j'arrive à obtenir le formulaire d'identification de l'interface puis il repart en timeout en voulant me logguer.
J'ai créé le rfc3442-classless-routes.sh, et remplacé le dhcpclient3 par celui recompilé pour la 1.9.1, puis redemarré.
J'ai toujours le même soucis : eth0 est connecté a internet et obtient une IP sur pppoe0, eth1 n'est pas connecté a internet, et pppoe1 reste déconnecté :'(
Unit number must be unique. Value validation failed interfaces ethernet eth1 vif 835 pppoe 1 default-route auto
Unit number must be unique. Value validation failed interfaces ethernet eth1 vif 835 pppoe 1 mtu 1492
Est-ce que les étapes pour l'IPV6 pour l'USG peuvent s'appliquer ?
https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/
Sachant que je suis dans cette conf :
ONT connecté à ETH1
Réseau "DATA" connecté sur eth0
Réseau dédié pour le(s) decodeur(s) TV sur eth2
Il s'agit de l'USG, c'est similaire mais pas identique.
Voici le guide qui correspond le plus à ce qui marche chez moi :
https://lafibre.info/remplacer-livebox/guide-erlite-3-ipv6-sans-livebox-dhcp/
Tu as beaucoup d'appareil connecté ?
Quand tu dis le routeur crash, tu n'as plus aucune connexion, sur les appareils relié via filaire aussi ?
Dans le paramétrage de ton SSID sur ton contrôleur, essaye d'activer "Block LAN to WLAN Multicast and Broadcast Data"
Ca va faire merder tout ce qui fonctionne en broadcast et multicast mais ça permettra d'avoir une piste le cas échéant.
Si ça règle ton problème, tu pourras ensuite le réactiver device par device (MAC) et voir lequel fout la grouille.
Et là, lors de mes tests, impossible d'obtenir une route par défaut sur eth0.832 (mon if wan). L'interface choppais bien une IP de ma plage DHCP, mais pas de passerelle par défaut.On parle bien d'IPv4 ?
Tu peux mettre les DNS que tu veux, mais les requêtes DNS du décodeur TV doivent quoi qu'il arrive être résolues par un serveur DNS d'Orange (pour la VOD notamment).
Il est toujours possible de créer un bail statique pour le décodeur dans la configuration du serveur DHCP et de spécifier des serveurs DNS spécifiques pour ce bail.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 21 {
action accept
description SoftetherVPN
destination {
port 4500,500
}
log disable
protocol udp
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:66:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.3.1/24
description LAN_ETH3
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH3_DHCP {
authoritative disable
subnet 192.168.3.0/24 {
default-router 192.168.3.1
dns-server 192.168.3.1
lease 86400
start 192.168.3.100 {
stop 192.168.3.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1 {
service dyndns {
host-name levisip.dyndns.org
login aaaaaaaaaa
password bbbbbbbbb
server members.dyndns.org
}
}
}
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user root {
authentication {
encrypted-password aaaaaaaaa
plaintext-password ""
}
level admin
}
user ubnt {
authentication {
encrypted-password aaaaaaaa
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
task-scheduler {
task watchdog {
executable {
path /config/scripts/orange_watchdog.sh
}
interval 5m
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.0.5056246.180125.1007 */
Je ne sais pas si c'est important mais moi j'ai ça :La LB4 envoie bien un "4" à cet endroit. J'ai personnellement aussi un 4.
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
Question con : t'as bien pris le dhclient pour la version 1.10 du firmware ?Ce n'est pas une obligation, j'utilise toujours celui de la 1.8.9 avec le firmware 1.10... Le client DHCP n'est pas en cause.
La LB4 envoie bien un "4" à cet endroit. J'ai personnellement aussi un 4.Ok, bon à savoir.
#
# autogenerated by vyatta-interfaces.pl on UTC Sat Jan 3 05:47:49 2015
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:66:XX:XX:XX:XX:XX:XX;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;
}
root@ubnt:/# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.1.1/24 u/D LAN_ETH0
eth1 - u/u ISP
eth1.832 - u/u ISP_DATA
eth1.838 10.194.188.184/27 u/u ISP_TV_VOD
eth1.840 192.168.255.254/32 u/u ISP_TV_STREAM
eth2 192.168.2.1/24 u/D LAN_ETH2
eth3 192.168.3.1/24 u/u LAN_ETH3
eth4 - u/D
lo 127.0.0.1/8 u/u
::1/128
switch0 - u/u
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 21 {
action accept
description SoftetherVPN
destination {
port 4500,500
}
log disable
protocol udp
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:66:32:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.3.1/24
description LAN_ETH3
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH3_DHCP {
authoritative disable
subnet 192.168.3.0/24 {
default-router 192.168.3.1
dns-server 192.168.3.1
lease 86400
start 192.168.3.100 {
stop 192.168.3.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1 {
service dyndns {
host-name xxxx.dyndns.org
login xxxx
password xxxx
server members.dyndns.org
}
}
}
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user root {
authentication {
encrypted-password xxxx
plaintext-password ""
}
level admin
}
user ubnt {
authentication {
encrypted-password xxxx
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
task-scheduler {
task watchdog {
executable {
path /config/scripts/orange_watchdog.sh
}
interval 5m
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.0.5056246.180125.1007 */
#
# autogenerated by vyatta-interfaces.pl on UTC Sat Jan 3 06:43:51 2015
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:66:32:xx:xx:xx:xx:xx;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;
}
root@ubnt:/sbin# find -links /sbin/dhclient3
find: invalid number '/sbin/dhclient3'
root@ubnt:/sbin# ls -i dhclient3
4320 dhclient3
root@ubnt:/sbin# find / -inum 4320
/sbin/dhclient3
/sys/devices/virtual/net/eth1.840/queues/tx-0
ubnt miniupnpd[2099]: could not open lease file: /var/log/upnp.leases
effectivement, le fichier n'existe pasubnt dhclient: /var/run/dhclient_eth1_838.conf line 13: 42383 exceeds max (255) for precision
et le fichier conf done#
# autogenerated by vyatta-interfaces.pl on Tue Mar 27 22:50:12 CEST 2018
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth1.838" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";
send dhcp-client-identifier 1:xxxxx:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;
request subnet-mask, routers, rfc3442-classless-static-routes;
}
send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;
mais le dernier n'a que 4 chiffresadmin@ubnt:~$ show configuration commands | grep "dhcp"
set interfaces ethernet eth1 vif 832 address dhcp
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send vendor-class-identifier "sagem";'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;'
set interfaces ethernet eth1 vif 832 dhcp-options default-route update
set interfaces ethernet eth1 vif 832 dhcp-options default-route-distance 210
set interfaces ethernet eth1 vif 832 dhcp-options name-server update
set interfaces ethernet eth1 vif 838 address dhcp
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send vendor-class-identifier "sagem";'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'request subnet-mask, routers, rfc3442-classless-static-routes;'
set interfaces ethernet eth1 vif 838 dhcp-options default-route no-update
set interfaces ethernet eth1 vif 838 dhcp-options default-route-distance 210
set interfaces ethernet eth1 vif 838 dhcp-options name-server update
set service dhcp-server disabled false
set service dhcp-server hostfile-update disable
set service dhcp-server shared-network-name LAN_ETH0_DHCP authoritative enable
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 default-router 192.168.1.1
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 dns-server 192.168.1.66
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 dns-server 8.8.8.8
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 lease 86400
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 ntp-server 192.168.1.1
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 start 192.168.1.100 stop 192.168.1.200
set service dhcp-server shared-network-name LAN_ETH2_DHCP authoritative enable
set service dhcp-server shared-network-name LAN_ETH2_DHCP subnet 192.168.2.0/24 default-router 192.168.2.1
set service dhcp-server shared-network-name LAN_ETH2_DHCP subnet 192.168.2.0/24 dns-server 192.168.2.1
set service dhcp-server shared-network-name LAN_ETH2_DHCP subnet 192.168.2.0/24 lease 86400
set service dhcp-server shared-network-name LAN_ETH2_DHCP subnet 192.168.2.0/24 ntp-server 192.168.2.1
set service dhcp-server shared-network-name LAN_ETH2_DHCP subnet 192.168.2.0/24 start 192.168.2.100 stop 192.168.2.200
set service dhcp-server use-dnsmasq disable
admin@ubnt:~$
Bonjour,Ouais clairement il y a une coquille dans ton fichier de configuration ;)
oui, c'est bien caCode: [Sélectionner]send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;
mais le dernier n'a que 4 chiffres
et voici le resultat:Code: [Sélectionner]admin@ubnt:~$ show configuration commands | grep "dhcp"
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;'
show ubnt offload
admin@ubnt:~$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: enabled
vlan : enabled
pppoe : disabled
gre : enabled
IPv6
forwarding: enabled
vlan : enabled
pppoe : disabled
IPSec offload module: loaded
Traffic Analysis :
export : enabled
dpi : disabled
version : 1.302
admin@ubnt:~$
D'ailleurs un de tes xxxxx doit être égal à 42383 (A58F en héxa).Perso je n'ai pas de A5:8F dans la Mac de ma LB4. Sagemcom a plusieurs préfixes (71), et dans mon cas c'est 24:7f:20 ;)
Perso je n'ai pas de A5:8F dans la Mac de ma LB4. Sagemcom a plusieurs préfixes (71), et dans mon cas c'est 24:7f:20 ;)Oué, nan, je disais ça parce que 42383 donne A58F en héxa. Mais je ne sais pas d'ou vient cette MAC.
Pour l'adresse MAC, sur la livebox... apres, que ce soit sur l'etiquette, la page web ou je ne sais quoi.....je ne me souvient plus
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send dhcp-client-identifier 1:24:7f:20:XX:YY:ZZ;'
D'ailleurs, question con : le client-identifier est-il nécessaire ?Le client identifier est nécessaire jusqu'à preuve du contraire pour que la VOD fonctionne dans une configuration SANS Livebox (eth1.838 doit avoir une adresse IP dans ce cas, et l'authentification semble se faire sur le client-identifier).
vif 838 {
address dhcp
description "ISP_TV_VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4
client-option "send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;"
par caclient-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
dans le fichier /config/config.bootconfigure
delete interfaces ethernet eth1 vif 838 dhcp-options client-option 'send dhcp-client-identifier 1:42383:xxxxx:xxxxx:xxxxx:xxxxx:xxxx;'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send dhcp-client-identifier 1:AA:BB:CC:XX:YY:ZZ;'
commit
save
Ca devrait même permettre d'éviter le reboot (la commande commit va regénérer le fichier de configuration et relancer le client dhcp)...C'est vrai. J'avais oublié, personnellement j'envoie (presque) tous les logs sur un serveur distant :Pca m'interesse aussi ca, je vois pas ou c'est, j'ai un syno qui est parfait pour ca.
system {
syslog {
global {
archive {
files 2
size 1024
}
facility all {
level err
}
facility protocols {
level warning
}
}
host 192.168.69.203 {
facility all {
level warning
}
}
}
}
Ce que ça fait:configure
set system syslog host 192.168.1.66 facility all level info
commit ; save
kernel 2a:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xxSRC=192.168.1.20 DST=114.215.137.159 LEN=68 TOS=0x00 PREC=0x00 TTL=63 ID=5769 DF PROTO=UDP SPT=21388 DPT=10240 LEN=48
GNU nano 2.2.6 File: /var/log/messages
Apr 3 06:26:33 ubnt ntpd_intres[1751]: host name not found: 3.ubnt.pool.ntp.org
Apr 3 06:26:36 ubnt ntpd[1749]: ntpd exiting on signal 15
Apr 3 06:26:38 ubnt ntpd[1958]: ntpd 4.2.6p2@1.2194-o Mon Jan 23 08:22:26 UTC 2017 (1)
Apr 3 06:26:38 ubnt ntpd[1959]: proto: precision = 47.529 usec
Apr 3 06:26:40 ubnt dhcpd: WARNING: Host declarations are global. They are not limited to the scope you declared them in.
Apr 3 06:26:40 ubnt dhcpd: Multiple interfaces match the same subnet: eth1.838 eth0
Apr 3 06:26:40 ubnt dhcpd: Multiple interfaces match the same shared network: eth1.838 eth0
Apr 3 06:26:40 ubnt dhcpd:
Apr 3 06:26:40 ubnt dhcpd: No subnet declaration for eth1.832 (90.55.XXX.XXX).
Apr 3 06:26:40 ubnt dhcpd: ** Ignoring requests on eth1.832. If this is not what
Apr 3 06:26:40 ubnt dhcpd: you want, please write a subnet declaration
Apr 3 06:26:40 ubnt dhcpd: in your dhcpd.conf file for the network segment
Apr 3 06:26:40 ubnt dhcpd: to which interface eth1.832 is attached. **
Apr 3 06:26:40 ubnt dhcpd:
Apr 3 06:26:40 ubnt dhcpd:
Apr 3 06:26:40 ubnt dhcpd: No subnet declaration for eth1.840 (192.168.255.254).
Apr 3 06:26:40 ubnt dhcpd: ** Ignoring requests on eth1.840. If this is not what
Apr 3 06:26:40 ubnt dhcpd: you want, please write a subnet declaration
Apr 3 06:26:40 ubnt dhcpd: in your dhcpd.conf file for the network segment
Apr 3 06:26:40 ubnt dhcpd: to which interface eth1.840 is attached. **
Apr 3 06:26:40 ubnt dhcpd:
Apr 4 04:33:48 ubnt miniupnpd[2123]: could not open lease file: /var/log/upnp.leases
Apr 4 04:33:48 ubnt miniupnpd[2123]: HTTP listening on port 34651
Apr 4 04:33:48 ubnt miniupnpd[2123]: Listening for NAT-PMP/PCP traffic on port 5351
Apr 4 04:33:51 ubnt radvd[2176]: no auto-selected prefix on interface eth0, disabling advertisements
Apr 4 04:34:01 ubnt radvd[2177]: exiting, 1 sigterm(s) received
Apr 4 04:34:01 ubnt radvd[2178]: Exiting, privsep_read_loop had readn return 0 bytes
Apr 4 04:35:48 ubnt miniupnpd[2123]: HTTP Connection from 10.1.1.54 closed unexpectedly
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description webserver
destination {
address XXXXXXXXX/::ffff:ffff:ffff:ffff
port 21,20,80,443,9090,9999
}
log disable
protocol tcp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name LAN_IN {
default-action accept
description "LAN to Internal"
rule 10 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "Internal to WAN"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 10.1.1.1/8
description LAN_ETH0
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:PRIVE;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 10.2.1.1/24
description LAN_ETH2
disable
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
original-port 5555
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 10.0.0.0/8 {
default-router 10.1.1.1
dns-server 10.1.1.1
lease 86400
ntp-server 10.1.1.1
start 10.1.1.50 {
stop 10.1.1.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 81.253.149.2
name-server 80.10.246.132
}
}
gui {
http-port 80
https-port 443
listen-address 10.1.1.1
listen-address 10.2.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 10.1.1.1
listen-address 10.2.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://ftp2.fr.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.1.4977347.170426.0359 */
configure
set interfaces ethernet eth1 vif 832 dhcp-options global-option 'option rfc3118-auth code 90 = string;'
commit
save
exit
Bon déjà avec un firmware 1.10.x, patcher vyatta-interfaces.pl ne fonctionne plus (et d'ailleurs tu n'en parles pas, donc on ne sait pas si tu l'as fait ou pas). Ce patch est remplacé par un paramètre dans le fichier de configuration que manifestement tu n'as pas (tout est expliqué dans mon message dont le lien se trouve sur la première page de ce sujet...).
Donc:Code: [Sélectionner]configure
set interfaces ethernet eth1 vif 832 dhcp-options global-option 'option rfc3118-auth code 90 = string;'
commit
save
exit
suivi d'un reboot devrait déjà régler pas mal de problèmes...
Edit: Je viens de relire, tu as bien exécuté la commande, mais évidemment après tu l'as écrasée après en remplaçant le fichier de config (la commande load)... Accessoirement tu n'as pas de bloc de configuration pour l'interface eth0: C'est obligatoire. Si tu ne veux pas utiliser eth0 il faut quand même laisser le bloc mais mettre l'interface disabled.
Le plus étrange dans tout ça, c'est que tu perdes la main sur le routeur.
Voilà qui est mystérieux...
T'as pas de câble console juste pour voir ce qui cloche ?
Code: [Sélectionner]system {
syslog {
global {
archive {
files 2
size 1024
}
facility all {
level err
}
facility protocols {
level warning
}
}
host IP.du.sy.no {
facility all {
level warning
}
}
}
}
name PROTEC_LAN {
default-action accept
description "Restrict Internet access for IP/MAC"
enable-default-log
rule 1 {
action drop
description "Bloc packets from MAC"
log disable
source {
mac-address xx:xx:xx:xx:xx:xx
}
state {
new enable
}
}
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
modify WAN_POLICY {
rule 10 {
action modify
modify {
lb-group WAN_FAILOVER
}
}
}
name WAN_IN {
default-action drop
description "packets from internet to LAN"
enable-default-log
rule 10 {
action accept
description "allow established sessions"
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 25 {
action accept
description "Allow ICMP"
protocol icmp
state {
established enable
related enable
}
}
rule 100 {
action drop
description "drop invalid state"
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from internet to the router"
enable-default-log
rule 10 {
action accept
description "allow established sessions"
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action accept
description "Allow ICMP"
log disable
protocol icmp
}
rule 30 {
action drop
description "drop invalid state"
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description OFR
duplex auto
speed auto
vif 832 {
address dhcp
description OFR_NET
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description OFR_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description OFR_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
ethernet eth1 {
address dhcp
description SFR
dhcp-options {
client-option "send vendor-class-identifier "neufbox_NB6V-FXC-r0_NB6V-MAIN-R3.5.8_NB6V-XDSL-A2pv6F038m";"
default-route update
default-route-distance 210
name-server no-update
}
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
}
ethernet eth2 {
address 192.168.2.253/24
description LAN
duplex auto
firewall {
in {
modify WAN_POLICY
}
}
speed auto
}
loopback lo {
}
}
load-balance {
group WAN_FAILOVER {
interface eth0.832 {
route-test {
initial-delay 60
interval 10
type {
ping {
target 8.8.8.8
}
}
}
}
interface eth1 {
failover-only
route-test {
initial-delay 60
interval 10
type {
ping {
target 8.8.8.8
}
}
}
}
lb-local disable
lb-local-metric-change enable
}
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth0.832 {
role disabled
threshold 1
}
interface eth0.838 {
role disabled
threshold 1
}
interface eth0.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name dhcp_lan {
authoritative enable
subnet 192.168.2.0/24 {
bootfile-server 192.168.2.100
default-router 192.168.2.253
dns-server 192.168.2.253
lease 86400
ntp-server 192.168.2.253
start 192.168.2.10 {
stop 192.168.2.30
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth2
name-server 81.253.149.2
name-server 80.10.246.132
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description "Masquerade LAN to OFR NET"
log disable
outbound-interface eth0.832
protocol all
type masquerade
}
rule 5001 {
description "Masquerade LAN to OFR VOD"
log disable
outbound-interface eth0.838
protocol all
type masquerade
}
rule 5002 {
description "Masquerade LAN to SFR"
log disable
outbound-interface eth1
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
Houla !
Je te déconseille plus que vivement d'essayer de présumé des changement d'ip lorsqu'on est client DHCP.
En effet, si tu sais (à peu près) quand et comment ton client va demander un renouvellement, tu n'as AUCUN contrôle sur ce que fait le serveur.
A mon sens, la bonne méthode, c'est d'utiliser un truc genre DynHost (chez OVH par exemple) pour "suivre" les changement d'IP de ton WAN.
@ Nexius2 et all, comment avez-vous coupé "les logs pour cette règle et passé le niveau sur warning pour ce host"?
konki
ubnt@ubnt:~$ cat /var/run/dhclient_eth1_832.conf
#
# autogenerated by vyatta-interfaces.pl on UTC Fri Apr 27 19:03:57 2018
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;
}
Apr 27 21:16:58 ubnt kernel: [WAN_LOCAL-default-D]IN=eth1.832 OUT= MAC= SRC=192.168.5.25 DST=255.255.255.255 LEN=32 TOS=0x00 PREC=0x00 TTL=64 ID=4115 DF PROTO=UDP SPT=54988 DPT=10001 LEN=12
Apr 27 21:17:29 ubnt kernel: [WAN_LOCAL-default-D]IN=eth1.832 OUT= MAC= SRC=192.168.5.25 DST=255.255.255.255 LEN=32 TOS=0x00 PREC=0x00 TTL=64 ID=5046 DF PROTO=UDP SPT=50317 DPT=10001 LEN=12
Apr 27 21:18:00 ubnt kernel: [WAN_LOCAL-default-D]IN=eth1.832 OUT= MAC= SRC=192.168.5.25 DST=255.255.255.255 LEN=32 TOS=0x00 PREC=0x00 TTL=64 ID=7639 DF PROTO=UDP SPT=52287 DPT=10001 LEN=12
ubnt@ubnt:~# cat /var/run/dhclient_eth0_832.conf
#
# autogenerated by vyatta-interfaces.pl on UTC Mon Apr 30 05:42:40 2018
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth0.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;
}
ubnt@ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/u WAN
eth0.832 - u/u Data Orangf
eth0.838 10.165.16.13/23 u/u ISP_TV_VOD
eth0.840 192.168.255.254/32 u/u ISP_TV_STREAM
eth1 192.168.0.16/24 u/u WAN 2
eth2 - A/D
eth3 192.168.3.1/24 u/u Lan Livebox
eth4 - A/D
eth5 - A/D
eth6 - A/D
eth7 192.168.10.1/24 u/u Local
lo 127.0.0.1/8 u/u
ubnt@ubnt:~$ ip route
default via 192.168.0.254 dev eth1 proto zebra
10.165.16.0/23 dev eth0.838 proto kernel scope link src 10.165.16.13
80.10.117.120/31 via 10.165.17.254 dev eth0.838
80.10.204.0/22 via 10.165.17.254 dev eth0.838
81.253.206.0/24 via 10.165.17.254 dev eth0.838
81.253.210.0/23 via 10.165.17.254 dev eth0.838
81.253.214.0/23 via 10.165.17.254 dev eth0.838
172.19.20.0/23 via 10.165.17.254 dev eth0.838
172.20.224.167 via 10.165.17.254 dev eth0.838
172.23.12.0/22 via 10.165.17.254 dev eth0.838
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.16
192.168.3.0/24 dev eth3 proto kernel scope link src 192.168.3.1
192.168.10.0/24 dev eth7 proto kernel scope link src 192.168.10.1
192.168.255.254 dev eth0.840 proto kernel scope link
193.253.67.88/29 via 10.165.17.254 dev eth0.838
193.253.153.227 via 10.165.17.254 dev eth0.838
193.253.153.228 via 10.165.17.254 dev eth0.838
firewall {
all-ping enable
broadcast-ping disable
group {
network-group PRIVATE_NETS {
network 192.168.0.0/16
network 172.16.0.0/12
network 10.0.0.0/8
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians disable
modify balance {
rule 10 {
action modify
description "do NOT load balance lan to lan"
destination {
group {
network-group PRIVATE_NETS
}
}
modify {
table main
}
}
rule 20 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_eth0
}
}
modify {
table main
}
}
rule 30 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_eth1
}
}
modify {
table main
}
}
rule 110 {
action modify
modify {
lb-group G
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address dhcp
description WAN
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
vif 832 {
address dhcp
description "Data Orange"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address dhcp
description "WAN 2"
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
}
ethernet eth2 {
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.3.1/24
description "Lan Livebox"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
address 192.168.10.1/24
description Local
duplex auto
firewall {
in {
modify balance
}
}
speed auto
}
loopback lo {
}
}
load-balance {
group G {
interface eth0 {
}
interface eth1 {
}
lb-local enable
lb-local-metric-change disable
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth0.832 {
role disabled
threshold 1
}
interface eth0.838 {
role disabled
threshold 1
}
interface eth0.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth4 {
role disabled
threshold 1
}
interface eth5 {
role disabled
threshold 1
}
interface eth6 {
role disabled
threshold 1
}
interface eth7 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
lease 86400
start 192.168.10.38 {
stop 192.168.10.243
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.1
dns-server 192.168.3.1
lease 86400
ntp-server 192.168.3.1
start 192.168.3.100 {
stop 192.168.3.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth7
listen-on eth3
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description "masquerade for WAN"
log disable
outbound-interface eth0.832
protocol all
type masquerade
}
rule 5001 {
description "Masquerade Orange"
log disable
outbound-interface eth0.838
protocol all
type masquerade
}
rule 5002 {
description "masquerade for WAN 2"
outbound-interface eth1
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth7
nat-pmp enable
port 34651
secure-mode enable
wan eth0.832
}
}
system {
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose enable
max-retrans 3
}
}
host-name ubnt
login {
user zzzz {
authentication {
encrypted-password zzzzzzzzzzzz
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.1.5067575.180305.1804 */
23:05:06.407500 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 366)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from f0:9f:c2:c2:2a:3e (oui Unknown), length 338, xid 0x2185493c, secs 31, Flags [none] (0x0000)
Client-Ethernet-Address f0:9f:c2:c2:2a:3e (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 4: "ubnt"
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.XX.1XX.XX.113.XXX.1XX.5X.1X1
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox4", length 43
END Option 255, length 0
Est-ce que tu es sûr que tu es sûr en DHCP ? Regarde sur la livebox dans l'onglet assistance puis informations techniques.
Dommage, on ne voit pas la priorité 802.1P (pour qu'elle apparaisse, il faut sniffer tous les VLANs, pas uniquement le 832).
Le client dhcp a été remplacé ?
Dommage, on ne voit pas la priorité 802.1P (pour qu'elle apparaisse, il faut sniffer tous les VLANs, pas uniquement le 832).
Le client dhcp a été remplacé ?
root@ubnt:~# tcpdump -vv -n -i eth1 -e
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
23:31:40.687697 f0:9f:c2:c2:2a:3e > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 384: vlan 832, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 366)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from f0:9f:c2:c2:2a:3e, length 338, xid 0x33b325f5, secs 30, Flags [none] (0x0000)
Client-Ethernet-Address f0:9f:c2:c2:2a:3e
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 4: "ubnt"
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102xxxxxxxxxxxxxxxxxxxxxxxx
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox4", length 43
23:31:43.625606 f0:9f:c2:c2:2a:3e > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 46: (tos 0x0, ttl 64, id 2981, offset 0, flags [DF], proto UDP (17), length 32)
192.168.5.25.46242 > 255.255.255.255.10001: [udp sum ok] UDP, length 4
23:31:43.631011 f0:9f:c2:c2:2a:3e > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 50: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 2986, offset 0, flags [DF], proto UDP (17), length 32)
192.168.5.25.43700 > 255.255.255.255.10001: [udp sum ok] UDP, length 4
23:31:59.137742 f0:9f:c2:c2:2a:3e > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 384: vlan 832, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 366)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from f0:9f:c2:c2:2a:3e, length 338, xid 0x33b325f5, secs 49, Flags [none] (0x0000)
Client-Ethernet-Address f0:9f:c2:c2:2a:3e
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 4: "ubnt"
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox4", length 43
23:59:48.980416 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 420)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from b8:26:XX:XX:XX:XX (oui Unknown), length 392, xid 0x4c154d88, secs 1, Flags [Broadcast] (0x8000)
Client-Ethernet-Address b8:26:XX:XX:XX:XX (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 12:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH, Option 119, Option 120, Option 125
Vendor-Class Option 60, length 5: "sagem"
Client-ID Option 61, length 7: ether b8:XX:XX:XX:XX:XX
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
AUTH Option 90, length 70:
0.0.0.0.0.0.0.0.0.0.0.26.9.0.0.5.88.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX22.72
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
Le (1) initial est nécessaire.<?php
$dec_dots = '0.0.0.0.0.0.0.0.0.0.0.xxxxxxxxxxxxxxxxxxxxxxxxx' ; // a remplacer
$hexs = array() ;
foreach( explode('.',$dec_dots) as $dec ) {
$hexs[] = str_pad( dechex($dec), 2, "0", STR_PAD_LEFT);
}
echo implode(':',$hexs)."\n" ;
?>
Intéressant tout ça !
Mais du coup, si on veut vraiment faire comme la LB, faut envoyer quoi ? Le fti/ ou bien dhcpliveboxfr250 ?
eth1.838 Link encap:Ethernet HWaddr fc:ec:da:42:fc:74
inet addr:10.93.230.148 Bcast:10.93.231.255 Mask:255.255.252.0
inet6 addr: fe80::feec:daff:fe42:fc74/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1130 errors:0 dropped:0 overruns:0 frame:0
TX packets:4172 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:111753 (109.1 KiB) TX bytes:1035188 (1010.9 KiB)
ubnt@ER4Home:~$ sudo route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 86.195.64.1 0.0.0.0 UG 0 0 0 eth1.832
10.93.228.0 0.0.0.0 255.255.252.0 U 0 0 0 eth1.838
80.10.117.120 10.93.231.254 255.255.255.254 UG 0 0 0 eth1.838
80.10.204.0 10.93.231.254 255.255.252.0 UG 0 0 0 eth1.838
81.253.206.0 10.93.231.254 255.255.255.0 UG 0 0 0 eth1.838
81.253.210.0 10.93.231.254 255.255.254.0 UG 0 0 0 eth1.838
81.253.214.0 10.93.231.254 255.255.254.0 UG 0 0 0 eth1.838
86.195.64.0 0.0.0.0 255.255.248.0 U 0 0 0 eth1.832
172.19.20.0 10.93.231.254 255.255.254.0 UG 0 0 0 eth1.838
172.20.224.167 10.93.231.254 255.255.255.255 UGH 0 0 0 eth1.838
172.23.12.0 10.93.231.254 255.255.252.0 UG 0 0 0 eth1.838
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2.832
192.168.255.254 0.0.0.0 255.255.255.255 UH 0 0 0 eth1.840
193.253.67.88 10.93.231.254 255.255.255.248 UG 0 0 0 eth1.838
193.253.153.227 10.93.231.254 255.255.255.255 UGH 0 0 0 eth1.838
193.253.153.228 10.93.231.254 255.255.255.255 UGH 0 0 0 eth1.838
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:<Ident_fti>;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:<@MAC Livebox>"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description Voip
}
}
ethernet eth3 {
disable
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description Plex
forward-to {
address 192.168.1.150
port 32400
}
original-port 32400
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.5 {
stop 192.168.1.200
}
static-mapping DecodeurTV {
ip-address 192.168.1.5
mac-address 2c:39:96:5e:38:44
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
domain-name orange.fr
lease 86400
start 192.168.2.20 {
stop 192.168.2.50
}
static-mapping Livebox {
ip-address 192.168.2.10
mac-address <@MAC Livebox>
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.136
name-server 81.253.149.6
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ER4Home
login {
user ubnt {
authentication {
encrypted-password <pwd>
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 1.1.1.1
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
archive {
files 2
size 1024
}
facility all {
level err
}
facility protocols {
level warning
}
}
host 192.168.1.150 {
facility all {
level warning
}
}
}
task-scheduler {
task watchdog {
executable {
path /config/scripts/orange_watchdog.sh
}
interval 5m
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.1.5067768.180306.1010 */
J’ai accès aux menus des Replay mais dès que je sélectionne un contenu le décodeur a l’air de se figer, au mieux tout est très lent, 1 à 2 min pour avoir la 1ere pub et 3-4 min pour que le Replay démarre, au pire le decodeur reste planté ou affiche une erreur 'contenu indisponible (erreur V09)' au bout de plusieurs minutes :(Même chose pour ma part. Très long, ou au pire retour au menu.
Bonjour a tous,
J'ai du faire un reset complete d'un edge router lite et j'ai tout perdu.
Comme j'avais suivi un tuto il y a 2,3 ans, j'ai un peu perdu la memoire sur les etapes a suivre.
La bonne nouvelle est que ma configuration est sauvegardée. Je devrais deja pouvoir la restaurer.
Par contre de memoire il y a avait des fichiers patches comme dhclient3 ou un script vyatta-interfaces.pl a ajouter.
Quelqu'un pourrait il me pointer vers le dernier TUTO a jour avec les fichiers de référence.
Merci par avance,
Jean.
La page 1 de ce fil est toujours mise à jour, tu devrais y trouver ton bonheur.
Même chose pour ma part. Très long, ou au pire retour au menu.J'ai bien essayé une capture, sans rien trouver de particulier, à part un échange qui s'éternise entre le décodeur et un serveur Orange.
Je n'avais jamais utilisé le Replay avec la LB ou avec l'ERL avant ce jour, donc pas de comparaison.
Quand j'aurai le temps je vais essayer un tcpdump sur l'ERL pour voir ce qui se passe à ce moment là.
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description webserver
destination {
address XXXXXXXXX/::ffff:ffff:ffff:ffff
port 21,20,80,443,9090,9999
}
log disable
protocol tcp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name LAN_IN {
default-action accept
description "LAN to Internal"
rule 10 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "Internal to WAN"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 10.1.1.1/8
description LAN_ETH0
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:PRIVE;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 10.2.1.1/24
description LAN_ETH2
disable
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
original-port 5555
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 10.0.0.0/8 {
default-router 10.1.1.1
dns-server 10.1.1.1
lease 86400
ntp-server 10.1.1.1
start 10.1.1.50 {
stop 10.1.1.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 81.253.149.2
name-server 80.10.246.132
}
}
gui {
http-port 80
https-port 443
listen-address 10.1.1.1
listen-address 10.2.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 10.1.1.1
listen-address 10.2.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://ftp2.fr.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.1.4977347.170426.0359 */
Date,Heure,Niveau,Nom d'hôte,Catégorie,Programme,Messages, 2018-05-16,00:59:13,Error,ubnthome,kern,kernel,"Process 26529 (ubnt-util) has crashed (parent 526 (ubnt-daemon) signal 11, code 0, addr 0000020e00000000), coredumps disabled" 2018-05-12,18:09:41,Error,ubnthome,kern,kernel,"Process 12265 (ubnt-util) has crashed (parent 526 (ubnt-daemon) signal 11, code 0, addr 0000020e00000000), coredumps disabled" 2018-05-10,17:59:49,Error,ubnthome,local2,pppd,Cannot determine ethernet address for proxy ARP 2018-05-09,16:40:15,Error,ubnthome,daemon,pidof,can't get program name from /proc/28866/stat 2018-05-09,04:02:28,Error,ubnthome,kern,kernel,"Process 569 (ubnt-util) has crashed (parent 526 (ubnt-daemon) signal 11, code 0, addr 0000020e00000000), coredumps disabled" 2018-05-05,14:06:51,Error,ubnthome,local7,NSM, NSM-3: NSM message send error socket 12 Broken pipe 2018-05-05,14:06:51,crit,ubnthome,daemon,xl2tpd,death_handler: Fatal signal 15 received 2018-05-05,14:06:48,Error,ubnthome,daemon,netplugd,caught signal 15 - exiting 2018-05-05,12:10:26,Error,ubnthome,kern,kernel,"Process 569 (ubnt-util) has crashed (parent 526 (ubnt-daemon) signal 11, code 0, addr 0000020e00000000), coredumps disabled" 2018-05-01,18:19:15,Error,ubnthome,local7,NSM, NSM-3: NSM message send error socket 12 Broken pipe 2018-05-01,18:19:15,crit,ubnthome,daemon,xl2tpd,death_handler: Fatal signal 15 received 2018-05-01,18:19:13,Error,ubnthome,daemon,netplugd,caught signal 15 - exiting 2018-05-01,15:18:33,Error,ubnthome,local7,NSM, NSM-3: NSM message send error socket 13 Broken pipe 2018-05-01,15:18:33,crit,ubnthome,daemon,xl2tpd,death_handler: Fatal signal 15 received 2018-05-01,15:18:31,Error,ubnthome,daemon,netplugd,caught signal 15 - exiting |
Je suis maintenant informé des erreurs critiques du router qui est en firmware 1.10.0 dans une config avec livebox qui fonctionne parfaitement (tel, tv, replay et netflix):
eth1.838 Link encap:Ethernet HWaddr 78:8a:20:bf:a5:ca
inet addr:10.57.138.231 Bcast:10.57.139.255 Mask:255.255.254.0
inet6 addr: fe80::7a8a:20ff:febf:a5ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:794 (794.0 B) TX bytes:1130 (1.1 KiB)
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 83.202.224.1 0.0.0.0 UG 0 0 0 eth1.832
10.57.138.0 0.0.0.0 255.255.254.0 U 0 0 0 eth1.838
80.10.117.120 10.57.139.254 255.255.255.254 UG 0 0 0 eth1.838
80.10.204.0 10.57.139.254 255.255.252.0 UG 0 0 0 eth1.838
81.253.206.0 10.57.139.254 255.255.255.0 UG 0 0 0 eth1.838
81.253.210.0 10.57.139.254 255.255.254.0 UG 0 0 0 eth1.838
81.253.214.0 10.57.139.254 255.255.254.0 UG 0 0 0 eth1.838
83.202.224.0 0.0.0.0 255.255.248.0 U 0 0 0 eth1.832
172.19.20.0 10.57.139.254 255.255.254.0 UG 0 0 0 eth1.838
172.20.224.167 10.57.139.254 255.255.255.255 UGH 0 0 0 eth1.838
172.23.12.0 10.57.139.254 255.255.252.0 UG 0 0 0 eth1.838
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 switch0
192.168.255.254 0.0.0.0 255.255.255.255 UH 0 0 0 eth1.840
193.253.67.88 10.57.139.254 255.255.255.248 UG 0 0 0 eth1.838
193.253.153.227 10.57.139.254 255.255.255.255 UGH 0 0 0 eth1.838
193.253.153.228 10.57.139.254 255.255.255.255 UGH 0 0 0 eth1.838
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow L2TP"
destination {
port 500,1701,4500
}
log disable
protocol udp
}
rule 30 {
action accept
description "Allow ESP"
log disable
protocol esp
}
rule 40 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description Local
duplex auto
speed auto
}
ethernet eth1 {
address dhcp
description Internet
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
vif 832 {
address dhcp
description Orange
dhcp-options {
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send vendor-class-identifier "sagem";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:67:76:34:7A:68:67:75;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
}
vif 838 {
address dhcp
description VoD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ZAPPING
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
poe {
output pthru
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description Local
mtu 1500
switch-port {
interface eth0 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name Lan {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 80.67.169.12
dns-server 80.67.169.40
lease 86400
start 192.168.1.11 {
stop 192.168.1.200
}
static-mapping DecodeurTV {
ip-address 192.168.1.5
mac-address xx:xx:xx:xx:xx:xx
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
repeater {
interface switch0
}
}
nat {
rule 5001 {
description "masquerade for WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "masquerade for ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password xx
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
traffic-analysis {
dpi disable
export enable
}
}
traffic-control {
advanced-queue {
queue-type {
fq-codel WAN {
ecn enable
}
}
root {
}
}
smart-queue upload {
upload {
ecn enable
flows 1024
fq-quantum 1514
limit 10240
rate 108mbit
}
wan-interface eth1.832
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939092.161214.0702 */
Est-ce que quelqu'un aurait une idée ?vbash-4.1# cat /proc/net/vlan/eth1.832
eth1.832 VID: 832 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 11790
total bytes received 1952959
Broadcast/Multicast Rcvd 0
total frames transmitted 11987
total bytes transmitted 1654422
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0
vbash-4.1#
Mais qu'elle est l'origine du kill pour netplugd et pour xl2tpd?
A quoi correspond local7 qui génère une erreur via NSM-3?
pppd est peut être en rapport avec le vpn ipsec l2tp: comment spécifier un netmask de 255.255.255.255 pour un lien point-to-point?
J'ai un comportement bizarre sur mon ER-LITE en 1.10.1.
configure
set system offload ipv4 pppoe enable
set system offload ipv4 vlan enable
set system offload ipv4 forwarding enable
set system offload ipv6 vlan enable
set system offload ipv6 forwarding enable
commit
save
Tu as l'offload configuré ? L'offload doit être activé pour PPPoE et pour DHCP.
------------------------------------------------------------
Client connecting to ping.online.net, TCP port 5001
TCP window size: 85.0 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.1.27 port 48282 connected with 62.210.18.40 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0- 1.0 sec 1.38 MBytes 11.5 Mbits/sec
[ 3] 1.0- 2.0 sec 1.00 MBytes 8.39 Mbits/sec
[ 3] 2.0- 3.0 sec 1.12 MBytes 9.44 Mbits/sec
[ 3] 3.0- 4.0 sec 1.25 MBytes 10.5 Mbits/sec
[ 3] 4.0- 5.0 sec 1.00 MBytes 8.39 Mbits/sec
[ 3] 5.0- 6.0 sec 1.12 MBytes 9.44 Mbits/sec
zoc@sun(ssh):~:> iperf3 -c ping.online.net
Connecting to host ping.online.net, port 5201
[ 4] local 192.168.69.211 port 39716 connected to 62.210.18.40 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 29.3 MBytes 246 Mbits/sec 61 1.19 MBytes
[ 4] 1.00-2.00 sec 29.0 MBytes 243 Mbits/sec 0 1.33 MBytes
[ 4] 2.00-3.00 sec 29.1 MBytes 244 Mbits/sec 0 1.44 MBytes
[ 4] 3.00-4.00 sec 29.0 MBytes 243 Mbits/sec 0 1.52 MBytes
[ 4] 4.00-5.00 sec 29.0 MBytes 243 Mbits/sec 0 1.58 MBytes
[ 4] 5.00-6.00 sec 29.1 MBytes 244 Mbits/sec 2 1.17 MBytes
[ 4] 6.00-7.00 sec 29.0 MBytes 243 Mbits/sec 1 1.22 MBytes
[ 4] 7.00-8.00 sec 29.1 MBytes 244 Mbits/sec 0 1.24 MBytes
[ 4] 8.00-9.00 sec 29.0 MBytes 243 Mbits/sec 0 1.26 MBytes
[ 4] 9.00-10.00 sec 29.0 MBytes 243 Mbits/sec 0 1.28 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 291 MBytes 244 Mbits/sec 64 sender
[ 4] 0.00-10.00 sec 288 MBytes 242 Mbits/sec receiver
En faisant des iperfs, je suis capé à 10 mbits sur l'upload.
Bonjour,
Sur ERL 3 en 1.10.x, j'ai un problème depuis quelques semaines. Avant, aucun souci mais depuis, tous les jours, je perds la connexion internet. L'ERL est accessible et ne semble pas Ko. Les logs ne donnent pas d'information et seul un restart du routeur me redonne ma connexion internet.
J'avais un petit problème sur l'usb stick du routeur, je pensais que cela pouvait venir de là mais après changement, même problème.
Si quelqu'un pouvait m'aider à me donner une piste pour le debug ou me dire quel service peut causer ce souci.
Je vais tenter une config à neuf. J'utilise le DPI pour contrôler les accès.
Config actuelle en mode erl3->LB pour tv+wifi+téléphone.
$cat /config/scripts/test-connectivity.sh
#!/bin/bash
function OK_ipv4 {
true
#logger "ConnectivityTest: IPv4 OK"
}
function NOK_ipv4 {
# Restart command to run
RUNCMD=/opt/vyatta/bin/vyatta-op-cmd-wrapper
logger "ConnectivityTest: IPv4 NOK - restarting dhcp client"
$RUNCMD renew dhcp interface eth1.832
}
/bin/ping -q -w 1 -c 1 $(ip r | grep default | cut -d ' ' -f 3) > /dev/null && OK_ipv4 || NOK_ipv4
$ set system task-scheduler task CheckInternetConnection executable path /config/scripts/test-connectivity.sh
$ set system task-scheduler task CheckInternetConnection interval 10m
$ show system task-scheduler
task CheckInternetConnection {
executable {
path /config/scripts/test-connectivity.sh
}
interval 10m
}
Pourquoi soudainement il me redemande une ip alors :(
Une autre possibilité c'est l'ONT qui plante et reboote...Merci pour ton retour Zoc.
Tu peux montrer ta conf ? Tu n'a pas une smart queue activé sur l'interface de sortie (ex. eth1.832) ?
Le cable ethernet entre le routeur et l'ONT peut-être ?
Non pas de smart queue. Ci-joint la conf.
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WAN6_IN {
default-action drop
rule 10 {
action accept
description "allow established"
protocol all
state {
established enable
related enable
}
}
rule 20 {
action drop
description "drop invalid packets"
protocol all
state {
invalid enable
}
}
rule 30 {
action accept
description "allow ICMPv6"
protocol icmpv6
}
rule 8999 {
action accept
description Qbittorrent
destination {
port 8999
}
log disable
protocol tcp_udp
}
}
ipv6-name WAN6_LOCAL {
default-action drop
rule 10 {
action accept
description "allow established"
protocol all
state {
established enable
related enable
}
}
rule 20 {
action drop
description "drop invalid packets"
protocol all
state {
invalid enable
}
}
rule 30 {
action accept
description "allow ICMPv6"
protocol icmpv6
}
rule 40 {
action accept
description "allow DHCPv6 client/server"
destination {
port 546
}
protocol udp
source {
port 547
}
}
rule 100 {
action accept
source {
address xxxxxxxxxxxxxxxxxxxxxxxx
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description ""
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "accept established"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 40 {
action accept
description "allow DHCPv4 client/server"
destination {
port 68
}
protocol udp
source {
port 67
}
}
rule 100 {
action accept
description "allow ping"
icmp {
type 8
}
protocol icmp
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
Petite remarque, tu ne sembles pas autoriser les communications DHCP, ce qui peut bloquer ton renew.
Le DHCP request initial est en raw socket, mais les renew passent par le firewall.
(Zoc pourra surement confirmer / corriger)
rule 100 {
action accept
description DHCP
destination {
port bootps
}
protocol udp
}
rule 100 {
action accept
description "Allow DHCPv6"
destination {
port dhcpv6-client
}
protocol udp
source {
port dhcpv6-server
}
}
Bon, après, si la connexion tombe régulièrement et ne remonte pas, le problème est sans doute ailleurs...Hello,
Le script n'est là que pour pallier aux interventions d'Orange sur son réseau qui ont pour effet de rendre la connexion inopérante. Il n'a du se déclencher que deux ou trois fois depuis qu'il est en place chez moi (1 an au moins).
Une autre possibilité c'est l'ONT qui plante et reboote...
Il y a un antispoofing sur les routeurs d'Orange ...Tiens à ce sujet, quelqu'un d'initié sait-il comment cet antispoofing est mis en oeuvre, chez Orange ou chez les FAI en général :
Du coup si l'antispoofing ne voit pas de renouvellement DHCP il coupe le flux.
Elle a changé 2 fois en 18 mois...Moi aussi, c'est la même IP depuis longtemps. Pourquoi renouveler le DHCP alors?
zoc@gateway:~$ show dhcp client leases
interface : eth1.832
ip address : X.X.X.X [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 2.15.232.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 259200
last update: Fri May 18 10:15:46 CEST 2018
expiry : Mon May 21 10:15:45 CEST 2018
reason : RENEW
Parce qu'avec la Livebox l'adresse IP change beaucoup beaucoup plus souvent ;) et sans doute aussi pour que les IP non utilisées pendant un certain temps soit remises dans le pool des adresses disponibles...j'ai ça chez moi
Actuellement le bail DHCP est de 259200 secondes (et c'est nouveau, il y a encore quelques semaines, le bail était de 86400 secondes)Code: [Sélectionner]zoc@gateway:~$ show dhcp client leases
interface : eth1.832
ip address : X.X.X.X [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 2.15.232.1
name server: 80.10.246.3 81.253.149.10
dhcp server: 80.10.247.176
lease time : 259200
last update: Fri May 18 10:15:46 CEST 2018
expiry : Mon May 21 10:15:45 CEST 2018
reason : RENEW
interface : eth1.832
ip address : x.x.x.x [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 86.195.96.1
name server: 81.253.149.6 80.10.246.136
dhcp server: 80.10.247.176
lease time : 259200
last update: Fri May 18 06:15:58 CEST 2018
expiry : Mon May 21 06:15:55 CEST 2018
reason : REBOOT
bizarre le coup du "reason" ?!?!
firewall {
all-ping enable
broadcast-ping disable
group {
network-group FREE_NETS {
network 212.27.52.0/24
network 212.27.38.0/24
}
network-group PRIVATE_NETS {
network 192.168.0.0/16
network 172.16.0.0/12
network 10.0.0.0/8
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians disable
modify balance {
rule 10 {
action modify
description "do NOT load balance lan to lan"
destination {
group {
network-group PRIVATE_NETS
}
}
modify {
table main
}
}
rule 20 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_eth0
}
}
modify {
table main
}
}
rule 30 {
action modify
description "do NOT load balance destination public address"
destination {
group {
address-group ADDRv4_eth1
}
}
modify {
table main
}
}
rule 40 {
action modify
description "Vers Free ADSL"
destination {
group {
network-group FREE_NETS
}
}
modify {
lb-group Free
}
}
rule 41 {
action modify
description "SMTP sortant vers Free"
destination {
port 25
}
modify {
lb-group Free
}
protocol tcp
source {
address 192.168.10.0/24
}
}
rule 110 {
action modify
modify {
lb-group G
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log enable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 30 {
action drop
description "Drop BOGONS"
log enable
protocol all
source {
group {
network-group PRIVATE_NETS
}
}
}
rule 40 {
action accept
description SMTP
destination {
port smtp
}
log enable
protocol tcp
state {
established disable
invalid disable
new enable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "Orange TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "Freebox TV"
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
vif 100 {
description "Freebox TV"
}
}
ethernet eth0 {
description "FFTH Orange"
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxxxxx
user-id fti/xxxxxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
vif 851 {
bridge-group {
bridge br0
}
description "VoIP Orange"
}
}
ethernet eth1 {
address dhcp
description "ADSL Free"
duplex auto
firewall {
in {
modify balance
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
vif 100 {
bridge-group {
bridge br1
}
description "Freebox TV"
}
}
ethernet eth2 {
disable
duplex auto
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
ethernet eth5 {
disable
duplex auto
speed auto
}
ethernet eth6 {
address 192.168.20.1/24
description "LAN TV Orange"
duplex auto
firewall {
in {
modify balance
}
}
speed auto
}
ethernet eth7 {
address 192.168.10.1/24
description LAN
duplex auto
firewall {
in {
modify balance
}
}
speed auto
vif 100 {
bridge-group {
bridge br1
}
description "Freebox TV"
mtu 1500
}
vif 851 {
bridge-group {
bridge br0
}
disable
}
}
loopback lo {
}
}
load-balance {
group Free {
interface eth1 {
}
lb-local enable
lb-local-metric-change disable
}
group G {
interface eth1 {
failover-only
}
interface pppoe0 {
}
lb-local enable
lb-local-metric-change disable
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
wan-interface pppoe0
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth0.835 {
role disabled
threshold 1
}
interface eth0.838 {
role disabled
threshold 1
}
interface eth0.840 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
interface eth4 {
role disabled
threshold 1
}
interface eth5 {
role disabled
threshold 1
}
interface eth6 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth7 {
role disabled
threshold 1
}
}
static {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name lan
lease 3600
ntp-server 192.168.10.1
start 192.168.10.100 {
stop 192.168.10.254
}
time-server 192.168.10.1
}
}
shared-network-name LAN_TV_Orange {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 81.253.149.1
dns-server 80.10.246.130
domain-name orangetv
lease 3600
start 192.168.20.101 {
stop 192.168.20.199
}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 1024
listen-on eth7
listen-on eth6
name-server 80.67.169.12
name-server 80.67.169.40
options cname=ntp.lan,192.168.10.1
}
}
gui {
https-port 443
listen-address 192.168.10.1
older-ciphers enable
}
nat {
rule 1 {
description "SMTP - WAN Orange"
destination {
group {
}
port smtp
}
inbound-interface pppoe0
inside-address {
address 192.168.10.10
}
log disable
protocol tcp
type destination
}
rule 11 {
description "SMTP - WAN Free"
destination {
port smtp
}
inbound-interface eth1
inside-address {
address 192.168.10.10
}
log disable
protocol tcp
type destination
}
rule 5000 {
description "masquerade Orange Internet"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5001 {
description "masquerade Free Internet"
log disable
outbound-interface eth1
protocol all
type masquerade
}
rule 5002 {
description "Freebox TV"
outbound-interface br1.100
protocol all
source {
address 192.168.10.0/24
}
type masquerade
}
}
unms {
disable
}
upnp2 {
listen-on eth6
listen-on eth7
nat-pmp enable
secure-mode disable
wan ppoe0
}
}
system {
config-management {
commit-revisions 50
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose enable
max-retrans 3
}
}
domain-name lan
host-name edgerouter
login {
user toto{
authentication {
encrypted-password prout
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://debian.mirrors.ovh.net/debian/
username ""
}
repository wheezy-security {
components main
distribution squeeze/updates
password ""
url http://security.debian.org
username ""
}
}
static-host-mapping {
host-name edgerouter {
alias edgerouter.lan
inet 192.168.10.1
}
host-name ntp {
alias ntp.lan
inet 192.168.10.1
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.10.10 {
facility all {
level warning
}
}
}
task-scheduler {
task dynhost {
executable {
path /config/scripts/dynhost.sh
}
interval 1m
}
task orange_watchdog {
executable {
path /config/scripts/orange_watchdog.sh
}
interval 5m
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.1.5067575.180305.1804 */
shared-network-name LAN_TV_Orange {
authoritative disable
Donc plus basée sur Wheezy j’imagine...
Upgraded underlying Debian distribution from Wheezy to JessieSource (https://community.ubnt.com/t5/EdgeMAX-Beta-Blog/New-EdgeRouter-firmware-2-0-0-alpha-1-has-been-released/ba-p/2376224)
Et a priori, il n'aime pas du tout l'offload ipsec.
Known issues:
Configuration gets corrupted when deleting DHCP server via UNMS on ER-12
IPsec offloading does not work
ssh-recovery functionality does not work
All routing daemon are loaded on start even they are not being used
Bandwidth test via UNMS will not work because iperf package is missing. Workaround is to install iperf manually
Donc plus basée sur Wheezy j’imagine... Il va sûrement falloir recompiler dibbler et dhclient....
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.2.1/24
description LAN_ETH0
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description Voip
}
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.0.254/24
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
port-forward {
...
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.200
lease 86400
start 192.168.0.1 {
stop 192.168.0.99
}
}
}
shared-network-name LIVEBOX {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
dns-server 81.253.149.6
domain-name orange.fr
lease 86400
start 192.168.2.20 {
stop 192.168.2.50
}
static-mapping Livebox {
ip-address 192.168.2.10
mac-address YY:YY:YY:YY:YY:YY
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.136
name-server 81.253.149.6
}
}
gui {
http-port 80
https-port 443
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 20
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
...
}
name-server 208.67.222.222
name-server 208.67.220.220
name-server 192.168.0.200
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082526.180426.1554 */
J'ai recompilé dibbler sous Jessie, avec le patch pour changer la CoS. Le fichier en PJ.Bonjour,
Ce package fonctionne bien avec un ER4 sous la version 2.0.0-alpha1. :)
Pour info, j'ai utilisé une image qemu trouvée ici : https://bierbaumer.net/qemu/ (https://bierbaumer.net/qemu/)
Pas changé les DNS par hasard ?mon dieu oui, effectivement les DNS ont été changés, Je n'y ai même pas pensé ! Ducoup en remplaçant les DNS Google par ceux d'orange dans la configuration DHCP, tout devrait revenir dans l'ordre ? Zoc tu es un dieu :)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
vif 832 {
address dhcp
description Internet
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description Local
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 150
listen-on switch0
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
outbound-interface eth0.832
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password foobar
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level info
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098943.180622.1555 */
Note: J'ai enlevé le mot de passe encrypté de mon interface ainsi que l'identifiant fti encodé en hexa pour pouvoir vous partager ma conf. Mais sinon, ils sont bien là.ubnt@ubnt:~$ show dhcp client leases
interface : eth0.832
last update: Thu Jan 1 10:14:40 CET 2015
reason : FAIL
sudo dhclient3 -help
Ca dit quoi ?
sudo dhclient3 -help
, je vous enverrai la sortie ce soir. Est-ce que je dois y trouver quelque chose en particulier ? (Numéro de version, de build, ... ) ?@zoc Tu veux dire l’option globale rfc3118-auth comme tu l’indique dans ce post ?
set interfaces ethernet eth0 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description Voip
}
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.0.254/24
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
port-forward {
...
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.200
lease 86400
start 192.168.0.1 {
stop 192.168.0.99
}
}
}
shared-network-name LIVEBOX {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
dns-server 81.253.149.6
domain-name orange.fr
lease 86400
start 192.168.2.20 {
stop 192.168.2.50
}
static-mapping Livebox {
ip-address 192.168.2.10
mac-address YY:YY:YY:YY:YY:YY
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.136
name-server 81.253.149.6
}
}
gui {
http-port 80
https-port 443
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 20
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
...
}
name-server 208.67.222.222
name-server 208.67.220.220
name-server 192.168.0.200
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082526.180426.1554 */
sudo dhclient3 --help
et j'obtiens:cannot execute binary file
Ce qui me fait penser que le binaire n'est pas compatible avec la version de mon firmware/CPU.ps aux | grep -i dhclient3
N'affiche aucun process correspondant au dhclient3.Bonjour,
Je possède un ER5-POE et j'ai un problème de téléphone avec ma config. Quelqu'un aurait-il une idée de ce qui ne vas pas ?
eth0 -> Livebox pour le TEL
eth1 -> ONT
eth2, 3, 4 -> LAN
Sur le LAN, il y a plusieurs switch mais j'imagine que cela n'a pas d'importance.Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description Voip
}
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.0.254/24
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
port-forward {
...
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.200
lease 86400
start 192.168.0.1 {
stop 192.168.0.99
}
}
}
shared-network-name LIVEBOX {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
dns-server 81.253.149.6
domain-name orange.fr
lease 86400
start 192.168.2.20 {
stop 192.168.2.50
}
static-mapping Livebox {
ip-address 192.168.2.10
mac-address YY:YY:YY:YY:YY:YY
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.136
name-server 81.253.149.6
}
}
gui {
http-port 80
https-port 443
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth2
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 20
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
...
}
name-server 208.67.222.222
name-server 208.67.220.220
name-server 192.168.0.200
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082526.180426.1554 */
Merci à tous pour votre aide,
Jean-François
vif 832 {
address dhcp
description "eth6.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
.......
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option rfc3442-classless-static-routes code 121 = array of integer 8;"
global-parameters "option Vendor-specific code 125 = string;"
...
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
Effectivement, pas le bon CPU...Code: [Sélectionner]cannot execute binary file
Ce qui me fait penser que le binaire n'est pas compatible avec la version de mon firmware/CPU.
D'autant plus que j'ai lu quelques pages plus haut dans ce thread que le firmware 1.10.x était basé sur JessyNon. C’est la 2.0 alpha qui est basée sur Jessy.
Avez-vous un dhclient3 compilé pour un ER-X sous firmware 1.10.5 ? Sinon, où puis-je trouver le tuto pour le compiler ?J’utilise celui de la 1.9.1 sur mon ER4 en 1.10.5...
sudo ./dockcross bash -c 'apt-get install dh-make && dpkg-buildpackage -us -uc -d'
Une fois la compilation terminée, vous devriez trouver le binaire à cet endroit : debian/vyatta-dhcp3-client/sbin/dhclient3
Je vous ai joins le mien à ce post (SHA1 sum: 6de836d5115e7c87fd802b430663c8a2d01112f7)essayes ca...
Le GS108Tv2marche bienPourrais-tu confirmer ton expérience ?
Je l’ai fait avec un GS728TP, et maintenant avec un ES 48 500W. Je pense que ça marche bien avec toute la série EdgeSwitch d’ubiquiti. Par contre pas avec les UniFi Switch apparement.
J'ai un ES8 (et un ES24-Lite). Il fait du POE passif ou at (je m'en sers pour alimenter un UAP-AC-Lite en passif).
Les 2 ont la même limitation: Impossible de marquer DHCP et DHCP6 sur le même port. Par contre il est possible d'appliquer une policy dans la direction IN ou OUT (d'après la doc.), donc en théorie il doit être possible de marquer DHCP avec une policy en IN sur le port où est connecté le routeur et de marquer DHCP6 avec une policy en OUT sur le port où est connecté l'ONT.
En pratique je n'ai pas encore essayé, il faut que je monte un petit lab pour ça (j'ai des rasp. PI dans un placard), impensable que je modifie la conf (ou alors faut que j'expédie femme et enfant en WE quelque part loin de la maison :P )...
Juste pour info pour les ESQuelle version du firmware ? 1.7.X ?
a priori le fait que je sois pas passé par Dibbler doit y être pour quelque chose, donc je mets ça de côté pour plus tard.dibbler n'a aucun rapport avec le fait de ne pas obtenir d'IPv4. Non, aucun...
- en pppoe, ça fonctionne, mais pour une raison que j'ignore, je suis limité en download :C'est parce qu'il faut activer l'offload ppp(oe) dans le routeur.
- Résultats nPerf via ERLITE : 107 down 300 up
- Résultats nPerf via Livebox : 200 down 300 up
dibbler n'a aucun rapport avec le fait de ne pas obtenir d'IPv4. Non, aucun...Hello,
... par contre l'utilisation d'un client DHCP (v4) non patché, oui.
C'est parce qu'il faut activer l'offload ppp(oe) dans le routeur.Oui l'offload est la première chose à laquelle j'avais pensé, même si je trouvais ça bizarre que ça limite le down et pas l'up; et comme tu le dis il est bien activé : un show ubnt offload le confirme :
Edit: Apparemment c'est le cas d'après le fichier de conf. Du coup, "joker".
Les clients en PPPoE sont tous localisés en région parisienne quelle que soit leur région.
ubnt@ubnt:~$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: enabled
vlan : enabled
pppoe : enabled
gre : enabled
IPv6
forwarding: enabled
vlan : disabled
pppoe : enabled
IPSec offload module: loaded
Traffic Analysis :
export : disabled
dpi : disabled
version : 1.354
Hello kjbstarHello !
Pour ton soucis de débit, utilises-tu de la QoS? la QoS empêche l'accélération matériel sur l'ERL3 ? mais il ne semble pas en avoir vu sur la conf.
As-tu tenté de disable puis enable?
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
Bonjour,
Je tente de faire un petit iperf depuis l'ERL en ligne de commande et les débits annoncés ne sont pas super même avec un P16 comme le recommande Vivien (à peine 200 Mbits/s)
Un test depuis une machine du réseau montre un débit correct (945 Mbits/s)
Je suis sur le serveur de Bouygues
Testé avec iperf et iperf3 (intégré d'origine par ubiquiti)
J'ai un doute sur l'utilisation de la compression... me trompe-je ? ou alors une explication plus technique car je sèche
PS : ma commande : iperf3 -c bouygues.iperf.fr -P16 -R
In the ERLite it tops out at about 350 Mb one way for testing due to the CPU limitations, so you can't test past that from the unit itself.
/* ZOC: Set SO_PRIORITY (skb->priority in Linux kernel) to 6.
vlan code will then map this priority to 802.1p priority according
to egress configuration for the VLAN */
val = 6;
setsockopt(sock, SOL_SOCKET, SO_PRIORITY, &val, sizeof (val));
Alors, de mémoire, j'ai eu ce problème au tout début (c'était il y a plus d'un an), et je ne me souviens plus comment je l'ai réglé... :-\
A ce moment là j'ai fait 2 choses:
- J'ai recompilé une nouvelle version de dhclient après avoir modifié mon patch, car j'avais oublié de mettre la bonne priorité dans un cas, cas qui d'après mon analyse ne doit pas se produire (mais j'ai pu me tromper). Ceci dit le dernier dhclient que j'ai posté sur ce fil doit être le bon... Je peux fournir celui que j'utilise actuellement ce soir quand je rentre si besoin, pour être sur
- J'ai modifié mes règles de firewall sur le vlan 838, pour autoriser les réponses DHCP (je ne vois toujours pas trop le rapport puisque c'est pas sur le même VLAN, mais bon...)
Depuis, j'ai bien des RENEW.
Ceci dit, je ne pense pas que ce soit si problématique d'avoir BOUND, c'est juste pas très propre. Ca veut dire que le RENEW a échoué parce que le client DHCP n'a pas été capable de joindre le serveur DHCP en unicast, et que, dans ce cas, il est repassé dans le mode par défaut qui consiste à faire une découverte du serveur DHCP avec du broadcast.
A noter aussi que dans le cas du VLAN 838, le "dhcp server" est totalement fantaisiste (et comme il n'y a pas de route, la requête part sur le VLAN 832, j'ai vérifié chez moi avec tcpdump...), ce qui n'empêche pas le renew sur cette interface...
Edit: Pour comparer, ci-dessous le hash SHA1 du binaire que j'utilise:Code: [Sélectionner]root@gateway:~$ sha1sum /sbin/dhclient3
38ad7c805a84ebb4397209c79cccc7ed0a3c49a7 /sbin/dhclient3
$ patch -p0 <iscdhcp_priority.patch
patching file vyatta-dhcp3/common/discover.c
patching file vyatta-dhcp3/common/icmp.c
patching file vyatta-dhcp3/common/lpf.c
Hunk #1 succeeded at 88 (offset 1 line).
Hunk #2 succeeded at 475 (offset 1 line).
patching file vyatta-dhcp3/common/raw.c
patching file vyatta-dhcp3/common/socket.c
patching file vyatta-dhcp3/minires/res_send.c
patching file vyatta-dhcp3/omapip/connection.c
patching file vyatta-dhcp3/omapip/listener.c
Hunk #1 succeeded at 133 (offset 7 lines).
patching file vyatta-dhcp3/omapip/mrtrace.c
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.1.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2F:67:70:6B:6B:76:36:72;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:A0:39:EE:87:9F:54;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 1.1.1.1
name-server 1.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
Comment vous arrivez à obtenir de telles vitessesEn n'utilisant aucune fonction qui désactive l'accélération matérielle du routeur.
Dès que j'active du QoS, du Bonding ou OpenVPN, les vitesses s'effondrentNormal, pas d'offload pour le routage/NAT si QoS ou Bonding, pas d'offload pour le chiffrement si OpenVPN (l'offload c'est uniquement pour IPSEC).
En n'utilisant aucune fonction qui désactive l'accélération matérielle du routeur.Je vais reprendre de zéro avec un ipsec, et tant pis pour le qos
Normal, pas d'offload pour le routage/NAT si QoS ou Bonding, pas d'offload pour le chiffrement si OpenVPN (l'offload c'est uniquement pour IPSEC).
Voici la configuration de base, sans Livebox (donc pas de téléphone), qui a les caractéristiques suivantes:
- Fonctionne en DHCP, IPv4 uniquement.
- ONT connecté à ETH1
- Réseau "DATA" connecté sur eth0
- Réseau dédié pour le(s) decodeur(s) TV sur eth2. Il est possible de les mettre sur eth0 également, dans ce cas il faut modifier la configuration d'igmp-proxy, en passant le role de eth2 à "disabled" et celui d'eth0 à "downstream"
- Adaptée au firmware 1.9.1. Ne fonctionnera pas sur les firmwares précédents.
Etapes:
- Remplacer /sbin/dhclient3 par la version liée à ce message, s'assurer que le propriétaire est root, groupe root, droits 755
- Copier le fichier rfc3442-classless-routes.sh dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d (et supprimer l'extension .sh qui a été rajoutée par le forum lors de l'upload) , s'assurer que le propriétaire est root, groupe root, droits 755
- Pour les firmwares antérieurs à 1.10, Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl: Il faut rechercher la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n"; et rajouter juste au dessous $output .= "option rfc3118-auth code 90 = string;\n\n";. Ca doit donner ca:
Code: [Sélectionner]$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
A partir du firmware 1.10, cette étape 3 n'est plus nécessaire, et doit être remplacé par l'exécution de la commande de configuration ci-dessous (en mode configure donc. Cela doit être fait après avoir chargé le fichier de configuration définitif (donc après l'étape 3 à la fin de ce message):Code: [Sélectionner]set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
Avant d'aller plus loin, il est temps de rebooter pour s'assurer que le routeur démarre toujours bien. Ensuite, éditer le fichier config.orange.txt joint. Attention, sous Windows n'utilisez pas le Bloc-Notes (Notepad), mais un éditeur capable de préserver les caractères de fin de ligne Unix, comme Notepad++ (gratuit):
- Remplacer les XX:XX... par votre identifiant "fti/xxxxxx" encodé en hexadécimal
- Remplacer les YY:YY:YY... par l'adresse mac de votre Livebox (pas le décodeur, le modem)
- Copier le fichier sur le routeur, remplacer la configuration existante à l'aide des commandes ci-dessous:
Code: [Sélectionner]configure
load config.orange.txt
Le routeur devrait redémarrer et la connexion s'effectuer.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians disable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.254/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:xxxxxxx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:A4:xxxxx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 10.73.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 10.73.75.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name IKEV2_DHCP_Server {
authoritative disable
subnet 10.73.74.1/24 {
default-router 10.73.74.1
dns-server 10.73.74.1
lease 86400
start 10.73.74.230 {
stop 10.73.74.243
}
}
}
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.254
lease 86400
ntp-server 192.168.0.254
start 192.168.0.2 {
stop 192.168.0.250
}
static-mapping srv1-int {
ip-address 192.168.0.251
mac-address 00:0c:29:5d:f4:cb
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 10.73.75.0/24 {
default-router 10.73.75.1
dns-server 10.73.75.1
lease 86400
ntp-server 10.73.75.1
start 10.73.75.100 {
stop 10.73.75.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1.832 {
service custom-NoIP {
host-name mondns.ddns.net
login moi@gmail.com
password ****************
protocol noip
server dynupdate.no-ip.com
}
web dyndns
}
}
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 1080
https-port 1443
listen-address 192.168.0.254
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
domain-name mondomain.net
host-name erl
login {
user root {
authentication {
encrypted-password ****************
plaintext-password ****************
}
level admin
}
user ubnt {
authentication {
encrypted-password ****************
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding disable
vlan disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ****************
url http://http.us.debian.org/debian/
username ""
}
}
static-host-mapping {
host-name srv1-int {
alias monadress.monsite.com
inet 192.168.0.251
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
task-scheduler {
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
lan-interface eth0
rule 1 {
description https
forward-to {
address 192.168.0.251
port 443
}
original-port 443
protocol tcp
}
rule 2 {
description http
forward-to {
address 192.168.0.251
port 80
}
original-port 80
protocol tcp
}
port-forward {
auto-firewall enable
hairpin-nat disable
lan-interface eth0
rule 1 {
description https
forward-to {
address 192.168.0.202
port 443
}
original-port 8443
protocol tcp
}
rule 2 {
description http
forward-to {
address 192.168.0.251
port 80
}
original-port 81
protocol tcp
}
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.0.254/24 u/u LAN_ETH0
eth1 - u/u ISP
eth1.832 81.249.xxx.xxx/21 u/u ISP_DATA
eth1.838 10.52.3.161/27 u/u ISP_TV_VOD
eth1.840 10.73.255.254/32 u/u ISP_TV_STREAM
eth2 10.73.75.1/24 u/D LAN_ETH2
lo 127.0.0.1/8 u/u
::1/128
Description: https443
Inbound Interface: eth0
Translation Address: 192.168.1.10
Translation Port: 443
Protocol: TCP
Destination Address: 203.0.113.1
Destination Port: 443
Dans les règles il faut définir l’@Ip public et j’ai pas trouvé comment lui dire de prendre la résolution dyndns.Euh, non...
firewall {
...
name WAN_IN {
...
rule 100 {
action accept
description wfrontend-1
destination {
address 192.168.70.11
port 80,443
}
log disable
protocol tcp
}
...
}
...
service {
...
nat {
...
rule 140 {
description "DEST: WAN/T80 -> WFRONTEND-1/T80 (WEB CLNT)"
destination {
port 80
}
inbound-interface eth1.832
inside-address {
address 192.168.70.11
port 80
}
log disable
protocol tcp
type destination
}
rule 141 {
description "DEST: WAN/T443 -> WFRONTEND-1/T443 (WEB CLNT)"
destination {
port 443
}
inbound-interface eth1.832
inside-address {
address 192.168.70.11
port 443
}
log disable
protocol tcp
type destination
}
...
}
...
}
Euh, non...Code: [Sélectionner]firewall {
...
name WAN_IN {
...
rule 100 {
action accept
description wfrontend-1
destination {
address 192.168.70.11
port 80,443
}
log disable
protocol tcp
}
...
}
...
service {
...
nat {
...
rule 140 {
description "DEST: WAN/T80 -> WFRONTEND-1/T80 (WEB CLNT)"
destination {
port 80
}
inbound-interface eth1.832
inside-address {
address 192.168.70.11
port 80
}
log disable
protocol tcp
type destination
}
rule 141 {
description "DEST: WAN/T443 -> WFRONTEND-1/T443 (WEB CLNT)"
destination {
port 443
}
inbound-interface eth1.832
inside-address {
address 192.168.70.11
port 443
}
log disable
protocol tcp
type destination
}
...
}
...
}
Edit: Ok, je comprends que l'IP publique est nécessaire pour que l'HAIRPIN fonctionne, et je n'utilise par hairpin.
Accessoirement, il doit être possible d'utiliser le groupe dynamique "NETv4_eth1.832" à la place de l'adresse destination (destination group X au lieu de destination address X), NETv4_eth1.832 étant mis à jour automatiquement avec l'adresse attribuée à eth1.832 ;)
rule 2 {
description "DEST: WAN/T443 -> WFRONTEND-1/T443 (WEB CLNT)"
destination {
port 9443
}
inbound-interface eth1.832
inside-address {
address 192.168.0.202
port 443
}
log disable
protocol tcp
type destination
}
En n'utilisant aucune fonction qui désactive l'accélération matérielle du routeur.
Normal, pas d'offload pour le routage/NAT si QoS ou Bonding, pas d'offload pour le chiffrement si OpenVPN (l'offload c'est uniquement pour IPSEC).
Un serveur VPN situé sur une machine derrière le routeur ne désactive évidemment pas l'offload du routeur...
Si même dans ces cas là il y a des problèmes de perf, alors le routeur n'est pas en cause (perso je regarderais du coté de la MTU et m'assurerais que la machine serveur VPN clampe bien le MSS des sessions TCP montées à travers le tunnel, afin d'éviter la fragmentation).
MTU = 1500 - l'overhead dû à OpenVPN (que je ne connais pas). Ensuite enlever encore 40 octets pour obtenir le MSS...
It varies depending on options. With a TUN-style tunnel over UDP using
the default TLS options, the per-packet overhead is:
41 bytes security layer overhead (includes packet tag (1), HMAC-SHA1
signature (20), initialization vector (16), sequence number (4))
28 bytes tunneling overhead (includes IP + UDP header)
Total: 69 bytes per packet
If your data stream is compressible, you can potentially gain back all of
this overhead.
16:54:10.027969 IP 192.168.0.254.58733 > 192.168.0.202.443: Flags [P.], seq 7047:7724, ack 64766, win 4096, options [nop,nop,TS val 725341875 ecr 1393096858], length 677
16:54:10.032307 IP 192.168.0.254.51410 > 192.168.0.202.443: Flags [S], seq 3876331547, win 29200, options [mss 1460,sackOK,TS val 19856685 ecr 0,nop,wscale 7], length 0
16:54:10.033057 IP 192.168.0.254.51410 > 192.168.0.202.443: Flags [.], ack 1903322113, win 229, options [nop,nop,TS val 19856685 ecr 1393102380], length 0
16:54:10.037817 IP 192.168.0.254.51412 > 192.168.0.202.443: Flags [S], seq 3989155136, win 29200, options [mss 1460,sackOK,TS val 19856686 ecr 0,nop,wscale 7], length 0
16:54:10.038466 IP 192.168.0.254.51412 > 192.168.0.202.443: Flags [.], ack 3761573308, win 229, options [nop,nop,TS val 19856687 ecr 1393102385], length 0
16:54:10.038635 IP 192.168.0.254.59020 > 192.168.0.202.443: Flags [P.], seq 1378:2067, ack 44223, win 4096, options [nop,nop,TS val 725341883 ecr 1393096738], length 689
16:54:10.058550 IP 192.168.0.254.51418 > 192.168.0.202.443: Flags [S], seq 3462102175, win 29200, options [mss 1460,sackOK,TS val 19856692 ecr 0,nop,wscale 7], length 0
16:54:10.059540 IP 192.168.0.254.51418 > 192.168.0.202.443: Flags [.], ack 3148213592, win 229, options [nop,nop,TS val 19856692 ecr 1393102406], length 0
16:54:10.208501 IP 192.168.0.254.51412 > 192.168.0.202.443: Flags [F.], seq 843, ack 52363, win 1046, options [nop,nop,TS val 19856729 ecr 1393102555], length 0
16:54:10.211359 IP 192.168.0.254.51410 > 192.168.0.202.443: Flags [F.], seq 844, ack 25812, win 631, options [nop,nop,TS val 19856730 ecr 1393102558], length 0
16:54:10.220329 IP 192.168.0.254.51418 > 192.168.0.202.443: Flags [F.], seq 843, ack 53341, win 1086, options [nop,nop,TS val 19856732 ecr 1393102567], length 0
16:54:14.327090 IP 192.168.0.254.59141 > 192.168.0.202.443: Flags [P.], seq 4545:5379, ack 53663, win 4096, options [nop,nop,TS val 725346113 ecr 1393105543], length 834
16:54:15.242221 IP 192.168.0.254.59140 > 192.168.0.202.443: Flags [P.], seq 7047:7724, ack 63867, win 4096, options [nop,nop,TS val 725347017 ecr 1393102574], length 677
16:54:15.248892 IP 192.168.0.254.51484 > 192.168.0.202.443: Flags [S], seq 3745140838, win 29200, options [mss 1460,sackOK,TS val 19857989 ecr 0,nop,wscale 7], length 0
16:54:15.249704 IP 192.168.0.254.51484 > 192.168.0.202.443: Flags [.], ack 2159159020, win 229, options [nop,nop,TS val 19857989 ecr 1393107597], length 0
16:54:15.259969 IP 192.168.0.254.51486 > 192.168.0.202.443: Flags [S], seq 2451841094, win 29200, options [mss 1460,sackOK,TS val 19857992 ecr 0,nop,wscale 7], length 0
16:54:15.260734 IP 192.168.0.254.51486 > 192.168.0.202.443: Flags [.], ack 211031295, win 229, options [nop,nop,TS val 19857992 ecr 1393107608], length 0
16:54:15.272242 IP 192.168.0.254.51490 > 192.168.0.202.443: Flags [S], seq 2435131780, win 29200, options [mss 1460,sackOK,TS val 19857995 ecr 0,nop,wscale 7], length 0
16:54:15.273028 IP 192.168.0.254.51490 > 192.168.0.202.443: Flags [.], ack 2347949326, win 229, options [nop,nop,TS val 19857995 ecr 1393107620], length 0
16:54:15.353604 IP 192.168.0.254.51486 > 192.168.0.202.443: Flags [F.], seq 844, ack 25831, win 635, options [nop,nop,TS val 19858015 ecr 1393107700], length 0
16:54:15.363901 IP 192.168.0.254.51484 > 192.168.0.202.443: Flags [F.], seq 843, ack 52340, win 1067, options [nop,nop,TS val 19858018 ecr 1393107711], length 0
16:54:15.433131 IP 192.168.0.254.51490 > 192.168.0.202.443: Flags [F.], seq 843, ack 53140, win 1058, options [nop,nop,TS val 19858035 ecr 1393107780], length 0
16:54:21.314665 IP 192.168.0.254.59010 > 192.168.0.202.443: Flags [P.], seq 7047:7724, ack 62938, win 4096, options [nop,nop,TS val 725353029 ecr 1393107718], length 677
16:54:21.317202 IP 192.168.0.254.51568 > 192.168.0.202.443: Flags [S], seq 448661599, win 29200, options [mss 1460,sackOK,TS val 19859506 ecr 0,nop,wscale 7], length 0
16:54:21.317815 IP 192.168.0.254.51568 > 192.168.0.202.443: Flags [.], ack 3841255966, win 229, options [nop,nop,TS val 19859506 ecr 1393113665], length 0
16:54:21.318590 IP 192.168.0.254.51570 > 192.168.0.202.443: Flags [S], seq 390463237, win 29200, options [mss 1460,sackOK,TS val 19859507 ecr 0,nop,wscale 7], length 0
16:54:21.319303 IP 192.168.0.254.51570 > 192.168.0.202.443: Flags [.], ack 2421987237, win 229, options [nop,nop,TS val 19859507 ecr 1393113666], length 0
16:54:21.328264 IP 192.168.0.254.51576 > 192.168.0.202.443: Flags [S], seq 76474675, win 29200, options [mss 1460,sackOK,TS val 19859509 ecr 0,nop,wscale 7], length 0
16:54:21.329129 IP 192.168.0.254.51576 > 192.168.0.202.443: Flags [.], ack 84588985, win 229, options [nop,nop,TS val 19859509 ecr 1393113676], length 0
16:54:21.451863 IP 192.168.0.254.51568 > 192.168.0.202.443: Flags [F.], seq 844, ack 25886, win 632, options [nop,nop,TS val 19859540 ecr 1393113798], length 0
16:54:21.471575 IP 192.168.0.254.51576 > 192.168.0.202.443: Flags [F.], seq 843, ack 52954, win 1072, options [nop,nop,TS val 19859545 ecr 1393113818], length 0
16:54:21.487378 IP 192.168.0.254.51570 > 192.168.0.202.443: Flags [F.], seq 843, ack 52225, win 1045, options [nop,nop,TS val 19859549 ecr 1393113834], length 0
16:54:27.235951 IP 192.168.0.254.51642 > 192.168.0.202.443: Flags [S], seq 3954848893, win 29200, options [mss 1460,sackOK,TS val 19860986 ecr 0,nop,wscale 7], length 0
16:54:27.236628 IP 192.168.0.254.51642 > 192.168.0.202.443: Flags [.], ack 1729033459, win 229, options [nop,nop,TS val 19860986 ecr 1393119583], length 0
16:54:27.237837 IP 192.168.0.254.58733 > 192.168.0.202.443: Flags [P.], seq 14094:14771, ack 121105, win 4096, options [nop,nop,TS val 725358883 ecr 1393113824], length 677
16:54:27.242354 IP 192.168.0.254.59020 > 192.168.0.202.443: Flags [P.], seq 3445:4134, ack 91552, win 4096, options [nop,nop,TS val 725358886 ecr 1393113706], length 689
16:54:27.244434 IP 192.168.0.254.58787 > 192.168.0.202.443: Flags [P.], seq 2024676476:2024677165, ack 4164201617, win 4096, options [nop,nop,TS val 725358888 ecr 1393074445], length 689
16:54:27.254915 IP 192.168.0.254.51648 > 192.168.0.202.443: Flags [S], seq 2196123898, win 29200, options [mss 1460,sackOK,TS val 19860991 ecr 0,nop,wscale 7], length 0
16:54:27.255534 IP 192.168.0.254.51650 > 192.168.0.202.443: Flags [S], seq 2089012412, win 29200, options [mss 1460,sackOK,TS val 19860991 ecr 0,nop,wscale 7], length 0
16:54:27.255739 IP 192.168.0.254.51648 > 192.168.0.202.443: Flags [.], ack 653830817, win 229, options [nop,nop,TS val 19860991 ecr 1393119602], length 0
16:57:01.202563 IP 192.168.0.254.59588 > 192.168.0.202.443: Flags [.], ack 121202, win 4075, options [nop,nop,TS val 725511087 ecr 1393273548], length 0
16:57:05.029200 IP 77.136.86.99.56582 > 192.168.0.202.443: Flags [S], seq 3736710439, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362219003 ecr 0,sackOK,eol], length 0
16:57:05.088101 IP 77.136.86.99.56582 > 192.168.0.202.443: Flags [.], ack 2157186025, win 2053, options [nop,nop,TS val 362219065 ecr 1393277377], length 0
16:57:05.480723 IP 77.136.86.99.56583 > 192.168.0.202.443: Flags [S], seq 1617449656, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362220723 ecr 0,sackOK,eol], length 0
16:57:05.540853 IP 77.136.86.99.56583 > 192.168.0.202.443: Flags [.], ack 619757697, win 2053, options [nop,nop,TS val 362220797 ecr 1393277828], length 0
16:57:06.000626 IP 77.136.86.99.56585 > 192.168.0.202.443: Flags [S], seq 4260832080, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362219947 ecr 0,sackOK,eol], length 0
16:57:06.029060 IP 192.168.0.254.59532 > 192.168.0.202.443: Flags [P.], seq 17261:17938, ack 181818, win 4096, options [nop,nop,TS val 725515854 ecr 1393257550], length 677
16:57:06.063872 IP 77.136.86.99.56585 > 192.168.0.202.443: Flags [.], ack 31711620, win 2053, options [nop,nop,TS val 362220021 ecr 1393278348], length 0
16:57:06.164891 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [S], seq 1601314686, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362220111 ecr 0,sackOK,eol], length 0
16:57:06.210696 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [.], ack 2995356320, win 2053, options [nop,nop,TS val 362220179 ecr 1393278512], length 0
16:57:06.368482 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [S], seq 1529170312, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362220302 ecr 0,sackOK,eol], length 0
16:57:06.428263 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [.], ack 2570950360, win 2053, options [nop,nop,TS val 362220372 ecr 1393278716], length 0
16:57:08.336770 IP 192.168.0.254.59020 > 192.168.0.202.443: Flags [P.], seq 59930:60764, ack 600396, win 4096, options [nop,nop,TS val 725518139 ecr 1393279655], length 834
16:57:09.662417 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [F.], seq 2801, ack 3182, win 2048, options [nop,nop,TS val 362223591 ecr 1393280491], length 0
16:57:09.796964 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [F.], seq 2801, ack 3183, win 2048, options [nop,nop,TS val 362223646 ecr 1393282010], length 0
16:57:12.947719 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [F.], seq 1979, ack 2392, win 2048, options [nop,nop,TS val 362226868 ecr 1393284040], length 0
16:57:13.007453 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [F.], seq 1979, ack 2393, win 2048, options [nop,nop,TS val 362226908 ecr 1393285288], length 0
16:57:16.189458 IP 192.168.0.254.59588 > 192.168.0.202.443: Flags [P.], seq 14650:15484, ack 177510, win 4096, options [nop,nop,TS val 725525898 ecr 1393287564], length 834
16:57:17.828569 IP 77.136.86.99.56583 > 192.168.0.202.443: Flags [.], ack 226169, win 2048, options [nop,nop,TS val 362233033 ecr 1393289968,nop,nop,sack 2 {230363:233159}{227567:228965}], length 0
16:57:17.911860 IP 77.136.86.99.56589 > 192.168.0.202.443: Flags [S], seq 2685903738, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362231750 ecr 0,sackOK,eol], length 0
16:57:17.912504 IP 77.136.86.99.56588 > 192.168.0.202.443: Flags [S], seq 3641653844, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362231750 ecr 0,sackOK,eol], length 0
16:57:17.957249 IP 77.136.86.99.56588 > 192.168.0.202.443: Flags [.], ack 2217011095, win 2053, options [nop,nop,TS val 362231821 ecr 1393290260], length 0
16:57:17.964891 IP 77.136.86.99.56589 > 192.168.0.202.443: Flags [.], ack 3916583817, win 2053, options [nop,nop,TS val 362231821 ecr 1393290259], length 0
16:57:20.071704 IP 192.168.0.254.59532 > 192.168.0.202.443: Flags [.], ack 232301, win 4005, options [nop,nop,TS val 725529724 ecr 1393292417], length 0
Bon mon soucis que je pensais résolut de nat 443 est revenu et impossible de revenir sur une version fonctionnelle.
Le downgrade de firmware est t'il possible sur les EdgeRouter par exemple 1.10.5 > v1.9.7+hotfix.3
Je vois qu'une version 1.10.6 est déjà disponible. Mais comme elle touche au dns, il faudra probablement patienter.
Peut-être que c'est l'interface web du routeur qui occupe le 443 de ton IP public ou dis autrement : est-ce que tu as rendu l'interface web du routeur accessible depuis internet?
Edit: a lu les messages précédent.
Edit2: je sais pas lire le tcpdump mais ce que je vois c'est que quand ça marche pas ton IP de départ est 192.168.0.254 mais que quand ça fonctionne ton IP de départ est 77.136.86.99 et de mon expérience, attaquer un NAT depuis une IP LAN... c'est un cas compliqué que je résous à coup de résolveur DNS menteur ^^
138 6080 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.121 tcp dpt: 80
56 3052 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.122 tcp dpt: 80
5 244 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.121 tcp dpt: 443
0 0 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.122 tcp dpt: 443
0 0 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.200 tcp dpt: 8096
0 0 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.200 tcp dpt: 8920
upnp2 {
acl {
rule 103 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description Allow
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
listen-on eth3.66
nat-pmp enable
secure-mode enable
wan eth1.832
}
Ah, UPnP... Je n'y aurais pas pensé. Chez moi j'ai des règles qui empêchent l'assignation de tous les ports < 1024 et IPSEC NAT-T (et ainsi que quelques autres, supprimées de la config ci-dessous, pour des ports non privilégiés bien particuliers).Code: [Sélectionner]upnp2 {
acl {
rule 103 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description Allow
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
listen-on eth3.66
nat-pmp enable
secure-mode enable
wan eth1.832
}
firewall {
# Autoriser les requêtes ICMP (ping,echo,...)
all-ping enable
# On interdit la version broadcastée, faudrait pas qu'on aide des zozos à faire planter le réseau d'orange
broadcast-ping disable
# Empêche une technique de dissimulation de vilains pirates
ip-src-route disable
# Logger les packets qui ne devrait pas exister
# car c'est peut-etre une erreur de config grave
log-martians enable
# Par défaut, le firewall refuse tout
# mais on accepte :
# - les packets de connexions déjà établies
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
# Par défaut, le firewall refuse tout
# mais on accepte :
# - les packets de connexions déjà établies
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
# On ignore les conseils de routage des autres routeurs
receive-redirects disable
# par contre, on se permet d'en donner (alias fait-ce-que-je-dis-pas-ce-que-je-fais)
send-redirects enable
# Pour interdire le spoofing d'ip depuis chez moi: http://www.bortzmeyer.org/3704.html
# pas sur que ça fonctionne avec un PAT
source-validation disable
# Evite de se faire DoS par remplissage de la pile TCP: https://fr.wikipedia.org/wiki/SYN_cookie
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address dhcp
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
# Dans cette section, on s'occupe que des trames taggés 832
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
# On explique une nouvelle option au client DHCP
global-option "option rfc3118-auth code 90 = string;"
# pour faire croire que le EdgeRouter est une Livebox
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
# On envoie son identifiant
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:blabla;"
# on dit au serveur DHCP ce qu'on attend
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
# On dit à notre routeur de prendre en compte ce que raconte le serveur
# DHCP et de retenir l'IP de la passerelle qu'il a fournit
default-route update
default-route-distance 210
# pareil mais pour le DNS à utiliser
name-server update
}
# Si on a des packets taggés "prioritaires" alors on leur enlève leur priorité
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
# on associe les livres de régles firewall en fonction du sens du traffic
firewall {
# Packets à forwarder entrant
# Parce que le NAT intervient avant le firewall
in {
name WAN_IN
}
# Packets destinés spécifiquement au routeur
# Par exemple, pour le service de DNS forwarding
local {
name WAN_LOCAL
}
}
}
}
ethernet eth2 {
disable
}
ethernet eth3 {
disable
}
loopback lo {
}
}
- à quoi sert le module conntrack? A tenir une table des connections tcp qui passent par le routeur, certes, mais pourquoi?Pas que TCP, toutes.
- pourquoi default-route-distance à 210?Aucune idée, c'est la valeur par défaut dans EdgeOS.
- pourquoi enlever les prio (egress-qos)? Dans quel scénarios, des paquets CoS>0 peuvent apparaître?On n'enlève pas de prio. La valeur par défaut est "0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0". Sur le VLAN 832, on se contente donc de mettre la CoS 6 pour le SKB 6 (pour DHCP).
- pourquoi hwnat disable?Parce que mon fichier de configuration est pour un EdgeRouter sur architecture Cavium (ERL, etc...), pas MediaTek (ER-X).
- est ce que le dhclient3 patché ne sert que pour mettre la CoS à 6 ou aussi pour la RFC3442 ou d'autres choses? où puis-je trouver le patch (ou les sources)?Uniquement CoS.
- le script rfc3442-classless-routes à l'air d'ajouter des routes statiques, à quoi servent t-elles?Il faut demander à Orange ;). Ces routes sont dans la réponse DHCP sur le VLAN 838.
Il faut demander à Orange ;). Ces routes sont dans la réponse DHCP sur le VLAN 838.
Quoi qu'il est soit elle sont (étaient ? un autre fil semble dire que tout marche sans maintenant) nécessaires au bon fonctionnement de l'ensemble des services TV (Replay, VOD...).
Ah, UPnP... Je n'y aurais pas pensé. Chez moi j'ai des règles qui empêchent l'assignation de tous les ports < 1024 et IPSEC NAT-T (et ainsi que quelques autres, supprimées de la config ci-dessous, pour des ports non privilégiés bien particuliers).Code: [Sélectionner]upnp2 {
acl {
rule 103 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description Allow
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
listen-on eth3.66
nat-pmp enable
secure-mode enable
wan eth1.832
}
Pour ma part, je confirme que tous les services TV fonctionnent par le vlan 832, j'ai supprimé tout ce qui concerne le VLAN 838.Cela a l'air récent (cet été ?). J'en parlais ici (https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg572405/#msg572405) suite à la réalisation d'une conf la semaine dernière.
C'est d'ailleurs ce que rapportent les livebox dans la page de diagnostic TV, les services sont désormais en vlan 832 (partout ? depuis quand?).
Le direct multicast reste évidemment en 840.
tar x -C /config -f /home/ubnt/orange-autoconf.tgz
vi /config/orange.autoconf/install.properties
/config/orange.autoconf/install.sh
#!/bin/sh -e
DESTFILE=/sbin/dhclient3.old
if [ -f "$DESTFILE" ]
then
echo "Patched dhclient already there"
exit 0
fi
mv /sbin/dhclient3 /sbin/dhclient3.old
cp /config/packages/dhclient3 /sbin/dhclient3
chmod 755 /sbin/dhclient3
Dans ce cas je suggère de carrèment faire un wizard pour l'interface graphique ;) (il doit y avoir de la doc et/ou des exemples sur le site d'ubnt).
Pour ma part, je confirme que tous les services TV fonctionnent par le vlan 832, j'ai supprimé tout ce qui concerne le VLAN 838.Bonjour,
C'est d'ailleurs ce que rapportent les livebox dans la page de diagnostic TV, les services sont désormais en vlan 832 (partout ? depuis quand?).
Le direct multicast reste évidemment en 840.
En attendant qu'on prépare un générateur...
hello tout le monde
comme vous j'ai eu le souci pour mon routeur
n'ayant pas reussi à executer liveboxinfo (il me lance un docteur watson systématiquement)
quelqu'un peut il expliquer comment on récupère la chaine dans wireshark ? (un lien me convient aussi :))
thanks
Tu peux changer d'IP tout les jours que ça ne remet pas ton compteur Hadopi à zéro. C'est pas ton IP qui prend une amende mais le détenteur de l'IP à un instant donné.
Ceux qui sont sur une version 1.10.x fonctionnelle vous êtes sur quelle version précisèment ? Impossible pour moi d'obtenir une IP depuis le passage en 1.10.6 depuis 1.8.0.
Comme dit plus haut dans le thread l'authentification a changée tu dois utiliser maintenant ce format pour l'option 90:Oui c'est ce que j'ai fait, j'ai essayé avec la chaine obtenue avec LiveboxInfos et en la faisant a la main mais toujours impossible d'obtenir une IP. J'ai le GS108T entre l'ONT et l'ERL pour la CoS.
00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
Ne pas oublier le ; à la fin ... j'ai perdu un bout de temps avec ce ; :PC'est aussi fait. Le fichier de config qui fonctionnait en 1.8 ne fonctionne plus en 1.10.6 ...
Ceux qui sont sur une version 1.10.x fonctionnelle vous êtes sur quelle version précisèment ? Impossible pour moi d'obtenir une IP depuis le passage en 1.10.6 depuis 1.8.0.C'est parce que tu n'as pas lu mon tuto mis à jour et qui indique ce qu'il faut faire à la place de la modification de vyatta-interfaces.pl (qui n'est plus utilisé depuis la version 1.10.0).
C'est parce que tu n'as pas lu mon tuto mis à jour et qui indique ce qu'il faut faire à la place de la modification de vyatta-interfaces.pl (qui n'est plus utilisé depuis la version 1.10.0).J'ai bien suivi ton tuto à jour, j'avais même essayé avec ton fichier config.orange.txt, mais en copiant une ligne de mon ancienne config j'avais encore "send rfc3118-authentication 00:xx" (des anciens tutos) au lieu de "send rfc3118-auth 00:xx"...
J'ai bien suivi ton tuto à jour, j'avais même essayé avec ton fichier config.orange.txt, mais en copiant une ligne de mon ancienne config j'avais encore "send rfc3118-authentication 00:xx" (des anciens tutos) au lieu de "send rfc3118-auth 00:xx"...
A force d'avoir le nez dedans on ne voit plus les erreurs simples ! Du coup tout fonctionne pour moi avec 1.10.6 !
Alternativement, si je trouve un ami pour m’expédier le routeur Ubiquiti par la poste, est-ce que je pourrais changer la configuration où il faut absolument que je sois sur le site de l’installation de la box Orange pour sniffer et modifier la chaine d’authentification ?je n'ai pas sniffer, j'ai utilisé liveboxinfo pour recuperer le necessaire. mais il faut quand meme que la livebox soit brancher et allumé pour ca
Ok, donc je comprends que ce que tu veux faire, c'est générer le fichier de config. Dans ce cas je suggère de carrèment faire un wizard pour l'interface graphique ;) (il doit y avoir de la doc et/ou des exemples sur le site d'ubnt).
Sinon, je confirme que les scripts qui sont dans le dossier /config/scripts/firstboot.d sont exécutés automatiquement lors du premier reboot sur un nouveau firmware. Exemple de ce que j'ai chez moi:Code: [Sélectionner]#!/bin/sh -e
DESTFILE=/sbin/dhclient3.old
if [ -f "$DESTFILE" ]
then
echo "Patched dhclient already there"
exit 0
fi
mv /sbin/dhclient3 /sbin/dhclient3.old
cp /config/packages/dhclient3 /sbin/dhclient3
chmod 755 /sbin/dhclient3
Un éditeur Windows qui rajoute trop de retour chariot >:( \r \n
Ayant un switch Netgear GS724Tv4, j'ai commencé par mettre un port fibre et un port RJ45 dans un VLAN non taggé (VLAN 10 par exemple).Hum en gros tu veux faire du VLAN Q-in-Q ?
Puis j'ai mis le SFP d'Orange dans le port fibre VLAN 10, avec l'arrivée fibre branchée dessus. (On verra si c'est compatible.)
Ensuite je suis sorti en Ethernet du port RJ45 VLAN 10 pour me brancher sur le port WAN de l'ERL.
Comme ça il joue le rôle de convertisseur optique-cuivre.
- les données à modifier pour le nouveau format d'authentification ;
Hum en gros tu veux faire du VLAN Q-in-Q ?Ben en fait, mes souvenirs de réseaux étaient trop loin je pense... ::)
Là on dirait que tu relie simplement le VLAN 10 sur les 2 interfaces : reste encore à faire passer les autres VLANs... Sinon un truc plus simple : tu mets les VLANs 835 851 etc... sur ton port SFP & sur le port de sortie RJ45 qui mène au WAN, (comme tu l'a fait pour le VLAN10), ces 2 ports en trunk; le reste des ports du switch, non tagués (ou selon ta config si tu a plusieurs subnet). Terminé.
Ce nouveau format d'auth concerne l'option 90 de DHCP : PPPOE n'est pas impacté.Ok, merci de l'info ! Et je confirme, ancienne authentification utilisée et ça fonctionne. :)
Idem, toujours la même chaine depuis le 26 septembre.
Quelqu'un a déjà fait des tests avec nos connexions Orange ?
Hello
Je vois que les edgerouter on une version 2 du firmware (alpha)
https://community.ubnt.com/t5/EdgeMAX-Beta-Blog/New-EdgeRouter-firmware-2-0-0-alpha-3-has-been-released/ba-p/2489426
Quelqu'un a déjà fait des tests avec nos connexions Orange ?
interfaces {
ethernet eth0 {
address 192.168.0.254/24
description LAN_ETH0
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description ISP
duplex auto
mtu 1500
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
# Nouvelle chaine authentification Orange fti/xxxxxx en hexa + MD5(RANDCHAR + PASSWORD + RANDSTRING)
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
# On a maintenant une Livebox4
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
mtu 1500
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
# On a maintenant un decodeur 4
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
# Avec YY:YY:YY:YY:YY:YY = @MAC de la Livebox
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LIVEBOX
duplex auto
speed auto
vif 832 {
address 192.168.254.254/24
description Voip
}
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.254
lease 86400
ntp-server 192.168.0.254
start 192.168.0.100 {
stop 192.168.0.200
}
static-mapping ORANGE-TV {
ip-address 192.168.0.10
# @MAC du décodeur TV
mac-address YY:YY:YY:YY:YY:YY
# DNS Orange
static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
# Option 125
# YY:YY:YY:YY:YY:YY 3 Premiers Octects @MAC de la Livebox4 en hexa
# XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX Serial Number de la Livebox4 en Hexa
# ZZ Version de la livebox en hexa (33 V3, 34 V4)
static-mapping-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:ZZ;"
}
}
}
shared-network-name LAN_ETH2_LIVEBOX {
authoritative enable
subnet 192.168.254.0/24 {
default-router 192.168.254.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.254.21 {
stop 192.168.254.200
}
static-mapping Livebox {
ip-address 192.168.254.1
# @MAC de la Livebox4
mac-address YY:YY:YY:YY:YY:YY
}
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
}
}
}
}
Livebox play = Livebox 3...
Ca devrait donc marcher avec 33 à la fin au lieu de 34...
Bon sinon accessoirement chez moi comme je l’ai dit sur l’autre sujet, mon décodeur TV4 ne récupère plus d’IP dès que je mets ça en place...
je n’ai pas encore chercheé à sniffer ce que la LB envoie au décodeur pour comparer à la config de mon ER4 (c’est un peu plus compliqué à mettre en place, il me faut un switch avec port mirroring et que je coupe la TV, pas envisageable le WE, où alors il faut que j’éjecte femme et enfant de la maison ;D).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:BLA:BLA;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:MAC:LIVEBOX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping ORANGE-TV {
ip-address 192.168.1.201
mac-address MAC:BOX:TV
static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
static-mapping-parameters "option Vendor-specific FAIT:COMME:IL:A:DIT:LE:MONSIEUR:AVEC:33:A:LA:FIN;"
}
}
}
shared-network-name LAN_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
static-mapping Livebox {
ip-address 192.168.2.201
mac-address MAC:LIVEBOX
}
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password blablablablabla
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098915.180622.1355 */
Bon je vais tourner chèvre, j'ai fait plusieurs essais, toujours rien, l'ip attribuée à la box TV ne répond même pas (et elle est bien branchée, au premier allumage elle a téléchargée une màj).
Si quelqu'un voit mon erreur... Je vais me consoler dans une Affligem !
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:MAC:LIVEBOX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
pour le décodeur TVJ'utilise les alphas depuis la première version sans problème.
Pour le user-class moi j'envoieSalut Skelettor !Code: [Sélectionner]client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
pour le décodeur TV
Ensuite pour le formatage de l'option 125 à envoyer au décodeur TV tu as bien fait attention que c'est 3 premiers octects de la MAC de la Libebox que tu encodes ensuite en Hexa qu'il faut mettre dedans.Oui j'ai bien pris que les 3 premiers octets de ma LB, qui d'ailleurs en tant que LB Play sont : A4:3E:51.
Normalement vu que les 3 premiers octets d'une @MAC correspondent au constructeur c'est la même valeur pour tout le monde, donc pour une Livebox 4 :
- 3 Premiers Octets = 28:9E:FC
- En Hexa = 32:38:39:45:46:43
C'est la même valeur pour tout le monde, donc pour une Livebox 4L'adresse Mac de ma Livebox 4 commence par 24:7f:20...
- 3 Premiers Octets = 28:9E:FC
L'adresse Mac de ma Livebox 4 commence par 24:7f:20...
Je ne peut pas par exemple reboot la Liveboxplay TV avec l'ERL3 sinon pas de TV. Il faut d’abord que je branche la Livebox avec la Liveboxplay TV et que ensuite je branche l'ERL3 pour avoir la TV.2 possibilités à mon avis : Le serveur DHCP de l'ERL n'attribue plus d'IP au décodeur, peut-être parce que la plage allouée à DHCP est trop petite et qu'il n'y a plus d'IP libre. Ou alors la Livebox play TV attend une option que le serveur DHCP de l'ERL ne lui envoie pas (l'option 125 ??). Je n'ai plus de décodeur TV play donc je ne peux pas tester.
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
shared-network-name LAN_ETH1_DHCP ne devrais pas être LAN_ETH2_DHCP plutôt ?On s’en fout, c’est juste un nom. Ca serait MARTINE_FAIT_DU_RESEAU que ça ne changerait rien.
On s’en fout, c’est juste un nom. Ca serait MARTINE_FAIT_DU_RESEAU que ça ne changerait rien.
Voici un résultat (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg586456/#msg586456) fait hier.
Avec une seule connexion mon débit ne décolle pas à plus de 600 meg sur le serveur ping.online.fr et 176 meg sur le serveur bouygues.iperf.frAvez-vous activer l'« offloading » sur le routeur. L'offloading accroît significativement les performances. Sur un routeur ERL, les commandes sont :
Avez-vous activer l'« offloading » sur le routeur. L'offloading accroît significativement les performances. Sur un routeur ERL, les commandes sont :
configure
set system offload ipv4 forwarding enable
set system offload ipv4 gre enable
set system offload ipv4 pppoe enable
set system offload ipv4 vlan enable
set system offload ipv6 forwarding enable
set system offload ipv6 pppoe enable
set system offload ipv6 vlan enable
set system offload ipsec enable
commit ; save
Une note de Ubiquity précise qu'il n'est pas possible d'activer l'offloading pour IPV6 avec PPPoE et VLANs simultanèment. Tout est documenté sur cette page :
https://help.ubnt.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading
Je pense que vous retrouverez ensuite des débits plus réalistes. Si ce n'est pas le cas, il faut trouver le goulot d'étranglement. Si vous avez activé une interface bridge, ça peut également être l'une des causes. Les paquets qui passent par une interface bridge ne sont pas éligibles pour l'offloading.
Je n'ai pas ces débit la avec un seul flux :oPour info, mon test de débit est fait à travers un routeur Linux.
ça m'inquiète du coup... va falloir que je rebranche la LB pour comparer
iperf3 -c bouygues.iperf.fr -R -P12La commande :
le donne bien mon débit attendu
Bridage de Orange parce que je n'utilise pas la LB ? Je dois tester en sortant la LB de son carton
La commande :
show ubnt offload
permet de vérifier l'état du « offload ».
Un avertissement de Ubiquity, « It is important to not use the EdgeRouter as the server or client for iPerf when running the test, as the routers are designed to route/forward traffic and not to generate it ».
En français, on ne doit pas utiliser le routeur en tant que serveur ou client pour les tests iPerf, l'objectif du routeur n'étant pas de générer le trafic mais de l'acheminer et de le transmettre.
J'utilise ce script en python pour tester de temps en temps le débit à partir d'un ordinateur Debian connecté au réseau local :
https://github.com/sivel/speedtest-cli
Si le débit relevé n'est pas conforme à votre attente, il faut chercher la congestion. Ça peut être dû à l'activation du bridge qui dégrade les performances. Ou peut-être le câble ou la carte réseau utilisés qui ne sont pas compatible Gigabit. Mais je ne pense pas que Orange bride volontairement le débit. Difficile de faire un diagnostic sans élèment.
Si vous arrivez à retrouver un débit acceptable, merci de nous faire partager la raison de cette baisse soudaine.
computman@router:~$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: enabled
vlan : enabled
pppoe : disabled
gre : enabled
IPv6
forwarding: enabled
vlan : enabled
pppoe : disabled
IPSec offload module: loaded
Traffic Analysis :
export : disabled
dpi : disabled
version : 1.422
Question con: vous confirmez qu'il faut faire du double NAT (via masquerade vers la box orange) et ajouter une route statique entre le routeur et la box?
J'imagine aussi que le router ne connaissant plus l'IP public il ne pourra plus maintenir la mise à jour DynDNS et que je dois bouger cela vers la box Orange.
WARNING: file /var/cache/ddclient/ddclient_eth0.cache, line 3: Invalid Value for keyword 'ip' = ''Mais en même temps...
WARNING: ddclient[22006]: WARNING: skipping update of DOMAIN.TL from <nothing> to PUB.LIC.IP.ADDR
WARNING: last updated <never> but last attempt on Tue Oct 23 14:56:10 2018 failed
FAILED: updating DOMAIN.TL: good: nosch no change needed: unexpected status ()
J'ai opté pour l'option DHCP entre Livebox et le router (déclaré en DMZ sur la Livebox), pas besoin de route (de toute façon, c'est la route par défaut vers la Livebox).Bonjour, ça ne répond pas à la question posée, mais nouvel inscrit à ce forum « Remplacer sa Livebox par un routeur Ubiquiti Edgemax », je remarque que beaucoup d'entre vous utilisent toujours la livebox dans l'architecture de leur réseau. L'intérêt est de substituer la livebox par une architecture plus souple (routeur, switch, points d'accès wifi, etc.) et surtout se protéger de l'espionage des fournisseurs d'accès (ils peuvent espionner mais c'est plus compliqué quand la livebox (ou autres boxes) n'est pas connectée.
je remarque que beaucoup d'entre vous utilisent toujours la livebox dans l'architecture de leur réseau.Parce qu'il est absolument impossible de s'en passer si on veut utiliser la téléphonie.
Parce qu'il est absolument impossible de s'en passer si on veut utiliser la téléphonie.Merci pour la réponse. J'ai effectivement lu que Orange ne respecte pas les RFC sur SIP et que l'authentification notamment pose un problème sans la livebox. Pourquoi Orange oblige leurs clients à utiliser la livebox s'ils veulent profiter du téléphone inclus dans le forfait ? C'est une question politique qui n'est pas le sujet de ce forum. Je pense qu'ils le font pour surveiller.
Je pense qu'ils le font pour surveiller.La parano ça se soigne... S’ils proposaient un accès SIP « standard », ça ne changerait rien à leur capacité de « surveillance », du moment qu’ils ont la main sur le serveur de téléphonie.
Quelqu'un a t il essayer la 2.0 beta 1 ?
La parano ça se soigne...https://www.lemonde.fr/pixels/article/2017/11/14/les-boites-noires-de-la-loi-sur-le-renseignement-sont-desormais-actives_5214596_4408996.html?
https://www.lemonde.fr/pixels/article/2017/11/14/les-boites-noires-de-la-loi-sur-le-renseignement-sont-desormais-actives_5214596_4408996.html?Elles sont sur le réseau, pas sur les box des clients...
https://www.lemonde.fr/pixels/article/2017/11/14/les-boites-noires-de-la-loi-sur-le-renseignement-sont-desormais-actives_5214596_4408996.html?
Bonjour tout le monde,
J'ai une fenêtre pour aller sur mon site à 6000 km, compte tenu des derniers changements de notre cher opérateur, je vais repasser avec la Livebox et mettre le routeur en DMZ.
Question con: vous confirmez qu'il faut faire du double NAT (via masquerade vers la box orange) et ajouter une route statique entre le routeur et la box?
J'imagine aussi que le router ne connaissant plus l'IP public il ne pourra plus maintenir la mise à jour DynDNS et que je dois bouger cela vers la box Orange.
Toute astuce ou découverte avant que je ne fasse les mêmes erreurs que quelqu'un sera la bienvenue... :-)
Torpi
Hello !
Bon pour info, a priori pour ceux qui comme moi utilisaient la nouvelle option 90 "longue mais courte" pour se connecter (avec le rajout des zéros, mais sans le hash à la fin) : ça ne semble plus fonctionner, j'avais perdu l'IP depuis plus d'une heure, et des reboots ONT/Ubiquiti ne changeait rien.
En passant à la vraie option 90 bien longue, c'est reviendu comme par magie.
Bonne soirée !
Bonjour a tous,
J'ai enfin pu remettre la Livebox 4 a sa place dans le placard a balais ! et brancher mon ERL3.
Plus de problème de VOD, je n'ai pas rajouté la ligne Vendor-specific 125 mais juste prit les bons DNS. Pas ceux du site d'orange ou autre site mais ceux de la Livebox 4, il n'y a que cela qui fonctionne pour la VOD.
Primaire : 81.253.149.13 et secondaire : 80.10.246.5
Par contre un tout petit soucis encore, hier soir en rentrant du boulot j'avais encore la TV mais plus d'internet. Un petit reboot ERL3 et c'est revenu. Je suppose que c'est du au changement d'IP et qu'un simple renew suffirai.
Par contre j'ai besoin d'aide car je ne sais pas du tout comment implèmenter ça, faut-il rajouter une ligne dans le fichier de config ou rajouter un fichier ou autre chose !?
Si quelqu'un pourrai m'aider et me guider sur la démarche a suivre pour que l'ERL3 fasse ce qu'il faut le moment venu.
Merci
J'utilise "la longue mais courte" et ça fonctionne chez moi après reboot de tout l'infrastructure (dans le 77)Bonjour, quelle est excatement la bonne chaîne de caractères pour l'option 90 ? Wireshark me donne la chaîne suivante :
Bonjour, quelle est excatement la bonne chaîne de caractères pour l'option 90 ? Wireshark me donne la chaîne suivante :
1.- 5a:46:00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:x:x:x:x:x:x:x:3c:12:72:6e:62:4f:2a:77:54:4f:2a:58:35:27:25:29:27:32:03:13:44:0a:f3:2b:98:8f:da:2e:cf:06:48:5b:f1:52:65:47:19
Si on retire les deux caractères de début ZF (5a:46), c'est la chaîne dite « longue » ?
Il faut mettre un script qui vérifie que le lien fonctionne et sinon il fait un renew
Si tu cherche un peu dans la discussion, c'est le "orange watchdog" à mettre dans /config/scripts pour qu'il ne soit pas supprimé et rajouter le cron à executer sur l'ERL avec une commande set
EDIT : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg434585/?topicseen#msg434585
#!/bin/vbash
run=/opt/vyatta/bin/vyatta-op-cmd-wrapper
NEW_IP=`/sbin/ifconfig eth1.832 2>/dev/null | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}'`
if [ -z "$NEW_IP" ]; then
logger -t watchdog -p err "Interface eth1.832 down"
exit 0
fi
# The list of hosts to ping
PING_HOSTS="www.orange.fr www.google.com"
# Reading the default gateway
read _ _ GATEWAY _ < <(/sbin/ip -4 route list match 0/0)
# Pinging hosts, stopping at the first answer
for HOST in $PING_HOSTS; do
logger -t watchdog -p info "Pinging $HOST"
/bin/ping -c4 $HOST > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p warn "Failed pinging $HOST"
else
exit 0
fi
done
# If we are here, then nothing is pinging. Try
# the default gateway
/bin/ping -c4 $GATEWAY > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p err "Internet connection is broken"
$run renew dhcp interface eth1.832
$run renew dhcp interface eth1.838
service dibbler-client restart
fi
Bonjour, quelle est excatement la bonne chaîne de caractères pour l'option 90 ? Wireshark me donne la chaîne suivante :
1.- 5a:46:00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:x:x:x:x:x:x:x:3c:12:72:6e:62:4f:2a:77:54:4f:2a:58:35:27:25:29:27:32:03:13:44:0a:f3:2b:98:8f:da:2e:cf:06:48:5b:f1:52:65:47:19
Si on retire les deux caractères de début ZF (5a:46), c'est la chaîne dite « longue » ?
La chaîne « courte mais longue » serait :
2.- 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:x:x:x:x:x:x:x
Et la chaîne courte serait :
3.- 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:66:74:69:2f:x:x:x:x:x:x:x
Quid de la chaîne « longue mais courte » ou « courte mais longue » actuelle ?
Ces trois possibilités ne sont pas bonnes chez moi. Quelqu'un peut-il partager l'option 90 du jour s'il-vous-plaît ?
Mais mes petites questions, faut'il une extension au fichier dhcprenew ou pas ? Dois-je mettre dhcprenew.sh ?Merci pour ta réponse à la question sur la chaîne de caractères de l'option 90.
Pour le script, il faut l'extension ".sh" sans oublier d'ajouter les droits d'exécution (chmod 0755) ou (chmod + x).
crontab -e <---- édition du cron
0 18 * * 1-5 sh /config/scripts/le-script.sh <--- exécution du script tous les jours de la semaine du lundi au vendredi à 18h par exemple.
- L’extention .sh n’est pas obligatoire, ce qui est important ce sont les droits d’exécution
- Sur EdgeOS il est fortement déconseillé d’utiliser crontab -e directement. La bonne façon de faire, c’est utiliser la section « task-scheduler » du fichier de configuration
#!/bin/vbash
run=/opt/vyatta/bin/vyatta-op-cmd-wrapper
NEW_IP=`/sbin/ifconfig eth1.832 2>/dev/null | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1}'`
if [ -z "$NEW_IP" ]; then
logger -t watchdog -p err "Interface eth1.832 down"
exit 0
fi
# The list of hosts to ping
PING_HOSTS="www.orange.fr www.google.com"
# Reading the default gateway
read _ _ GATEWAY _ < <(/sbin/ip -4 route list match 0/0)
# Pinging hosts, stopping at the first answer
for HOST in $PING_HOSTS; do
logger -t watchdog -p info "Pinging $HOST"
/bin/ping -c4 $HOST > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p warn "Failed pinging $HOST"
else
exit 0
fi
done
# If we are here, then nothing is pinging. Try
# the default gateway
/bin/ping -c4 $GATEWAY > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p err "Internet connection is broken"
$run renew dhcp interface eth1.832
$run renew dhcp interface eth1.838
fi
system {
...
task-scheduler {
task watchdog {
executable {
path /config/scripts/dhcprenew.sh
}
interval 5m
}
}
...
}
Sinon peut tu m'indiquer un tuto ou un lien pour utiliser task-scheduler.Nouvel acquéreur d'un routeur Ubiquity, je ne connais pas vraiment les arcanes du edgeOS mais je connais Unix et Linux. EdgeOS repose sur un Linux Debian je crois mais zoc a raison. Pour compléter la réponse de zoc, manifestement, en éditant crontab directement, les scripts sont effacés de crontab à chaque mise à jour de firmware.
Ou sinon que dois-je mettre dans le fichier de configuration exactement ?
Nouvel acquéreur d'un routeur Ubiquity, je ne connais pas vraiment les arcanes du edgeOS mais je connais Unix et Linux. EdgeOS repose sur un Linux Debian je crois mais zoc a raison. Pour compléter la réponse de zoc, manifestement, en éditant crontab directement, les scripts sont effacés de crontab à chaque mise à jour de firmware.
La bonne pratique recommandée dans le manuel de EdgeOS est d'exécuter les commandes suivantes dans la console du Edgerouter :
configure
set system task-scheduler task <nom-de-la-tâche> executable path /config/scripts/le-script--de-la-tâche.sh
set system task-scheduler task <nom-de-la-tâche> interval <valeur><suffixe>
Les suffixes :
m — minutes
h — heures
d — jours
Ou alors en lieu et place de la deuxième commande ci-dessus :
set system task-scheduler task <nom-de-la-tâche> cron-spec "0 18 * * 1-5" <--- Tous les jours de la semaine à 18h
commit
save
Avant de lancer ces commandes, j'exécuterais le script afin de m'assurer qu'il n'y a pas d'erreur.
Je n'éditerais jamais le fichier config.boot. C'est une mauvaise pratique. Exécuter les commandes dans la console du EdgeOS permet de s'assurer que la syntaxe est correcte, sinon il retourne une erreur. Écrire directement dans le fichier config.boot peut tout "niquer" et rendre impossible un redémarrage. Dans ce cas il faut faire une remise à zéro avec la configuration d'usine.
Avant toute manipulation, faites une sauvegarde de la configuration pour faire aisèment un retour arrière.
task-scheduler {
task orangewatchdog {
executable {
path /config/scripts/dhcprenew.sh
}
interval 5m
}
}
Merci pour les infos !N'oubliez pas de retirer du fichier de configuration ce que vous avez écrit à la main précédement si ce n''est pas déjà fait et laisser seulement les instructions générées par les commandes que vous exécutez dans la console du EdgeOS. Sinon il risque d'y avoir un conflit et ça peut mettre la pagaille.
N'oubliez pas de retirer du fichier de configuration ce que vous avez écrit à la main précédement si ce n''est pas déjà fait et laisser seulement les instructions générées par les commandes que vous exécutez dans la console du EdgeOS. Sinon il risque d'y avoir un conflit et ça peut mettre la pagaille.
DOS uses carriage return and line feed ("\r\n") as a line ending, which Unix uses just line feed ("\n").
Sub chainelivebox()
Dim Rng As Range
Dim InputRng As Range, OutRng As Range
Dim Row As Integer
Dim Char As String
Dim Index As Integer
Dim arr As Variant
Dim Val As String
Dim OutVal As String
Dim Num As Integer
xTitleId = "Add a character"
Set InputRng = Application.Selection
Set InputRng = Cells(1, 1)
Row = 2
Char = ":"
Set OutRng = Cells(2, 1)
Num = 1
For Each Rng In InputRng
Val = Rng.Value
OutVal = ""
For Index = 1 To VBA.Len(Val)
If Index Mod Row = 0 And Index <> VBA.Len(Val) Then
OutVal = OutVal + VBA.Mid(Val, Index, 1) + Char
Else
OutVal = OutVal + VBA.Mid(Val, Index, 1)
End If
Next
OutRng.Cells(Num, 1).Value = OutVal
Num = Num + 1
Next
End Sub
J'utilise liveboxinfo pour sortir la chaine d'authentification ... et j'en ai eu marre de rajouter les : à la main.Merci pour cette astuce. Mais pourquoi faire simple ?
Donc direction Excel et une petite macro pour faire le job.
Hello,
Personne n'a de problème de débit ?
J'ai fait un reboot de l'ERL il y a 2 jours et depuis je suis à 100 mb/s en UP et DOWN.
Tests :
- Livebox directement sur l'ONT : idem
- Check de la chaine de connexion : elle est toujours la même
Comme la LB ne montre pas plus de débit je soupçonne fort un bug quelque part ...
Je suis sur Puteaux => personne pour tester ?
Hello,
Moi si j'ai meme essayé de repasser sur la livebox pour voir mais pareil depuis 2 semaines gros probleme de débit à Antibes
Il y a un tech qui va passer aujourd'hui...
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
lease 259200
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "MSR.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;
qui diffère d'un octet ( 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff ). Est-ce une réponse spécifique à la livebox4?Bonjour,
A mon sens ce n'est pas idéal, car l'ER6P ne dispose pas de switch intégré, et faire un bridge n'est pas top côté performance (même si concrètement ce matériel peut certainement l'encaisser).
Il faudrait plutôt un ER-12 , ou un ER4 avec un petit switch à côté.
Et biiiippp, j'aurai du poser la question avant de commander. Est-ce que le ER-X-SFP ferait l'affaire ?
A priori oui, après c'est moins puissant, ça va dépendre des fonctions qui seront utilisées sur le routeur :)
(Mais en fait l'ER6 marchera sans doute aussi très bien, c'est juste que c'est moins "propre" je trouve).
Si je garde le ER6 il n'y a que le bridge comme option ?
Ah non on peut aussi ajouter un petit switch derrière l'ER6.
Oui effectivement, mais je ne risque pas de limiter mon installation si je mets un switch lambda ? Il faut donc que j'investisse dans un autre switch manageable, non ?
Je ne vois pas trop ce qu'un switch "simple" limiterait à cet endroit, car si c'est pour des vlan séparés, autant brancher directement à l'ER6.
A moins d'en avoir l'usage maintenant, il sera toujours tant d'upgrader plus tard ;)
Pour info, j'ai un routeur Ubiquiti ER6p, sans switch donc, mais avec 3 ports supplèmentaires pour me livrer à toutes les manipulations futiles donc complètement indispensables, avec un EdgeSwitch 8-150W derrière, un bon petit switch layer 2 qui permet tout.
Tiens, j'ai aussi une perte de débit, sans avoir eu le temps de fouiller. Je suis plutôt sur 300/300 avec un abonnement Jet.
Par contre pourquoi toutes les commandes en CLI ne fonctionne pas comme : set service ssh allow-root par exemple
[ interfaces ethernet eth4 ]
Interface 'eth4' can not be deleted
[ interfaces ethernet eth3 ]
Interface 'eth3' can not be deleted
[ interfaces ethernet eth5 ]
Interface 'eth5' can not be deleted
[ system conntrack hash-size 4096 ]
Updated conntrack hash size. This change will take affect when the system is reb ooted.
[ service nat rule 5002 outbound-interface eth1.838 ]
NAT configuration warning: interface eth1.838 does not exist on this system
[ interfaces ethernet eth1 address dhcp ]
Stopping DHCP client on eth1 ...
[ interfaces ethernet eth1 vif 838 address dhcp ]
Starting DHCP client on eth1.838 ...
[ interfaces ethernet eth1 vif 832 address dhcp ]
Starting DHCP client on eth1.832 ...
[ system syslog ]
Stopping enhanced syslogd: rsyslogd.
Starting enhanced syslogd: rsyslogd.
[ service ssh ]
Starting the SSH service. Check /var/log/messages.
[ protocols igmp-proxy ]
Starting IGMP proxy service
[ service gui ]
Starting the GUI service.
[ service dhcp-server ]
Starting DHCP server daemon...
[ service upnp2 ]
Starting the UPNP2 service
Commit failed
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
.......
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
Bon j'ai fini par résoudre mon problème grace à ce poste de Masterfion https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg478415/#msg478415
dans lequel il décrit exactement mon problème pas d'IP pour le data, mais IP pour VOD et Stream, du coup j'ai repatché le dhcp avec la commande qui va bien, et voila cela fonctionne.
Pour la data nickel, me restera plus qu'à branché le décodeur tv pour voir ce que ça donne.
Prochaine étape l'ajout de la livebox pour le téléphone.
Un grand merci a Zoc et sa configuration, et à sa gentillesse pour nous aider.
edit : et truc incroyable, c'est que j'ai retrouvé un download cohérent avec mon forfait jet, alors que je plafonne à 300mb/s avec la livebox4 en place
(https://nsa39.casimages.com/img/2018/12/14/181214120321279751.png) (https://www.casimages.com/i/181214120321279751.png.html)
D'ailleurs je n'ai plus le tél depuis quelques jours...Tout est expliqué à partir de ce post: https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg596234/#msg596234
Si tu ne veux pas tout lire: https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg596704/#msg596704 . Le plus dur reste à déterminer ce que tu dois mettre à la place de mon "NIC". Pour ça le plus simple reste de regarder ce qu'il se trouve dans les fichiers se terminant par "_leases" dans /run.
Bonjour Francky,
Quel est l'outil que tu utilises pour le test de débit ?
Le résultat donne un look sympa !
en tout cas, je n'ai plus de bail pour lui et sans doute depuis un bon moment. Correct ?J'ai toujours un bail sur le 838 en ce qui me concerne. Mais effectivement le VLAN ne sert normalement plus à rien. Il faudra que je le désactive un de ces jours.
Concrètement, quels élements de configuration sont requis aujourd'hui ? Ce topic commence à prendre de l'épaisseur on s'y perd ;D
la téléphonie sans la livebox et la c'est pas gagné comme on dit.C'est même devenu impossible depuis qu'orange a arrêté l'application LivePhone pour smartphones...
C'est même devenu impossible depuis qu'orange a arrêté l'application LivePhone pour smartphones...
siproxd utilisait justement les serveurs SIP de l'application smartphone. Ils ont été arrêtés quand l'application a été supprimée par Orange.
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.1.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XXXXXXXXXXXX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
ethernet eth3 {
description LAN_ETH3
address 192.168.3.1/24
duplex auto
speed auto
}
ethernet eth4 {
description LAN_ETH4
address 192.168.4.1/24
duplex auto
speed auto
}
ethernet eth5 {
description LAN_ETH5
address 192.168.5.1/24
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
interface eth4 {
role disabled
threshold 1
}
interface eth5 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH3_DHCP {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.1
dns-server 192.168.3.1
lease 86400
ntp-server 192.168.3.1
start 192.168.3.100 {
stop 192.168.3.200
}
}
}
shared-network-name LAN_ETH4_DHCP {
authoritative enable
subnet 192.168.4.0/24 {
default-router 192.168.4.1
dns-server 192.168.4.1
lease 86400
ntp-server 192.168.4.1
start 192.168.4.100 {
stop 192.168.4.200
}
}
}
shared-network-name LAN_ETH5_DHCP {
authoritative enable
subnet 192.168.5.0/24 {
default-router 192.168.5.1
dns-server 192.168.5.1
lease 86400
ntp-server 192.168.5.1
start 192.168.5.100 {
stop 192.168.5.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
Je ne peux répondre à ta 2eme questionOk, donc je n'ai pas du être assez clair: Ce que je demande, c'est de vérifier que le port du routeur sur lequel est connecté le décodeur est bien celui configuré comme "downstream" dans la configuration igmp-proxy du routeur.
le décodeur est relié au port 5 du switch lui même raccordé au port eth0 du router par le port 1 du switch. Sur eth1 arrive le WANDonc eth0 doit être « downstream » dans la configuration d’igmp-proxy sur le routeur. A moins que tu aies un VLAN dédié TV numéroté « XXX » et dans ce cas c’est eth0.XXX qui doit être downstream.
Je n’ai jamais dit qu’il fallait brancher 2 cables entre le routeur et le switch et en l’occurrence il ne faut pas...Je te remercie et justement, ce n'est pas ce que je demande un fichier tout fait, mais certaines notions sont encore un peu floues dans ma têtes, et quand je suis coincé, ce qui est le cas actuellement, je viens demander de l'aide et c'est vraiment super d'avoir l'aide de pro comme toi.
Si tu as défini des VLAN dans la configuration du routeur alors il faut là encore ajuster la configuration d’igmp-proxy et mettre le VLAN dédié à la TV (car du coup j’imagine que tu en as un) en « downstream ».
Par contre, honnêtement, si tu veux faire un truc qui sort du ultra basique (donc pas de VLAN coté LAN), il va sérieurement comprendre et au besoin apprendre. Je l’ai déjà dit plusieurs fois sur le forum: Remplacer la box d’un opérateur c’est compliqué si on ne maitrise pas un minimum de choses en terme de réseau.
Personnellement je trouve que je passe déjà beaucoup de temps sur le forum, je ne peux pas me permettre de faire de la formation ou de fournir des fichiers de configuration sur mesure.
Donc eth0 doit être « downstream » dans la configuration d’igmp-proxy sur le routeur. A moins que tu aies un VLAN dédié TV numéroté « XXX » et dans ce cas c’est eth0.XXX qui doit être downstream.
#
# autogenerated by vyatta-interfaces.pl on Thu Jan 1 03:03:03 CET 2015
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:reste-venant-de-hexa;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;
}
set interfaces ethernet eth1 vif 832 address dhcp
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send vendor-class-identifier "sagem";'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:SUITEHEXA;'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;'
set interfaces ethernet eth1 vif 832 dhcp-options default-route update
set interfaces ethernet eth1 vif 832 dhcp-options default-route-distance 210
set interfaces ethernet eth1 vif 832 dhcp-options name-server update
set interfaces ethernet eth1 vif 838 address dhcp
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send vendor-class-identifier "sagem";'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'send dhcp-client-identifier 1:MAMACdeLIVEBOX4;'
set interfaces ethernet eth1 vif 838 dhcp-options client-option 'request subnet-mask, routers, rfc3442-classless-static-routes;'
set interfaces ethernet eth1 vif 838 dhcp-options default-route no-update
set interfaces ethernet eth1 vif 838 dhcp-options default-route-distance 210
set interfaces ethernet eth1 vif 838 dhcp-options name-server update
set service dhcp-server disabled false
set service dhcp-server hostfile-update disable
set service dhcp-server shared-network-name LAN_ETH0_DHCP authoritative enable
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 default-router 192.168.1.1
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 lease 86400
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 ntp-server 192.168.1.1
set service dhcp-server shared-network-name LAN_ETH0_DHCP subnet 192.168.1.0/24 start 192.168.1.100 stop 192.168.1.200
set service dhcp-server shared-network-name LAN_ETH1_DHCP authoritative enable
set service dhcp-server shared-network-name LAN_ETH1_DHCP subnet 192.168.2.0/24 default-router 192.168.2.1
set service dhcp-server shared-network-name LAN_ETH1_DHCP subnet 192.168.2.0/24 dns-server 192.168.2.1
set service dhcp-server shared-network-name LAN_ETH1_DHCP subnet 192.168.2.0/24 lease 86400
set service dhcp-server shared-network-name LAN_ETH1_DHCP subnet 192.168.2.0/24 ntp-server 192.168.2.1
set service dhcp-server shared-network-name LAN_ETH1_DHCP subnet 192.168.2.0/24 start 192.168.2.100 stop 192.168.2.200
set service dhcp-server use-dnsmasq disable
eth1 - u/u ISP
eth1.832 - u/u ISP_DATA
Le contenu de l'option 90 (rfc3118-auth) a changé courant octobre et le tutoriel n'est plus à jour. Voir le sujet dédié à l'option 90 (et avant toute chose j'annonce qu'il va falloir sniffer ce qui sort de la box pour savoir par quoi la remplacer).
Bon sinon la version 1.9.1 est déjà bien ancienne et contient un certain nombre de failles de sécurité...
Bonjour à tous,
Suite aux différents retour des nouveaux aventuriers de l'ERL avec Orange, j'ai initialisé un repo GitLab avec normalement une config fonctionnelle qui reprend les dernières nouveautés de notre cher opérateur (Option 90 et nouvelle chaine d'authentification, Option 125 pour les décodeur TV, Option pour la VOIP etc...) :
https://gitlab.com/skelettor/orange-isp-erl
N'hésitez pas à faire vos remarques et retour le but est d'avoir en un point centraliser l'ensemble des changements que l'on peut retrouver sur le forum et avoir une vue à date d'une configuration minimale et fonctionnelle.
Reste à faire :
- Inclure dans le README les étapes pour l'installation du dhclient3 patché et l'installation de dibbler pour l'IPV6
Et fournir les outils de Zoc car ils fonctionnent parfaitement ses scripts pour les options d'authentification.Mon script de génération de l'option 90 ?
Mon script de génération de l'option 90 ?
J'avoue ne jamais l'avoir utilisé et j'avais cru comprendre d'après d'autres témoignages qu'il ne fonctionnait pas... :)
Bonjour à tous,
Suite aux différents retour des nouveaux aventuriers de l'ERL avec Orange, j'ai initialisé un repo GitLab avec normalement une config fonctionnelle qui reprend les dernières nouveautés de notre cher opérateur (Option 90 et nouvelle chaine d'authentification, Option 125 pour les décodeur TV, Option pour la VOIP etc...) :
https://gitlab.com/skelettor/orange-isp-erl
N'hésitez pas à faire vos remarques et retour le but est d'avoir en un point centraliser l'ensemble des changements que l'on peut retrouver sur le forum et avoir une vue à date d'une configuration minimale et fonctionnelle.
Reste à faire :
- Inclure dans le README les étapes pour l'installation du dhclient3 patché et l'installation de dibbler pour l'IPV6
Donc eth0 doit être « downstream » dans la configuration d’igmp-proxy sur le routeur. A moins que tu aies un VLAN dédié TV numéroté « XXX » et dans ce cas c’est eth0.XXX qui doit être downstream.
Merci, j'ai essayé cette configuration, mais lorsque je charge le fichier config.boot, j'ai un message comme quoi le fichier ne semble pas approprié pour ER6P.
Bonjour,
Je permets de vous contacter, je viens d'échanger pour Edgerouter ERL3 par une Edgerouter POE 5...
Alors tout fonctionne parfaitement mais j'ai constaté quelques chose de bizarre sur le routeur au niveau de la charge CPU. Pour faire simple dès que je lance un IPERF pour tester le débit le routeur grimpe à 100 CPU et la tout commence a bugger tv, internet,etc ( qui est normale comme le routeur passe à 100 % de CPU) et au niveau débit je ne depasse pas le 200 Mbits/Sec
Voici la commande utilisé
iperf3 -c bouygues.testdebit.info -p 5202 -R -t 20
Est ce que quelqu'un aura une petite idée? Car la je sèche je ne comprend pas, j'avais presque la même conf ( hormis les parametres POE) sur mon ERL3 avant que ça lache et aucun soucis...
Merci pour votre aide
Les tests de débit sont a effectuer depuis une machine du réseau et non depuis le routeur lui même
Il ne peut pas utiliser l'accélération matériel et sature niveau CPU et débit
oui je sais j'ai une bete de course avec un archlinux installer dessus... Comme j'ai dit dans mon poste je n'avais pas ce soucis avant...
shared-network-name LAN_TV_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.10
dns-server 80.10.246.3
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
subnet-parameters "option Vendor-specific code 125 = string;"
subnet-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:58:90:43:32:e3:58:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:34;"
}
Perso je suis toujours en 1.10.5 et j'envisage de passer en 1.10.8.
sudo dibbler-client run
| Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
| Authors : Tomasz Mrugalski<thomson(at)klub.com.pl>,Marek Senderski<msend(at)o2.pl>
| Licence : GNU GPL v2 only. Developed at Gdansk University of Technology.
| Homepage: http://klub.com.pl/dhcpv6/
2019.01.08 14:51:23 Client Notice My pid (6864) is stored in /var/lib/dibbler/client.pid
2019.01.08 14:51:23 Client Notice Detected iface eth2.20/22, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.30/21, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.40/20, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.50/19, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.90/18, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.999/17, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth1.832/16, MAC=fc:ec:da:45:75:9b.
2019.01.08 14:51:23 Client Notice Detected iface eth2.10/15, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface imq0/14, MAC=.
2019.01.08 14:51:23 Client Notice Detected iface loop3/13, MAC=12:cc:e5:aa:ce:2a.
2019.01.08 14:51:23 Client Notice Detected iface loop2/12, MAC=3a:a5:76:71:37:9c.
2019.01.08 14:51:23 Client Notice Detected iface loop1/11, MAC=7a:14:1c:89:17:21.
2019.01.08 14:51:23 Client Notice Detected iface loop0/10, MAC=ca:c8:30:13:9f:5b.
2019.01.08 14:51:23 Client Notice Detected iface npi3/9, MAC=0a:76:46:32:b9:0d.
2019.01.08 14:51:23 Client Notice Detected iface npi2/8, MAC=ca:87:99:2a:8a:9b.
2019.01.08 14:51:23 Client Notice Detected iface npi1/7, MAC=0a:a8:43:8d:79:05.
2019.01.08 14:51:23 Client Notice Detected iface npi0/6, MAC=72:ff:3a:86:9f:1a.
2019.01.08 14:51:23 Client Notice Detected iface eth2/5, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth1/4, MAC=fc:ec:da:45:75:9b.
2019.01.08 14:51:23 Client Notice Detected iface eth0/3, MAC=fc:ec:da:45:75:9a.
2019.01.08 14:51:23 Client Notice Detected iface eth3/2, MAC=fc:ec:da:45:75:99.
2019.01.08 14:51:23 Client Notice Detected iface lo/1, MAC=00:00:00:00:00:00.
2019.01.08 14:51:23 Client Notice Parsing /etc/dibbler/client.conf config file...
2019.01.08 14:51:23 Client Info Interface eth1.832/16 configuration has been loaded.
2019.01.08 14:51:23 Client Info My DUID is 00:03:00:01:fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Info Loading old address database (client-AddrMgr.xml), using built-in routines.
2019.01.08 14:51:23 Client Info DB timestamp:1546959068, now()=1546959083, db is 15 second(s) old.
2019.01.08 14:51:23 Client Info All client's 00:03:00:01:fc:ec:da:45:75:9c leases are not valid.
2019.01.08 14:51:23 Client Notice Creating control (::) socket on the lo/1 interface.
2019.01.08 14:51:23 Client Notice Creating socket (addr=fe80::feec:daff:fe45:759b) on eth1.832/16 interface.
2019.01.08 14:51:23 Client Notice CONFIRM support compiled in.
2019.01.08 14:51:23 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/16 interface.
2019.01.08 14:51:23 Client Error AUTH: protocol 9697952 not supported yet.
2019.01.08 14:51:24 Client Info Processing msg (SOLICIT,transID=0x796724,opts: 1 25 8 16 15 11 11 6)
2019.01.08 14:51:24 Client Error AUTH: protocol 9697952 not supported yet.
^C2019.01.08 14:51:26 Client Critical Signal received. Shutting down.
2019.01.08 14:51:26 Client Notice Shutting down entire client.
2019.01.08 14:51:26 Client Notice Creating RELEASE for 0 IA(s), 1 PD(s), (no TA) on the eth1.832/16 interface.
2019.01.08 14:51:26 Client Error Unable to send RELEASE. Unable to find DUID.
2019.01.08 14:51:27 Client Notice Bye bye.
j'ai pourtant bien une adresse en IPV6 fonctionnelle.t'es sur que c'est une IPv6 d'Orange et pas un tunnel Teredo monté par Windows 10 ?
zoc@gateway:~$ sudo dibbler-client status
| Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
| Authors : Tomasz Mrugalski<thomson(at)klub.com.pl>,Marek Senderski<msend(at)o2.pl>
| Licence : GNU GPL v2 only. Developed at Gdansk University of Technology.
| Homepage: http://klub.com.pl/dhcpv6/
Dibbler server: NOT RUNNING.
Dibbler client: RUNNING, pid=4658
Dibbler relay : NOT RUNNING.
set protocols static route6 '::/0' next-hop 'fe80::ba0:bab' interface eth1.832
(eth1 éventuellement à adapter).t'es sur que c'est une IPv6 d'Orange et pas un tunnel Teredo monté par Windows 10 ?
Chez moi:Code: [Sélectionner]zoc@gateway:~$ sudo dibbler-client status
| Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
| Authors : Tomasz Mrugalski<thomson(at)klub.com.pl>,Marek Senderski<msend(at)o2.pl>
| Licence : GNU GPL v2 only. Developed at Gdansk University of Technology.
| Homepage: http://klub.com.pl/dhcpv6/
Dibbler server: NOT RUNNING.
Dibbler client: RUNNING, pid=4658
Dibbler relay : NOT RUNNING.
Que donne un "show interfaces" sur le routeur ? (et pendant qu'on y est aussi un "show ipv6 route")
Tu devrais avoir une IPv6 sur ton interface (ou VLAN) coté LAN. Et fe80::ba0:bab sur le VLAN 832 de l'interface connectée à l'ONT comme route par défaut.
Accessoirement, si ce n'est pas encore fait, je conseille de mettre la route par défaut en dur dans la config du routeur, ça évitera de dépendre des RA du routeur d'Orange (qui ne sont envoyés qu'une fois par heure...):Code: [Sélectionner]set protocols static route6 '::/0' next-hop 'fe80::ba0:bab' interface eth1.832
(eth1 éventuellement à adapter).
root@er6p:/# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.100.254/24 u/u LAN_ETH0
2a01:cb19:159:7201::1/64
eth1 - u/u ISP
eth1.832 86.213.243.84/22 u/u ISP_DATA
eth1.840 192.168.255.254/32 u/u ISP_TV_STREAM
eth2 - u/D LIVEBOX
eth2.832 192.168.254.254/24 u/D Voip
eth3 192.168.3.1/24 u/D LAN_ETH3
eth4 192.168.4.1/24 u/D LAN_ETH4
eth5 192.168.5.1/24 u/D LAN_ETH5
lo 127.0.0.1/8 u/u
::1/128
ps aux | grep dibbler
?Jusque là ça a l'air bon...Code: [Sélectionner]ps aux | grep dibbler
?
Normal qu'il n'y ait pas d'IPv6 coté ONT.
root 2694 0.0 0.1 13160 1708 ? Sl 08:57 0:00 /usr/sbin/dibbler-client start
root 3464 0.0 0.0 2384 524 pts/0 S+ 09:13 0:00 /bin/busybox grep dibbler
zoc@gateway:~$ show configuration commands |grep route6
set protocols static route6 '::/0' next-hop 'fe80::ba0:bab' interface eth1.832
J'ai copié/collé la ligne de ma conf ::) (en faisant un show configuration commands | grep route6).Code: [Sélectionner]zoc@gateway:~$ show configuration commands |grep route6
set protocols static route6 '::/0' next-hop 'fe80::ba0:bab' interface eth1.832
dibbler-client est bien lancé sur ton routeur, du coup je ne comprends pas pourquoi un status ne te donne pas de PID pour le client...
Vu la plage d'IP de tes posts précédents c'est de l'IPv6 natif chez Orange.
Et je confirme que par rapport à tout à l'heure je peux maintenant faire un traceroute vers l'IPv6 de ton interface eth0 ;)
Pour l'ICMP filtré ça dépend entièrement de la configuration firewall IPv6.
J'ai fait la mise à jour de mon Edgerouter 4 de 1.10.4 vers 1.10.8 sans problème, sauf pour l'ipv6.
J'ai remis dibbler et les deux fichiers client.conf et radvd.sh mais ça ne semble pas fonctionner.Code: [Sélectionner]sudo dibbler-client run
| Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
| Authors : Tomasz Mrugalski<thomson(at)klub.com.pl>,Marek Senderski<msend(at)o2.pl>
| Licence : GNU GPL v2 only. Developed at Gdansk University of Technology.
| Homepage: http://klub.com.pl/dhcpv6/
2019.01.08 14:51:23 Client Notice My pid (6864) is stored in /var/lib/dibbler/client.pid
2019.01.08 14:51:23 Client Notice Detected iface eth2.20/22, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.30/21, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.40/20, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.50/19, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.90/18, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth2.999/17, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth1.832/16, MAC=fc:ec:da:45:75:9b.
2019.01.08 14:51:23 Client Notice Detected iface eth2.10/15, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface imq0/14, MAC=.
2019.01.08 14:51:23 Client Notice Detected iface loop3/13, MAC=12:cc:e5:aa:ce:2a.
2019.01.08 14:51:23 Client Notice Detected iface loop2/12, MAC=3a:a5:76:71:37:9c.
2019.01.08 14:51:23 Client Notice Detected iface loop1/11, MAC=7a:14:1c:89:17:21.
2019.01.08 14:51:23 Client Notice Detected iface loop0/10, MAC=ca:c8:30:13:9f:5b.
2019.01.08 14:51:23 Client Notice Detected iface npi3/9, MAC=0a:76:46:32:b9:0d.
2019.01.08 14:51:23 Client Notice Detected iface npi2/8, MAC=ca:87:99:2a:8a:9b.
2019.01.08 14:51:23 Client Notice Detected iface npi1/7, MAC=0a:a8:43:8d:79:05.
2019.01.08 14:51:23 Client Notice Detected iface npi0/6, MAC=72:ff:3a:86:9f:1a.
2019.01.08 14:51:23 Client Notice Detected iface eth2/5, MAC=fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Notice Detected iface eth1/4, MAC=fc:ec:da:45:75:9b.
2019.01.08 14:51:23 Client Notice Detected iface eth0/3, MAC=fc:ec:da:45:75:9a.
2019.01.08 14:51:23 Client Notice Detected iface eth3/2, MAC=fc:ec:da:45:75:99.
2019.01.08 14:51:23 Client Notice Detected iface lo/1, MAC=00:00:00:00:00:00.
2019.01.08 14:51:23 Client Notice Parsing /etc/dibbler/client.conf config file...
2019.01.08 14:51:23 Client Info Interface eth1.832/16 configuration has been loaded.
2019.01.08 14:51:23 Client Info My DUID is 00:03:00:01:fc:ec:da:45:75:9c.
2019.01.08 14:51:23 Client Info Loading old address database (client-AddrMgr.xml), using built-in routines.
2019.01.08 14:51:23 Client Info DB timestamp:1546959068, now()=1546959083, db is 15 second(s) old.
2019.01.08 14:51:23 Client Info All client's 00:03:00:01:fc:ec:da:45:75:9c leases are not valid.
2019.01.08 14:51:23 Client Notice Creating control (::) socket on the lo/1 interface.
2019.01.08 14:51:23 Client Notice Creating socket (addr=fe80::feec:daff:fe45:759b) on eth1.832/16 interface.
2019.01.08 14:51:23 Client Notice CONFIRM support compiled in.
2019.01.08 14:51:23 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/16 interface.
2019.01.08 14:51:23 Client Error AUTH: protocol 9697952 not supported yet.
2019.01.08 14:51:24 Client Info Processing msg (SOLICIT,transID=0x796724,opts: 1 25 8 16 15 11 11 6)
2019.01.08 14:51:24 Client Error AUTH: protocol 9697952 not supported yet.
^C2019.01.08 14:51:26 Client Critical Signal received. Shutting down.
2019.01.08 14:51:26 Client Notice Shutting down entire client.
2019.01.08 14:51:26 Client Notice Creating RELEASE for 0 IA(s), 1 PD(s), (no TA) on the eth1.832/16 interface.
2019.01.08 14:51:26 Client Error Unable to send RELEASE. Unable to find DUID.
2019.01.08 14:51:27 Client Notice Bye bye.
J'ai l'erreur AUTH: protocol 9697952 not supported yet. qui me semble bizarre. Ca fonctionnait très bien avant, j'ai réutilisé les mêmes options dans client.conf
J'ai passé le firewall en accept all pour débuger, rien ne change. On dirait un problème de configuration (alors que les fichiers sont les mêmes qu'avant?)
Une idée ?
Merci
J'ai essayé de suivre celui là :
https://lafibre.info/remplacer-livebox/tuto-remplacer-sa-livebox-par-routeur-ubiquiti-livebox-partie-2-ipv6/
Ce que je trouve étrange c'est que ça fonctionnait plutôt bien avant. L'ipv4 marche bien aussi. On dirait que le sollicit est envoyé mais qu'il n'y a aucune réponse d'orange
Malheureusement, ça ne m'aide pas beaucoup. La seule différence est que j'utilise la version "courte" de l'authentification. Mais celle-ci fonctionne bien en ipv4, je serais étonné que seul l'ipv6 soit vérifié.
EDIT: Trouvé :) Je ne sais pas pour quelle raison, mais l'option 15 n'était pas complète dans mon fichier. J'ai du rajouter 65:2e:6c:69:76:65:62:6f:78:34 qui manquait et ça a fonctionné tout de suite.
Très étrange mais bon.
ethernet eth6 {
description "eth6 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth6.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:XX:00:00:05:XX:01:03:41:XX:0d:66:74:69:XX:67:7A:66:XX:36:78:70;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:e3:58;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description "eth6.840 (TV)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth6 {
role disabled
threshold 1
}
interface eth6.832 {
role disabled
threshold 1
}
interface eth6.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth7 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH7_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.100 {
stop 192.168.1.200
}
static-mapping LIVEBOX-TV-Salon {
ip-address 192.168.1.75
mac-address a0:XX:XX:XX:XX:00
static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
static-mapping-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:34;"
}
}
}
static-arp disable
use-dnsmasq disable
}
Bonjour a tous,
Je rencontre l'erreur L11-06 sur mon décodeur TV Livebox 4 (le noir, mais pas le gros, pas le tout dernier tout compact). J'ai rajouté l'option 125, mais le problème persiste. Internet fonctionne bien et les replays aussi, mais pas la TV en direct.... Je sèche un peu sur l'origine du problème.
L'ONT est connecté sur ETH6 et le LAN est sur ETH7. Je n'ai pas de Livebox connecté (pas besoin de la VOIP).
ÉDIT : ca marche... en fait j’utilisais la chaîne courte « send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:XX:00:00 » . En utilisant livebox info j’ai récupéré la chaîne longue, injecté et hop... Donc la chaîne courte peut marcher pour obtenir une IP mais pas pour faire marcher la TV... Peut être que ca viens aussi du fait que j’ai rebranché la Livebox pour voir l’info... ca aurait débloqué quelque chose coté Orange ?
Voici la Config d'ETH6 :
Voici la config de l'igmp proxy :
Voici la Config du DHCP server :
je dois oublier un truc c'est pas possible :o
merci pour votre aide!
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XXX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
static-mapping LIVEBOX-TV-Salon {
ip-address 192.168.1.75
mac-address a0:XX:XX:XX:XX:00
static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
static-mapping-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:34;"
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1.840 {
role disabled
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
23:46:42.120284 RECV V2 member report from 100.64.0.1 to 232.0.3.3
23:46:42.120528 No interfaces found for source 100.64.0.1
Ayant vu ici des config ERL + TV je pensais que la root cause venait du fait que mon décodeur était derrière la livebox cependant en y réfléchissant, le problème devrait se poser pour vos configurations aussi vu que 100.64.0.1 est aussi en dehors des subnet que vous aviez configurés généralement sur eth2 (et sur des plages d'adresses privées). J'en arrive à une conclusion incompréhensible.10:56:17.884352 IP 100.64.0.1 > 232.0.3.1: igmp v2 report 232.0.3.1
Ma logique c'est que je suppose que igmp-proxy est agnostique, il s'en fout sûrement de qui lui envoi le membership report et déclenche l'envoie des flux udp dès qu'il reçoit le message.11:22:19.273070 Current routing table (Age active routes):
11:22:19.273270 -----------------------------------------------------
11:22:19.273471 No routes in table...
11:22:19.273670 -----------------------------------------------------
11:22:19.273876 nextTimer pending after 115
11:22:32.239258 age_callout: elapsed 13
11:22:32.239582 RECV Membership query from 0.0.0.0 to 224.0.0.1
11:22:32.239816 nextTimer pending after 102
11:22:58.347913 age_callout: elapsed 26
11:22:58.348242 RECV V2 member report from 100.64.0.1 to 232.0.32.5
11:22:58.348488 No interfaces found for source 100.64.0.1
11:22:58.348702 nextTimer pending after 76
11:23:01.334584 age_callout: elapsed 3
11:23:01.334945 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:01.335253 Got leave message from 100.64.0.1 to 232.0.32.5. Starting last member detection.
11:23:01.335614 No interfaces found for source 100.64.0.1
11:23:01.335893 nextTimer pending after 73
11:23:01.887732 age_callout: elapsed 0
11:23:01.888064 RECV V2 member report from 100.64.0.1 to 232.0.32.5
11:23:01.888309 No interfaces found for source 100.64.0.1
11:23:01.888604 nextTimer pending after 73
11:23:02.994567 age_callout: elapsed 1
11:23:02.994895 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:02.995141 Got leave message from 100.64.0.1 to 232.0.32.5. Starting last member detection.
11:23:02.995364 No interfaces found for source 100.64.0.1
11:23:02.995654 nextTimer pending after 72
11:23:03.087710 age_callout: elapsed 0
11:23:03.088040 RECV V2 member report from 100.64.0.1 to 232.0.3.22
11:23:03.088286 No interfaces found for source 100.64.0.1
11:23:03.088589 nextTimer pending after 72
11:23:05.247525 age_callout: elapsed 3
11:23:05.247857 RECV V2 member report from 100.64.0.1 to 232.0.3.22
11:23:05.248103 No interfaces found for source 100.64.0.1
11:23:05.248317 nextTimer pending after 69
11:23:05.727507 age_callout: elapsed 0
11:23:05.727837 RECV V2 member report from 100.64.0.1 to 232.0.3.22
11:23:05.728079 No interfaces found for source 100.64.0.1
11:23:05.728291 nextTimer pending after 69
11:23:05.799886 age_callout: elapsed 0
11:23:05.800215 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:05.800462 Got leave message from 100.64.0.1 to 232.0.3.22. Starting last member detection.
11:23:05.800684 No interfaces found for source 100.64.0.1
11:23:05.800892 nextTimer pending after 69
11:23:05.897560 age_callout: elapsed 0
11:23:05.898347 RECV V2 member report from 100.64.0.1 to 232.0.3.2
11:23:05.899429 No interfaces found for source 100.64.0.1
11:23:05.900175 nextTimer pending after 69
11:23:07.959890 age_callout: elapsed 2
11:23:07.960219 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:07.960468 Got leave message from 100.64.0.1 to 232.0.3.2. Starting last member detection.
11:23:07.960765 No interfaces found for source 100.64.0.1
11:23:07.960996 nextTimer pending after 67
11:23:08.057460 age_callout: elapsed 0
11:23:08.057863 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:08.058116 No interfaces found for source 100.64.0.1
11:23:08.058330 nextTimer pending after 67
11:23:10.107314 age_callout: elapsed 3
11:23:10.107644 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:10.107889 No interfaces found for source 100.64.0.1
11:23:10.108100 nextTimer pending after 64
11:23:11.030901 age_callout: elapsed 0
11:23:11.031255 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:11.031508 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:11.031733 No interfaces found for source 100.64.0.1
11:23:11.031942 nextTimer pending after 64
11:23:11.607309 age_callout: elapsed 1
11:23:11.607745 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:11.608053 No interfaces found for source 100.64.0.1
11:23:11.608414 nextTimer pending after 63
11:23:12.143121 age_callout: elapsed 1
11:23:12.143574 RECV Membership query from 0.0.0.0 to 224.0.0.1
11:23:12.143876 nextTimer pending after 62
11:23:13.877092 age_callout: elapsed 1
11:23:13.877488 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:13.877749 No interfaces found for source 100.64.0.1
11:23:13.877963 nextTimer pending after 61
11:23:14.567917 age_callout: elapsed 1
11:23:14.568308 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:14.568570 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:14.568797 No interfaces found for source 100.64.0.1
11:23:14.569007 nextTimer pending after 60
11:23:15.147105 age_callout: elapsed 1
11:23:15.147435 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:15.147679 No interfaces found for source 100.64.0.1
11:23:15.147891 nextTimer pending after 59
11:23:18.110388 age_callout: elapsed 3
11:23:18.110755 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:18.111072 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:18.111382 No interfaces found for source 100.64.0.1
11:23:18.111677 nextTimer pending after 56
11:23:18.696927 age_callout: elapsed 0
11:23:18.697346 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:18.697602 No interfaces found for source 100.64.0.1
11:23:18.697814 nextTimer pending after 56
11:23:21.641268 age_callout: elapsed 3
11:23:21.641593 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:21.641840 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:21.642063 No interfaces found for source 100.64.0.1
11:23:21.642271 nextTimer pending after 53
11:23:22.226733 age_callout: elapsed 1
11:23:22.227062 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:22.227306 No interfaces found for source 100.64.0.1
11:23:22.227518 nextTimer pending after 52
11:23:25.176174 age_callout: elapsed 3
11:23:25.176499 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:25.176747 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:25.176969 No interfaces found for source 100.64.0.1
11:23:25.177176 nextTimer pending after 49
11:23:25.776581 age_callout: elapsed 0
11:23:25.776911 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:25.777156 No interfaces found for source 100.64.0.1
11:23:25.777369 nextTimer pending after 49
11:23:28.710498 age_callout: elapsed 3
11:23:28.710824 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:28.711067 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:28.711290 No interfaces found for source 100.64.0.1
11:23:28.711497 nextTimer pending after 46
11:23:29.326449 age_callout: elapsed 1
11:23:29.326802 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:29.327329 No interfaces found for source 100.64.0.1
11:23:29.327621 nextTimer pending after 45
11:23:30.116358 age_callout: elapsed 1
11:23:30.116724 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:30.117031 No interfaces found for source 100.64.0.1
11:23:30.117324 nextTimer pending after 44
11:23:32.316206 age_callout: elapsed 2
11:23:32.316536 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:32.316783 No interfaces found for source 100.64.0.1
11:23:32.316997 nextTimer pending after 42
11:23:32.350809 age_callout: elapsed 0
11:23:32.351136 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:32.351385 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:32.351606 No interfaces found for source 100.64.0.1
11:23:32.351812 nextTimer pending after 42
11:23:32.886201 age_callout: elapsed 0
11:23:32.886993 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:32.887940 No interfaces found for source 100.64.0.1
11:23:32.888875 nextTimer pending after 42
11:23:34.516104 age_callout: elapsed 2
11:23:34.516434 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:34.516678 No interfaces found for source 100.64.0.1
11:23:34.516891 nextTimer pending after 40
11:23:35.885771 age_callout: elapsed 1
11:23:35.886099 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:35.886345 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:35.886571 No interfaces found for source 100.64.0.1
11:23:35.886783 nextTimer pending after 39
11:23:36.416104 age_callout: elapsed 1
11:23:36.416433 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:36.416680 No interfaces found for source 100.64.0.1
11:23:36.416898 nextTimer pending after 38
11:23:39.420830 age_callout: elapsed 3
11:23:39.421156 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:39.421405 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:39.421631 No interfaces found for source 100.64.0.1
11:23:39.421839 nextTimer pending after 35
11:23:39.955896 age_callout: elapsed 0
11:23:39.956222 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:39.956467 No interfaces found for source 100.64.0.1
11:23:39.956677 nextTimer pending after 35
11:23:40.705812 age_callout: elapsed 1
11:23:40.706141 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:40.706388 No interfaces found for source 100.64.0.1
11:23:40.706599 nextTimer pending after 34
11:23:42.950898 age_callout: elapsed 2
11:23:42.951226 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:42.951475 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:42.951698 No interfaces found for source 100.64.0.1
11:23:42.951907 nextTimer pending after 32
11:23:43.495684 age_callout: elapsed 1
11:23:43.496016 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:43.496260 No interfaces found for source 100.64.0.1
11:23:43.496472 nextTimer pending after 31
11:23:46.489385 age_callout: elapsed 3
11:23:46.489712 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:46.489961 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:46.490181 No interfaces found for source 100.64.0.1
11:23:46.490390 nextTimer pending after 28
11:23:47.035649 age_callout: elapsed 0
11:23:47.035979 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:47.036224 No interfaces found for source 100.64.0.1
11:23:47.036437 nextTimer pending after 28
11:23:50.025854 age_callout: elapsed 3
11:23:50.026202 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:50.026494 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:50.026779 No interfaces found for source 100.64.0.1
11:23:50.027040 nextTimer pending after 25
11:23:50.575392 age_callout: elapsed 1
11:23:50.575784 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:50.576032 No interfaces found for source 100.64.0.1
11:23:50.576245 nextTimer pending after 24
11:23:52.047515 age_callout: elapsed 1
11:23:52.047841 RECV Membership query from 0.0.0.0 to 224.0.0.1
11:23:52.048079 nextTimer pending after 23
11:23:53.559801 age_callout: elapsed 2
11:23:53.560129 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:53.560374 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:53.560598 No interfaces found for source 100.64.0.1
11:23:53.560807 nextTimer pending after 21
11:23:54.135185 age_callout: elapsed 1
11:23:54.135586 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:54.135851 No interfaces found for source 100.64.0.1
11:23:54.136069 nextTimer pending after 20
11:23:57.090574 age_callout: elapsed 3
11:23:57.090901 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:23:57.091148 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:23:57.091373 No interfaces found for source 100.64.0.1
11:23:57.091584 nextTimer pending after 17
11:23:57.685025 age_callout: elapsed 0
11:23:57.685354 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:23:57.685688 No interfaces found for source 100.64.0.1
11:23:57.685911 nextTimer pending after 17
11:24:00.630514 age_callout: elapsed 3
11:24:00.630840 RECV Leave message from 100.64.0.1 to 224.0.0.2
11:24:00.631086 Got leave message from 100.64.0.1 to 232.0.3.1. Starting last member detection.
11:24:00.631308 No interfaces found for source 100.64.0.1
11:24:00.631517 nextTimer pending after 14
11:24:01.224829 age_callout: elapsed 1
11:24:01.225160 RECV V2 member report from 100.64.0.1 to 232.0.3.1
11:24:01.225404 No interfaces found for source 100.64.0.1
11:24:01.225713 nextTimer pending after 13
^C11:24:03.273995 select() failure; Errno(4): Interrupted system call
11:24:03.274311 Got a interupt signal. Exiting.
11:24:03.274578 clean handler called
11:24:03.274829 All routes removed. Routing table is empty.
11:24:03.275260 Shutdown complete....
Ben en fait je vois l'igmp membership report arriver sur mon eth2.840 mais rien partir sur eth1.840Si la config est celle décrite plus haut, c'est normal puisque eth1.840 est en rôle disabled
Sinon, le filtrage peut venir du firewall, en particulier le rp_filterCode: [Sélectionner]interface eth1.840 {
role disabled
threshold 1
}
Comment tester la fonctionnalité de l'offload?
Faut-il obligatoirement passer à la config sans bridge comme MikeTheFreeman? Ca ne m'arrange pas de perdre un port sur mon GS108T.
konki
@MikeTheFreeman, ton organisation matérielle reste celle de la config historique avec les 2 bridges; en dhcp sans bridge dans la conf, avec Livebox + décodeur sur eth2, Lan et ONT sur Eth0 et Eth1.Je n'ai aucun bridge, mon LAN est sur eth0, l'ont est sur eth1 et la livebox sur eth2. J'utilise un switch pour le marquage cos des trames dhcp et igmp-proxy pour que le décodeur, connecté sur la livebox, reçoive les flux tv multicast.
I Like it :)
Peux-tu nous faire profiter de ton fichier de conf?
konki
Bonjour,
depuis hier après midi (samedi 26 janvier) , j'ai eu une une coupure internet, et depuis impossible d'avoir une connection internet .
je n'arrive pas à avoir une adresse ip public via ERL3 , et j'ai le message sur la livebox " problème telephone"
Orange aurait il fait des modifications ???
Merci de votre Retour .
interfaces {
ethernet eth0 {
address 192.168.200.1/24
description "eth0 TV"
duplex auto
speed auto
}
service {
dhcp-server {
shared-network-name DECODEUR {
authoritative enable
subnet 192.168.200.0/24 {
default-router 192.168.200.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.200.30 {
stop 192.168.200.50
}
}
}
}
}
interfaces {
ethernet eth1 {
description "eth1 WAN"
duplex auto
speed auto
vif 840 {
address 192.168.255.254/24
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
}
}
Il faut aussi mettre eth1.832 et eth1 en disabled. Enfin, ce n’est pas obligatoire, mais conseillé. Surtout pour eth1.832 car si pour une raison quelconque l’IP publique ne peut pas être renouvellée, igmpproxy crashera.
On met une adresse qui ne sert à rien sur eth1.840 parce que sans igmpproxy refuse de démarrer.
Si tu as le tout dernier décodeur UHD (le petit), oui. Sinon tu n'en n'as même pas besoin.
Autre chose, si tu utilises d'autres DNS que ceux d'Orange pour ton LAN, assure toi que le(s) décodeur(s), eux, ont bien un DNS Orange.
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
Bonsoir a tous,
j'essaie mettre ma config a jour des dernières options sur la config du dhcp mais je galère un peu.
lorsque je rajoute les lignesCode: [Sélectionner]subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
le décodeur tv ne marche plus.
Les valeurs concordent bien avec le fichier dhclient_eth1_832.leases.
je vois pas ce que je loupe.
par avance merci
jericho63
Quelle est ta configuration au niveau de tes interfaces?
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
dans shared-network-name
shared-network-name DECODEUR {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.10 {
stop 192.168.2.50
}
}
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"et d'un mapping static pour la LB
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
c''est bon ça fonctionne.
mon shared-network-name est identique a l'execption de ces 3 lignes : et d'un mapping static pour la LB
Mais en l'état elles ne servent à rien, puisque c'est pour la téléphonie, et que pour cela il faut obligatoirement un subnet différent (car il doit y avoir un VLAN 832 sur la patte WAN de la Livebox).
ethernet eth3 {
description LAN_ETH3_VOIP
duplex auto
speed auto
vif 832 {
address 192.168.3.254/24
description "Voip"
}
}
Bonjour,
J'envisage de migrer ma configuration actuelle : freebox en mode bridge à une livebox sans TV (fibre optique).Est-ce que la procédure actuelle est toujours d'actualité en page 1 est toujours d'actualité ?Je me vois mal relire les 300 pages ...
Merci.
A l'heure actuelle ce tuto https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/ (https://lafibre.info/remplacer-livebox/tuto-edgerouter-erpro-8-pour-internet-livebox-dhcp-pour-tv-et-telephone/) fonctionne pour IPV4, IPV6 et la Livebox pour TV et TEL. Il faut juste que tu vois pour calculer la bonne option 90. (voir le post pinned en haut du forum).Merci ripleyxlr8 (https://lafibre.info/profile/ripleyxlr8/)
Si tu veux te débarrasser complètement de la Livebox il y a d'autres tuto mais tu ne pourras pas avoir le téléphone vu qu'Orange a couper les serveur SIP qui était utilisé par siproxd.
Good luck
alors l'époque j'avais commencé a configuré ça parce que j'avais configuré la LB sur l'ETH03 pour le tel mais ça n'a jamais bien fonctionné (j'entendais mon interlocuteur mais lui ne m'entendais pas) et faute d'un deuxième téléphone (et de temps) pour tester je n'ai pas pu définir si c'était un problème de combiné ou de config.je me cite moi même, mon subnet dédié au tel est defini comme ça:
La du coup je viens de brancher la LB sur l'eth03 pour retester mais ça marche plus du tout! la LB n'affiche même pas le numéro de tel.
mon eth03 est défini comme suit :
shared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
static-mapping Livebox {
ip-address 192.168.3.1
mac-address C0:AC:54:43:DA:B0
}
}
je viens de me rendre compte que igmp-proxy changeait l'adresse source des igmp membership report par l'adresse ip de l'interface upstream (dans mon cas un 192.168.XX). Et comme on se sert déjà du subnet 100.64.0.0 pour que igmp-proxy ait sa route sur eth2.840, impossible de la mettre sur eth1.840.
Au final plusieurs choix :
- tout avoir sur la livebox mais les trames igmp auront nécessairement une adresse "inexacte" (beaucoup de chance pour qu'Orange s'en importe peu)
- utiliser la config de zoc et paramétrer eth1.840 en 100.64.0.1/32 pour que les igmp membership report sortent avec l'adresse "exacte"
@jericho63Bonsoir Konki,
corrigez
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;" (option120 correcte)
et ajoutez
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;" (option125)
konki
Ces options sont pour la téléphonie. Tu les appliques bien au bon subnet DHCP, c'est à dire celui de la Livebox, pas celui du décodeur...
Parce qu'en fait les 2 attendent l'option 125, mais avec un contenu différent. Pour les décodeurs antérieurs au dernier UHD, l'option 125 n'est pas obligatoire, mais si elle est présente elle doit absolument avoir le bon format...
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.1.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2_DECODEUR
duplex auto
speed auto
}
ethernet eth3 {
description LAN_ETH3_VOIP
duplex auto
speed auto
vif 832 {
address 192.168.3.254/24
description "Voip"
}
}
ethernet eth4 {
disable
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description 993
forward-to {
address 192.168.1.150
port 993
}
original-port 993
protocol tcp_udp
}
rule 2 {
description 587
forward-to {
address 192.168.1.150
port 587
}
original-port 587
protocol tcp_udp
}
rule 3 {
description 25
forward-to {
address 192.168.1.150
port 25
}
original-port 25
protocol tcp_udp
}
rule 4 {
description 143
forward-to {
address 192.168.1.150
port 143
}
original-port 143
protocol tcp_udp
}
rule 5 {
description 80
forward-to {
address 192.168.1.150
port 80
}
original-port 80
protocol tcp_udp
}
rule 6 {
description 443
forward-to {
address 192.168.1.150
port 443
}
original-port 443
protocol tcp_udp
}
rule 7 {
description 22
forward-to {
address 192.168.1.150
port 22
}
original-port 1016
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.150
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
static-mapping Livebox {
ip-address 192.168.3.1
mac-address C0:AC:54:43:DA:B0
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user root {
authentication {
encrypted-password $6$vuBbZyMpY3h6$3Wyu/tmPQn8OPWGD9DmViUKLC06d1Qh0gejIIgBBBtiLv3MAupbdh72gQuP3RwanJKS5YZ4hw4JiZw3IM9.IW0
plaintext-password ""
}
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
Sur ton eth3, pour la LB pour le tel, il faut créer un sous-réseau (peut importe l'adressage) dans un vlan 832 (en taggé). C'est ce qui est en gras qui important. Ce réseau doit avoir l'accès au net (le NAT ne pose pas de souci).
Il faut également donner quelques options spécifiques à la LB via DHCP (les DNS Orange, l'option 15, 90, 119, 120 et 125).
ethernet eth3 {
description LAN_ETH3_VOIP
duplex auto
speed auto
vif 832 {
address 192.168.3.254/24
description "Voip"
}
}
et j'ai un subnet comme cecishared-network-name Livebox {
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
static-mapping Livebox {
ip-address 192.168.3.1
mac-address C0:AC:54:43:DA:B0
}
}
par contre ce que je comprends pas c'est que si je modifie quelque chose dans ce subnet c'est la tv qui ne marche plus
Salut les loulous.Sinon kgersen a codé un script dispo en ligne pour le générer en entrant directement les infos dans la webpage : https://jsfiddle.net/kgersen/3mnsc6wy/embedded/result/
Il se trouve que j'avais reversé la partie concernée du firmware Livebox 3 qui génère cette option DHCP, je vais donc vous faire part de mes notes.
- Les 11 premiers octets sont mis à 0 : il s'agit d'un emplacement de la taille de l'en-tête de l'option 90 DHCP standard, telle que définie dans la RFC 3118 (https://tools.ietf.org/html/rfc3118). Ces paramètres n'étant pas utilisés, ils sont mis à 0.
- Ensuite, il s'agit d'une séquence de champs TLV (type-length-value). Autrement dit, il s'agit d'une séquence de paramètres propriétaires définis par Orange qui suivent ce motif : 1 octet de type, 1 octet de taille (comprenant les octets de type, de taille et de valeur), suivi d'un certain nombre d'octets de valeur en fonction de la taille.
- D'abord, il y a cette séquence d'octets définie en dur dans le binaire, je ne sais pas à quoi elle correspond : 1a0900000558010341 (1a est donc le type et 09 la taille)
- Ensuite, un autre champ fixe dont la valeur est "A", peut-être une version de format... : 010341 (01 est le type, 03 est la taille, 41 est la valeur "A" en ASCII)
- Ensuite, un champ dont le type est étrangement aussi 01, et la valeur est l'identifiant PPP Orange (appelons-le USERNAME), je ne vous fais pas de dessin : 010dXXXXXXXXXXXXXXXXXXXXXX
- Ensuite, un champ dont le type est 3c, qui contient 16 octets aléatoires (appelons-les RANDSTRING) est généré par le client DHCP si je me souviens bien : 3c12XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
- Enfin, un champ dont le type est 03, et qui contient 17 octets de valeur :
- 1 octet aléatoire, appelons-le RANDCHAR, immédiatement suivi de
- 16 octets qui sont un hash MD5 généré avec la formule suivante : MD5(RANDCHAR + PASSWORD + RANDSTRING), où PASSWORD est le mot de passe PPP
Voilà pour mes notes les kidz ! Amusez-vous bien
Line 160 : DHCP User Class Option
For Livebox 4 :
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
For Livebox 3 :
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.2.254/24
description home.lan
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LIVEBOX
duplex auto
speed auto
vif 832 {
address 192.168.254.254/24
description LIVEBOX_DATA
}
vif 840 {
address 100.64.0.2/30
description LIVEBOX_MULTICAST
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name home.lan {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.99
}
}
}
shared-network-name livebox.lan {
authoritative enable
subnet 192.168.254.0/24 {
default-router 192.168.254.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.254.1 {
stop 192.168.254.9
}
static-mapping Livebox {
ip-address 192.168.254.1
mac-address YY:YY:YY:YY:YY:YY
}
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option domain-search "XXX.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth0
listen-on eth2
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.2.254
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ:WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.2.254
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
}
system {
config-management {
commit-revisions 5
}
host-name erl
name-server 9.9.9.9
name-server 1.1.1.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
bonjour,
j'ai déclaré mon eth3 comme ceci:Code: [Sélectionner]ethernet eth3 {
et j'ai un subnet comme ceci
description LAN_ETH3_VOIP
duplex auto
speed auto
vif 832 {
address 192.168.3.254/24
description "Voip"
}
}Code: [Sélectionner]shared-network-name Livebox {
par contre ce que je comprends pas c'est que si je modifie quelque chose dans ce subnet c'est la tv qui ne marche plus
authoritative enable
subnet 192.168.3.0/24 {
default-router 192.168.3.254
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.3.21 {
stop 192.168.3.200
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "CLE.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
static-mapping Livebox {
ip-address 192.168.3.1
mac-address C0:AC:54:43:DA:B0
}
}
Feb 15 17:29:05 ubnt miniupnpd[4746]: Failed to get ip address for interface eth1.832
Feb 15 17:29:05 ubnt miniupnpd[4746]: ioctl(s, SIOCGIFADDR, ...): Cannot assign requested address
Feb 15 17:29:37 miniupnpd[4746]: last message repeated 28 times
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.1.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;" ==> Oui c'est bien renseigné avec la conversion hexa de mon fti/ ;)
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;" ==> Oui c'est bien renseigné avec la MAC de mon ancienne box TV ;)
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832 ==> J'ai viré toutes mes rules mais est-ce que ces lignes sont valides ?
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.201
lease 86400
ntp-server 192.168.1.1
start 192.168.1.40 {
stop 192.168.1.90
}
==> J'ai viré toutes mes baux statiques
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 192.168.1.201
name-server 8.8.8.8
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
ubnt-discover {
disable
}
unms {
connection wss://xxxxxxxxxxxxxxxxxxxxxxxxx
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user JeanMachin {
authentication {
encrypted-password xxxxxxxxxxxxxxxxx
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.3.5013619.170830.0242 */
root@ubnt# load config_orange.boot
Loading configuration from '/config/config_orange.boot'...
Load complete. Use 'commit' to make changes active.
[edit]
root@ubnt# commit
[ service upnp listen-on eth0 ]
Stopping upnpd instance for eth0
[ service mdns reflector ]
Stopping Avahi mDNS/DNS-SD Daemon: avahi-daemon.
Stopping system message bus: dbus.
[ system package repository wheezy ]
Removing entry from /etc/apt/sources.list...
[ system package repository wheezy-security ]
Removing entry from /etc/apt/sources.list...
[ interfaces bridge br0 address dhcp ]
Stopping DHCP client on br0 ...
[ interfaces ethernet eth1 vif 835 address dhcp ]
Stopping DHCP client on eth1.835 ...
[ firewall name ETH0_IN ]
Firewall config error: Cannot delete rule set "ETH0_IN" (still in use)
[ system conntrack hash-size 4096 ]
Updated conntrack hash size. This change will take affect when the system is rebooted.
[ service nat rule 5001 outbound-interface eth1.832 ]
NAT configuration warning: interface eth1.832 does not exist on this system
[ service nat rule 5002 outbound-interface eth1.838 ]
NAT configuration warning: interface eth1.838 does not exist on this system
[ interfaces ethernet eth1 vif 838 address dhcp ]
Starting DHCP client on eth1.838 ...
[ interfaces ethernet eth1 vif 832 address dhcp ]
Starting DHCP client on eth1.832 ...
[ system login ]
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
Disabling root account, instead of deleting
[ service ssh ]
Starting the SSH service. Check /var/log/messages.
[ protocols igmp-proxy ]
Starting IGMP proxy service
[ service gui ]
Starting the GUI service.
[ service dhcp-server ]
Stopping DHCP server daemon...
Starting DHCP server daemon...
[ system offload ipv6 forwarding disable ]
IPv6 forwarding must be enabled when vlan forwarding is enabled
[ service upnp2 ]
Starting the UPNP2 service
Commit failed
[edit]
root@ubnt# commit
[ system offload ipv6 forwarding disable ]
IPv6 forwarding must be enabled when vlan forwarding is enabled
Commit failed
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
!!! [Offloading] - Fix regression from v1.10.2 that caused offloading to stop working after 1 month of uptime on Cavium-based routers (ER-lite, ER-PoE, ER, ER-Pro, ER-4, ER-6, ER-12).
offload {
hwnat disable
ipv4 {
forwarding enable
pppoe enable
vlan enable
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
login {
user root {
authentication {
encrypted-password xxxxxxxxxxxxxxxxxxxxx
plaintext-password ""
}
level admin
}
user ubnt {
authentication {
encrypted-password xxxxxxxxxxxxxxxxxxxxxx
plaintext-password ""
}
full-name ""
level admin
}
}
Depuis quelques jours mon boîtier Femtocell Orange ne fonctionne plus. L'état des LED correspond au code d'erreur n° 11 (page 16 du guide utilisateur (https://assistance.orange.fr/medias/woopic/files/content/download/745211/15287016/version/1/file/guide_utilisateur_femtocell_v4.pdf)) : "L’authentification de sécurité à échoué. Veuillez contacter le Service Clients mobile."
J'ai contacté le SC Orange, qui à fait quelques tests puis m'a remplacé le boîtier. Ce soir j'ai récupéré le nouveau boîtier femtocell et même erreur...
Étant donné que la femto est censée fonctionner avec plus ou moins n'importe quelle box du marché, je doute qu'il y ait un VLAN à configurer. Quelqu'un a déjà rencontré ce souci avec un routeur UBNT ?
Hello,
J'en ai assez de changer d'IPv4 tout le temps, et de la gestion hasardeuse de l'IPv6 sans delegation de prefix (marche pas top top chez moi suivant les clients). Je vais bientôt vous rejoindre dans le clan des ERL > livebox.
Sauf que je n'ai pas très envie de changer le client dhcp de l'ERL, et je n'arrive plus à retrouver le thread où l'on parle de la gestion du COS par le switch.
Quelqu'un saurait me dire où se trouve ce thread de nouveau, et si le remplacement peut fonctionner avec le client dhcp d'origine ?
Ceci étant dit, je réfléchis à abandonner dibbler pour une prochaine version, puisque celui-ci n'est absolument pas maintenu. J'ai 2 ERL qui ne me servent plus (remplacés par un ER4), parfait pour faire des tests, et avec un raspberry pi il doit être possible de simuler au mieux les serveurs DHCP(4|6) d'Orange. il faut juste que je trouve le temps de m'y mettre...
Bon, sinon pour info, chez moi dhclient & dibbler se réinstallent automatiquement à chaque mise à jour firmware...
Le seul problème avec dibbler c'est les interactions de dpkg lors de l'installation. En attendant d'avoir définitivement résolu le problème, je fais les mises à jour avec mon PC connecté sur le port console et je réponds manuellement aux 3 questions. Tout le reste est totalement transparent.
Ceci étant dit, je réfléchis à abandonner dibbler pour une prochaine version, puisque celui-ci n'est absolument pas maintenu. J'ai 2 ERL qui ne me servent plus (remplacés par un ER4), parfait pour faire des tests, et avec un raspberry pi il doit être possible de simuler au mieux les serveurs DHCP(4|6) d'Orange. il faut juste que je trouve le temps de m'y mettre...
Quelle est ta method pour ne pas avoir à réinstaller dibbler après une mise à jour firmware ?
#!/bin/sh -e
DESTFILE=/usr/sbin/dibbler-client
if [ -f "$DESTFILE" ]
then
echo "Dibbler-client already there"
exit 0
fi
dpkg --force-confnew -i /config/packages/dibbler-client_1.0.1-1~bpo80+1_mips.deb
cp /config/packages/client.conf /etc/dibbler
Pas mal pour les infos. Mais du coup tu dois quand même répondre "manuellement" aux questions via le port console ?Oui.
Je vais me pencher sur le preseed, ça serait quand même bien mieux.Le problème, c'est que pour préparer le fichier de preseed, il faut utiliser la commande debconf-get-selections qui n'est pas installé sur le routeur (contrairement à debconf-set-selections qui est bien là et sera nécessaire en préliminaire à l'installation). Il faut donc installer dibbler-client sur une autre machine (un PC par exemple) en répondant aux questions de la même manière qu'on le fait sur le routeur et générer le fichier preseed.
Oui.
Le problème, c'est que pour préparer le fichier de preseed, il faut utiliser la commande dpkg-get-selections qui n'est pas installé sur le routeur (contrairement à dpkg-set-selections qui est bien là et sera nécessaire en préliminaire à l'installation). Il faut donc installer dibbler-client sur une autre machine (un PC par exemple) en répondant aux questions de la même manière qu'on le fait sur le routeur et générer le fichier preseed.
dibbler-client dibbler-client/start boolean false
dibbler-client dibbler-client/interfaces string eth0
dibbler-client dibbler-client/options multiselect dns
#!/bin/sh -e
DESTFILE=/usr/sbin/dibbler-client
if [ -f "$DESTFILE" ]
then
echo "Dibbler-client already there"
exit 0
fi
export DEBIAN_FRONTEND=noninteractive
debconf-set-selections < /config/packages/preseed.txt
dpkg -i /config/packages/dibbler-client_1.0.1-1~bpo80+1_mips.deb
cp /config/packages/client.conf /etc/dibbler
7:10:23.460685 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 369)
0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 44:d9:e7:07:1c:e0 (oui Unknown), length 341, xid 0xd3e2e611, Flags [none]
Client-Ethernet-Address 44:d9:e7:07:1c:e0 (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.1[.....]12.102
Vendor-Class Option 60, length 5: "sagem"
Client-ID Option 61, length 7: ether d4:6[.....]e:10
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox4", length 43
Quand je branche ce même ONT sur ma LB4 (en enlevant le SFP), la connexion ne s'établie pas.Normal, Seul l'ONT sensé être utilisé est autorisé dans la configuration de l'OLT (l'équipement à l'autre bout de la fibre dans le NRO).
Comment puis-je faire ? Puis-je demander à Orange de réactiver l'ONT avec mon nouveau fti ?Orange ne réactivera pas l'ancien ONT. La solution la plus simple est d'acheter un convertisseur TP-Link MC220L et d'y mettre le SFP.
Pour le dhclient, je pensais l’avoir patché avec celui trouvé sur ce même topicOk, ça devrait être bon donc.
Effectivement, je constate aussi ce comportement avec un USG et ceci depuis que j'ai des decodeurs UHD.
Ce que j'ai pu constater, c'est que ce décodeur peut saturer l'igmp-proxy de l'USG en laissant trop de flux ouverts en simultané.
C'est très facile à identifier via un SSH sur le routeur. Cela arrive que lorsque l'on zappe très rapidement sur plusieurs chaines (via "next").
https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/msg606853/#msg606853 (https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/msg606853/#msg606853)
Ce problème existe depuis plusieurs mois. Un restart du proxy suffit, pas besoin de redémarrer le routeur.
Je vais jeter un coup d'oeil à l'IGMP ce soir.Quand le problème se produit, il faut commencer avant toute chose par vérifier si le proxy igmp tourne toujours. Si ce n'est pas le cas (il a planté donc), vérifier que toutes les interfaces + vlans qui n'ont rien à voir avec la TV ont bien le rôle disabled dans le config.
Après, il se peut que ce ne soit pas suffisant: On ne le voit pas sur ta capture (car il manque l'entête 802.1q), mais à priori, vu que tu n'as pas remplacé le binaire du client DHCP du routeur, tes requêtes DHCP sortent avec la CoS à 0. A certains endroits, il faut obligatoirement que les requêtes DHCP sortent avec la priorité 6, sinon pas de réponse d'Orange. Pour cela 2 solutions:
- Intercaler un switch entre le routeur et l'ONT qui va marquer les requêtes DHCP en CoS 6
- Patcher le client dhcp du routeur pour qu'il génère des requêtes DHCP avec la bonne priorité. Par contre je ne sais pas si quelqu'un a déjà fait un patch pour l'ERX, et, malheureusement, tu ne peux pas utiliser le miens car il est compilé pour le processeur des ERL/ER4/... qui n'est pas le même que celui de l'ERX
$tcpdump -n -e -i eth0 -vvv vlan 832
[...]
08:18:13.529687 44:d9:e7:07:1c:e0 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 384: vlan 832, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 366)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 44:d9:e7:07:1c:e0, length 338, xid 0xd040d4d, secs 22, Flags [none] (0x0000)
Client-Ethernet-Address 44:d9:e7:07:1c:e0
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 4: "ubnt"
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.xxxxxxxxxxxxxxx7.112.102
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox4", length 43
END Option 255, length 0
De plus, et c'est peut être lié tout ça, quand je modifie le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour y rajouter la ligne à propos de l'option rfc3118, ça me me met pas comme il faut à jour le fichier /var/run/dhclient_eth0_832.conf (ou un truc du genre).Le script vyatta-interfaces.pl n’est plus utilisé par le système depuis la version 1.10.0 du firmware. Normal donc que ça ne fonctionne pas si tu as un firmware récent.
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
Si ensuite ça ne fonctionne toujours pas, c’est probablement parce que ta chaîne d’authentification n’est pas bonne. Étant donné que tu as tout ce qu’il faut et que tu sais utiliser les outils de capture, je suggère de rebrancher la Livebox et sniffer ses requêtes DHCP afin d’extraire le contenu complet de cette chaîne.
Quand le problème se produit, il faut commencer avant toute chose par vérifier si le proxy igmp tourne toujours. Si ce n'est pas le cas (il a planté donc), vérifier que toutes les interfaces + vlans qui n'ont rien à voir avec la TV ont bien le rôle disabled dans le config.
Le proxy IGMP est capricieux, s'il n'est pas désactivé sur les interfaces qui obtiennent leur IP par DHCP (par exemple sur les VLAN 832 et 838 du port ONT), et que par hasard l'interface se retrouve momentanèment sans IP (à cause d'un renouvellement qui a foiré par exemple), alors le proxy va planter lamentablement.
bonjour,
pour les scripts, c'est ici https://gitlab.com/skelettor/orange-isp-erl/tree/master/config/scripts ou là https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg573807/#msg573807
konki
EdgeOS Firmware Changelog
====
Supported products
* EdgePoint R6, model: EP-R6
* EdgePoint R8, model: EP-R8
* EdgeRouter X, model: ER-X
* EdgeRouter X SFP, model: ER-X-SFP
* EdgeRouter Lite, model: ERLite-3
* EdgeRouter PoE, model: ERPoe-5
* EdgeRouter, model: ER-8
* EdgeRouter PRO, model: ERPro-8
* EdgeRouter 4, model: ER-4
* EdgeRouter 6P, model: ER-6P
* EdgeRouter 12, model: ER-12
* EdgeRouter 12P, model: ER-12P
* EdgeRouter Infinity, model: ER-8-XG
====
2.0.1 (e50, e100, e200, e300, e1000) Changelog / March 13, 2019
====
Fixes:
Offloading - Fix regression in v1.10.2 when offloading on Cavium-based routers would stop
functioning after 1 month of uptime
Offloading - Fix bug when offloading did not work on ER-12
Offloading - Fix regression in v2.0.0 when hwnat throughput on ER-X is not consistent and
CPU-load is very "jumpy"
Firewall] - Setup wizards now enable default IPv6 firewall to protect ER from being discoverable
from WAN via IPv6 link-local address
Firewall - Fix regression in v2.0.0 when firewall did not match related flows of FTP/SIP/PPTP...
and many other protocols
Firewall - Fix regression in v2.0.0 when firewall on bridge interface did not work
Interface - Set physical link of ethernet interface to DOWN when disabling interface from CLI or WebGUI
Discovery - Restore pre-v2.0.0 functionality when unicast UDP discovery message from WAN were ignored.
This is needed to protect ER from being used for amplification DDoS attacks if firewall was not configured
IPv6 - Fix regression in v2.0.0 when radvd crashed if OpenVPN interface was configured
IPv6 - Fix bug when DHCPv6 client would stuck when running "release dhcpv6 interface"
if IPv6 address was not acquired
IPv6 - Fix bug when IPv6 address auto-configuration doesn't work upon reboot
OSPFv3 - Fix "command not found" error when setting OSPFv3 interface
DHCPv6 - Fix bug when DHCPv6 lease file were preserved when deleting DHCPv6 server configuration
Config - Fix regression in v2.0.0 when firewall configuration was slower when DNS server was not reachable
Config - Refactor legacy code that used to slow down system boot.
QoS - Fix bug when new 'egress-qos' settings would not be reapplied until system reboot
DHCPv6 - Fix bug when DHCPv6 would keep old address if DHCP pool range would change
CLI - Increase CLI auto-completion buffer size
Tech-Support - Hide configured password when running "show tech-support" CLI command
IPSec - Fix bug when IPSec log-rotation failed
Webproxy - Fix regression in v2.0.0 when webproxy configuration failed
Logging - Set 2Mb systemd log file limit on ER-X/ER-X-SFP/EP-R6
Interface - Fix regression in v2.0.0 when ethernet interface on ER-X would randomly stop passing traffic after 1-5 days of uptime
Interface - Fix bug when VLAN on bridge interface would not work on ER-12/ER-12P
Interface - Fix regression in v2.0.0 when VLAN with 'vlan-aware' would not work correctly on ER-X
Interface - Fix regression in v2.0.0 when "unregister_netdevice" kernel error when ECMP routes were configured and hwnat enabled on ER-X
Interface - Fix bug when packets greater than 1500 would not pass on ER-X even if MTU was correct
PPPoE - Fix regression in v2.0.0 when PPPoE did not work if switch0 is enabled on ER-PoE
Boot - Fix multiple minor errors that were reported on ER-X during boot
Kernel - Restore "modules.order" file on ER-X which is needed when installing 3rd party kernel modules
Il faut probablement refaire un dhclient en repartant de zéro car la distribution Debian sur laquelle est basé le firmware est passée de Wheezy à Stretch (donc changements importants dans les librairies standards). Même chose pour dibbler...
En l'état je ne suis absolument pas en mesure d'assurer que le firmware 2 est utilisable chez Orange. Sachant que je n'y passerai probablement pas (ou en tout cas pas en 2019), si des modifications sont nécessaires, elles devront venir de quelqu'un d'autre.
Il faut probablement refaire un dhclient en repartant de zéro car la distribution Debian sur laquelle est basé le firmware est passée de Wheezy à Stretch (donc changements importants dans les librairies standards). Même chose pour dibbler...
En l'état je ne suis absolument pas en mesure d'assurer que le firmware 2 est utilisable chez Orange. Sachant que je n'y passerai probablement pas (ou en tout cas pas en 2019), si des modifications sont nécessaires, elles devront venir de quelqu'un d'autre.
Avec le firmware 2.x on a les cgroup non?Oui, sauf que le noyau est compilé avec le strict minimum nécessaire pour que systemd fonctionne, notamment en ce qui concerne cgroups, et il n'est pas certain que le noyau supporte net_prio...
En l'état je ne suis absolument pas en mesure d'assurer que le firmware 2 est utilisable chez Orange. Sachant que je n'y passerai probablement pas (ou en tout cas pas en 2019), si des modifications sont nécessaires, elles devront venir de quelqu'un d'autre.Comme le dit fttmeh le firmware 2.0.1 est fonctionnel chez Orange.
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:MASQUE"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:MASQUE;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
Le décodeur UHD a besoin que le serveur DHCP lui serve l’option 125 avec à l’interieur Entre autre la version de la box, une partie de son adresse Mac ainsi que son numéro de série.
Le format exact est décrit dans plusieurs messages qu’il va falloir retrouver....
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth0
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth2.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth2.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.10.1/24
description "eth0 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "eth2 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth2.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth2.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth2.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description ""
forward-to {
address 192.168.10.xxx
port xxxx
}
original-port xxxx
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name lan.prive
lease 86400
ntp-server 192.168.10.1
start 192.168.10.5 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.1
dns-server 81.253.149.9
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
static-mapping LIVEBOX {
ip-address 192.168.2.2
mac-address XX:XX:XX:XX:XX:XX
static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
static-mapping-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:33;"
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "NAN.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1.832 {
service dyndns {
host-name @adresse
login @login
password @password
}
web dyndns
}
}
forwarding {
cache-size 400
listen-on lo
listen-on eth0
name-server 9.9.9.9
name-server 149.112.112.112
options log-queries
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.10.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5010 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.10.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 50
}
domain-search {
domain lan.prive
}
host-name ubnt
login {
user root {
authentication {
encrypted-password @password
plaintext-password ""
}
full-name "User Root"
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
plaintext-password ""
}
full-name "User Ubnt"
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.9.5166937.190213.1810 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth0
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.10.1/24
description "eth0 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description "eth1.840 (Orange_TV_STREAM)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "eth2 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth2.832 LIVEBOX (INTERNET + VOIP)"
}
vif 840 {
address 100.64.0.2/30
description "eth2.840 LIVEBOX (Orange_TV_STREAM)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description ""
forward-to {
address 192.168.10.xxx
port xxx
}
original-port xxx
protocol tcp_udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name lan.prive
lease 86400
ntp-server 192.168.10.1
start 192.168.10.5 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
static-mapping LIVEBOX {
ip-address 192.168.2.2
mac-address XX:XX:XX:XX:XX:XX
}
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:4e:41:4e:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option domain-search "NAN.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1.832 {
service dyndns {
host-name @adresse
login @login
password @password
}
web dyndns
}
}
forwarding {
cache-size 400
listen-on lo
listen-on eth0
name-server 9.9.9.9
name-server 149.112.112.112
options log-queries
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.10.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5010 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.10.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
}
system {
config-management {
commit-revisions 50
}
domain-search {
domain lan.prive
}
host-name ubnt
login {
user root {
authentication {
encrypted-password @password
plaintext-password ""
}
full-name "User Root"
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
plaintext-password ""
}
full-name "User Ubnt"
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.9.5166937.190213.1810 */
OK bon je vais pas pouvoir t'aider beaucoup car je n'ai pas trop le temps, je préfère le dire d'emblée.
igmp-proxy est un programme qui fonctionne sur l'ERL et qui sert à forwarder le flux multicast TV reçu sur eth1.840 vers eth2.840. L'adresse 100.64.0.2/30 est nécessaire pour que igmp-proxy fonctionne car la livebox (pas directement le décodeur TV, ici le décodeur TV est connecté derrière la livebox) envoie ces trames d'adhésion igmp avec l'adresse 10.64.0.1 en IP source et igmp-proxy n'arrive pas à forwarder ces trames vers l'upstream si l'interface eth2.840 de l'ERL n'est pas dans le même subnet.
Donc en fait quand tu dis qu'en changeant cette adresse, tu n'as plus de téléphone, ça n'est pas possible car le téléphone n'utilise pas igmp-proxy (en fait le flux tel ne passe même pas dans le vlan 840 pour tout dire).
Mon meilleur conseil serait de rependre la config à zéro (si tu as commencé à mélanger plusieurs configs). La config que j'ai posté c'est pour un fonctionnement ERL avec LAN en eth0, RJ45 vers fibre en eth1 et livebox en eth2. Le téléphone et le décodeur TV sont branchés sur la livebox.
Regarde bien quel est ton modèle de livebox et de décodeur tv, change les champs concernés si ce ne sont pas les même modèles que les miens.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.2.254/24
description home.lan
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LIVEBOX
duplex auto
speed auto
vif 832 {
address 192.168.254.254/24
description LIVEBOX_DATA
}
vif 840 {
address 100.64.0.2/30
description LIVEBOX_MULTICAST
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name home.lan {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.2.254
lease 86400
start 192.168.2.1 {
stop 192.168.2.99
}
}
}
shared-network-name livebox.lan {
authoritative enable
subnet 192.168.254.0/24 {
default-router 192.168.254.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.254.1 {
stop 192.168.254.9
}
static-mapping Livebox {
ip-address 192.168.254.1
mac-address XX:XX:XX:XX:XX:XX
}
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option domain-search "NAN.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth0
listen-on eth2
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.2.254
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ:WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.2.254
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
}
system {
config-management {
commit-revisions 5
}
host-name erl
login {
user root {
authentication {
encrypted-password @Password
plaintext-password ""
}
full-name "User Root"
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
plaintext-password ""
}
full-name "User Ubnt"
level admin
}
}
name-server 9.9.9.9
name-server 1.1.1.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.9.5166937.190213.1810 */
option vendor.unknown-1368 1:a:0:1:0:0:0:ff:ff:ff:ff:ff;
( récupéré dans mon dhclient_eth1_832.leases )subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
( récupéré dans mon fichier config.boot )envoie ces trames d'adhésion igmp avec l'adresse 100.64.0.1 en IP sourceet que du coup le problème viennent de la ?
Non ce n'est pas à cause de l'adresse 100.64.0.1 que ça peut bloquer, d'ailleurs ce n'est même pas avec cette IP que les trames sortent mais avec celle de l'interface eth1.840.
En moins propre sinon : utiliser des bridges mais cette config a été créé justement pour s'en passer.
L'option disable quick-leave est pertinente si tu as plusieurs décodeurs tv, sinon vaut mieux la laisser (le zap est plus rapide).
Je ne connais pas ton LAN ni tes paramètres perso (et je ne veux pas les connaître ;D) forcèment le support ne peut être que limité.
static-mapping-parameters "option Vendor-specific (version longue )
(version longue = celle qui faut utiliser lorsque l'on n'a un décodeur Uhd cela dit en passant je n'est pas ce décodeur le mien est le gros décodeur donc inutile de ce que je sais a présent. )static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
dans la static-mapping LIVEBOX sur eth2 au cas ou la livebox ne verais pas correctement les dns indiqué (j'ai pas toucher au dns que tu avait mis sur ton fichier de conf mais sait ont jamais encore une fois)En moins propre sinon : utiliser des bridges mais cette config a été créé justement pour s'en passer.Ba oui mais c'est tous a fait pourquoi je voudrais ne plus utiliser les bridge qui limite énormèment le routeur et est beaucoup moins propre comme tu le dit si certain sont arriver a utiliser tel et tv derriere le box, je vois pas pourquoi je n'y arriverais pas mais j'avoue avoir quand même un peu de mal a comprendre la d'ou vient le soucis.
Je ne connais pas ton LAN ni tes paramètres perso (et je ne veux pas les connaître ;D) forcèment le support ne peut être que limité.Quant tu dit "connais pas ton LAN ni tes paramètres perso" quel info supplèmentaire aurait tu besoin pour m'aider ?
Hello @MikeTheFreeman
Apres encore pas mal de test pendant la soirée :
je vient de comprendre déjà pourquoi a certain moment le téléphone ect .. ne fonctionne plus c'est a cause de cette option que je mets dans la static-mapping LIVEBOX sur eth2Code: [Sélectionner]static-mapping-parameters "option Vendor-specific (version longue )
(version longue = celle qui faut utiliser lorsque l'on n'a un décodeur Uhd cela dit en passant je n'est pas ce décodeur le mien est le gros décodeur donc inutile de ce que je sais a présent. )
J'ai aussi rajouté deux zero manquant dans une des chaines octet me semble pas que cela est de l'important étant a chaque fois un le zero devant le chiffre mais autant que cela soit parfait.
J'ai aussi testé avecCode: [Sélectionner]static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
dans la static-mapping LIVEBOX sur eth2 au cas ou la livebox ne verais pas correctement les dns indiqué (j'ai pas toucher au dns que tu avait mis sur ton fichier de conf mais sait ont jamais encore une fois)
A aucun endroit dans "ma config" il n'y a de static-mapping-parameters donc je ne sais pas trop ce que tu essaies de faire avec ces lignes. Si tu ne comprends pas ce que tu mets, autant éviter d'en rajouter sinon ça ne fera que complexifier le problème.
Le fait que tu dises que le net+tel+tv vod fonctionne mais pas tv multicast tend à dire que c'est un problème sur le vlan 840 ou sur le multicast (entre l'ERL et la livebox).
Apparemment ta livebox est connectée directement sur eth2, si le décodeur tv est lui directement branché sur la livebox, je sèche.
tend à dire que c'est un problème sur le vlan 840 ou sur le multicast (entre l'ERL et la livebox).S je comprend bien, mais arrête moi si je dit des bêtises mon problème serrait au niveau de ces parties la ?
interfaces {
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
}
ethernet eth2 {
description LIVEBOX
duplex auto
speed auto
vif 840 {
address 100.64.0.2/30
description LIVEBOX_MULTICAST
}
}
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
role downstream
threshold 1
}
}
}
Apparemment ta livebox est connectée directement sur eth2, si le décodeur tv est lui directement branché sur la livebox, je sèche.OUI tous a fait @MikeTheFreeman c'est exactement cela !
Si je comprend bien le décodeur est derrière la Livebox, donc il faut faire un bridge entre eth1.840 et eth2.840 et enlever l igmp-proxy. Cela devrait fonctionner.
l'offload est désactivé sur le bridge uniquement. Le traffic internet sera toujours offloadé. Et c'est pas les 30 Mbps grand max des chaines en 4K qui vont écrouler le routeur.
Personnellement je ne comprends pas ce besoin de mettre le décodeur derrière la box. La connexion directe ELR<->Decodeur est tellement plus simple (et la configuration d'igmp-proxy très simple).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN & WLAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 10 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 70 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth0
}
}
limit {
burst 1
rate 50/minute
}
log enable
protocol icmp
}
rule 100 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description "eth0 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 ISP_DATA"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description "eth1.840 ISP_TV_STREAM"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "eth2 LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth2.832 LIVEBOX_DATA"
}
vif 840 {
address 100.64.0.2/30
description "eth2.840 LIVEBOX_MULTICAST"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name MONDOMAINE
ntp-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
lease 259200
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4d:53:52:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "XXX.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth2
listen-on eth0
listen-on lo
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5010 {
description MASQ:WAN
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
acl {
rule 100 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description ALLOW
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
listen-on eth0
listen-on eth2.832
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
domain-name MONDOMAINE
host-name erl
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name ""
level admin
}
}
name-server 9.9.9.9
name-server 1.1.1.1
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
pppoe disable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export disable
}
}
En fait, on pourrait totalement se passer de paquets/binaires externes si:Donc, après avoir installé le firmware version 2.0.1 sur un ERL qui ne me sert plus:
- Le support de cgroup est complet (https://community.ubnt.com/t5/EdgeRouter-Beta/2-0-0-firmware-feature-idea/m-p/2622345)
- dhclient du firmware est compilé avec le support de DHCP6-PD (ce qui est apparemment le cas du dhclient sur Debian stretch, mais je crois que Ubiquiti utilise son propre paquet : https://wiki.debian.org/IPv6PrefixDelegation
Donc, après avoir installé le firmware version 2.0.1 sur un ERL qui ne me sert plus:
- Il n'y a pas les outils nécessaires pour manipuler cgroup dans le firmware
- dhclient semble être compilé avec le support de DHCP6-PD (dhclient -6 -P). En théorie donc on pourrait se passer de dibbler pour IPv6
@Vincent1890
Je vous propose cette config IPv4 sans bridge qui est basée sur celle de MikeTheFreeman. J'ai un un Erl3 en firmware v1.10.9 : Eth0: switch lan 192.168.1.1/24, Eth1 ONT, Eth2 Livebox3 pour tel et décodeur TV3 (play) 192.168.2.1/24. La livebox à l'IP 192.168.2.21 et l'erl l'ip 192.168.1.1
il convient de modifier les lignes 107 (adresse MAC de la Livebox), 109 (chaîne longue Auth), 209 et 210 (DNS de la livebox), 219 XXX orange multimedia, et de remplacer les DNS lignes 306-309 par ceux de votre choix. La ligne 108 est à modifier si vous avez une livebox4.
A noter que l'option 125 est nécessaire pour le décodeur TV UHD https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg584967/#msg584967 (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg584967/#msg584967)
La chaine Auth est disponible via Liveboxinfo (https://www.liveboxinfo.ga/ onglet Mibs données DHCP V4 Sent option 90, en rajoutant les : tous les 2 caractères et le ; à la fin) et les autres infos sont dans le fichier /run/dhclient_eth1_832.leases de l'erl.
Le dhclient3 patché par zoc est indispensable dans cette configuration où le switch ne gère pas la Cos devant le router.
konkiCode: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN & WLAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 10 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 70 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth0
}
}
limit {
burst 1
rate 50/minute
}
log enable
protocol icmp
}
rule 100 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description "eth0 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 ISP_DATA"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description "eth1.840 ISP_TV_STREAM"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "eth2 LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth2.832 LIVEBOX_DATA"
}
vif 840 {
address 100.64.0.2/30
description "eth2.840 LIVEBOX_MULTICAST"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
interface eth2.840 {
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name MONDOMAINE
ntp-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
lease 259200
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4d:53:52:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "XXX.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth2
listen-on eth0
listen-on lo
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5010 {
description MASQ:WAN
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
acl {
rule 100 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description ALLOW
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
listen-on eth0
listen-on eth2.832
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
domain-name MONDOMAINE
host-name erl
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name ""
level admin
}
}
name-server 9.9.9.9
name-server 1.1.1.1
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
pppoe disable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.9.5166937.190213.1810 */
Bonjour,
J'avais réussi à configurer une alternative sans livebox dans mon ancien domicile à base de :
Prise mural <--- D-link 320B en mode bridge <---- Eth0 en pppoe Edgerouter X
PC1 <---- eth1
PC2 <---- eth2
Tout allais bien dans le meilleur des monde.
Et la je déménage (même pas très loin)
Et la nouvelle livebox me dit qu'elle se connecter en DHCP (et pas en pppoe comme avant) et me voila tout perdu.
Je voudrais une config très simple comme celle du dessus.
Je veut pas de telephone / pas de télévision rien juste internet.
est-ce possible, et si oui comment ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "ETH0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "ETH0.832 LIVEBOX (INTERNET + VOIP)"
}
}
ethernet eth1 {
description "ETH1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:.....................................................................................XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
}
ethernet eth2 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 1.1.1.1
dns-server 9.9.9.9
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.31
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082543.180426.1717 */
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.0.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX........XX;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:...........................................................................XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX......XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
ntp-server 192.168.0.1
start 192.168.0.100 {
stop 192.168.0.101
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.101
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.0.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.0.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.3.5013619.170830.0242 */
ethernet eth2 {
duplex auto
speed auto
vif 832 {
address 192.168.10.1/24
description Livebox
}
}
service {
dhcp-server {
disabled false
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name VLAN_LIVEBOX_DHCP {
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 80.10.246.3
dns-server 81.253.149.10
lease 172800
start 192.168.10.30 {
stop 192.168.10.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4e:49:43:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "NIC.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
}
Code: [Sélectionner]ethernet eth2 {
duplex auto
speed auto
vif 832 {
address 192.168.10.1/24
description Livebox
}
}Code: [Sélectionner]service {
dhcp-server {
disabled false
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name VLAN_LIVEBOX_DHCP {
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 80.10.246.3
dns-server 81.253.149.10
lease 172800
start 192.168.10.30 {
stop 192.168.10.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4e:49:43:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "NIC.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
}
- Tu peux changer le sous-réseau si tu veux, mais dans ce cas ne pas oublier de le faire aussi dans la configuration du serveur DHCP
- Les serveurs DNS à annoncer doivent être ceux d'Orange, et attention ils peuvent être différent des miens vu qu'on n'est pas du tout dans la même région
- Le "domain-search" doit être adapté, tu dois remplacer NIC (Nice) par celui qui correspond à ta région. Le plus simple est de regarder ce que le serveur DHCP d'Orange envoie en consultant le fichier /run/dhclient_eth1_832.leases (Les DNS à utiliser y sont aussi d'ailleurs).
- Il est conseillé de changer aussi l'option SIP (même si en pratique elle n'est sensée ne plus être utilisée). Ici encore, consulter le fichier leases (option unknown-120)
Attention, si la box a été réinitialisée en configuration usine, il faudra la reconnecter au moins une fois en direct sur l'ONT et entrer les identifiants, afin qu'elle récupère son profil de configuration et se connecte par la suite en DHCP (parce qu'en configuration usine elle se connecte en PPPoE uniquement).
ethernet eth2 {
duplex auto
speed auto
vif 832 {
address 192.168.0.1/24
description Livebox
}
}
service {
dhcp-server {
disabled false
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name VLAN_LIVEBOX_DHCP {
subnet 192.168.10.0/24 {
default-router 192.168.0.1
dns-server 80.10.246.1
dns-server 81.253.149.9
lease 172800
start 192.168.0.10 {
stop 192.168.0.11
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4e:49:43:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "NIC.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
}
Je n'ai pas trouvé mon "Domain-search", il faudrait d'abord que j'envoi la config au routeur que je branche puis que je récupère cette info c'est bien ça, et comment lire ce fichier ensuite (/run/dhclient_eth1_832.leases), Filezilla ? :.
cat /run/dhclient_eth1_832.leases
Je souhaite mettre ma box en 192.168.0.1 donc je dois mettre (J'ai vérifié et adapté mes DNS ) :C’est bon sauf la ligne « subnet ».
.
Oui.Code: [Sélectionner]cat /run/dhclient_eth1_832.leases
C’est bon sauf la ligne « subnet ».
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.0.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:XX:XX:XX:XX:X:........................................XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
duplex auto
speed auto
vif 832 {
address 192.168.1.1/24
description Livebox
}
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.0.1
lease 86400
ntp-server 192.168.0.1
start 192.168.0.100 {
stop 192.168.0.101
}
}
}
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
hostfile-update disable
shared-network-name VLAN_LIVEBOX_DHCP {
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 80.10.246.1
dns-server 81.253.149.9
lease 172800
start 192.168.1.10 {
stop 192.168.1.11
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4e:49:43:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "NIC.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.1
name-server 81.253.149.9
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.0.1
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.0.1
listen-address 192.168.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user root {
authentication {
encrypted-password YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.7+hotfix.3.5013619.170830.0242 */
/* Release version: v1.9.7+hotfix.3.5013619.170830.0242 */attention de ne pas copier directement des fichiers de conf sur le forum puis coller et de load, tu as 50 pour-cent des change que cela marche pas.
UP ! :'(
Lignes 198 et 306 tu as écris "domain TonLan.prive"... Il faut mettre quoi ? :)
configure
set system login user root authentication plaintext-password "P@ssWord"
set service ssh allow-root
commit
save ; exit
configure
load config-new.boot
commit
Si lors du "load config-new.boot" vous avez des erreurs ne continuez pas vous ne devez pas avoir erreur lors du "load config-new.boot"configure
save
exit
discard
exit
Que fais tu du rfc3442-classless-routes ?le script rfc3442-classless-routes
Pas besoin ?
Si j'ai bien compris ça permet d'atteindre un appareil sur le réseau directement en faisant un loopbackCe qui te permet de rentrer dans le navigateur l'adresse https://nas.nomdomaine.fr ou directement https//nas ou faire un ping ou autres est le serveur DNS du Routeur qui traduit le NomDeDomaine.prive ou IP.
Pour un nas par exemple nas.nomdomaine.fr et c'est bon?
Vu que j'en ai aussi un 🙂
Pour ça c'est normal ?NON pas normal si tu a bien mise a jour le firmware et fait le reset dans le cas ou tu es déjà a jour coté firmware mais cela n'est pas normal.
[ interfaces loopback lo ]
Can not delete lo
C'est à ce moment ci que je dois changer de port et faire mon save ?Il me semble que oui ce qui est sur c'est qu'après le commit tu verra la session SSH en activité puis ce figer à partir le la tu verra que tu n'a plus accès SSH a l'ancienne adresse 192.168.1.1 alors la tu changes de port si tu était pas sur le bon port et tu te reco au ssh en 192.168.10.1 et tu continu la procédure du post ci-dessus.
[ interfaces ethernet eth1 address dhcp ]
Stopping DHCP client on eth1 ...
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:XX:XX:XX:.....................XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 1.1.1.1
dns-server 9.9.9.9
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name ubnt
login {
user root {
authentication {
encrypted-password YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
plaintext-password ""
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password YYYYYYYYYYYYYYYYYYYY
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 1.1.1.1
name-server 9.9.9.9
name-server 1.0.0.1
name-server 1.1.1.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082543.180426.1717 */
[ interfaces loopback lo ]Non cela ce n'est pas normal !
Can not delete lo
[ service nat rule 5010 outbound-interface eth1.832 ]Par contre cela oui c'est normal !
NAT configuration warning: interface eth1.832 does not exist on this system
[ interfaces ethernet eth1 address dhcp ]
Stopping DHCP client on eth1 ...
Ça change que mon client DHCP patché ne marche plus et qu’il faut utiliser celui fourni par je sais plus qui sur le forum.Sur le poste situé ci dessous :
Moi ça fonctionne très bien avec la version 1. 10. 9.
Du coup je comprends plus est-ce qu'il faut que je remplace mon dhclient3 actuel par celui-ci ?
Si je le remplace directement avec Filezila et je redémarre mon routeur ça marche tout seul ?
Est-ce que ça vaut le coup de mettre le dernier firmware 2. 0.1 avec le nouveau dhclient 3 ?Pour m'a part je n'ai pas osé le passé en 2.0.1 donc peux pas dire mais t'a question est pertinente !
Quand je flashe le firmware ça remet tout à zéro ou pas ? 🙃
La mise à jour firmware conserve tout ce qui est dans /config, et écrase tout le reste (donc y compris le client dhcp patché).Je lui disant de save son config car si pendant mise a jour du firmware cela plante patatra surtout si comme moi il y a des scripts en plus de rajouter dans le cron par exemple
Pareil avec l arbre de configuration dans l interface web on peut faire 100% de la configuration. Ça n évite pas les fautes de frappes sur tout les paramètres mais ça réduit le risque d avoir une conf qui ne boot pas.
La mise à jour firmware conserve tout ce qui est dans /config, et écrase tout le reste (donc y compris le client dhcp patché).
Pourquoi rajouter des taches dans la crontab quand on peut le faire dans le fichier de config (task-scheduler) ?
Moi aussi j'ai plein de scripts (dont un qui réinstalle dhclient et dibbler-client automatiquement au premier reboot après la mise à jour firmware). Bon, après, faire une sauvegarde, c'est évidemment toujours recommandé.
task-scheduler {
task ScriptRebootFail {
executable {
path /config/scripts/ScriptRebootFail.sh
}
interval 30m
}
task ScriptAlertSMS {
executable {
path /config/scripts/ScriptAlertSMS.sh
}
interval 10m
}
task ScriptNAS {
executable {
path /config/scripts/ScriptNAS.sh
}
interval 5m
}
}
Super !NON @kanabeach44 pas encore tester je verra cela un peux plus tard car je pense pas que cela va apporter des modifications surnaturelle.
Par contre tu as testé avec le dernier firmware et dhclient 3 ?
Autre question : puisque j'ai charge mon boot à moi, que change ta version par rapport à la mienne du coup ? :)
NON @kanabeach44 pas encore tester je verra cela un peux plus tard car je pense pas que cela va apporter des modifications surnaturelle.
Mais quand j'aurais un moment je testerais juste pour voir les bienfait ou pas !
Super !
Par contre tu as testé avec le dernier firmware et dhclient 3 ?
Autre question : puisque j'ai charge mon boot à moi, que change ta version par rapport à la mienne du coup ? :)
Pas de souci ! C'est déjà super que l'erreur soit solutionnée.
dhclient3.prio6.edgeos2 il faut le laisser tel quel ou le renommer en dhclient3 si je veux tester avec le firmware 2.0.1 e't ton boot ?
Ta version est avec des bridges br0, br1
C'est pour cela que je me suit bagarré pendant plus d'un mois pour réussir a comprendre et monté un fichier de conf sans bridge mais la tienne fonctionnera a peut près pareil.
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg641510/#msg641510 (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg641510/#msg641510)
Dans ton boot :
Ligne 228
dns {
forwarding {
cache-size 1024
listen-on eth2
listen-on eth0
listen-on lo
}
}
Cela sert à quoi le cache size à 1024 ?
Donc ça la config est HS ! Et le routeur revient en config ip d'origine ?Non, j’ai juste dit tout le contraire...
Pourquoi rajouter des taches dans la crontab quand on peut le faire dans le fichier de config (task-scheduler) ?
Moi aussi j'ai plein de scripts (dont un qui réinstalle dhclient et dibbler-client automatiquement au premier reboot après la mise à jour firmware). Bon, après, faire une sauvegarde, c'est évidemment toujours recommandé.
2019.05.12 07:01:47 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/15 interface.
2019.05.12 07:01:47 Client Error AUTH: protocol 13621952 not supported yet.
2019.05.12 07:01:48 Client Info Processing msg (SOLICIT,transID=0xd7e919,opts: 1 25 8 16 15 11 11 6)
2019.05.12 07:01:48 Client Error AUTH: protocol 13621952 not supported yet.
Oui, j’ai ce problème depuis le début, et pas qu’avec des décodeurs UHD, mais aussi le décodeur TV 4.Vu que je ne pouvais pas utiliser mon 3ème port de l'ERL (manque de cablage physique pour faire un réseau à part pour la partie TV), j'ai fini par créer des ACL en DENY pour la partie UPNP2 sur les IPs de mes décodeurs TV. Depuis plus de soucis a priori.
Je ne sais pas trop comment résoudre le problème quand les décodeurs sont sur le même LAN que le reste des équipements de la maison, hormis désactiver totalement UPnp sur le routeur.
Chez moi, j’ai mis les décodeurs dans un VLAN séparé et je n’ai pas activé UPnp sur ce VLAN. Il est sûrement possible de faire mieux (ce qui en plus permettrait d’activer le pilotage à distance des décodeurs avec l’application Orange TV sur smartphone), mais je n’ai pas vraiment eu le temps de me pencher sur la question et j’ai d’autres projets plus prioritaires.
J'ai également ce problème à chaque chaque upgrade d'EdgeOS.
A mon sens, c'est le changement du DUID (généré plus ou moins aléatoirement ?) qui bloque chez Orange quand un bail est encore en place.
Deux options :
- réinstaller le DUID précédemment utilisé dans /var/lib/dibbler/client-duid
- rebooter l'ONT ou le modem, ce qui semble forcer la fin du bail en cours
$ sudo service dhclient6 status
* dhclient6.service - IPv6 DHCP client
Loaded: loaded (/etc/systemd/system/dhclient6.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2019-05-15 09:12:21 UTC; 5min ago
Process: 6454 ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1
Main PID: 6461 (dhclient)
CGroup: /system.slice/dhclient6.service
`-6461 /sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
May 15 09:12:21 ubnt systemd[1]: Started IPv6 DHCP client.
May 15 09:12:22 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 1040ms.
May 15 09:12:23 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 2070ms.
May 15 09:12:25 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 4320ms.
May 15 09:12:29 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 8900ms.
May 15 09:12:38 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 17860ms.
May 15 09:12:56 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 35190ms.
May 15 09:13:31 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 69250ms.
May 15 09:14:41 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 125950ms.
May 15 09:16:47 ubnt dhclient[6461]: XMT: Solicit on eth1.832, interval 121100ms.
duid-ll dans la configuration ça veut dire que dibbler-client doit générer le DUID à partir de l'adresse mac de l'interface réseau uniquement (contrairement à duid-llt où l'heure entre en jeu).Le DUID généré était différent car au moment de l'upgrade il y avait certaines interfaces non ethernet (wireguard, tunnel, ...) qui n'existaient pas lors du setup dibbler initial.
J'ai reboot l'ONT et mon ER4, sans effet. Je n'ai pas encore rebranché ma Livebox parce que je n'ai pas envie de perdre le lease de mon IPv4.
Si quelqu'un a une idée je suis preneur...
$ sudo service dhclient6 status
* dhclient6.service - IPv6 DHCP client
Loaded: loaded (/etc/systemd/system/dhclient6.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2019-05-15 13:55:15 UTC; 3min 16s ago
Process: 18987 ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth
Main PID: 18994 (dhclient)
CGroup: /system.slice/dhclient6.service
`-18994 /sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
May 15 13:55:15 ubnt systemd[1]: Starting IPv6 DHCP client...
May 15 13:55:15 ubnt systemd[1]: Started IPv6 DHCP client.
May 15 13:55:16 ubnt dhclient[18994]: XMT: Solicit on eth1.832, interval 1060ms.
May 15 13:55:16 ubnt dhclient[18994]: RCV: Advertise message on eth1.832 from fe80::ba0:bab.
May 15 13:55:16 ubnt dhclient[18994]: XMT: Request on eth1.832, interval 1070ms.
May 15 13:55:17 ubnt dhclient[18994]: RCV: Reply message on eth1.832 from fe80::ba0:bab.
Se pourrait-il que pour une raison ou une autre le DUID change ?
Accessoirement, pourrais-tu partager ta config de dhclient pour faire du DHCP6-PD ? Je compte abandonner dibbler quand je passerai au firmware 2.0.x (pas décidé quand encore).
1/ Pour se faciliter la vie dans les différentes étapes, activer le user "root" pour les accès SSH (putty) et SFTP (filezilla)
dites voir en cas d'upgrade du routeur (par exemple de la 1.10.5 vers la 1.10.9) on a juste à sauvegarder la conf + changer le dhclient3 et le fichier rfc3442-classless-routes ?La conf est conservée (mais une sauvegarde est toujours recommandée ;) ). Il faut juste remettre le client dhcp oui. Pour rfc3442-classless-routes ça dépend: Si tu as viré le VLAN 838 alors tu n'en n'a plus besoin (et d'ailleurs si tu ne l'a pas fait tu devrais, il n'est plus utilisé par les Livebox et finira surement par être supprimé par Orange).
Quid d'une upgrade vers une version 2.0.x ? (Il y a de gros changement sur cette version)Le client DHCP de la 1.10 n'est pas compatible. Une version pour les firmware 2.0.X a été postée quelque part sur le forum (C'est pas moi de moi donc il va falloir chercher).
Est ce que le dhclient3 est toujours adapté ?
J'ai toujours le vlan 838 de configuré, donc je vais encore le garder ::)
Merci Zoc, je vais rechercher le dhclient pour la version 2 ;)
Quelle est la différence entre ton paquet et le dhclient3 recompilé par dmfr ?
Bon et bien la box affiche "Téléphone indisponible" alors qu'elle synchronise bien en data + réseau ...En général la box affiche ce message lorsque l'enregistrement SIP a échoué.
En général la box affiche ce message lorsque l'enregistrement SIP a échoué.
J'ai eu ce problème, et on le voit clairement dans les traces SIP.
Dans ce cas pas de téléphone du tout puisque la ligne est indisponible.
Le problème vient en général d'une erreur dans les paramètres DHCP envoyé à la box.
Voir ce post pour une config qui fonctionne (chez moi depuis plus de 6 mois)
https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/msg618926/#msg618926 (https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/msg618926/#msg618926)
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 1.1.1.1
dns-server 9.9.9.9
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.10
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.35
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
sudo tcpdump -vv -i ethx.832 port 5060
On a constaté qu'il y a 2 configs qui marchentEn tout cas juste un domain-name ne fonctionne plus depuis quelques mois. C'est peut-etre l'explication.
- sans domain-name et sans domain-search, c'est que j'utilise
- avec les 2 paramètres domain-name et le bon domain-search
Il faut essayer les 2 configs, pour la seconde voir
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg648969/?topicseen#msg648969 (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg648969/?topicseen#msg648969)
Et sinon, il faut une trace SIP du démarrage de la livebox pour comprendreCode: [Sélectionner]sudo tcpdump -vv -i ethx.832 port 5060
Puis je mettre le fichier sans reflasher complètement mon routeur ?Il serait temps d'apprendre à utiliser le mode "configure" et les commandes "set", "delete" et "commit" afin de modifier la configuration, au lieu d'écraser à chaque fois le fichier de config complet et devoir rebooter pour qu'il soit pris en compte...
Puis je mettre le fichier sans reflasher complètement mon routeur ?
C'est chiant à chaque mise à jour de version notamment ...
configure
load /tmp/file_to_include
compare
commit
save
Ok a quoi sert la commande "compare" ? De plus si je mets le firmware à niveau, ça se passe comment pour remettre ma config...? Puis je utiliser l'assistant du routeur pour sauvegarder puis restaurer la config après le flash ?
Quand tu dis "tu pousses", ça veut dire je copie le fichier dans le routeur on est d'accord ?
je viens un peu à la péche aux infos. Depuis quelques mois je perds le téléphone apres plusieurs semaines puis la connexion internet.Ça m'intéresse, j'ai justement perdu l'usage du téléphone depuis quelques jours !
Bonjour,
je viens un peu à la péche aux infos. Depuis quelques mois je perds le téléphone apres plusieurs semaines puis la connexion internet.
J'utilise alors le logiciel liveboxinfos pour récupérer la séquence d'authentification dhcp (rfc3118-auth). Une fois remis dans l'edgerouter tout refonctionne: internet + tel.
J'ai tenté d'utiliser le générateur de chaine d'authentification mais je n'arrive pas à obtenir mon adresse IP publique avec le code généré.
Mes questions sont donc:Merci.
- Avez vous des coupures de connexion internet au bout de plusieurs semaines (sans changement de la séquence d'authentification) ?
- Comment faites vous pour obtenir une séquence d'authentification valide ? (j'ai peut-etre le mauvais générateur).
Ça m'intéresse, j'ai justement perdu l'usage du téléphone depuis quelques jours !
Par contre j'ai toujours Internet.
Ma configuration : routeur TP-Link Archer C7 sous OpenWrt, derrière lequel est branché la Livebox pour la téléphonie.
set service dhcp-server disabled false
set service dhcp-server global-parameters 'option rfc3118-authentication code 90 = string;'
set service dhcp-server global-parameters 'option SIP-servers code 120 = string;'
set service dhcp-server global-parameters 'option Vendor-Specific-Information code 125 = string;'
set service dhcp-server hostfile-update disable
set service dhcp-server shared-network-name Network_Livebox authoritative enable
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 default-router 192.168.5.1
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 dns-server 80.10.246.136
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 dns-server 81.253.149.6
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 lease 259200
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 start 192.168.5.20 stop 192.168.5.22
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 subnet-parameters 'option domain-name "orange.fr";'
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 subnet-parameters 'option domain-search "PUT.access.orange-multimedia.net";'
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 subnet-parameters 'option Vendor-Specific-Information 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;'
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 subnet-parameters 'option rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;'
set service dhcp-server shared-network-name Network_Livebox subnet 192.168.5.0/24 subnet-parameters 'option SIP-servers 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;'
Je viens de ressortir Wireshark, pour comparer la capture "Livebox <-> Routeur" avec capture "Livebox <-> Adaptateur SFP" (datant d'avril).
De mon côté, il me manquait bien les 2 options ci-dessous dans la configuration du serveur DHCP :
- option 15 (Domain Name), valeur "orange.fr"
- option 119 (Domain Search), valeur "REN.access.orange-multimedia.net"
En effet, ces 2 options n'étaient pas listées sur le tuto que j'avais suivi à l'époque (https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg589599/#msg589599).
En les ajoutant, j'ai retrouvé le tel.
Sans l'option option 119 (Domain Search), la Livebox essayait de résoudre l'adresse "sbct3g.lan" en tant que serveur SIP, et non l'adresse "sbct3g.REN.access.orange-multimedia.net".
Curieusement, cela a fonctionné plus de 2 mois ainsi ;D
Avez vous des coupures de connexion internet au bout de plusieurs semaines (sans changement de la séquence d'authentification) ?J'ai la même chaine depuis qu'Orange a changé la méthode d'authentification.
J'ai la même chaine depuis qu'Orange a changé la méthode d'authentification.C'est pareil de mon côté, 6 mois de fonctionnement ininterrompus avec la même chaine.
J'ai la même chaine depuis qu'Orange a changé la méthode d'authentification.Vraiment étrange tout ca surtout que je ne suis pas loin de toi Zoc (grasse) et je pense que l'on doit utiliser la meme infrastructure d'orange.
Sinon j'ai toujours des déco tout les jours (a des heures differentes) et je dois refaire un renew des leases dhcp. Pareil pour vous ?La dernière fois que j'ai du faire un renew de lease manuellement (enfin plutôt quand mon script a détecté qu'il fallait un renew "manuel"), c'est le 19 mars 2019 à 2h39.
Est-ce qu'il est possible de partager en 2 la sortie RJ45 du boîtier ONT.Non.
La dernière fois que j'ai du faire un renew de lease manuellement (enfin plutôt quand mon script a détecté qu'il fallait un renew "manuel"), c'est le 19 mars 2019 à 2h39.
Sachant que la durée du lease est de plusieurs jours, s'il y a besoin de faire plusieurs renew par jour, j'impliquerait plutôt d'autres équipements que le routeur. Donc en gros l'ONT coté client ou l'OLT coté Orange. Un reboot de l'ONT ou un passage furtif en "alarme" (perte du signal optique) ça fait tomber la "session" du coté du système de controle d'accès d'Orange, et il faut donc une nouvelle requête DHCP pour te réidentifier et réouvrir l'accès.
Si tu as un ONT externe, je te conseille de suivre l'état des LEDS si par hasard ta connexion tombe pendant que tu es à proximité...
Non.
Mettre 2 équipements sur le même ONT avec le même identifiant utilisateur, ça veut dire que les 2 équipements vont obtenir la même adresse IPv4 au mieux, et au pire quand un équipement va s’authentifier ca va couper la session de l’autre.
L’ONT ce n’est pas un routeur ni un switch...
Tu peux tenter de capturer le trafic lorsque ta Livebox se connecte.
Via une connexion SSH sur ton routeur :
tcpdump -s 0 -i <interface> -w /tmp/livebox.pcap
puis tu récupères le fichier de capture livebox.pcap, et tu nous le transmet (en privé) pour analyse :)
Avec un peu de chance, on découvrira ce qui cloche.
Ça parait beaucoup 45 Mo :o, tu n'as pas dû capturer que le trafic de la Livebox ;)
Tu peux le mettre en ligne sur un partage non public (Dropbox, Onedrive ...), puis m'envoyer par exemple le lien par message privé.
Et sinon, il faut une trace SIP du démarrage de la livebox pour comprendreComme déjà dit plusieurs fois...Code: [Sélectionner]sudo tcpdump -vv -i ethx.832 port 5060
firewall {
all-ping disable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 119 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 1.1.1.1
dns-server 9.9.9.9
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.10
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 172800
start 192.168.2.30 {
stop 192.168.2.35
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option domain-search "NAN.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name ubnt
login {
user root {
authentication {
encrypted-password AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
plaintext-password ""
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 1.1.1.1
name-server 9.9.9.9
name-server 1.1.1.1
name-server 1.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082543.180426.1717 */
global-parameters "option SIP code 119 = string;"
SIP c'est 120... dns-server 80.10.246.1
domain-name orange.fr
lease 172800
Vire "domain-name orange.fr" ici car ça interfère avec le subnet-parameters juste en dessous.
Code: [Sélectionner]global-parameters "option SIP code 119 = string;"
SIP c'est 120...
119 c'est domain-search...
Ceci dit, si le domain-search est bon, SIP n'est plus utilisé (et d'ailleurs il n'est plus jamais sensé être utilisé d'après les notes internes d'Orange auxquelles j'ai eu accès, je suis surpris que la téléphonie fonctionne toujours chez certains avec uniquement l'option SIP).Code: [Sélectionner]dns-server 80.10.246.1
Vire "domain-name orange.fr" ici car ça interfère avec le subnet-parameters juste en dessous.
domain-name orange.fr
lease 172800
MERCI ça fonctionne j'ai retrouvé la synchro et le sigle Tel sur la Box.
Par contre lorsque je compose des numéros fixes, le 3900 également j'entend rien, ça compose bien j'ai bien le décompte de temps sur mon combiné mais il n'y a pas de son, les appels vers mobiles eux passent bien... :-[
Le tel sonne bien lorsque l'on m'appelle.
Pour info j'ai eu un soucis avant hier, impossible de passer un appel, lorsque je tentais un appel, j'avais un message enregistré, qui me disait que la ligne n'était pas configuré. Et en effet sur la Livebox le tel était en dérangement.
J'ai rebranché la Livebox en direct sur l'ONT, puis attendu la synchro, fait un appel pour confirmé que cela fonctionnait, puis j'ai remis le Edge Max derrière l'ONT et la Livebox derrière l'Edge Max, et tout est rentré dans l'ordre.
Solution trouvée ! (Pour le moment)
J'ai viré ces 3 lignes et le Tel Ok :
subnet-parameters "option SIP XXXXXXXXXXXXXXXXXXXXXXXXXXXX
subnet-parameters "option domain-search
subnet-parameters "option domain-name "orange.fr";"
Bon et bien ça a fonctionné 5 min le temps de faire des tests d'appels et puis j'ai réessayé 15 min après plus rien ...
interfaces {
ethernet eth2 {
description LAN_LIVEBOX
duplex auto
speed auto
vif 832 {
address 192.168.5.1/24
description "VLAN VoIP Orange"
}
}
dhcp-server {
disabled false
global-parameters "option rfc3118-authentication code 90 = string;"
global-parameters "option SIP-servers code 120 = string;"
global-parameters "option Vendor-Specific-Information code 125 = string;"
hostfile-update disable
shared-network-name Network_Livebox {
authoritative enable
subnet 192.168.5.0/24 {
default-router 192.168.5.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 259200
start 192.168.5.20 {
stop 192.168.5.22
}
subnet-parameters "option domain-name "orange.fr";"
subnet-parameters "option domain-search "PUT.access.orange-multimedia.net.";"
subnet-parameters "option Vendor-Specific-Information 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP-servers 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
Bonsoir,
vous pouvez aussi supprimer le br0 et tout ce qui est en rapport avec le vif 838. Ou passer sur la configuration sans bridge de MikeTheFreeMan (mêmes branchements matériels). J'ai posté une config épurée et dans les adresse IP / CIDR habituelles des tutos du forum, ici: https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg642472/#msg642472
C'est parfaitement possible de faire les quelques modifications via la CLI et sans redémarrer le routeur.
konki
vous pouvez supprimer SIP, mais pas Domain search! Voir le post de zoc
konki
root@router:/var/run# cat dhclient_eth1_832.leases
lease {
interface "eth1.832";
fixed-address 90.XX.XX.XX;
option subnet-mask 255.255.254.0;
option routers 90.XX.XX.1;
option dhcp-lease-time 259200;
option dhcp-message-type 5;
option domain-name-servers 80.10.246.136,81.253.149.6;
option dhcp-server-identifier 80.10.247.48;
option domain-search "PUT.access.orange-multimedia.net.";
option unknown-120 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;
option dhcp-renewal-time 84600;
option rfc3118-authentication 0:0:0:0:0:0:0:0:0:0:0:64:68:63:70:6c:XX:XX:XX:XX:XX:XX:66:72:32:35:30;
option broadcast-address 90.127.125.255;
option dhcp-rebinding-time 207400;
option domain-name "orange.fr";
option vendor.unknown-1368 1:a:0:1:0:0:0:ff:ff:ff:ff:ff;
renew 6 2019/06/29 18:11:29;
rebind 1 2019/07/01 06:22:53;
expire 1 2019/07/01 20:46:13;
}
Montre nous comment tu configure ton NAT. Perso j’ai aux moins 20 règles NAT sur mon routeur et une configuration similaire (sauf le second routeur).
C’est sur que si les ports RTSP utilisés par Orange sont nattés vers le LAN, alors il n’y aura pas de son sur les téléphones.
Donc il faut que j'ouvre les ports un par un ? J'ai jamais fait ...🤔 Et surtout pour les ouvrir de Erh1.832 vers Eth2 (mon lan où est connecté mon routeur Asus en 192.168.10.3).
Il suffit de renseigner le « dest port » dans les règles de nat...
Si tu NAT tous les ports vers le LAN, alors les flux RTSP (les canaux audio de la téléphonie) vont aller sur le LAN, et pas vers la Livebox...
https://www.google.com/search?q=Ubiquiti+EdgeRouter+Port+Forwarding
Depuis l’interface web, onglet system en bas. Ça sauvegarde tout /config, et que ça (donc pas les éventuels clients DHCP et autres paquets installés à la main.
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.100.254/24 u/u LAN_ETH0
2a01:cb19:740:8e01::1/64
eth1 - u/u ISP
eth1.832 193.250.217.241/21 u/u ISP_DATA
eth1.840 192.168.255.254/32 u/u ISP_TV_STREAM
eth2 - u/u LIVEBOX
eth2.832 192.168.254.254/24 u/u Voip
eth3 192.168.3.1/24 u/D LAN_ETH3
eth4 192.168.4.1/24 u/D LAN_ETH4
eth5 192.168.5.1/24 u/D LAN_ETH5
lo 127.0.0.1/8 u/u
::1/128
Non, il n’y a jamais eu d’IPv6 sur le VLAN 832.C'est un peu ambigu comme réponse. Je ne comprends pas ce que tu as voulu dire mais on récupère bien le préfixe IPv6 depuis le vlan 832.
Bonjour à tous,
Ayant bénéficié (et parfois contribué) des efforts de tous sur ce forum pour remplacer la box par un ERL3 en 2013, je reviens içi car mon installation est quelque peu défaillante (plus de flux TV, débit descendant cappé à 300). Je sais pourquoi mais je serais bien incapable de résoudre seul car je m'étais fait aider par un collègue plus sachant que moi (qui avait chargé et configuré tous les modules nécessaires).
Config actuelle: ERL3 firmware 1.6.x avec ONT externe. pas de livebox, Livebox TV, pas de téléphone. Connexion en PPOE. DynDNS avec no-ip.
De ce que je crois comprendre:
1) Je dois faire une MAJ du firmware de l'ERL. Quelle version stable est recommandée ?
2) Je dois migrer vers une connexion Orange en DHCP - pas besoin d'IPV6. De quoi ai-je besoin ? J'ai parcouru les 87 pages du sujet mais il y a trop de choses que je ne comprends pas. De plus je ne parle pas trop Linux...
En attendant j'ai rebranché la boite agrume pour calmer les esprits du domicile...
Si un sympathique membre de ce forum était prêt à fournir un coup de main (y compris avec raisonnable rémunération) ce serait top.
Je pourrais alors partager un identifiant Anydesk qui permettrait un accès à distance sur un PC qui est sur le LAN de l'ERL.
A défaut un guide "pas à pas" spécial noobie pour que je fasse une tentative seul...
Merci d'avance.
Max
Salut kanabeach44
Merci de t'intéresser à ce sujet.
Pour répondre à tes questions:
Modèle: ERLite-3
ETH0: LAN
ETH1: ONT
ETH2: Décodeur TV
Livebox 3
Livebox Play (TV)
Si il faut plus d'infos je ferai mon possible pour les fournir.
A +
en masquant la ligne "client-option "send rfc3118-auth ........ "Hello,Question très intéressante !
certains font du failover 4G avec leur EdgeRouter ?
Vous utilisez quoi comme matériel pour la partie 4G ?
L'idée est de faire exclusivement du failover vers la 4G si la connexion principale lâche (pas de partage de charge ou autre)
Merci pour vos retours :)
Je viens d'essayer avec le 1.10.10 et le dhclient3 mais rien à faire il prend pas d'ipIl y a 2 dhclient3 différents, un pour la série de firmwares 1.X.X, l'autre pour la série 2.X.X. Il ne sont pas échangeables (parce que les firmware 1.X.X sont basés sur une Debian Wheezy alors que les firmwares 2.X.X sont basés sur Debian Stretch). Donc bien s'assurer d'avoir installé le bon...
J'ai recompilé dibbler sous Jessie, avec le patch pour changer la CoS. Le fichier en PJ.Merci beaucoup pour le package !
Ce package fonctionne bien avec un ER4 sous la version 2.0.0-alpha1. :)
Pour info, j'ai utilisé une image qemu trouvée ici : https://bierbaumer.net/qemu/ (https://bierbaumer.net/qemu/)
Peut-être faudrait-il changer l'intitulé de ce forum « Remplacer sa Livebox par un routeur Ubiquiti Edgemax » ?
Dans les configurations proposées, la Livebox est toujours utilisée mais pas remplacée, notamment pour l'usage de la voix sur IP proposé par Orange qui prend des libertés avec le protocole SIP si j'ai bien compris.
Titre proposé pour ce forum :
« Associer sa Livebox avec un routeur Ubiquiti Edgemax ».
Ce sera plus explicite pour les nouveaux venus.
Moi, perso je mettrais dibbler à la poubelle (il n'est plus supporté depuis plusieurs années et en cas de faille critique il ne sera pas mis à jour) et j'utiliserais dhclient3 pour IPv6 également, comme ça a été détaillé dans ce sujet:
https://lafibre.info/remplacer-livebox/ubiquiti-er-ipv6-dhcp6-en-2-x
Heuu non. Nous avons le choix. Moi je n'ai plus de livebox data, seulement la livebox TV
Avec la 1.10.X, si vous voulez vous passer du switch pour la CoS, alors il faut un dhclient patché + un dibbler patché.Si tu as / trouves un tuto et le binaire dhclient qui vont bien pour Ipv4 + Ipv6 sans switch COS et sans avoir besoin de dibbler, je suis preneur :)
Avec la 2.0.X, le client patché est toujours nécessaire pour IPv4, et, si le patch a bien été fait, il s'applique aussi à IPv6...
Donc, non, il n'est pas nécessaire d'avoir un switch pour la CoS en 2.0.X si on utilise dhclient pour IPv4 et IPv6.
Décidèment, je fonctionne vraiment au ralenti... ::)Bon alors, j'ai fait quelques tests non concluants pour la v6 avec le dhclient qui marche très bien en IPv4 en s'occupant de la COS, dispo sur ce thread
Je me disais qu'il fallait un dhclient modifié pour se charger de la COS, qui n'est pas dans le tuto que tu as linked plus haut... Mais j'en utilise effectivement déjà un, donc je pourrais très bien mixer les 2 en effet.
Je teste ça dès que j'ai un peu de temps :)
Désolé de te faire tourner en rond :D
IA_PD status code NoPrefixAvail: "No prefixes have been assigned"
/sbin/dhclient -6 -P -v -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
Option new_ip requires an argument
Option old_ip requires an argument
Effectivement j'avais lu ici à propos du DUID.
J'ai réinstallé dibbler-client, je l'ai relancé, il chope le préfixe sans souci.
Je l'ai stoppé, check le DUID comme tu me l'as indiqué mais c'est le même que celui que j'avais mis dans la conf dhclient.
J'ai eu un problème similaire. La solution pour moi a été de éteindre le router et l'ONT pendant au moins 30 secondes puis tout rédemarrer.Malheureusement ça n'a rien changé dans mon cas, toujours la même chose avec dhclient.
Wed Aug 21 20:35:18 CEST 2019: entering dhclient-exit-hooks.d, dumping variables.
reason='PREINIT6'
interface='eth1.832'
medium=''
alias_ip_address=''
new_ip_address=''
new_subnet_mask=''
new_domain_name=''
new_domain_name_servers=''
new_routers=''
new_static_routes=''
old_ip_address=''
old_subnet_mask=''
old_domain_name=''
old_domain_name_servers=''
old_routers=''
old_static_routes=''
--------------------------
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT: X-- IA_PD 51:7b:c6:a6
XMT: | X-- Request renew in +3600
XMT: | X-- Request rebind in +5400
XMT: Solicit on eth1.832, interval 1090ms.
RCV: Advertise message on eth1.832 from fe80::ba0:bab.
RCV: X-- Preference 255.
RCV: X-- IA_PD 51:7b:c6:a6
RCV: | X-- starts 1566412520
RCV: | X-- t1 - renew +80323
RCV: | X-- t2 - rebind +207360
RCV: | X-- [Options]
RCV: | | X-- IAPREFIX 2a01:cb15:94:d300::/56
RCV: | | | X-- Preferred lifetime 259200.
RCV: | | | X-- Max lifetime 259200.
RCV: X-- Server ID: 00:02:00:00:05:58:44:45:53:48:41:59:45:53:53:55:44
RCV: Advertisement immediately selected.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC: X-- Initial candidate 00:02:00:00:05:58:44:45:53:48:41:59:45:53:53:55 (s: 152, p: 255).
XMT: Forming Request, 0 ms elapsed.
XMT: X-- IA_PD 51:7b:c6:a6
XMT: | X-- Requested renew +3600
XMT: | X-- Requested rebind +5400
XMT: | | X-- IAPREFIX 2a01:cb15:94:d300::/56
XMT: | | | X-- Preferred lifetime +7200
XMT: | | | X-- Max lifetime +7500
XMT: V IA_PD appended.
XMT: Request on eth1.832, interval 950ms.
RCV: Reply message on eth1.832 from fe80::ba0:bab.
RCV: X-- IA_PD 51:7b:c6:a6
RCV: | X-- starts 1566412520
RCV: | X-- t1 - renew +87258
RCV: | X-- t2 - rebind +207360
RCV: | X-- [Options]
RCV: X-- Server ID: 00:02:00:00:05:58:44:45:53:48:41:59:45:53:53:55:44
IA_PD status code NoPrefixAvail: "No prefixes have been assigned"
Ensuite, tu as bien éteint et rallumé ton ONT ?Oui et attendu une bonne minute.
J'ai ajouté des détails à mon post précédent.
La modif sur le script de logging n'a rien changé au contenu des logs.
Oui et attendu une bonne minute.
XMT: Solicit on eth1.832, interval 1090ms.
RCV: Advertise message on eth1.832 from fe80::ba0:bab.
Tu peux poster ton fichier de conf de dhclient6.
option dhcp6.auth code 11 = string;
option dhcp6.vendorclass code 16 = string;
option dhcp6.userclass code 15 = string;
#Replace eth0 with your external interface (VLAN must be 832 for Orange)
interface "eth1.832" {
#Orange France specific options
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34;
send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;
#Authentication to Orange France DHCP server (meme valeur pour ipv4)
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:XX:00:05:XX:01:XX:41:XX:0d:XX:74:XX:2f:65:XX:70:6B:33:37:XX;
#Replace xx:xx:xx:xx:xx:xx with the MAC address of your external interface
send dhcp6.client-id 00:03:00:01:a4:XX:51:XX:c6:XX;
request dhcp6.auth, dhcp6.vendor-opts, dhcp6.name-servers, dhcp6.domain-search;
}
request dhcp6.name-servers, dhcp6.vendorclass, dhcp6.userclass, dhcp6.auth;
Ensuite, c'est la longueur de la chaine d'authentification :00:00:00:00:00:00:00:00:00:00:00:1a:09:XX:00:05:XX:01:XX:41:XX:0d:XX:74:XX:2f:65:XX:70:6B:33:37:XX
00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:XX:01:03:41:01:0d:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;
#!/bin/sh
login='fti/fillmeout'
pass='tonPSWici'
tohex() {
for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}
addsep() {
echo $(echo $1 | sed "s/\(.\)\(.\)/:\1\2/g")
}
r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5sum | cut -c1-16)
id=${r:0:1}
h=3C12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5sum | cut -c1-32)
intro="00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D"
echo $intro$(addsep $(tohex ${login})${h})
Quoi qu'il en soit... Même résultat en changeant la conf avec tes idées :(
j'en profite pour rajouter une question, par défaut EdgeMax semble utiliser dhcp6c comme client dhcpv6. Est-ce quelqu'un a déjà essayé avec ?
De mémoire, quand tu fais le load de la config, le routeur rale parce qu'il manque la configuration de l'interface eth3. Au pire il est possible de la rajouter à la main dans le fichier de config avant de l'importer, mais je crois (ma mémoire est défaillante sur ce point :p) que ce n'est qu'un avertissement et qu'elle est quand même prise en compte.
Bonjour à tous,
La question a certainement déjà dû être posée mais je n'ai pas trouvé la réponse : peut-on utiliser la TV Orange (avec VOD/Replay/Radio) avec un erpoe-5 sans la livebox play et avec, bien évidemment, la box TV ?
Cordialement,
igmp-proxy {
disable-quickleave
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role downstream
threshold 1
}
}
transforme mes routeurs en sapins de Noël et le réseau est saturé. L'erreur est peut-être évidente, mais je ne la vois pas.
Bonjour à tous.
Je suis en adsl de mon coté et je souhaite également ne plus utiliser ma livebox.
N étant pas fibrer il faut également que je trouve un modem adsl et le configurer en Bridge.
Depuis peu, en adsl, nous sommes également en DHCP, finit le PPPoE , j'aimerais donc savoir si le tuto ici est valide également avec une connexion en adsl via un modem en bridge directement connecté à l'ETH1 du routeur ?
Il faut que les paquets DHCP est une COS de 6. Le binaire dhclient sert à cela mais n est pas obligatoire. Certains switch sont capable de le faire. Le switch doit être placé entre l ont et l erl. Si l ont est au format SFP, je trouves qu il est plus pratique de mettre l ont dans un switch et de faire la COS sur la switch.
Pour compiler le paquet dhclient, il faut prendre les sources de ubiquiti et appliquer le patch pour la version de la 2.x (quelqu’un a poster la modification du patch d origine de zoc sur le forum mais je ne sais plus qui). Sachant qu il faut compiler pour mips le plus simple est d utiliser une image qemu de debian stretch sous mips.
J'aimerais bien trouver les sources de ce binaire dhclient3.Les sources du package d'origine sont dispo dans l'archive GPL sur le site d'Ubiquiti. Pour le code source du patch à appliquer c'est là: https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/?action=dlattach;attach=33988
* En IPv4 on change la conf au niveau "EdgeOS". Mais en ipv6, on fait ca avec le fichier de conf bas niveau du programme - pourquoi ? Il manque quoi dans le système de configuration d'EdgeOS ?Le client DHCP6-PD utilisé par EdgeOS est wide-dhcpv6. Ce client ne permet pas de spécifier la moindre option nécessaire à l'obtention d'un préfixe chez Orange. Alors soit on installe un autre client (dibbler), soit on réutilise le mode DHCP6-PD de dhclient, mais dans tous les cas, c'est impossible à configurer dans le fichier de conf d'EdgeOS.
* Une fois le /56 obtenu, comment faire pour "subdiviser" ce /56 chez plusieurs stations - ).Perso je ne fais pas de DHCPv6 sur mon LAN, mais uniquement de l'autoconfiguration (SLAAC). Quand mon préfixe change, le script lancé par le client DHCP regénère radvd.conf et relance le service radvd. Le nouveau préfix est ainsi immédiatement annoncé sur le LAN.
* Est-ce qu'il faut régulièrement changer le salt & le hash sur la chaine d'OrangeNon. J'ai eu accès à des "documents", le but n'est pas d'empêcher le rejeu, mais uniquement d'éviter que le mot de passe du client ne se ballade pas en clair.
* Il ya des wizards sur EdgeOS, ça me parait faisable d'en fabriquer un pour ça.Effectivement, j'y ai pensé... Mais pas le temps de le faire.
En ADSL ou en VDSL2 ?
En tous cas oui, c'est censé marcher pareil. En tous cas chez moi c'est le cas.
* ER-X-SFP (offloading): 25% CPU + 980 Mbps in `v1.10.8` vs 29% CPU + 973 Mbps in `v2.0.1`
* ER-X-SFP (no-offloading): 100% CPU + 517 Mbps in `v1.10.8` vs 76% CPU + 749 Mbps in `v2.0.1`
* ER-Lite (offloading): 55% CPU + 1980 Mbps in `v1.10.8` vs 58% CPU + 1970 Mbps in `v2.0.1`
* ER-Lite (no-offloading): 100% CPU + 209 Mbps in `v1.10.8` vs 100% CPU + 208 Mbps in `v2.0.1`
-------------- ---------- ------------
v1.10.9 20% 979 Mbps
v2.0.6 59% 821 Mbps
v2.0.8-beta.1 23% 1030 Mbps <--------- Improved after backporting hwnat from v1.10.x firmware
La baisse du débit n'est pas la catastrophe pour ceux qui ont un ERL, et même pas un problème pour ceux avec un ER-4. En revanche, c'est pénalisant pour ceux avec un ER-X.
Selon les tests d'Ubiquiti, la baisse de 10% est sur la performance totale, et les forfaits Orange sont bien en dessous des performances thèoriques des ERL et ER-4.
Selon eux :Code: [Sélectionner]* ER-X-SFP (offloading): 25% CPU + 980 Mbps in `v1.10.8` vs 29% CPU + 973 Mbps in `v2.0.1`
* ER-X-SFP (no-offloading): 100% CPU + 517 Mbps in `v1.10.8` vs 76% CPU + 749 Mbps in `v2.0.1`
* ER-Lite (offloading): 55% CPU + 1980 Mbps in `v1.10.8` vs 58% CPU + 1970 Mbps in `v2.0.1`
* ER-Lite (no-offloading): 100% CPU + 209 Mbps in `v1.10.8` vs 100% CPU + 208 Mbps in `v2.0.1`
Source : https://community.ui.com/releases/EdgeMAX-EdgeRouter-software-release-v2-0-1-2-0-1/b596ff34-b846-47ed-a57a-7313b2306805
(https://community.ui.com/releases/EdgeMAX-EdgeRouter-software-release-v2-0-1-2-0-1/b596ff34-b846-47ed-a57a-7313b2306805)
Ainsi, pour un ERL et une connexion 1 Gbit en download et 300 Mbit en upload, le firmware 2.X.X ne devrait pas poser de problème.
Perso, j'ai un ER4 avec une forfait Sosh @ 300Mbit symétrique et le router se tient très bien. J'apprécie ne plus avoir à installer quoi que ce soit pour avoir IPv4 et IPv6 (j'utilise un switch pour mettre la CoS à 4 pour IPv4, et un script pour configurer ip6tables pour faire la CoS en IPv6)
Nous avons une conf assez similaire. Tu as suivi quel tuto ou un à conseiller? ou sinon peut etre en faire un rapide :)
Et je pense que le edgeswitch peut jouer sur la CoS (j'espère)
Il y a un tuto pour configurer ça ? Je serais preneur aussi...
J'ai trouvé une guide (format PDF), les informations sont disponibles dès la page 249 : https://dl.ubnt.com/guides/edgemax/EdgeSwitch_AdminGuide.pdf (https://dl.ubnt.com/guides/edgemax/EdgeSwitch_AdminGuide.pdf)
Et je pense que le edgeswitch peut jouer sur la CoS (j'espère)Oui, mais soit en IPv4, soit en IPv6. Le switch ne sait pas faire du marquage de CoS à la fois en IPv4 et IPv6 sur le même port.
@zoc toujours pas de news de ubiquiti sur la correction de la perte de débit sur la 2.0.6 ? Tu semble très au fait des échanges dans les bons forums :)Je ne suis plus trop l'affaire en fait...
Tu n'as toujours pas sauté le pas du coup ?Je ne suis toujours en 1.10.9 alors que la 1.10.10 est sortie depuis pas mal de temps... Pas le temps (ni même trop l'envie, j'ai d'autres priorités).
Salutations !
J'ai actuellement une configuration en ER5 (2.0.6) au cul LB4 sans ONT.Moi aussi, quand cela permet à la TV de fonctionner...
Je n'utilise à présent l'ER5 que pour mon réseau data. Nos deux décodeurs sont directement branchés sur la livebox et l'ER5 est configuré en DMZ.
Je m’accommode très bien du double nat :o
Mon problème réside dans le fait que ma maison (location) est câblée avec une seule prise rj45 par espace.Suffit qu'il branche la PS3/PC sur la prise à la place du décodeur non ?
Dans une des chambres, j'ai un des deux décodeurs, câblé donc, et d'autres éléments (pc, ps3) en Wifi. Mais le débit de ce dernier est un peu juste pour certaines mises à jour ce qui énerve un peu le pré-ado qui y squatte... Surtout quand les parents mettent 10 fois moins de temps en ethernet :p
Bref, je cherche à modifier mon installation afin d'avoir la possibilité de câbler tout ce beau monde en ethernet.Oui, le wifi c'est le MAAAAAL pour les performances. On est d'accord. Moins il y a de clients wifi, mieux les rares clients s'en portent :D
J'ai un switch disponible avec support de l'IGMP snooping (GS305E). L'ER5 est configuré en mode switch. J'ai utilisé le wizard pour la mise en place, donc livebox sur ETH0, LAN1 sur ETH1 (non utilisé pour le moment) et LAN2 sur le switch ETH2/3/4.Ohhho, je viens sans le faire exprès de hacker la chambre en disant de brancher les consoles à la place du décodeur (ils seront directement sur la livebox) :D
Je souhaite conserver la livebox en tête. Je ne souhaite pas que la prise de la-dite chambre soit en permanence directement sur la livebox (je fais du filtrage, en particulier sur certains protocole).
Puis-je adapter ma configuration dans cette installation pour faire transiter les flux tv+vod où je dois complètement tout revoir ?
Quelle serait les modifications à apporter ? Je ne sais pas trop par quel bout commencer...
Ohhho, je viens sans le faire exprès de hacker la chambre en disant de brancher les consoles à la place du décodeur (ils seront directement sur la livebox) :DIl est de 2007... il a compris que ça va plus vite vu qu'il m'a vu faire pour une de ses mises à jour, mais au delà de ça, il n'en est pas encore à essayer de contourner certaines limitations.
Plus sérieusement, si tu acceptes de laisser une prise du switch dans la chambre du gamin relié "directement" à la livebox, le mieux que je puisse te conseiller c'est d'utiliser les VLAN. Par contre il te faudra obligatoirement un switch manageable qui supporte les VLAN (un 8 ports ça coute pas cher - 20€ suivant la qualité).Ok, je vois le principe... dans la pratique par contre, je sèche.
En gros, l'idée c'est que sur l'ER5 tu crées un bridge entre eth0 eth eth1.145 (dans cet exemple on utilisera le VLAN145). Je ne connais pas les détails de la création du bridge sur ER5. Mais par contre faudra pas s'attendre à plein débit sur le VLAN 145, le bridge étant soft. Mais on s'en fiche vu que ce sera seulement pour la TV (débit faible).
Ensuite il faut que sur le même port de l'ER5 (il me semble que la configuration du switch0 doit prendre en compte les VLANs) sorte le LAN ainsi que le VLAN145 (des paquets tagués avec VLAN ID =145).
Derrière, tu raccordes le switch dans la chambre du petit, switch qu'il faudra configurer (voir son manuel) ainsi:
- un port branché à la prise mural (sur l'ERL) acceptant le VLAN 145 en taggué et VLAN1 non tagué.
- un seul et unique port dédié au décodeur, dont le PVID = 145 (port ID) étant bien sûr relié au VLAN 145
- les autres ports uniquement le VLAN1 non tagué.
A la fin t'auras un seul port qui sera "tout comme" relié directement à la box => dédié au décodeur TV. Et les autres ports seront reliés à l'ER5.
Solution alternative :Bon, certes, j'ai du mal à monter un vlan mais je branche le décodeur comment à la télé dans cette configuration ? hdmi de 20 mètres ? :P
- brancher le décodeur TV derrière le routeur. Pour que cela puisse fonctionner, il faudra que le routeur fasse proxy IGMP (je ne connais pas la manipulation sur un Ubiquiti).
- installer ensuite ton Switch dans la chambre (avec support de IGMP snooping de sorte que les flux TV ne soient pas envoyés vers les autres équipements de la chambre)
# Creation de eth1.145 (interface eth1 avec tag VLAN_ID = 145)
set interfaces ethernet eth1 vif 145
# Creation du bridge software br0
set interfaces bridge br0
# Bridge br0 contient eth0 et eth1.145
set interfaces ethernet eth0 bridge-group bridge br0
set interfaces ethernet eth1 vif 145 bridge-group bridge br0
# Configuration du switch
set interfaces switch switch0 switch-port vlan-aware enable
# eth0 => par defaut
# eth1: par defaut & vid 145
set interfaces switch switch0 switch-port interface eth1 vlan vid 145
# Option 2
set interfaces switch switch0 switch-port vlan-aware enable
# eth0 => par defaut
# eth2 pvid 145
set interfaces switch switch0 switch-port interface eth2 vlan pvid 145
# eth1: par defaut & vid 145
set interfaces switch switch0 switch-port interface eth4 vlan vid 145
En gros dans ce cas, ce qui est branché sur eth2 a un PVID à 145 (s'il n'est pas taggué => se retrouve taggué VLAN 145), et sort sur eth1 en tagué VLAN_ID=145. C'est limite plus simple. Après faudra juste détaguer sur un port du switch pour le décodeur TV.Bon, certes, j'ai du mal à monter un vlan mais je branche le décodeur comment à la télé dans cette configuration ? hdmi de 20 mètres ? :PPar "derrière le routeur", j'entendais "en aval du routeur".
Edit: et quid de la télécommande...
Nan, j'ai l'arrivé fibre dans le garage, c'est pas viable.
LB > ER5 > Switch > Décodeur, pas vraiment le choix.
Je n'utilise à présent l'ER5 que pour mon réseau data. Nos deux décodeurs sont directement branchés sur la livebox et l'ER5 est configuré en DMZ.
Salut,Excellent ! Merci beaucoup d'avoir pris le temps d'écrire ces lignes de conf :-*
Je crois que la configuration ça doit être quelque chose comme ça (je ne suis pas sûr pour la configuration du switch):Code: [Sélectionner]# Creation de eth1.145 (interface eth1 avec tag VLAN_ID = 145)
set interfaces ethernet eth1 vif 145
# Creation du bridge software br0
set interfaces bridge br0
# Bridge br0 contient eth0 et eth1.145
set interfaces ethernet eth0 bridge-group bridge br0
set interfaces ethernet eth1 vif 145 bridge-group bridge br0
# Configuration du switch
set interfaces switch switch0 switch-port vlan-aware enable
# eth0 => par defaut
# eth1: par defaut & vid 145
set interfaces switch switch0 switch-port interface eth1 vlan vid 145
Sinon, une autre option qui ne passe pas par le bridge software de l'ER5, mais qui nécessite de brancher l'ER5 sur la livebox via eth0 et eth 2 !Code: [Sélectionner]# Option 2
En gros dans ce cas, ce qui est branché sur eth2 a un PVID à 145 (s'il n'est pas taggué => se retrouve taggué VLAN 145), et sort sur eth1 en tagué VLAN_ID=145. C'est limite plus simple. Après faudra juste détaguer sur un port du switch pour le décodeur TV.
set interfaces switch switch0 switch-port vlan-aware enable
# eth0 => par defaut
# eth2 pvid 145
set interfaces switch switch0 switch-port interface eth2 vlan pvid 145
# eth1: par defaut & vid 145
set interfaces switch switch0 switch-port interface eth4 vlan vid 145
Par "derrière le routeur", j'entendais "en aval du routeur".Oui, c'est ce que je cherchais à faire à la base en utilisant le igmp snooping. La conf était bonne sur le switch de la chambre mais je m'en suis pas sorti avec le igmp proxy sur le routeur et du coup le décodeur n'arrivait pas à avoir le flux.
En gros, remplacer ça :
________ Décodeur
/
Livebox ___/
\ __ Equipement x
\__ ER5 ___/
\__ Equipement y
par ça :
_ Décodeur
/
/__ Equipement x
Livebox __ ER5 ___/
\___ Equipement y
\
\_ Equipement z
En effet, j'ai cru comprendre qu'actuellement le décodeur était connecté directement à la Livebox, et non en aval du routeur :
Salut,Bon, ça bloque ici...
Je crois que la configuration ça doit être quelque chose comme ça (je ne suis pas sûr pour la configuration du switch):Code: [Sélectionner]# Creation de eth1.145 (interface eth1 avec tag VLAN_ID = 145)
set interfaces ethernet eth1 vif 145
# Creation du bridge software br0
set interfaces bridge br0
# Bridge br0 contient eth0 et eth1.145
set interfaces ethernet eth0 bridge-group bridge br0
set interfaces ethernet eth1 vif 145 bridge-group bridge br0
# Configuration du switch
set interfaces switch switch0 switch-port vlan-aware enable
# eth0 => par defaut
# eth1: par defaut & vid 145
set interfaces switch switch0 switch-port interface eth1 vlan vid 145
set interfaces switch switch0 switch-port vlan-aware enable
Error: platform does not support this setting in switch0
Après recherche, il semblerait que vlan-aware ne soit pas disponible ER5 (mais tout de même visible dans l'interface graphique)Là où je sèche, c'est sur le tag du vlan en sortie de livebox et l'histoire du bridge. J'ai tenté plusieurs choses en essayant de suivre tes indications, sans succès (hormis me faire engueuler par madame et les deux gosses parce que "me suis fait déco !" ::))
J'ai créé un bridge, br0 8)
J'ai tenté le bridge eth0/eth1 et création d'un eth1.145, sans succès.
Bon, le bridge complet eth0/eth1/switch0 c'était pas une bonne idée non plus.
Et quelques autre compositions du genre... toujours rien.
configure
set protocols igmp-proxy interface eth5.840 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth5.840 role upstream
set protocols igmp-proxy interface eth5.840 threshold 1
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role downstream
set protocols igmp-proxy interface eth0 threshold 1
commit;save
exit
#!/bin/bash
if [ "$SRV_MESSAGE" != "REPLY" ]
then
exit 1
fi
function fullPrefix () {
local input=$1
local o=""
local z=""
input=$(tr 'A-F' 'a-f' <<< $input )
while [ "$o" != "$input" ]; do
o="$input"
input="$( sed 's|:\([0-9a-f]\{3\}\):|:0\1:|g' <<< "$input" )"
input="$( sed 's|:\([0-9a-f]\{3\}\)$|:0\1|g' <<< "$input" )"
input="$( sed 's|^\([0-9a-f]\{3\}\):|0\1:|g' <<< "$input" )"
input="$( sed 's|:\([0-9a-f]\{2\}\):|:00\1:|g' <<< "$input" )"
input="$( sed 's|:\([0-9a-f]\{2\}\)$|:00\1|g' <<< "$input" )"
input="$( sed 's|^\([0-9a-f]\{2\}\):|00\1:|g' <<< "$input" )"
input="$( sed 's|:\([0-9a-f]\):|:000\1:|g' <<< "$input" )"
input="$( sed 's|:\([0-9a-f]\)$|:000\1|g' <<< "$input" )"
input="$( sed 's|^\([0-9a-f]\):|000\1:|g' <<< "$input" )"
done
grep -qs "::" <<< "$input"
if [ "$?" -eq 0 ]; then
GRPS="$( sed 's|[0-9a-f]||g' <<< "$input" | wc -m )"
((GRPS--)) # carriage return
((MISSING=8-GRPS))
for ((i=0;i<$MISSING;i++)); do
z="$z:0000"
done
input="$( sed 's|\(.\)::\(.\)|\1'$z':\2|g' <<< "$input" )"
input="$( sed 's|\(.\)::$|\1'$z':0000|g' <<< "$input" )"
input="$( sed 's|^::\(.\)|'$z':0000:\1|g;s|^:||g' <<< "$input" )"
fi
echo "$input"
}
ETH3_SUFFIX="01::1"
STATUS_FILE=/run/dibbler.lease
if [ -f "$STATUS_FILE" ];
then
source $STATUS_FILE
fi
TRIM_SIZE=17
FULLPREFIX=$( fullPrefix $PREFIX1 )
PREFIX1=${FULLPREFIX:0:TRIM_SIZE}
if [ "$PREFIX1" != "$CURRENT_PREFIX1" ]
then
if [ "$CURRENT_PREFIX1" != "" ]
then
ip addr delete "$CURRENT_PREFIX1$ETH3_SUFFIX/64" dev eth3
fi
echo "CURRENT_PREFIX1=$PREFIX1" > $STATUS_FILE
ip addr add "$PREFIX1$ETH3_SUFFIX/64" dev eth3
service radvd restart >/dev/null 2>&1
fi
2019.10.22 18:58:27 Client Notice | Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
2019.10.22 18:58:32 Client Notice | Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
2019.10.22 18:58:32 Client Notice My pid (4413) is stored in /var/lib/dibbler/client.pid
2019.10.22 18:58:32 Client Notice Detected iface eth1.832/16, MAC=18:e8:29:b1:08:8f.
2019.10.22 18:58:32 Client Notice Detected iface eth1.840/15, MAC=18:e8:29:b1:08:8f.
2019.10.22 18:58:32 Client Notice Detected iface imq0/14, MAC=.
2019.10.22 18:58:32 Client Notice Detected iface loop3/13, MAC=6e:6b:43:fe:51:88.
2019.10.22 18:58:32 Client Notice Detected iface loop2/12, MAC=1a:ab:5b:51:ce:b9.
2019.10.22 18:58:32 Client Notice Detected iface loop1/11, MAC=aa:94:ac:8d:06:56.
2019.10.22 18:58:32 Client Notice Detected iface loop0/10, MAC=4e:09:9e:64:39:7d.
2019.10.22 18:58:32 Client Notice Detected iface npi3/9, MAC=0a:44:78:19:f6:d3.
2019.10.22 18:58:32 Client Notice Detected iface npi2/8, MAC=76:82:1e:9b:d9:da.
2019.10.22 18:58:32 Client Notice Detected iface npi1/7, MAC=7a:bb:7f:9c:9b:2f.
2019.10.22 18:58:32 Client Notice Detected iface npi0/6, MAC=8a:bc:ba:e8:12:d1.
2019.10.22 18:58:32 Client Notice Detected iface eth2/5, MAC=18:e8:29:b1:08:90.
2019.10.22 18:58:32 Client Notice Detected iface eth1/4, MAC=18:e8:29:b1:08:8f.
2019.10.22 18:58:32 Client Notice Detected iface eth0/3, MAC=18:e8:29:b1:08:8e.
2019.10.22 18:58:32 Client Notice Detected iface eth3/2, MAC=18:e8:29:b1:08:8d.
2019.10.22 18:58:32 Client Notice Detected iface lo/1, MAC=00:00:00:00:00:00.
2019.10.22 18:58:32 Client Notice Parsing /etc/dibbler/client.conf config file...
2019.10.22 18:58:32 Client Info Interface eth1.832/16 configuration has been loaded.
2019.10.22 18:58:32 Client Info My DUID is 00:01:00:XX:XX:2a:47:5e:XX:XX:XX:XX:XX:XX.
2019.10.22 18:58:32 Client Info Loading old address database (client-AddrMgr.xml), using built-in routines.
2019.10.22 18:58:32 Client Info DB timestamp:1571763504, now()=1571763512, db is 8 second(s) old.
2019.10.22 18:58:32 Client Info All client's 00:01:00:01:XX:XX:47:5e:XX:XX:XX:XX:XX:XX leases are not valid.
2019.10.22 18:58:32 Client Notice Creating control (::) socket on the lo/1 interface.
2019.10.22 18:58:32 Client Notice Creating socket (addr=fe80::1ae8:29ff:feb1:88f) on eth1.832/16 interface.
2019.10.22 18:58:32 Client Notice CONFIRM support compiled in.
2019.10.22 18:58:32 Client Info Creating SOLICIT message with 0 IA(s), no TA and 1 PD(s) on eth1.832/16 interface.
2019.10.22 18:58:32 Client Error AUTH: protocol 11968336 not supported yet.
2019.10.22 18:58:32 Client Info Received ADVERTISE on eth1.832/16,trans-id=0x3eaca1, 5 opts: 25 2 1 11 7
2019.10.22 18:58:32 Client Info ADVERTISE message with preference set to 255 received, so wait time for other possible ADVERTISE messages is skipped.
2019.10.22 18:58:32 Client Info Creating REQUEST. Backup server list contains 1 server(s).
2019.10.22 18:58:32 Client Error AUTH: protocol 11968528 not supported yet.
2019.10.22 18:58:32 Client Info Received REPLY on eth1.832/16,trans-id=0x55c0f2, 4 opts: 25 2 1 11
2019.10.22 18:58:32 Client Notice PD: Adding prefix 2a01:cbXX:XXX:XXXX::/56 to all interfaces (prefix will be split to /64 prefixes if necessary).
2019.10.22 18:58:32 Client Info PD: Using 0 suitable interface(s):[none]
2019.10.22 18:58:32 Client Warning All IA(s), TA and PD(s) has been configured, but some options (23 16 15 ) were not assigned.
2019.10.22 18:58:32 Client Notice Insist-mode disabled, giving up (not sending INF-REQUEST).
2019.10.22 18:58:36 Client Notice | Dibbler - a portable DHCPv6, version 1.0.1 (CLIENT, Linux port)
Il ne faut pas mettre d’adresse IPv6 sur le WAN !
Uniquement sur le LAN... Ensuite radvd fera son job en distribuant le préfixe de l’interface LAN aux machines qui y sont connectées.
Bon du coup je ne comprends plus. Résumons (En utilisant WAN et LAN comme nom d'interface au lieu d'ETHx, ça sera plus simple):
- Dans le script dibbler, ip addr add et ip addr delete doivent se faire sur l'interface LAN
- Dans la configuration de l'interface LAN, il faut activer SLAAC en configurant une section router-advert (Je n'ai plus le détail en tête, je fais maintenant autrement chez moi car j'annonce plusieurs préfixes sur chacun de mes 4 LANS)
C'est nécessaire et suffisant pour que le routeur annonce un préfixe sur l'interface LAN et que les clients autogénèrent leur propre adresse IPv6 à partir de cette annonce.
interfaces {
ethernet eth0 {
disable
duplex auto
speed auto
}
ethernet eth1 {
description "WAN1 - Orange"
duplex auto
speed auto
vif 832 {
address dhcp
description WAN1_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth xxxxxxxxxxxxx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.255.254/32
description WAN1_TV
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:xxxxxxxxxxx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address dhcp
description "WAN2 - SFR"
duplex auto
firewall {
in {
name WAN2_IN
}
local {
name WAN2_LOCAL
}
}
speed auto
}
ethernet eth3 {
address 172.16.0.3/24
description LAN
duplex full
firewall {
in {
modify ISP_BALANCE
}
}
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed 1000
}
loopback lo {
}
}
C'est depuis que j'ai migré de l'ERL à l'ER4... peut être que je devrais rebrancher la LB pour avoir un nouvel DUID et revenir sur l'ER4
Tu vois bien les paquets de radvd dans ton LAN ?
tcpdump -n -i eth0 icmp6 and ip6[40] == 134
Tu peux utiliser tcpdump :Code: [Sélectionner]
tcpdump -n -i eth0 icmp6 and ip6[40] == 134
L'objectif est de voir si tu as des paquets de radvd dans ton réseau.
root@router:~# tcpdump -v -n -i eth3 icmp6 and ip6[40] == 134
tcpdump: listening on eth3, link-type EN10MB (Ethernet), capture size 262144 bytes
10:12:41.809226 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 48) fe80::1ab4:30ff:fe82:410e > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 48
hop limit 0, Flags [none], pref medium, router lifetime 0s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): fdc1:e533:f640:1::/64, Flags [onlink, auto], valid time 7200s, pref. time 7200s
10:12:46.922519 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::1ae8:29ff:feb1:88d > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb08:xxx:xxxx::/64, Flags [onlink, auto], valid time 18000s, pref. time 14400s
source link-address option (1), length 8 (1): 18:e8:29:b1:08:8d
10:13:02.937484 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::1ae8:29ff:feb1:88d > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb08:xxx:xxxx::/64, Flags [onlink, auto], valid time 18000s, pref. time 14400s
source link-address option (1), length 8 (1): 18:e8:29:b1:08:8d
10:13:18.947457 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::1ae8:29ff:feb1:88d > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb08:xxx:xxxx::/64, Flags [onlink, auto], valid time 18000s, pref. time 14400s
source link-address option (1), length 8 (1): 18:e8:29:b1:08:8d
10:14:23.532714 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::1ae8:29ff:feb1:88d > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb08:xxx:xxxx::/64, Flags [onlink, auto], valid time 18000s, pref. time 14400s
source link-address option (1), length 8 (1): 18:e8:29:b1:08:8d
10:14:27.542648 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::1ae8:29ff:feb1:88d > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb08:xxx:xxxx::/64, Flags [onlink, auto], valid time 18000s, pref. time 14400s
source link-address option (1), length 8 (1): 18:e8:29:b1:08:8d
10:14:31.543216 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::1ae8:29ff:feb1:88d > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01:cb08:xxx:xxx::/64, Flags [onlink, auto], valid time 18000s, pref. time 14400s
source link-address option (1), length 8 (1): 18:e8:29:b1:08:8d
C'est quoi ton switch ?
Il y a un bug dans les vieux firmwares des EdgeSwitch qui peut effectivement bloquer les ICMPv6 quand on utilise l'IGMP dans un VLAN. C'est corrigé à partir du firmware 1.8.1 mais il faut activer mld dans le switch pour que ça marche ("set mld" dans la fichier de config du switch, je ne sais pas comment le faire à partir de l'interface Web).
Sinon, si tu as des points d'accès Unifi, attention de ne pas bloquer le multicast, car là encore les RA seront bloqués...
(UBNT EdgeSwitch) >enable
Password:*********
(UBNT EdgeSwitch) #configure
(UBNT EdgeSwitch) (Config)#set mld
(UBNT EdgeSwitch) (Config)#set mld mcrtrexpiretime 3600
(UBNT EdgeSwitch) (Config)#exit
(UBNT EdgeSwitch) #vlan database
(UBNT EdgeSwitch) (Vlan)#set mld 1
(UBNT EdgeSwitch) (Vlan)#set mld mcrtrexpiretime 1 3600
(UBNT EdgeSwitch) (Vlan)#exit
(UBNT EdgeSwitch) #
Hello
Une question de noob niveau IPV6
J'ai bien mes IPV6 Orange 2a01:xxxx et mon IP local fe80 mais j'ai aussi une ipv6 fdc1:e533:xxxx
C'est dibbler qui la génère et la distribue ou je dois chercher ailleur sur mon LAN ? (je vais bien galérer car scanner un réseau IPV6 c'est chaud en nombre)
sudo tcpdump -vvvv -ttt -i eth0 icmp6 and 'ip6[40] = 134'
(ou radvdump si installé) permet de trouver le coupable.une adresse qui commence par "fd" est une ULA ( https://en.wikipedia.org/wiki/Unique_local_address ) une adresse IPv6 privée locale, l'équivalent par exemple des 192.168.x.x en IPv4.
si tous les appareils du LAN ont ce style d'adresses c'est qu'un dispositif sur le réseau èmet une annonce pour configurer des ULA. En général c'est un routeur qui fait cela.Code: [Sélectionner]sudo tcpdump -vvvv -ttt -i eth0 icmp6 and 'ip6[40] = 134'
(ou radvdump si installé) permet de trouver le coupable.
(ajuster "eth0" au nom de l'interface lan si c'est pas eth0)
00:01:45.998792 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 48) fe80::1ab4:30ff:fe82:410e > ip6-allnodes: [icmp6 sum ok] ICMP6, router advertisement, length 48
hop limit 0, Flags [none], pref medium, router lifetime 0s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): fdc1:e533:f640:1::/64, Flags [onlink, auto], valid time 7200s, pref. time 7200s
0x0000: 40c0 0000 1c20 0000 1c20 0000 0000 fdc1
0x0010: e533 f640 0001 0000 0000 0000 0000
#
# radvd configuration generated by radvdump 2.16
# based on Router Advertisement from fe80::1ab4:30ff:fe82:410e
# received by interface eth3
#
interface eth3
{
AdvSendAdvert on;
# Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
AdvManagedFlag off;
AdvOtherConfigFlag off;
AdvReachableTime 0;
AdvRetransTimer 0;
AdvCurHopLimit 0;
AdvDefaultLifetime 0;
AdvHomeAgentFlag off;
AdvDefaultPreference medium;
prefix fdc1:e533:f640:1::/64
{
AdvValidLifetime 7200;
AdvPreferredLifetime 7200;
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr off;
}; # End of prefix definition
}; # End of interface definition
The first device to be powered up randomly generates (and stores) a ULA prefix and begins advertising it over your local network. Other Nest devices, once powered on, will receive the RA from the first Nest and join that same local network for intercommunication. In the event an RA is not received by a Nest device in two hours, the remaining interconnected devices will hold an "election" and another will take over the role of doing RA broadcasts
forwarding {
cache-size 1024
listen-on lo
listen-on eth3
listen-on eth2
name-server 1.1.1.1
name-server 9.9.9.9
name-server 8.8.8.8
options listen-address=172.16.x.x
options strict-order
}
forwarding {
cache-size 1024
listen-on lo
listen-on eth3
listen-on eth2
name-server 1.1.1.1
name-server 9.9.9.9
name-server 8.8.8.8
name-server 2620:fe::fe
name-server 2620:fe::9
options listen-address=172.16.x.x
options strict-order
}
name-server 2620:fe::fe
name-server 2620:fe:
name-server 2620:fe::fe
name-server 2620:fe::9
name-server 8.8.8.8
2001:4860:4860::8888 // Google
2606:4700:4700::1111 // Cloudflare
208.67.222.222 // OpenDNS
Salut tout le monde
dans ce thread gigantesque j'aurais voulu savoir s'il existe désormais une solution avec un edgerouter et SANS Livebox d'avoir la TV et le téléphone ?
j'avoue qu'en reprenant la synthèse au début je ne vois que des solutions avec le routeur mais avec un reseau dédié à la LBx pour accéder à la TV-Tel
https://lafibre.info/remplacer-livebox/index-des-solutions-de-remplacement-de-la-livebox/ (https://lafibre.info/remplacer-livebox/index-des-solutions-de-remplacement-de-la-livebox/)
merci de m'orienter si cela existe sinon quelle serait les solutions alternatives ?
merci d'avance
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth1.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth1.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth0.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
[...]
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name wan-in-6
name wan-in
}
local {
ipv6-name wan-local-6
name wan-local
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 vers Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth1.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
[...]
}
show interfaces
Interface IP Address S/L Description
--------- ---------- --- -----------
br0 - u/u bro -> eth1.838 LIVEBOX
(VoD)
br1 - u/u br1 -> eth1.840 LIVEBOX
(ZAPPING + CANAL 1)
eth0 - u/u eth0 ONT (FIBRE RJ45)
eth0.832 [...] u/u eth0.832 (INTERNET + VOIP +
CANAL 2)
eth0.838 - u/u eth0.838 (VoD)
eth0.840 - u/u eth0.840 (ZAPPING + CANAL 1)
eth1 - u/u eth1 vers Livebox
eth1.832 192.168.2.1/24 u/u eth1.832 LIVEBOX (INTERNET +
VOIP + CANAL 2)
eth1.838 - u/u eth1.838 LIVEBOX (VoD)
eth1.840 - u/u eth1.840 LIVEBOX (ZAPPING +
CANAL 1)
eth2 - u/u eth2 r<C3><A9>seaux internes
[...]
eth3 - A/D
lo 127.0.0.1/8 u/u
::1/128
quickleave
phyint eth1.840 downstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
phyint eth0.840 upstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
/sbin/igmpproxy -d /home/ubnt/igmpproxy.conf
23:33:58.990884 There must be at least 2 Vif's where one is upstream.
Salut les experts Ubiquiti.
J'ai une config comme ça au boulot:
- eth0: LAN
- eth1: ONT Orange
- eth2: Modem NC (FTTb) en bridge
Le tout est configuré en failover et fonctionne correctement (V 1.9 me semble-t-il)
Souci: Cette config date et je suis en pppoe pour l'auth. D'une part je peux me retrouver à ce que ça ne fonctionne plus du jour au lendemain, et autre souci, je me demande s'il n'y a pas un bridage car je n'arrive plus à dépasser les 100/100 (On est sur une offre Orange Pro qui devrait être en 1000/500)
Est ce que quelqu'un pourrait me filer un coup de main pour passer sur l'auth en DCHP (sur le VLAN 832) tout en conservant mon failover sur eth2 ? J'ai juste à éditer mon fichier de conf ou il y a d'autres choses à faire ? Ou il vaut mieux repartir from scratch ?
Je suis exactement dans la même configuration que toi (SFR cuivre + fibre)Merci pour ta réponse.
Il te suffit de suivre le tuto classique pour être en DHCP. Il te suffira juste de mettre dans ta config de failover le port avec le VLAN eth1.835 dans le port.
Tu peux déjà sauvegarder ta configuration. Partir a zéro sur le DHCP et après tu fais un diff pour rajouter ta config actuelle sans tout avoir a refaire.
Voici la configuration de base, sans Livebox (donc pas de téléphone), qui a les caractéristiques suivantes:
- Fonctionne en DHCP, IPv4 uniquement.
- ONT connecté à ETH1
- Réseau "DATA" connecté sur eth0
- Réseau dédié pour le(s) decodeur(s) TV sur eth2. Il est possible de les mettre sur eth0 également, dans ce cas il faut modifier la configuration d'igmp-proxy, en passant le role de eth2 à "disabled" et celui d'eth0 à "downstream"
- Adaptée au firmware 1.9.1. Ne fonctionnera pas sur les firmwares précédents.
Etapes:
- Remplacer /sbin/dhclient3 par la version liée à ce message, s'assurer que le propriétaire est root, groupe root, droits 755
- Copier le fichier rfc3442-classless-routes.sh dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d (et supprimer l'extension .sh qui a été rajoutée par le forum lors de l'upload) , s'assurer que le propriétaire est root, groupe root, droits 755
- Pour les firmwares antérieurs à 1.10, Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl: Il faut rechercher la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n"; et rajouter juste au dessous $output .= "option rfc3118-auth code 90 = string;\n\n";. Ca doit donner ca:
Code: [Sélectionner]$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
A partir du firmware 1.10, cette étape 3 n'est plus nécessaire, et doit être remplacé par l'exécution de la commande de configuration ci-dessous (en mode configure donc. Cela doit être fait après avoir chargé le fichier de configuration définitif (donc après l'étape 3 à la fin de ce message):Code: [Sélectionner]set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
Avant d'aller plus loin, il est temps de rebooter pour s'assurer que le routeur démarre toujours bien. Ensuite, éditer le fichier config.orange.txt joint. Attention, sous Windows n'utilisez pas le Bloc-Notes (Notepad), mais un éditeur capable de préserver les caractères de fin de ligne Unix, comme Notepad++ (gratuit):
- Remplacer les XX:XX... par votre identifiant "fti/xxxxxx" encodé en hexadécimal. Edit: Le 26/09/2018, Orange a modifié le contenu de cette chaine d'authentification. Elle doit maintenant être de la forme 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
- Remplacer les YY:YY:YY... par l'adresse mac de votre Livebox (pas le décodeur, le modem)
- Copier le fichier sur le routeur, remplacer la configuration existante à l'aide des commandes ci-dessous:
Code: [Sélectionner]configure
load config.orange.txt
Le routeur devrait redémarrer et la connexion s'effectuer.
Bon, ça commence mal: je n'arrive même pas à faire la config de base déjà :-X
On est bien d'accord que c'est ce tuto qu'il faut que je suive ?
Pas de souci pour mettre les 3 fichiers, dont le orange config avec chaîne hexa de la ligne 76 en hexa qui fait 98 caractères en tout !?
Mais je ne pense pas que ça vienne de là: Lorsque je commit, il n'arrive pas à charger la conf du tout... (Au bout de 5' je suis obligé de débrancher et je repars à 0)
Pour l'instant je suis revenu sur mon backup en pppoe. De l'aide est bienvenue... Comment trouver d'où vient le problème ?
Jan 4 17:25:22 DK-001-ERL monit[858]: 'igmpproxy' service restarted 12 times within 12 cycles(s) - unmonitor
Jan 4 17:25:11 DK-001-ERL monit[858]: 'igmpproxy' failed to start
system {
...
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
...
}
Les sources du package d'origine sont dispo dans l'archive GPL sur le site d'Ubiquiti. Pour le code source du patch à appliquer c'est là: https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/?action=dlattach;attach=33988
Attention, l’exécutable dhclient que j’ai fourni est exclusivement pour les firmware de la série 1.10 et ne fonctionnera pas sur un firmware 2.0.X...
Ensuite, je conseille vivement d’utiliser la chaîne d’authentification longue au lieu de la courte que j’ai mentionnée, mais pour cela il faut soit sniffer ce que la box envoie, soit passer par un script que j’ai, de mémoire, posté dans le sujet relatif à l’option 90 dans cette section du forum.
Bref, ce tuto est encore globalement correct, mais pas entièrement.
Bonjour à tous,
J'ai acheté un Edgerouter 4 pour remplacer la BBOX Fibre il y a environ 15mois et je l'ai paramétré grâce à un super tuto de ce forum. Aucun problème pour avoir internet. Sachant que je n'utilise, ni la box TV de l'opérateur, ni la téléphonie.
Depuis je suis passé chez Sosh, et je vous avoue que je suis perdu pour trouver un tuto entre les versions de firmware (je suis en firmware 2.0) et les différentes gammes de routeur Ubiquiti.
Je fais appel à une âme charitable :D qui voudrait bien me guider pas à pas pour m'aider à paramétrer mon ER4 et juste avoir internet.
Je vous joins les éléments nécessaires pour la compréhension de mon installation.
En vous remerciant par avance.
Bien à tous.
[...]
Depuis je suis passé chez Sosh, et je vous avoue que je suis perdu pour trouver un tuto entre les versions de firmware (je suis en firmware 2.0) et les différentes gammes de routeur Ubiquiti.
Je fais appel à une âme charitable :D qui voudrait bien me guider pas à pas pour m'aider à paramétrer mon ER4 et juste avoir internet.
[...]
set interfaces ethernet eth0 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
- Le commit et save qui va bien...est-ce que tu peux poster ton config.boot, stp?
configure
set system login user root authentication plaintext-password ubnt
set service ssh allow-root
commit
save
exit
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "send dhcp-client-identifier 1:yy:yy:yy:yy:yy:yy;"
configure
load config.orange.txt
commit
save
exit
configure
set system login user root authentication plaintext-password ubnt
set service ssh allow-root
commit
save
exit
configure
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
commit
save
exit
Maintenant tu peux virer le VLAN 838 et tout ce qui s'y rapporte si ce n'est pas déjà fait car il n'y en a plus besoin (et du coup, plus besoin non plus du script rfc3442-classless-routes.sh).Je pige pas bien cette histoire de VLAN 838 qui n'est plus nécessaire.
L'histoire des 10%, personne ne sait vraiment en faite, les explications de ubiquity ne sont pas claire. Il est supposé que c'est sur la capacité maximum de routage et donc dans 99% des cas tu verras pas la différence.C'est exactement ça. Les 5 à 10% de perte s'appliquent à la capacité maximum de routage du matériel.
Et pour le dhclient, j'ai retrouvé le post : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg639035/#msg639035
Existe il des ERL compatibles 10 Gbps ainsi que des Convertisseurs fibre ?Dans la même gamme (EdgeMax) le seul routeur compatible 10Gbps est l'EdgeRouter Infinity, mais je n'aurai pas l'indécense de mettre le prix ici...
La version du firmware 2.0.8 n'est pas mieux, plus stable et plus efficace niveau perf que la version 1.10.10 ?Pas forcément. Tout à changé (y compris le noyau), les régressions ne sont pas exclues.
Je possède un ERL3, je me pose la question d'une mise à niveau ou non !Mon ER4 est encore en 1.10.9. Il faut que je le mette à jour parce qu'il y a quand même quelques vulnérabilités (au niveau TCP, mais qui ne devraient pas impacter le routeur puisqu'il se contente de router, il n'expose pas de services en TCP). Je le mettrai en 1.10.10.
Je pige pas bien cette histoire de VLAN 838 qui n'est plus nécessaire.La Livebox ne l'utilise plus (si elle est à jour...), il n'apprait même plus sur la/les page(s) d'informations techniques de l'interface web de la box...
La Livebox ne l'utilise plus (si elle est à jour...), il n'apprait même plus sur la/les page(s) d'informations techniques de l'interface web de la box...Il semblerait qu'il y ait des exceptions... dont je fais partie.
Accessoirement ça fait un an que je l'ai totalement supprimé de ma config et tous les replays fonctionnent encore... Et qu'il y ait ou pas la Libebox entre le routeur et le décodeur ne devrait rien y changer.
Channel 1
9.1
État
disponible
9.2
VP/VC ou VLAN
VLAN : 840
Vidéo à la demande
9.5
État
disponible
9.6
VP/VC ou VLAN
VLAN : 838
Zapping
9.7
État
disponible
9.8
VP/VC ou VLAN
VLAN : 840
Et je confirme que si je coupe le VLAN 838 : Paf, le replay tombe. D'ailleurs, lors d'une demande de replay, je vois bien du trafic sur le vlan 838.#!/bin/sh -e
DESTFILE=/sbin/dhclient3.old
if [ -f "$DESTFILE" ]
then
echo "Patched dhclient already there"
exit 0
fi
mv /sbin/dhclient3 /sbin/dhclient3.old
cp /config/packages/dhclient3 /sbin/dhclient3
chmod 755 /sbin/dhclient3
Même pour les updates majeures tout ce qui est dans /config est conservé.
Pour ce qui est de la réinstallation de dhclient (et dibbler), c'est automatique chez moi à chaque mise à jour, avec des scripts qui sont exécutés automatiquement lors des maj, placés dans /config/scripts/firstboot.d, exemple pour dhclient:Code: [Sélectionner]#!/bin/sh -e
DESTFILE=/sbin/dhclient3.old
if [ -f "$DESTFILE" ]
then
echo "Patched dhclient already there"
exit 0
fi
mv /sbin/dhclient3 /sbin/dhclient3.old
cp /config/packages/dhclient3 /sbin/dhclient3
chmod 755 /sbin/dhclient3
Le fichier patché est déposé dans /config/packages (et donc survit aux mises à jour), après c'est juste la même chose que le remplacement à la main avec 4 lignes de bash...
En théorie je devrais donc pouvoir faire la mise à jour depuis l'interface graphique, mais en pratique je la fais en ligne de commande en utilisant l'interface série du routeur (pour garder la main au cas où quelque chose se passerait mal).
Mon problème avec le firmware 2.0, c'est qu'il faut que je regénère un nouveau binaire dhclient3 patché, et surtout que j'abandonne dibbler au profit de dhclient pour IPv6, ce qui implique de réécrire une bonne partie des scripts que j'ai fait pour attribuer des /64 a chacun de mes VLANs. Pas difficile en soi, juste pas le temps de le faire.
set vpn l2tp remote-access dhcp-interface eth1.832
set vpn ipsec ipsec-interfaces interface eth1.832
vpn {
ipsec {
auto-firewall-nat-exclude disable
ipsec-interfaces {
interface eth1
interface eth1.832
}
}
l2tp {
remote-access {
authentication {
local-users {
username YYYYYY{
password ZZZZZZ
}
}
mode local
}
client-ip-pool {
start 192.168.0.160
stop 192.168.0.199
}
dhcp-interface eth1.832
dns-servers {
server-1 8.8.8.8
server-2 8.8.4.4
}
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret "XXXXXX"
}
ike-lifetime 3600
}
}
}
Je me suis simplement basé sur la doc officielle ici https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server#2 (https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server#2)Code: [Sélectionner]name WAN_LOCAL
{ rule 100 {
action accept
description "Allow IKE"
destination {
port 500
}
log enable
protocol udp
}
rule 110{
action accept
description "Allow L2TP"
destination {
port 1701
}
log enable
protocol udp
}
rule 120 {
action accept
description "Allow ESP"
log enable
protocol esp
}
rule 130 {
action accept
description "Allow NAT-T"
destination {
port 4500
}
log enable
protocol udp
options {
mss-clamp {
interface-type pptp
interface-type tun
mss 1452
}
}
}Code: [Sélectionner]service {
upnp2 {
acl {
rule 100 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description ALLOW
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
}Code: [Sélectionner]system {
offload {
ipsec enable
}
}Code: [Sélectionner]vpn {
ipsec {
auto-firewall-nat-exclude disable
ipsec-interfaces {
interface eth1.832
}
nat-networks {
allowed-network 0.0.0.0/0 {
}
}
nat-traversal enable
}
l2tp {
remote-access {
authentication {
local-users {
username aa {
password aaaaaaa
}
username bb {
password bbbbbbb
}
}
mode local
}
client-ip-pool {
start 192.168.0.1
stop 192.168.0.10
}
dns-servers {
server-1 192.168.1.1
server-2 8.8.8.8
}
idle 1800
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret monmotdepasse
}
ike-lifetime 3600
lifetime 3600
}
mtu 1024
outside-address 0.0.0.0
outside-nexthop 192.168.1.1
}
}
}
Je suis preneur pour les modifications nécessaires pour évoluer en IKEv2, mais il me manque encore trop d'information.Je l’ai fait à une époque mais il faut faire un fichier de configuration strongswan en dehors de la conf du routeur parce qu’il manque de paramètres nécessaires dans la config d’EdgeOS.
Mon ER4 est encore en 1.10.9. Il faut que je le mette à jour parce qu'il y a quand même quelques vulnérabilités (au niveau TCP, mais qui ne devraient pas impacter le routeur puisqu'il se contente de router, il n'expose pas de services en TCP). Je le mettrai en 1.10.10.Mise à jour faite, mais je pense que je vais repasser en 1.10.9 parce qu'ospfv3 ne marche pas en 1.10.10 (je m'en sers pour distribuer des routes IPv6 vers d'autres routeurs).
Donc je comprends que dhclient3 n’est pas compatible avec les firmware 2.x.
C’est bien cela ? Merci !
NEW_IP=`/sbin/ifconfig eth0.832 | grep -Eo 'inet (addr:)?([0-9]*\.){3}[0-9]*' | grep -Eo '([0-9]*\.){3}[0-9]*' | grep -v '127.0.0.1'`
NEW_IP=`/sbin/ifconfig eth0.832 | grep -Eo 'inet (addr:)?([0-9]*\.){3}[0-9]*' | grep -Eo '([0-9]*\.){3}[0-9]*' | grep -v '127.0.0.1'`
#!/bin/vbash
run=/opt/vyatta/bin/vyatta-op-cmd-wrapper
NEW_IP=`/sbin/ifconfig eth6.832 | grep -Eo 'inet ([0-9]*\.){3}[0-9]*' | grep -Eo '([0-9]*\.){3}[0-9]*' | grep -v '127.0.0.1'`
if [ -z "$NEW_IP" ]; then
logger -t watchdog -p err "Interface eth6.832 down"
exit 0
fi
# The list of hosts to ping
PING_HOSTS="www.orange.fr www.google.com"
# Reading the default gateway
read _ _ GATEWAY _ < <(/sbin/ip -4 route list match 0/0)
# Pinging hosts, stopping at the first answer
for HOST in $PING_HOSTS; do
logger -t watchdog -p info "Pinging $HOST"
/bin/ping -c4 $HOST > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p warn "Failed pinging $HOST"
else
exit 0
fi
done
# If we are here, then nothing is pinging. Try
# the default gateway
/bin/ping -c4 $GATEWAY > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p err "Internet connection is broken"
$run renew dhcp interface eth6.832
fi
Hello,
J'ai monté ma conf sur un ER-X mais j'ai un souci, en gros tous les 2 jours à peu près le lien WAN tenant la connexion Orange perd l'accès à Internet (network unreachable) et bascule sur le lien WAN secondaire (une box SFR), j'ai loupé un truc dans la conf? Je peux poster ma conf si nécessaire.
/opt/vyatta/bin/vyatta-op-cmd-wrapper renew dhcp interface eth1.832
Mar 5 22:27:48 ubnt miniupnpd[3377]: ioctl(s, SIOCGIFADDR, ...): Cannot assign requested address
Mar 5 22:27:48 ubnt miniupnpd[3377]: Failed to get IP for interface eth1.832
Mar 5 22:27:48 ubnt miniupnpd[3377]: SendNATPMPPublicAddressChangeNotification: cannot get public IP address, stopping
Mar 5 22:27:50 ubnt miniupnpd[3377]: ioctl(s, SIOCGIFADDR, ...): Cannot assign requested address
Mar 5 22:27:50 ubnt miniupnpd[3377]: Failed to get IP for interface eth1.832
ethernet eth1 {
description ORANGE
duplex auto
speed auto
vif 832 {
address dhcp
description ORANGE_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
}
vif 838 {
address dhcp
description ORANGE_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:44:A6:1E:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ORANGE_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
C'est pareil chez moi:Code: [Sélectionner]ethernet eth1 {
description ORANGE
duplex auto
speed auto
vif 832 {
}
C'est donc une bonne piste. Tu peux poster ta conf de FW ?La voici:
ubnt@ubnt# show firewall
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 20 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description ""
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
[edit]
Je vois WAN_IN (Internet vers réseau interne), WAN_LOCAL (Internet vers router), WAN_OUT (Réseau interne vers Internet).Pourtant je me base sur ça et ça n'en fait pas mention :
Peut-être il manque LOCAL_WAN (Trafic du routeur vers Internet) ?
Tu as raison, je me base sur ma conf où il est nécessaire (par zone). Si tu peux accèder à Internet et faire un ping depuis ton routeur, c'est normalement OK.Plus de message d'erreur effectivement mais il ne revient pas sur eth1.832 en primaire. En plus le dernier bail obtenu remonte au dernier reboot, donc le renew est sans effet...
Une autre idée : Tu peux enlever la partie upnp de ta conf et ressayer un RENEW DHCP ?
Le message d'erreur mentionne upnp2.
root@ubnt:~# show dhcp client leases
interface : eth1.832
ip address : 81.249.xxx.xxx [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 81.249.xxx.xxx
name server: 81.253.149.1 80.10.246.130
dhcp server: 80.10.247.48
lease time : 259200
last update: Thu Mar 5 23:09:36 CET 2020
expiry : Sun Mar 08 23:09:34 CET 2020
reason : REBOOT
interface : eth1.838
last update: Thu Mar 5 23:07:22 CET 2020
reason : FAIL
interface : eth2
ip address : 81.66.xxx.xxx [Active]
subnet mask: 255.255.254.0
router : 81.66.xxx.xxx
name server: 89.2.0.1 89.2.0.2
dhcp server: 212.198.0.163
lease time : 86400
last update: Thu Mar 5 22:27:51 CET 2020
expiry : Fri Mar 06 22:27:49 CET 2020
reason : RENEW
root@ubnt:~# show load-balance watchdog
Group WAN_FAILOVER
eth1.832
status: Waiting on recovery (0/3)
pings: 14879
fails: 34
run fails: 5/5
route drops: 2
ping gateway: 195.154.xxx.xxx - DOWN
last route drop : Thu Mar 5 22:31:58 2020
last route recover: Wed Mar 4 05:05:17 2020
eth2
status: Running
failover-only mode
pings: 18359
fails: 53
run fails: 0/5
route drops: 0
ping gateway: 195.154.xxx.xxx - REACHABLE
root@ubnt:~# show load-balance status
Group WAN_FAILOVER
interface : eth1.832
carrier : up
status : inactive
gateway : 81.249.xxx.xxx
route table : 201
weight : 0%
flows
WAN Out : 0
WAN In : 57377
Local Out : 0
interface : eth2
carrier : up
status : active
gateway : 81.66.xxx.xxx
route table : 202
weight : 100%
flows
WAN Out : 0
WAN In : 739
Local Out : 0
Code: [Sélectionner]root@ubnt:~# show dhcp client leases
interface : eth1.838
last update: Thu Mar 5 23:07:22 CET 2020
reason : FAIL
interface : eth2
ip address : 81.66.xxx.xxx [Active]
subnet mask: 255.255.254.0
router : 81.66.xxx.xxx
name server: 89.2.0.1 89.2.0.2
dhcp server: 212.198.0.163
lease time : 86400
last update: Thu Mar 5 22:27:51 CET 2020
expiry : Fri Mar 06 22:27:49 CET 2020
reason : RENEW
root@ubnt:~# show load-balance watchdog
Group WAN_FAILOVER
eth1.832
status: Waiting on recovery (0/3)
pings: 14879
fails: 34
run fails: 5/5
route drops: 2
ping gateway: 195.154.xxx.xxx - DOWN
last route drop : Thu Mar 5 22:31:58 2020
last route recover: Wed Mar 4 05:05:17 2020
eth2
status: Running
failover-only mode
pings: 18359
fails: 53
run fails: 0/5
route drops: 0
ping gateway: 195.154.xxx.xxx - REACHABLE
root@ubnt:~# show load-balance status
Group WAN_FAILOVER
interface : eth1.832
carrier : up
status : inactive
gateway : 81.249.xxx.xxx
route table : 201
weight : 0%
flows
WAN Out : 0
WAN In : 57377
Local Out : 0
interface : eth2
carrier : up
status : active
gateway : 81.66.xxx.xxx
route table : 202
weight : 100%
flows
WAN Out : 0
WAN In : 739
Local Out : 0
Code: [Sélectionner]root@ubnt:~# show dhcp client leases
interface : eth1.832
ip address : 81.249.xxx.xxx [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 81.249.xxx.xxx
name server: 81.253.149.1 80.10.246.130
dhcp server: 80.10.247.48
lease time : 259200
last update: Thu Mar 5 23:09:36 CET 2020
expiry : Sun Mar 08 23:09:34 CET 2020
reason : REBOOT
Bon pas mieux, j'ai un bail qui est bien renouvelé mais ça bascule sans raison... L'IP de test est la même sur les 2 connexions, après reboot du ER-X ça ping bien pour les 2 interfaces WAN :(
set firewall group network-group PRIVATE_NETS network 192.168.0.0/16
set firewall modify balance rule 10 action modify
set firewall modify balance rule 10 destination group network-group PRIVATE_NETS
set firewall modify balance rule 10 modify table main
set firewall modify balance rule 20 action modify
set firewall modify balance rule 20 destination group address-group ADDRv4_eth1.832
set firewall modify balance rule 20 modify table main
set firewall modify balance rule 30 action modify
set firewall modify balance rule 30 destination group address-group ADDRv4_eth2
set firewall modify balance rule 30 modify table main
set firewall modify balance rule 110 action modify
set firewall modify balance rule 110 modify lb-group WAN_FAILOVER
set interfaces ethernet eth0 firewall in modify balance
commit
save
vif 838 {
address dhcp
description ORANGE_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XXX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ORANGE_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send rfc3118-authentication '00:00:00:00:00:00:00:00:00:00:00:1a:09:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;'
set interfaces ethernet eth1 vif 832 dhcp-options client-option 'send dhcp-client-identifier 01:XX:XX:XX:XX:XX:XX;'
Merci pour tes bon conseils,
Dis moi "set default image" c'est a dire que je peux avoir 2 images actives en meme temps ?
fttmeh> Le script "dhcpv6_set_cos.sh", c'est pour Dibbler ? isc-dhclient n'utilise-t-il pas les "raw socket" pour envoyer les requêtes DHCP ?
J'imagine qu'il s'agissait d'une version pour un ER4? Pas la même architecture CPU que l'ER-X (pourtant je vois du MIPS dans les 2 cas)?
Au pire si quelqu'un a les infos pour compiler soi-même dhclient3, je peux m'y coller.
dpkg-buildpackage -us -uc
J'avais recompilé sur la 2.0.x naissante les sources ISC-DHCP de la version 1.10.x.Effectivement c'était bien ce binaire mais j'ai toujours l'erreur...
Ca fonctionnait sur l'ERL, et même si la version d'ISC dhcp n'est plus exactement la même, étonnant que ce ne soit plus le cas ?
A l'heure actuelle, j'ai utilisé le patch ci-joint pour recompiler le binaire ci-joint, sur les sources GPL de la version 2.0.6.
Il est possible de compiler sur l'ERL, au prix d'un large remplacement de binaires "busybox" par leurs vrais équivalents "debian" et/ou d'un bricolage des scripts "dh-xxxx" de la toolchain de compilation quand tu exécutes :Code: [Sélectionner]dpkg-buildpackage -us -uc
ERL c'est du mips (grand boutiste)Argh va falloir que j'ajoute du QEMU sur mon serveur, bon je regarde ça. Merci!
ER-X c'est du mipsel (petit boutiste)
Pour compiler, le plus simple, il faut une VM qemu, en mips ou mipsel de debian stretch.
Mettre les sources du paquet et le patch dessus la vm et générer le package.
Group WAN_FAILOVER
Balance Local : false
Lock Local DNS : false
Conntrack Flush: true
Sticky Bits : 0x00000000
interface : eth1.832
reachable : true
status : active
gateway : XX.XX.XX.1
route table : 201
weight : 100%
fo_priority : 100
flows
WAN Out : 0
WAN In : 60
Local ICMP: 107
Local DNS : 0
Local Data: 0
interface : eth2
reachable : true
status : failover
gateway : XX.XX.XX.1
route table : 202
weight : 0%
fo_priority : 60
flows
WAN Out : 0
WAN In : 32
Local ICMP: 106
Local DNS : 0
Local Data: 0
Effectivement c'était bien ce binaire mais j'ai toujours l'erreur...J'avais mal lu ton post, je pensais que tu avais l'ER4, sorry.
Je cherche à supprimer la NAT sur mon ERL3 afin de bypass ma connexion sur mon routeur ASUS sur le port ETH2.
Est ce possible ?
Est ce qu'il faut que je supprime les règles dans "Firewall Policies" ? Wan-in et Wan-local puis supprimer ensuite les ouvertures de ports ?
En passant, le NAT doit obligatoirement se faire sur le routeur qui porte l'IP publique. Donc si l'ERL est relié à l'ONT pas le choix, c'est l'ERL qui doit faire le NAT.
Après, même remarque que fttmeh... 2 routeurs l'un derrière l'autre ça n'a absolument aucun intérêt.
Pour moi si ça a un intérêt c'est que mon routeur à un meilleur pare-feu que l'erl un meilleur wifi (wifi6) même si je sais qu'on peut mettre le routeur Asus en mode point d'accès, également aussi je peux bloquer les adresses MAC, je peux mettre un vpn chose que j'ai faite, je gère également le dual balancing sur mon nas Synology... etc.
Si je désactive la NAT dans le ASUS et bien plus d'internet ...normal car du coup l'ERL ne sais pas où envoyer les paquets destinés aux équipements derrière l'ASUS. Ceci dit ça se règle facilement en principe en rajoutant une route statique dans l'ERL... Ou avec un protocole de routage genre OSPF si on est geek et que l'ASUS le supporte...
Si tu es content de ton ASUS, tu peux le garder et débrancher ton ERL. L'ERL fait toutes les fonctions (sauf l'access point) dont tu as besoin, mais au prix de devoir tout configurer.
normal car du coup l'ERL ne sais pas où envoyer les paquets destinés aux équipements derrière l'ASUS. Ceci dit ça se règle facilement en principe en rajoutant une route statique dans l'ERL... Ou avec un protocole de routage genre OSPF si on est geek et que l'ASUS le supporte...
set protocols static route 192.168.200.0/24 next-hop 192.168.4.5
Pour pouvoir te utiliser une route statique il faut :
- Que l’interface WAN de l’ASUS ait une IP privée fixe (pas de DHCP donc). Dans mon exemple ci-dessous j'ai pris 192.168.4.5
- Noter la plage d’IP utilisée sur le LAN de l’Asus. Dans mon exemple 192.168.200.0/24
- La route par défaut de l’ASUS doit être l’IP de l’ERL.
Et du coup sur l'ERL ça donne:Code: [Sélectionner]set protocols static route 192.168.200.0/24 next-hop 192.168.4.5
NAT et redirections de port à activer sur l’ERL uniquement.
Accessoirement il serait bien de comprendre un peu ce que tu fais au lieu de reproduire ce que je dis sans chercher à comprendre ;)
Du coup par curiosité, cela sert à quoi le proxy igmp ?
Pour pouvoir te utiliser une route statique il faut :
- Que l’interface WAN de l’ASUS ait une IP privée fixe (pas de DHCP donc). Dans mon exemple ci-dessous j'ai pris 192.168.4.5
- Noter la plage d’IP utilisée sur le LAN de l’Asus. Dans mon exemple 192.168.200.0/24
- La route par défaut de l’ASUS doit être l’IP de l’ERL.
Et du coup sur l'ERL ça donne:Code: [Sélectionner]set protocols static route 192.168.200.0/24 next-hop 192.168.4.5
Manifestement tu utilises la même plage d’adresses entre l’ERL et l’ASUS et sur le LAN de l’Asus... ÇA NE PEUT PAS MARCHER (base de la base du routage...). Du coup ta route statique (en plus d’être fausse) ne sert à rien et est ignorée par le kernel (premiere colonne à « no »)
Si l’ERL a l’adresse 192.168.10.1 et l’ASUS 192.168.10.3, alors la plage d’IP sur le LAN de l’ASUS ne peut pas être 192.168.10.X !
set protocols static route 192.168.1.0/24 next-hop 192.168.10.3
Déjà faut désactiver le NAT sur l’ASUS. Ensuite la route statique doit être:Code: [Sélectionner]set protocols static route 192.168.1.0/24 next-hop 192.168.10.3
Les redirections de port doivent se faire sur l’ERL (encore une fois parce que c’est lui qui porte l’IP publique), et directement vers l’adresse IP du serveur sur le LAN de l’ASUS (donc dans la plage 192.168.1.0/24).
Par contre si les serveurs utilisaient UPnP pour ouvrir automatiquement des ports, alors c’est mort, uPnP n’est pas compatible avec cette architecture réseau.
édit: faut mettre 192.168.1.8 dans forward to address et ensuite s’assurer que le firewall de l’Asus ne va rien bloquer.
Non, je ne pense pas (même si perso je n’utilise pas le port forwarding de l’interface web mais plutôt des règles DNAT + firewall en ligne de commande).
Pour moi le problème est sur l’Asus maintenant.
Non, je ne pense pas (même si perso je n’utilise pas le port forwarding de l’interface web mais plutôt des règles DNAT + firewall en ligne de commande).
Pour moi le problème est sur l’Asus maintenant.
J'ai réussi en accès interne sur l'iP locale. C'est le firewall du NAS qui bloquait ...
Par contre mon accès VPN (openVpn) j'arrive à me loguer de l'extérieur mais aucune navigation possible :-[.
Mon port est bien ouvert dans l'ERL et dans le firewall du NAS pourtant ... J'ai bien la petite clé qui s'affiche et la connexion Ok mais bizarre aucun flux ne transite et ça avance à rien ... comme si ça ne plaisait pas à l'ERL...
L’ERL ne bloque rien si tu ne lui demandes pas de bloquer explicitement... C’est pas un machin grand public qui essaye de faire des trucs dans ton dos sois-disant pour ton bien...
Si la connexion aboutit mais qu’après il n’y a aucun flux qui passe, alors le problème est sur le serveur ou le client OpenVPN. Déjà, où est le serveur OpenVPN ? Sur l’ERL ? Sur l’ASUS ? sur une autre machine ? Si sur une autre machine, elle est où cette machine ? Sur le LAN de l’ASUS ? Sur son WAN ?
Par exemple si elle est sur le WAN de l’ASUS, il faudra:
- Qu’elle ait la même route statique que celle qu’on a configuré dans l’ERL. En fait tous les équipements sur le WAN de l’ASUS doivent avoir cette route
- Que le firewall de l’ASUS soit configuré pour ne pas bloquer le traffic entrant provenant des clients VPN
- Rajouter une route statique dans l’ASUS vers le serveur VPN pour la plage d’IP utilisée par les clients OpenVPN
Accessoirement la configuration de ton réseau n’est plus triviale, je recommande fortement d’essayer de comprendre ce qu’est une route, quitte à suivre des trainings en ligne, parce que sinon tu ne t’en sortiras jamais... Et on atteint vraiment les limites de ce qu’il est possible de faire par l’intermédiaire d’un forum.
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.1.1/24
description LAN_ETH2
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.1.1/25
description LAN_ETH3
duplex auto
speed auto
}
ethernet eth4 {
address 192.168.1.1/26
description LAN_ETH4
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.5.1/24
description Local
mtu 1500
switch-port {
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
protocols {
static {
route6 ::/0 {
next-hop fe80::ba0:bab {
interface eth1.832
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 80.10.246.1
dns-server 81.253.149.9
domain-name ER-DOMAIN
lease 86400
start 192.168.1.3 {
stop 192.168.1.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.1
dns-server 81.253.149.9
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name ER-DOMAIN
host-name ubnt
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 213.251.133.164
name-server 208.67.222.220
name-server 1.1.1.1
name-server 129.250.35.251
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */
Bonsoir,
...
Si quelqu'un avait une idée ou peux me donner un petit coup de main ce serait génial !
Un grand merci d'avance à tous les contributeurs et les lecteurs :)
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
est nécessaire mais ne suffit pas, il faut un binaire dhclient patchéip addr show dev eth1.832
Si tu ne vois pas :inet xxx.xxx.xxx.xxx/23 brd xxx.xxx.xxx.xxx scope global eth1.832
inutile de chercher ailleurs pour le moment, c'est le réseau orange qui refuse ta requête dhcp (option 90, CoS, ...)
Oula, pourrais-tu mettre ton code sous les balises adéquates ? Et cache les données sensibles de ton code 🙂
En désordre :
- es-tu certain d'avoir utilisé la bonne chaîne (longue) d'authentification pour l'option 90 / rfc3118-auth
voir : https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg748958/#msg748958
- l'instructionCode: [Sélectionner]egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
est nécessaire mais ne suffit pas, il faut un binaire dhclient patché
Pas bloquant, mais :
- le VLAN 838 ne sert plus / ne fonctionne plus
- utiliser des bridges pour connecter derrière la livebox n'est sûrement pas idéal
Plus globalement, pour te "faire la main" et comprendre la configuration, il vaut peut-être mieux découper et ne laisser qu'une config simple, eth0=LAN + eth1=WAN en laissant de côté les bridges TV, le DHCP livebox, etc.
Enfin pour tester, lorsque l'ERL/ERX s'est initialisé avec ta configuration, connecte-toi en SSH et vérifie s'il a bien obtenu une IP publique sur eth1.832 :Code: [Sélectionner]ip addr show dev eth1.832
Si tu ne vois pas :Code: [Sélectionner]inet xxx.xxx.xxx.xxx/23 brd xxx.xxx.xxx.xxx scope global eth1.832
inutile de chercher ailleurs pour le moment, c'est le réseau orange qui refuse ta requête dhcp (option 90, CoS, ...)
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "br0 -> eth4.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth4.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth0.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:XXX;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XXX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.1.1/24
description LAN_ETH1
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.1/24
description LAN_ETH2
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.1.1/24
description LAN_ETH3
duplex auto
speed auto
}
ethernet eth4 {
description "eth4 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth4.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth4.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth4.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
protocols {
static {
route6 ::/0 {
next-hop fe80::ba0:bab {
interface eth1.832
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disa0ble
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 80.10.246.1
dns-server 81.253.149.9
domain-name ER-DOMAIN
lease 86400
start 192.168.1.3 {
stop 192.168.1.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.1
dns-server 81.253.149.9
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth0.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth0.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
listen-on eth4.832
nat-pmp enable
secure-mode disable
wan eth0.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name ER-DOMAIN
host-name ubnt
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user XXX {
authentication {
encrypted-password xxx.
}
level admin
}
}
name-server 213.251.133.164
name-server 208.67.222.220
name-server 1.1.1.1
name-server 129.250.35.251
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */
Concernant le dhclient3, aurait tu un fichier à m’indiquer en particulier ?
Un peu plus haut dans ce fil, Pour le firmware 2.0x de l'ER-X.
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg757966/#msg757966
Le firmare 2.0.X est indiqué être moins performant que le 1.X.XC'est un vaste sujet, pas encore tout à fait clos chez Ubiquiti.
Si on laisse les bridges, est ce moins performant que sans ? J'ai aussi les bridges et le vlan 838 et tout fonctionne nikel.De base un routeur est fait pour router, pas pour bridger, si on peut faire autrement (igmp proxy) c'est préférable et plus propre.
...supprimer directement dans l'interface graphique...C'est plus sûr de le faire en ligne de commande.
...peux-t'on renvoyer le fichier de conf en changeant uniquement la chaîne d'authentification de la nouvelle box ?Oui.
vi /opt/vyatta/sbin/vyatta-interfaces.pl
$output .= "option rfc3118-auth code 90 = string;\n\n";
Plus besoin de faire ça depuis les firmwares 1.10 (et à fortiori donc encore moins avec les firmwares 2.0)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
state {
established enable
related enable
}
description "Allow established/related"
}
rule 20 {
action drop
state {
invalid enable
}
description "Drop invalid state"
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
state {
established enable
related enable
}
description "Allow established/related"
}
rule 20 {
action drop
state {
invalid enable
}
description "Drop invalid state"
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
speed auto
duplex auto
vif 832 {
address dhcp
description Internet
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XXXXX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
speed auto
duplex auto
description Local
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description Local
switch-port {
interface eth1
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 213.251.133.164
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on switch0
name-server 213.251.133.164
name-server 208.67.222.220
}
}
gui {
http-port 80
https-port 443
}
nat {
rule 5010 {
outbound-interface eth0.832
type masquerade
description "masquerade for WAN"
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXXXX.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */
Bonsoir, bonsoir,
Je reviens mais avec une bonne nouvelle : mon ER-X fonctionne !
Le problème venait bien du dhclient que j'utilisais qui n'était pas compilé pour l'architecture du CPU de l'ER-X.
J'ai donc re-compilé le dhclient à partir de la version fourni dans le firmware 1.10.0, les sources n'étant pas encore disponibles pour le firmware 1.10.5 qui équipe mon ER-X. Mais à mon avis, ça n'est pas très grave car les releases 1.10.x ne contiennent que des bugfixes, pas de changements majeurs.
J'ai pris soin d'appliquer le patch de Zoc avant la compilation.
Pour la compilation, j'ai utilisé Dockcross (https://github.com/dockcross/dockcross (https://github.com/dockcross/dockcross)), un projet OSS qui fourni des images Docker contenant l'environnement pour compiler sur une architecture donné.
En l'occurence, de nombreuses architecture sont disponibles dont MIPS et MIPSEL.
Une fois Dockcross pour l'architecture MIPSEL installé, j'ai exécuté la commande suivante sur les sources patchées pour compiler dhclient3:Code: [Sélectionner]sudo ./dockcross bash -c 'apt-get install dh-make && dpkg-buildpackage -us -uc -d'
Une fois la compilation terminée, vous devriez trouver le binaire à cet endroit :Code: [Sélectionner]debian/vyatta-dhcp3-client/sbin/dhclient3
Je vous ai joins le mien à ce post (SHA1 sum: 6de836d5115e7c87fd802b430663c8a2d01112f7)
Pour ce qui est du reste, j'ai utilisé le fichier rfc3442-classless-routes que l'on trouve partout sur ce forum, mais je le joins également à ce post au cas où.
Je vous joins également mon config.boot dans son état final, attention j'ai remplacé mon identifiant fti/ encodé en hexa par des XX:XX ... à vous de les remplacer par votre identifiant.
J'y ai aussi remplacé le mot de passe encrypté de mon interface d'admin par "foobar", à vous de le remplacer par votre mot de passe encrypté.
Voilà, avec tout ça quiconque souhaitant remplacer sa Livebox par un ER-X et n'ayant besoin que de l'Internet (pas de TV, ni de téléphone) devrait y arriver.
Merci encore pour votre aide.
Bonne soirée.
Julien.
Bonsoir,
Merci encore pour vos coups de main.
Good news ! J'ai enfin réussi à avoir une connection.
En revanche j'ai un débit ridicule, aux alentours de 1mbps alors que je devrais avoir autour de 1gbps.
Je comprends pas encore ce qui cloche.
Si quelqu'un à une piste je suis plus que preneur.
Un grand merci d'avance !
Je suis en FW 1.10 pour l'instant. Je ferais surement un upgrade plus tard mais pour l'instant il faut que je gagne en compétence.
Par ailleurs j'arrive pas à éditer avec la commande set dans putty, je sais pas encore exactement ce qu'il faut et comment il faut le taper car ca me dit "the specified configuration node is not valid".
Voici la conf que j'ai installé.Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
state {
established enable
related enable
}
description "Allow established/related"
}
rule 20 {
action drop
state {
invalid enable
}
description "Drop invalid state"
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
state {
established enable
related enable
}
description "Allow established/related"
}
rule 20 {
action drop
state {
invalid enable
}
description "Drop invalid state"
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
speed auto
duplex auto
vif 832 {
address dhcp
description Internet
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XXXXX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
speed auto
duplex auto
description Local
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description Local
switch-port {
interface eth1
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 213.251.133.164
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on switch0
name-server 213.251.133.164
name-server 208.67.222.220
}
}
gui {
http-port 80
https-port 443
}
nat {
rule 5010 {
outbound-interface eth0.832
type masquerade
description "masquerade for WAN"
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXXXX.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */
Là tu es avec quel Erl ?
Moi j'ai le Erlite 3.
Ma config est Eth 1 l'arrivée de l'ont, Eth0 le lan de la box (TV+Tel), Eth1 mon lan.
Faut juste que je vire les bridges mais sinon ça marche nikel.
Faut aussi virer le vlan 838
Il faut passer hwnat à enable
Là tu es avec quel Erl ?
Moi j'ai le Erlite 3.
Ma config est Eth 1 l'arrivée de l'ont, Eth0 le lan de la box (TV+Tel), Eth1 mon lan.
Faut juste que je vire les bridges mais sinon ça marche nikel.
Faut aussi virer le vlan 838
Salut Zoc ! C'est étrange quand je fais ca je perds la connection et meme l'acces à l'interface de l'erx. Testé deux fois. Je suis obligé de faire un reset total et tout recommencer depuis le début.
Néanmoins j'ai remarqué que le débit tout lent venait du pc très bas de gamme que j'ai (normalement j'utilise un mac mais pour faire ca j'ai pris un petit pc). Du coup sur un test de connection avec une console de jeu ca tourne autour des 400/450mbps.
Ca me fait un débit divisé par deux mais pour l'instant je me plains pas. Va falloir que je peaufine tout ca.
Salut Kana ! J'ai l'erx, j'avais hésité à prendre l'erlite mais j'ai préféré commencer petit pour démarrer et il a plus de ports rj45.
Il faut que je rajoute la box sur le port eth4 parce qu'il y en a une qui va raler pour le wifi lol.
Je compte le faire en ligne de code pour modifier le fichier de config comme me l'a conseillé Zoc mais la c'est encore une histoire !
EDIT : Va falloir que je me penche sur l'ipv6 aussi. J'ai encore du boulot pour que tout soit nickel. :)
Salut ! :)
Le wifi tu peux mettre comme moi un point d'accès / routeur compatible Wifi 6 et ça fera mieux le job.
En ligne de code tu vas t'arracher un peu les cheveux si tu n'as pas d'aide, moi j'ai pas mal fouillé et me suis fait aidé ici aussi (Zoc, etc ... merci à vous).
On en apprend tout le temps c'est ça qui est passionnant, malgré les dispos plus ou moins rapides de chacun on arrive à trouver nos erreurs et les corriger.
Question :
Vraiment utile cette option à cocher ?
"Enable hairpin NAT "
En effet c'est prévu mais pas pour tout de suite, et puis ce sera l'occasion d'apprendre et de gagner quelques compétences en la matière. Et peut être qu'après je pourrais moi aussi filer un coup de main aux autres ;)
J'ai trouvé quelques lignes ici https://help.ui.com/hc/en-us/articles/204959444-EdgeRouter-Router-on-a-Stick et la https://help.ui.com/hc/en-us/articles/204962254-EdgeRouter-Create-Virtual-Interfaces-with-VLAN-IDs , mais ca me fait un peu trop léger je ne sais pas trop par ou m'y prendre.
Si t'as une piste à suivre je serais ravi de la suivre.
Perso j'ai regardé un peu sur le net ce que c'était ca ne m'as pas l'air utile dans mon cas précis donc je l'ai décoché.
Après ca dépend de ton utilisation précise.
Au fait est ce que quelqu'un aurait une idée de pourquoi le fait d'activer le hwnat me fait tout planter au point de reset ?
EDIT : Je suis passé à la v2 du FW pour voir ce que ca donne et la ca fonctionne j'ai gagné un peu en débit mais je reste loin de ce que je devrais avoir. Je dois surement passer à coté de quelque chose.
firewall {
all-ping enable
broadcast-ping enable
ipv6-receive-redirects enable
ipv6-src-route enable
ip-src-route enable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
state {
established enable
related enable
}
description "Allow established/related"
}
rule 20 {
action accept
state {
invalid disable
}
description "Drop invalid state"
}
}
name WAN_LOCAL {
default-action accept
description "WAN to router"
rule 10 {
action accept
state {
established enable
related enable
}
description "Allow established/related"
}
rule 20 {
action accept
state {
invalid enable
}
description "Drop invalid state"
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "br0 -> eth4.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
speed auto
duplex auto
vif 832 {
address dhcp
description Internet
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XXXXXX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description "eth4 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth4.832 LIVEBOX (INTERNET)"
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description Local
switch-port {
interface eth1
interface eth2
interface eth3
interface eth4
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 213.251.133.164
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
}
}
}
dns {
forwarding {
cache-size 1024
listen-on switch0
name-server 213.251.133.164
name-server 208.67.222.220
}
}
gui {
http-port 80
https-port 443
}
nat {
rule 5010 {
outbound-interface eth0.832
type masquerade
description "masquerade for WAN"
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXXX
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat enable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */
Code: [Sélectionner]switch switch0 {
address 192.168.1.1/24
description Local
switch-port {
interface eth1
interface eth2
interface eth3
interface eth4
}
}
switch switch0 {
address 192.168.1.1/24
description Local
switch-port {
interface eth3
}
}
Il me semble que le problème est avec ta conf switch. Tu utilises l'ERX comme routeur et pas comme switch, donc efface la conf switch ou à minima sort les interfaces que tu utilises par ailleurs. Par exemple :Code: [Sélectionner]switch switch0 {
address 192.168.1.1/24
description Local
switch-port {
interface eth3
}
}
Merci pour ta réponse.
Pour le coup, quand j'ai redemarré l'erx plus moyen de m'y reconnecter ou de faire quoi que ce soit avec, pas moyen non plus de le reset en configuration usine et tout recommencer. J'ai trainé sur le forum ubiquiti mais rien qui m'aide, apparement ca venir d'un probleme hardware.
Donc pour l'instant retour à la livebox, et le routeur il retourne chez le vendeur. Je suis quand même un peu déçu... je l'aimais bien pourtant ce routeur.
Merci pour ta réponse.
Pour le coup, quand j'ai redemarré l'erx plus moyen de m'y reconnecter ou de faire quoi que ce soit avec, pas moyen non plus de le reset en configuration usine et tout recommencer. J'ai trainé sur le forum ubiquiti mais rien qui m'aide, apparement ca venir d'un probleme hardware.
Donc pour l'instant retour à la livebox, et le routeur il retourne chez le vendeur. Je suis quand même un peu déçu... je l'aimais bien pourtant ce routeur.
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 172.31.255.1/16
description LAN_ETH0
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description ISP
duplex auto
mtu 1500
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:ft:ie:nc:od:ec:om:me:il:faut;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier ad:dr:ma:cd:la:lb;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
mtu 1500
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LIVEBOX
duplex auto
speed auto
vif 832 {
address 192.168.254.254/24
description Voip
}
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
ethernet eth5 {
disable
duplex auto
speed auto
}
ethernet eth6 {
disable
duplex auto
speed auto
}
ethernet eth7 {
disable
duplex auto
speed auto
}
ethernet eth8 {
disable
duplex auto
speed auto
}
ethernet eth9 {
disable
duplex auto
speed auto
}
ethernet eth10 {
disable
duplex auto
speed auto
}
ethernet eth11 {
disable
duplex auto
speed auto
}
ethernet eth11 {
disable
duplex auto
speed auto
}
switch switch0 {
mtu 1500
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 172.31.1.0/16 {
default-router 172.31.255.1
dns-server 172.31.255.1
lease 86400
ntp-server 172.31.255.1
start 172.31.0.100 {
stop 172.31.0.200
}
}
}
shared-network-name LAN_ETH2_LIVEBOX {
authoritative enable
subnet 192.168.254.0/24 {
default-router 192.168.254.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.254.21 {
stop 192.168.254.200
}
static-mapping Livebox {
ip-address 192.168.254.1
mac-address 84:A0:6E:8B:D0:BA
}
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option domain-search "XXX.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
listen-on eth0.50
name-server 1.1.1.1
name-server 9.9.9.9
name-server 2606:4700:4700::1111
name-server 2620:fe::fe
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.100.254
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 172.31.255.1
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user root {
authentication {
encrypted-password $keepyoursecretverysecret
}
level admin
}
user ubnt {
authentication {
encrypted-password $keepyoursecretsecret
}
level admin
}
}
host-name erl
ip {
override-hostname-ip 172.31.255.1
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
task-scheduler {
task daily_restart_igmp-proxy {
crontab-spec "0 3 * * *"
executable {
path /config/scripts/igmp-proxy_restart.sh
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
Bonsoir ,
J'utilise un ER12 en v 1.10.11 pour remplacer une livebox 4 (que je garde toutefois pour la téléphonie).
La connexion internet est opérationnelle, ainsi que les appels sortants. Toutefois les appels entrants sonnent jusqu'a tomber sur la messagerie : le teléphone ne sonne pas (avec la LB en direct, ǎ fonctionne dans les 2 sens).
Auriez-vous une piste ?
Merci par avance pour vos idees
Bonne soiree a vous.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth7
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:ft:ie:nc:od:ec:om:me:il:faut;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
}
ethernet eth2 {
disable
duplex auto
ip {
}
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
ethernet eth5 {
disable
duplex auto
speed auto
}
ethernet eth6 {
disable
duplex auto
speed auto
}
ethernet eth7 {
address 192.168.10.1/24
description "eth7 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth8 {
disable
duplex auto
speed auto
}
ethernet eth9 {
disable
duplex auto
speed auto
}
ethernet eth10 {
disable
duplex auto
speed auto
}
ethernet eth11 {
disable
duplex auto
speed auto
}
ethernet eth11 {
disable
duplex auto
speed auto
}
switch switch0 {
mtu 1500
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth7
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name erl
login {
user root {
authentication {
encrypted-password $keepyoursecretverysecret
}
level admin
}
user ubnt {
authentication {
encrypted-password $keepyoursecretsecret
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.3.5082543.180426.1717 */
Pour la TV, il est recommandé de connecter le décodeur sur la box et pas derrière le routeur. Peut-être qu’il est possible de s’en sortir avec igmpproxy comme on le fait pour un remplacement de box mais aucune garantie que ça fonctionne.
Je souhaiterais configurer le routeur de la manière suivante :
fibre ----> Livebox 5 (pour le tel) ----> EdgeRouter ----> Switch + décodeur TV UHD 4K
protocols {
igmp-proxy {
interface eth0 {
role upstream
threshold 1
}
interface eth1 {
role downstream
threshold 1
}
}
}
Tu parles pour la config de Lyrca avec LB5 + déco UHD ? Sinon, l'igmpproxy fonctionne très bien avec LB4+déco LB4.Je parle de la config de Lyrca qui est:
LB5 --> ER --> UHD
ONT --> LB4 --> ER --> Deco
LB5 --> ER
|----> UHD
En attendant de voir si je ne peux pas avoir un ONT, est-ce que la solution suivante serait possible :Bonjour,
décodeur sur eth2
Livebox sur eth0
Mettre en place un VLAN de manière à ce que le décodeur pense être directement connecté à la Livebox. Désolé si ma question est naive.
set service dhcp-server global-parameters "option Vendor-specific code 125 = string;"
set service dhcp-server shared-network-name TV subnet 192.168.50.0/24 default-router 192.168.50.1
set service dhcp-server shared-network-name TV subnet 192.168.50.0/24 dns-router 192.168.50.1
set service dhcp-server shared-network-name TV subnet 192.168.50.0/24 subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
set service dhcp-server shared-network-name TV subnet 192.168.50.0/24 start 192.168.50.100 stop 192.168.50.200
set interfaces ethernet eth2 address 192.168.50.1
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth2 role downstream
set protocols igmp-proxy interface eth2 alt-subnet 0.0.0.0/0
set service dns forwarding listen-on eth2
set service nat rule 5010 type masquerade
set service nat rule 5010 type outbound-interface eth0
set service nat rule 5010 type protocol all
set system name-server 192.168.1.1 #si c'est bien l'adresse privée de ta livebox
set service dhcp-server global-parameters "option Vendor-specific code 125 = string;"
set service dhcp-server shared-network-name TV_DHCP subnet 192.168.3.0/24 default-router 192.168.3.1
set service dhcp-server shared-network-name TV_DHCP subnet 192.168.3.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name TV_DHCP subnet 192.168.3.0/24 subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
set service dhcp-server shared-network-name TV_DHCP subnet 192.168.3.0/24 start 192.168.3.2 stop 192.168.3.100
set interfaces ethernet eth2 address 192.168.3.1
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth2 role downstream
set protocols igmp-proxy interface eth2 alt-subnet 0.0.0.0/0
set service nat rule 5010 type masquerade
set service nat rule 5010 outbound-interface eth0
set service nat rule 5010 protocol all
C’est strictement pareil quelle que soit la livebox. Si c’est l’userclass qui t’inquiète, celle dans ta configuration continuera à fonctionner, Orange ne vérifie pas que la version annoncée correspond au matériel du client. Donc du moment que c’est un userclass qui correspond à une box d’orange ca marchera.
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxxxxxx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
domain-name local
host-name EdgeRouter
login {
user xxxxx {
authentication {
encrypted-password xxxxxxxxxxxxxxx
public-keys xxxxx@MacBook-Pro.local {
key AAAAB3NzaC1yc2EAAAADAQABAAACAQCyP9XZ0u8/abJeHgQFygBZbhPkPft+a7JrN5qJm+QIt6Ac9l+mF1UJ8d08MVSlQaunI5fpiEp300kjsQIcAg3sLgoNXXqPZNykj5MJEt2lWQlXYYGc2QTXzqqgkAalDXyWGZb1JJgtxnSEHwliwH7zL9KoltQylq0oK+t0YYRmEACyiTQ6IIbVB66Xq+ee4tfy2X5ks9hLocJR1A/Y4jZZP1vu1NfbL45iZK2MojZ5iMAeuGvAWOHZf6vZsj/dQxkBkfIesUty66cByMYEQB3hh86n+kY4l0A02mc7FvMJJ3CUJhcMllJoj/gd3MIjjZpmA4OhIwukw/NDlEGJmrNOnmUJX63/RRuE9YJBMVBeKoUUOMnN1EXwOUhf/mRH5ZjkrAwNNd3mBqO3U8J54HlnV8vFss8mtyyh+XkrQRhEjJtWSVRyt6H7q1XS+drwlfi1yhNbfDJSaP0NoNkk5FhVlZlibt8ku8rJJNxcFx/VfKjz2NXPXCfAcEpAoqXgrjq1lunlxkEikCb9kKeKOBy+NGH7jHHiPoK+jwRm6DmLQ0qerpYj0tavSxI401QA1A+RnKrKI2qkhXZjZpXNFwhlJmRnwJFH5I0XBgY2Zv2eeucw1kIIdM3GSOXf7v6YbP8tyywYJSzQbsc3UpDav9ERYP8+3VWa52/hPB74yByibw==
type ssh-rsa
}
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0xs
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XXXXXXXX;" //fti/yyyy en hexa
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name FD-HOME
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
domain-name local
host-name EdgeRouter
login {
user xxxxx {
authentication {
encrypted-password xxxxxx
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@0:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.11.5274269.200221.1029 */
Pour la TV, c'est bien plus simple désormais.
Il faut configurer la vif 840 sur ton interface WAN.
Configurer l'igmp-proxy pour gérer le multicast (upstream = vif 840, downstream = LAN TV).
Il faut une configuration DHCP qui contient les serveurs DNS Orange (de mon côté, j'ai choisi d'isoler la TV dans un VLAN avec son propre serveur DHCP).
Il faut également configurer l'IGMP snooping sur les switches du réseau pour éviter que le flux TV soit broadcasté sur tout ton réseau.
J'ai fait la configuration cette semaine, et c'est super simple.
Pour le téléphone, j'ai compris qu'il n'y avait toujours pas de solution sans Livebox par contre. Je n'en ai pas l'utilité donc je ne me pencherai pas dessus...
Tu peux nous faire partager ton fichier boot stp ?
Je tourne avec un ERL 3
Je galère aussi et suis en DHCP V4
ETH0 -> Livebox + TEL + Décodeur UHD
ETH1 -> ONT
ETH2 -> Routeur ASUS (avec route statique de l'ERL vers mon ASus et désactivation du NAT sur mon ASUS pour éviter le double NAT)
Depuis quelques temps je n'ai plus de flux TV sur mon décodeur Orange ...
J'ai lu qu'il fallait le raccorder sur le LAN et non plus sur la Box ?
Sympa de m'aider !
Merci à toi
firewall {
all-ping disable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 20 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 20 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
firewall {
in {
name WAN_IN
}
}
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
}
local {
name WAN_LOCAL
}
out {
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
lan-interface eth2
rule 1 {
description SYNO
forward-to {
address 192.168.1.5
port 443
}
original-port 443
protocol tcp_udp
}
rule 2 {
description SYNO
forward-to {
address 192.168.1.5
port 5006
}
original-port 5006
protocol tcp_udp
}
rule 3 {
description SYNO
forward-to {
address 192.168.1.5
port 5005
}
original-port 5005
protocol tcp_udp
}
rule 4 {
description SYNO
forward-to {
address 192.168.1.5
port 5004
}
original-port 5004
protocol tcp_udp
}
rule 5 {
description SYNO
forward-to {
address 192.168.1.5
port 5002
}
original-port 5002
protocol tcp_udp
}
rule 6 {
description SYNO
forward-to {
address 192.168.1.5
port 6881
}
original-port 6881
protocol tcp_udp
}
rule 7 {
description SYNO
forward-to {
address 192.168.1.5
port 6928
}
original-port 6928
protocol tcp_udp
}
rule 8 {
description SYNO
forward-to {
address 192.168.1.5
port 5001
}
original-port 5001
protocol tcp_udp
}
rule 9 {
description SYNO
forward-to {
address 192.168.1.5
port 5242
}
original-port 5242
protocol tcp
}
rule 10 {
description PLEX
forward-to {
address 192.168.1.8
port 32400
}
original-port 32400
protocol tcp_udp
}
rule 11 {
description SYNO
forward-to {
address 192.168.1.5
port 1194
}
original-port 1194
protocol udp
}
wan-interface eth1.832
}
protocols {
static {
route 192.168.1.0/24 {
next-hop 192.168.10.3 {
description "Route Statique vers le routeur ASUS"
distance 1
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-authentication code 90 = string;"
global-parameters "option SIP-servers code 120 = string;"
global-parameters "option Vendor-Specific-Information code 125 = string;"
hostfile-update disable
shared-network-name Network_Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.1
dns-server 81.253.149.9
lease 259200
start 192.168.2.30 {
stop 192.168.2.35
}
subnet-parameters "option domain-name "orange.fr";"
subnet-parameters "option domain-search "NAN.access.orange-multimedia.net.";"
subnet-parameters "option Vendor-Specific-Information 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
subnet-parameters "option SIP-servers 00:06:73:62:63:74:33:67:03:50:55:54:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name ubnt
ipv6 {
disable
}
login {
user root {
authentication {
encrypted-password $XXXXXXXXXXXXXXXXXXXXXXXXX.
plaintext-password ""
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password $XXXXXXXXXXXXXXXX
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 1.0.0.1
name-server 9.9.9.9
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
pppoe enable
vlan enable
}
ipv6 {
forwarding disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
vpn {
ipsec {
auto-firewall-nat-exclude enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.11.5274249.200221.0849 */
J’ai observé ce soucis avec cette configuration. Je te suggère de connecter le décodeur sur ton LAN et non plus derrière la Livebox. Voici la configuration que j’utilise pour ceci : https://lafibre.info/remplacer-livebox/tutot-er4-v2-0-8-ipv6-tv-et-tel-derriere-livebox/msg778389/#msg778389
Je pense que ton décodeur te dit que tu as besoin de la box car tu ne lui passe pas l’option 125 au travers du serveur DHCP.
Certaines régions, notamment le sous continent Indien, se sont vu octroyer un nombre comparativement ridicule d'IPv4, surtout en regard de l'effectif de la population. Aussi, l'utilisation massive d'IPv6 les a, si ce n'est mis en avance de phase sur ce déploiement, tout au moins peut-on considérer qu'ils sont loin d'être en retard.
[Routing] Added Ethernet driver patch from Cavium that fixes packet reordering with 4.x kernel. This should improve performance of network services that are sensitive to UDP packet reordering (e.g. VoIP and Video streaming)
[Performance] - Throughput degradation by 5-10% when comparing with v1.10.x firmware with older kernel
[Performance] Improved forwarding performance on all ER models when offloading is disabled ---> +30% in simple NAT scenario, +10% in QoS/NetFlow scenario when comparing with v2.0.8.
Je pense quand même mettre à jour la 1.10.11 car ubiquiti a annoncé que c'était la dernière version de sa branche et, étant donné que debian jessie est EOL, il y a davantages de malus que de bonus à garder le firmware.
Pour info le firmware 2.0.9 est sorti et corrige le soucis de réordonnancement des paquets udp impactant tous les firmwares 2.XOn ne l'attendait même plus ;D
Sinon je suis en phase de test sur l'IPv6 j'ai regardé pas mal de procédures du forum mais malheureusement je n'arrive pas à récupérer d'IP (Avec patch cos6 ou sans).
Si ton dhclient est déjà patché en cos6, il n'y aura pas d'autre patch à appliquer.
Il y a même un cas de figure où un changement de MAC sur l'interface WAN pour un même DUID entraîne un refus net, même en rebootant l'ONT (mais si tu n'as jamais eu de préfixe, ce n'est pas ton cas).
root@EdgeRouter-12:~# tcpdump -nevvvi eth7
tcpdump: listening on eth7, link-type EN10MB (Ethernet), capture size 262144 bytes
06:30:48.125267 18:e8:29:bc:c2:79 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 389: vlan 832, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 371)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 18:e8:29:bc:c2:79, length 343, xid 0x31a819c2, Flags [none] (0x0000)
Client-Ethernet-Address 18:e8:29:bc:c2:79
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 13: "EdgeRouter-12"
Parameter-Request Option 55, length 5:
Lease-Time, RN, RB, Option 119
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.116.117.119.107.X.X.X
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
END Option 255, length 0
Bonjour,
J'ai une ligne SOSH FTTH toute neuve avec une livebox 4 et un ONT.
J'ai essayé de me lancer dans la configuration de mon ER12 en suivant vos tutos, mais je n'arrive pas à avoir une réponse à mes requêtes DHCP.
J'ai bien mis le dhclient3 patché.
Voici la requête (j'ai mis des X sur l'option 90 pour des raisons de confidentialité) :Code: [Sélectionner]root@EdgeRouter-12:~# tcpdump -nevvvi eth7
tcpdump: listening on eth7, link-type EN10MB (Ethernet), capture size 262144 bytes
06:30:48.125267 18:e8:29:bc:c2:79 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 389: vlan 832, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 371)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 18:e8:29:bc:c2:79, length 343, xid 0x31a819c2, Flags [none] (0x0000)
Client-Ethernet-Address 18:e8:29:bc:c2:79
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 13: "EdgeRouter-12"
Parameter-Request Option 55, length 5:
Lease-Time, RN, RB, Option 119
AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.116.117.119.107.X.X.X
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
END Option 255, length 0
Il me semble que la requête est correcte, il y a bien les options 60 77 et 90, et la prio 6 au niveau 802.1q.
Avez-vous une idée de ce qui cloche ?
Question subsidiaire : à quel niveau la limite de débit contractuelle est-elle appliquée ? Sur la livebox ou en amont sur le réseau ?
En vous remerciant
essaye cette chaine pour l'option 90, je vois la lenght a 22 ca me semble peut : 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
les x sont ton fti/login en hexa
ubnt@EdgeRouter-12# show interfaces ethernet eth7
duplex auto
speed auto
vif 832 {
address dhcp
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:66:74:69:2f:74:75:77:6b:X:X:X;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
15:50:10.021999 18:e8:29:bc:c2:79 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 404: vlan 832, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 386)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 18:e8:29:bc:c2:79, length 358, xid 0x481c3c87, secs 19, Flags [none] (0x0000)
Client-Ethernet-Address 18:e8:29:bc:c2:79
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 13: "EdgeRouter-12"
Parameter-Request Option 55, length 5:
Lease-Time, RN, RB, Option 119
AUTH
AUTH Option 90, length 37: 0.0.0.0.0.0.0.0.0.0.0.26.9.0.0.5.88.1.3.65.1.13.102.116.105.47.102.116.105.47.116.117.119.107.X.X.X
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
END Option 255, length 0
Dac, euh en faite j'ai fait une erreur la chaine 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx:xx contient déjà le fti/J'ai aussi rajouté des options request et le client-identifier. Et ca marche :)
Essaye en ajoutant que la suite à partir du /
Désolé
ubnt@EdgeRouter-12# show interfaces ethernet eth7
duplex auto
speed auto
vif 832 {
address dhcp
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:44:A6:1E:X:X:X;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:74:75:77:6b:X:X:X;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
ubnt@EdgeRouter-12# show interfaces ethernet eth7
duplex auto
speed auto
vif 832 {
address dhcp
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:74:75:77:6b:X:X:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
Salut
Pour info je viens de profiter du confinement pour faire des mises à jours et passer de la 1.10.11 à 2.0.9.
Je suis sur une config très simple en IPv4 et uniquement pour internet. Je n'utilise pas les autres services Orange.
Pas de perte de perf visible pour le moment et rien à signaler ;D
Et bonne nouvelle visiblement je n'ai plus besoin de patcher cos 6 pour obtenir une IPv4. J'ai forcer plusieurs changements avec succès.
J'avais entendu que dans certaines régions ce n'était pas nécessaire (j'en avais pourtant besoin depuis plusieurs années).
Vous savez quand Orange va imposer de passer à l'IPv6 ? j'aurais bien aimer garder ma conf encore longtemps :)
La cos 6 est nécessaire en IPv6 pour tout le monde ?
Il faut un client dhcp (dhclient) adapté aux firmware 2.0.X. Celui pour les firmware 1.10.X ne fonctionnera pas.
Bref, le principe ça reste quand même de ne pas appliquer les tutos à l’aveugle mais de comprendre la config de base et faire sa propre configuration...
Ma config est sensée toujours fonctionner, sauf pour le dernier décodeur TV UHD (il faut lui passer des infos supplémentaires avec l’option DHCP 125). Et attention, pas de support pour le téléphone dans ma config. Je l’ai rajoutée depuis mais ma configuration est tellement différente de celle de base que j’ai postée (ma config actuelle doit faire environ 3000 lignes...) qu’il est difficile de réintégrer les changements dans la config de base.
Est il possible de changer les DNS Wan en entrée (ETH1 ONT) ou en ETH2 (Mon lan, ETH0 = Livebox) au lieu de ceux d'ORANGE par défaut comme dans ce tuto :
https://lucanuscervus-notes.readthedocs.io/en/latest/Networking/EdgeOS/Change%20WAN%20DNS%20Server/
J'ai essayé mais pas l'air de fonctionner ...
Le DNS forwarding n'est pas activé mais c'est peut-être normal ...
Re bonjour les amis !
Et sinon quelqu'un pourrait m'expliquer ? 🙂
Est ce que le DNS forwarding peux s'ajouter sur nos fichiers et apporte t'elle un gain en entrée de config ?
Merci !
forwarding {
cache-size 1000
listen-on eth2.10
listen-on eth2.11
name-server fd10::3
name-server fd10::4
name-server 192.168.10.21
name-server 192.168.10.22
Si tu utilises l'option DNS forwarding, il faut spécifier les serveurs DNS que tu souhaites utiliser et aussi les interfaces sur lesquelles le daemon va écouter pour répondre aux requêtes DNS:Code: [Sélectionner]forwarding {
cache-size 1000
listen-on eth2.10
listen-on eth2.11
name-server fd10::3
name-server fd10::4
name-server 192.168.10.21
name-server 192.168.10.22
n'oublies pas de configurer au niveau du DHCP server (ou options SLAAC pour l'ipv6) ton ton routeur comme le seul serveur DNS afin que les requêtes lui arrivent.
forwarding {
cache-size 1000
listen-on eth2
name-server 1.1.1.1
name-server 1.0.0.1
name-server 192.168.10.3
Est ce que ce serait ça :Code: [Sélectionner]forwarding {
cache-size 1000
listen-on eth2
name-server 1.1.1.1
name-server 1.0.0.1
name-server 192.168.10.3
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name KANABEACH44 {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.3
dns-server 192.168.10.3
lease 86400
start 192.168.10.100 {
stop 192.168.10.200
}
}
}
}
}
nat {
rule 1 {
description GUEST_INTERCEPT_DNS
destination {
address !1.1.1.3
port 53
}
inbound-interface eth2.12
inside-address {
address 1.1.1.3
port 53
}
log disable
protocol tcp_udp
type destination
}
Et si tu veux vraiment forcer tous les appareils à utiliser le serveur cloudflare, il faut faire une règle de DNAT pour intercepter toute communication sur le port 53 et la reenvoyer vers ton routeur (si tu fais du DNS FORWARDING) ou vers CLOUDFLARE direcement:Code: [Sélectionner]nat {
rule 1 {
description GUEST_INTERCEPT_DNS
destination {
address !1.1.1.3
port 53
}
inbound-interface eth2.12
inside-address {
address 1.1.1.3
port 53
}
log disable
protocol tcp_udp
type destination
}
mais avec des protocoles émergents comme le DOH (DNS over HTTPS) ce filtrage est facilement by-passé. Il me semble que firefox le fait déjà par défaut, mais je ne l'ai pas vérifié...
tu as presque tout bon. Il faut juste enlever la ligne 192.168.10.3 parce que dans cette section tu indiques juste au routeur quels sont les serveurs DNS à utiliser. Donc son adresse sur eth2 n'a rien à faire là dedans.
Après, il faut juste ajouter, dans les options du serveur DHCP de ton LAN, l'adresse de ton routeur en tant serveur DNS. Quelque chose du genre:Code: [Sélectionner]service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name KANABEACH44 {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.3
dns-server 192.168.10.3
lease 86400
start 192.168.10.100 {
stop 192.168.10.200
}
}
}
}
}
Je précise que dans ton cas particulier le DNS forwarding ne sert pas à grande chose à part d'avoir un cache local, géré par ton routeur. Tu peux bien évidement, désactiver le DNS forwarding et juste indiquer les serveurs DNS cloudflare au niveau des paramètres DHCP que je viens de mettre ci-dessus.
A+
Ta config n'était pas sensée être la version internet only sans décodeurNon, j’ai toujours posté des config Internet+Décodeur TV sans Livebox (donc sans téléphonie).
Merci beaucoup oui je souhaite activer le cache local sur mon routeur.
Où doit on implémenter cette partie du code ?
forwarding {
cache-size 1000
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.1.1/24
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
ubnt@EdgeRouter-Lite-3-Port# commit
[ system conntrack hash-size 4096 ]
Updated conntrack hash size. This change will take affect when the system is rebooted.
[ service nat rule 5001 outbound-interface eth1.832 ]
NAT configuration warning: interface eth1.832 does not exist on this system
[ interfaces ethernet eth1 address dhcp ]
Stopping DHCP client on eth1 ...
[ interfaces ethernet eth1 vif 832 address dhcp ]
Starting DHCP client on eth1.832 ...
[ protocols igmp-proxy ]
Error: must define an upsteam interface
Commit failed
c'est le cache size.Code: [Sélectionner]forwarding {
cache-size 1000
A+
Oui d'accord mais dans quelle itération doit on placer le forwarding ;)
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN & WLAN"
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 10 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 70 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth0
}
}
limit {
burst 1
rate 50/minute
}
log enable
protocol icmp
}
rule 100 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description "eth0 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 ISP_DATA"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:YY:YY:YY:YY:YY:YY;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:3c:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
global-option "option SIP code 120 = string;"
global-option "option V-I code 125 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description "eth1.840 ISP_TV_STREAM"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description "eth2 LIVEBOX VoIP"
dhcp-options {
default-route update
default-route-distance 210
name-server update
}
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth2.832 LIVEBOX_DATA"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
wan-interface eth1.832
}
protocols {
igmp-proxy {
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth2.832 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name MONDOMAINE
ntp-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
static-mapping LIVEBOX-TV {
ip-address 192.168.1.250
mac-address 18:62:ZZ:ZZ:ZZ:ZZ
static-mapping-parameters "option domain-name-servers 81.253.149.9,80.10.246.1;"
static-mapping-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:VV;"
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4d:53:52:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "XXX.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on eth0
listen-on lo
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
older-ciphers disable
}
nat {
rule 5010 {
description MASQ:WAN
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
acl {
rule 100 {
action deny
description IPSEC-NAT-T
external-port 4500
local-port 0-65535
subnet 0.0.0.0/0
}
rule 200 {
action allow
description ALLOW
external-port 1024-65535
local-port 0-65535
subnet 0.0.0.0/0
}
rule 9000 {
action deny
description DENY
external-port 0-65535
local-port 0-65535
subnet 0.0.0.0/0
}
}
listen-on eth0
listen-on eth2.832
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
domain-name MONDOMAINE
host-name erl
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name ""
level admin
}
}
name-server 9.9.9.9
name-server 1.1.1.1
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
pppoe disable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.11.5274249.200221.0849 */
concernant la version du firmware, je suis actuellement en 1.9.1, il me semble avoir lu un topic qui disait qu'il y avait des problèmes performances avec la version 2.X (je ne le retrouve plus bien sur...) qu'en est il ? il vaut mieux passer en 1.91.10 et pas au delà?
merci d'avance
cordialement
Bonjour,
Suite à la résiliation de votre option ou à votre déménagement du 4 novembre 2020, nous vous remercions de bien vouloir restituer les équipements mis à votre disposition par Orange avant le 04/12/2020.
A défaut, conformément aux conditions contractuelles de votre offre, les pénalités suivantes vous seront facturées :
• Boitier Fibre : 100 €
Le firmware 1.10.11 appartient déjà au passé puisqu'il ne recevra aucune mise à jour.
Maintenant, il n'a pas de vulnérabilités connues est est clairement plus stable que la version 2.0.9. Ceci dit, pour IPv4, la TV et le téléphone, 1.10.11 ou 2.0.9 c'est exactement la même configuration, seul le client dhcp patché change (si la CoS s'avère nécessaire, sinon celui intégré au firmware fait très bien l'affaire).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the Router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:YYYYYYYYYXXXXXXXXXXXXXXXZZ;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password ****************
user-id fti/nnnnnnn
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "TV Network"
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "Masquerading Livebox network"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
analytics-handler {
send-analytics-report false
}
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
crash-handler {
send-crash-report false
}
host-name EdgeRouter6p
login {
user ubnt {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name administrator
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
static-mapping-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:VV;"
YYYYYYYYYYY = 3 premiers bits MAC LB encodés hexa
XXXXXXXXXXX = S/N LB encodé hexa
VV = N°Version LB en hexa
Mais je suis en configuration PPPoE et je ne vois pas ou placer ce paramètre dans ma conf :-[Dans la conf du SERVEUR DHCP du routeur (puisque le routeur doit distribuer l’option 125 au décodeur).
Et, en passant, quand on fait du pppoe le patch de dhclient3 est absolument inutile.
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option Vendor-specific code 125 = string;"
dhcp-server {
disabled false
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
shared-network-name VLAN_TVIP_DHCP {
authoritative enable
subnet 192.168.68.0/24 {
default-router 192.168.68.1
dns-server 81.253.149.10
dns-server 80.10.246.3
lease 86400
ntp-server 192.168.68.1
start 192.168.68.100 {
stop 192.168.68.200
}
subnet-parameters "option Vendor-specific 00:00:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
}
}
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the Router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password ****************
user-id fti/xxxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "TV Network"
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 81.253.149.10
dns-server 80.10.246.3
lease 86400
ntp-server 192.168.1.1
start 192.168.1.2 {
stop 192.168.1.254
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:34:34:41:36:31:45:05:0f:41:4e:31:39:33:35:34:30:35:38:36:31:33:35:35:06:09:4c:69:76:65:62:6f:78:20:33;"
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "Masquerading Livebox network"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name administrator
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "Packets from Internet to LAN"
rule 1 {
action accept
description "Allow Established Sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid states"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "Packets from Internet to the Router"
rule 1 {
action accept
description "Allow established sessions to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description "Local Network"
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 835 {
address dhcp
description "VLAN Internet"
pppoe 0 {
default-route auto
description "FTTH Orange"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/nnnnnnn
password *******
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "TV Network"
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
global-parameters "option Vendor-specific code 125 = string;"
global-parameters "option rfc3118-auth code 90 = string;"
disabled false
hostfile-update disable
shared-network-name LOCAL_NETWORK {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.2 {
stop 192.168.1.254
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.10
dns-server 80.10.246.3
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:24:04:06:[...]:33;"
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "Masquerading Livebox network"
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
login {
user ubnt {
authentication {
plaintext-password "ubnt"
}
full-name "administrator"
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Franchement, ça fait bien 3 ans au moins qu'on a tous abandonné PPPoE et les VLAN 835/838 (et accessoirement tous les bridge dans la config qui ne sont plus nécessaires) en faveur de DHCP sur le VLAN832. Difficile de dire maintenant pourquoi ça ne fonctionne pas dans ta configuration.
(...) mais mes connaissances réseau sont relativement limitées.
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 0:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
Des avis ou retours sur EdgeRouter ER-4/ER-6P/ER-12/ER-12P: Firmware v2.0.9-hotfix.1 ?
Je me rappel qui ne fallait pas passer à la v2 pour des questions de binaires à recompiler et des soucis de perf
------ 1.10.11 ------- ---- 2.0.9-beta.5 ----
rx_cpus=1 rx_cpus=all rx_cpus=1 rx_cpus=all
========= =========== ========= ===========
/ Send 906 872 889 795
hostA Receive 919 778 905 714
\ Total 1825 1650 1794 1509
~$ show conntrack table ipv4 source 192.168.2.1
TCP state codes: SS - SYN SENT, SR - SYN RECEIVED, ES - ESTABLISHED,
FW - FIN WAIT, CW - CLOSE WAIT, LA - LAST ACK,
TW - TIME WAIT, CL - CLOSE, LI - LISTEN
CONN ID Source Destination Protocol TIMEOUT
418871552 192.168.2.1:38935 239.255.255.250:1900 udp [17] 3
en cours de communication avant la coupure:
~$ show conntrack table ipv4 source 192.168.2.1
TCP state codes: SS - SYN SENT, SR - SYN RECEIVED, ES - ESTABLISHED,
FW - FIN WAIT, CW - CLOSE WAIT, LA - LAST ACK,
TW - TIME WAIT, CL - CLOSE, LI - LISTEN
CONN ID Source Destination Protocol TIMEOUT
420179040 192.168.2.1:38935 239.255.255.250:1900 udp [17] 29
~$ show conntrack table ipv4 source 192.168.2.1
TCP state codes: SS - SYN SENT, SR - SYN RECEIVED, ES - ESTABLISHED,
FW - FIN WAIT, CW - CLOSE WAIT, LA - LAST ACK,
TW - TIME WAIT, CL - CLOSE, LI - LISTEN
CONN ID Source Destination Protocol TIMEOUT
420179040 192.168.2.1:38935 239.255.255.250:1900 udp [17] 5
~$ show conntrack table ipv4 source 192.168.2.1
TCP state codes: SS - SYN SENT, SR - SYN RECEIVED, ES - ESTABLISHED,
FW - FIN WAIT, CW - CLOSE WAIT, LA - LAST ACK,
TW - TIME WAIT, CL - CLOSE, LI - LISTEN
CONN ID Source Destination Protocol TIMEOUT
418888224 192.168.2.1:38935 239.255.255.250:1900 udp [17] 21
~$ show conntrack table ipv4 source 192.168.2.1
TCP state codes: SS - SYN SENT, SR - SYN RECEIVED, ES - ESTABLISHED,
FW - FIN WAIT, CW - CLOSE WAIT, LA - LAST ACK,
TW - TIME WAIT, CL - CLOSE, LI - LISTEN
CONN ID Source Destination Protocol TIMEOUT
424105088 192.168.2.1:38935 239.255.255.250:1900 udp [17] 10
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
Merci pour ta bonne suggestion, mais je n'ai rien changé à ma configuration depuis la suppression des bridges et au passage du décodeur TV sur Eth2. C'était il y a un bail et tout fonctionnait sans aucune défaillance (uptime > à l'année!)
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.1.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
}
et là shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 80.10.246.1
dns-server 81.253.149.13
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
}
}
dhcp-options {
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search, SIP, V-I;"
global-option "option SIP code 120 = string;"
global-option "option V-I code 125 = string;"
}
service {
dhcp-server {
global-parameters "option SIP code 120 = string;"
}
zoc@gateway:~$ uptime
17:39:07 up 464 days, 5:26, 1 user, load average: 0.10, 0.08, 0.10
*****admin@URT3P1-***:~$ uptime
18:07:56 up 468 days, 3:01, 1 user, load average: 0.06, 0.10, 0.13
déjà est ce que le ER4 est une bonne chose ?C'est un long sujet, ce qui m'inquiète c'est qu'il n'y a plus de grosse mise à jour depuis 2 ans ... Il y a un communiqué officiel qui traine au sujet de la gamme, mais je ne le retrouve plus...
y-a-t'il d'autres routeur de sorti qui font le job ?Oui, il y a en plein, j'ai vu pas mal de Mikrotik. Mais il y a aussi du pfsense/opnsense/openwrt.
c'est pas donné MAIS est ce que la stabilité est là ?Je suis un mauvais élève avec mon er-6p mais je suis seul responsable (reboot liés à des changements de config (par ex VPN) ou parfois des migrations de VLAN ratés...)... Sinon, je n'ai pas eu de panne depuis 1 ou 2 ans... Ca marche super !
ubnt@er-6p.home.loc's password:
Linux er-6p 4.9.79-UBNT #1 SMP Tue May 11 13:21:10 UTC 2021 mips64
Welcome to EdgeOS
Last login: Wed Mar 23 16:31:10 2022 from 192.168.40.100
ubnt@er-6p:~$ uptime
19:46:27 up 67 days, 59 min, 1 user, load average: 0.04, 0.12, 0.09
ubnt@er-6p:~$
C'est un long sujet, ce qui m'inquiète c'est qu'il n'y a plus de grosse mise à jour depuis 2 ans ... Il y a un communiqué officiel qui traine au sujet de la gamme, mais je ne le retrouve plus...
Dans un effort de maintenir une transparence totale avec vous et l'ensemble de la communauté Ubiquiti, nous souhaitons réaffirmer officiellement notre engagement continu envers EdgeMAX. Actuellement, nous travaillons sur plusieurs améliorations de sécurité clés spécifiques aux produits EdgeMAX, et nous nous attendons à ce qu'elles soient publiées dans les semaines à venir.
Nous sommes conscients de la préoccupation collective que les produits EdgeMAX seront remplacés par UISP, et nous voulons vous assurer que ce n'est pas le cas. Le matériel UISP a été conçu dans le but d'avoir une intégration transparente avec nos produits WISP (FAI sans fils) de nouvelle génération, ainsi qu'avec notre application UISP et notre application mobile UISP. EdgeOS continuera à servir de gamme supplémentaire pour les réseaux nécessitant des fonctionnalités de routage avancées.
Nous espérons que cela clarifie notre orientation. Merci encore d'être un utilisateur EdgeMAX, nous sommes impatients de continuer le support !
Sincèrement,
L'équipe UI
source : https://community.ui.com/questions/EdgeMAX-Status-Update/c78dd5ce-06a4-4c89-a704-b49f49df6667 (https://community.ui.com/questions/EdgeMAX-Status-Update/c78dd5ce-06a4-4c89-a704-b49f49df6667)
Son problème survient quand il n’utilise pas de Livebox….
Orange s’en fout.Je n'en suis pas si sûr. Pourquoi Orange n'applique pas les standards de l'industrie documentés dans les RFC, par exemple pour la téléphonie avec SIP ? Ou l'option 90 de la RFC 3118 qui permet de s'authentifier ? Mais ce n'est pas le sujet de ce forum.
Merci à tous pour vos réponses.
bon c'est pas gagné quand même.
si je trouve ER4, il faudrait qu'il soit en 1.10.X.
je vais regarder du coté des autres possibilités.
... Je vais avoir du mal à faire passer inaperçu un MikroTik Cloud Core Router CCR2004 à la maison, je crains que cela dépasse la WAF de mon épouse!
Et en plus vu qu'il a un switch 16 ports intégrés il peut même permettre de virer un switch existant.
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send rfc3118-auth XXXXCHAINE_LONGUEXXXXX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier 01:XX:XX:XX:XX:XX:XX;"
default-route update
default-route-distance 50
global-option "option rfc3118-auth code 90 = string;"
iface eth2.832 {
pd
rapid-commit 0
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex XXXXCHAINE_LONGUEXXXXX
option 1 hex 00:03:00:01:XX:XX:XX:XX:XX:XX
option dns-server
}
ethernet eth1 {
description eth1
duplex auto
speed auto
vif 832 {
address dhcp
description DATA_WAN
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-auth <CHAINE ISSUE DU JSFIDDLE>;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier <MAC>;"
default-route update
default-route-distance 50
global-option "option rfc3118-auth code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
}
Je n'ai jamais configuré l'IPV6 sur mon installation, est ce que vous pensez que le fait de ne pas avoir configuré les 2 me fait tomber dans les nouvelles regles de parcage et provoque la perte de connection?
Est qu'il y a un tutoriel IPV6 a jour quelque part?
Code: [Sélectionner]ethernet eth1 {
description eth1
...
client-option "send dhcp-client-identifier <MAC>;"
...
}
}
Bonjour,
J'ai toujours des déconnexions toutes les 23 h 24 h . Mais je ne suis pas parqué en ip privée
Ont sur eth01
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether b4:fb:e4:2e:d0:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::b6fb:e4ff:fe2e:d0c8/64 scope link
valid_lft forever preferred_lft forever
Voici ma config ipV4
ethernet eth1 {
address dhcp
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send rfc3118-auth <Chaine jsfindle>;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send dhcp-client-identifier 01:b4:fb:e4:2e:d0:c8;"
default-route update
default-route-distance 50
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
Je précise que la mac b4:fb:e4:2e:d0:c8 n'est pas celle de ma livebox.
Est ce que le pb vient de la mac ?
Ou alors eth1 a une mac inet6, ce qui veut dire que l'ipv6 n'est pas désaclivée ?
Merci d'avance pour vos lumières
vbash-4.1# dpkg -i ./dibbler.deb
Selecting previously unselected package dibbler-client.
(Reading database ... 37063 files and directories currently installed.)
Preparing to unpack ./dibbler (2).deb ...
Unpacking dibbler-client (1.0.1-1~bpo80+1) ...
Setting up dibbler-client (1.0.1-1~bpo80+1) ...
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 76.)
debconf: falling back to frontend: Readline
dibbler-client: DHCPv6 client
-----------------------------
The Dibbler client can be configured to be launched when the system is started. If you choose this option, this
host will have a correct IPv6 setup after booting. Please ensure that a DHCPv6 server is available on the
network.
Should the Dibbler client be launched when the system starts? [yes/no] yes
Dibbler can configure any or all of a computer's network interfaces.
More than one interface may be specified by separating the interface names with spaces.
Interfaces to be configured:
The Dibbler client can request that the DHCPv6 server supplies additional configuration parameters.
1. dns 2. domain 3. none of the above
(Enter the items you want to select, separated by spaces.)
Additional parameters to obtain:
Generating /etc/dibbler/client.conf-dpkg-new...
Failed to start dibbler-client.service: Unit dibbler-client.service not found.
invoke-rc.d: initscript dibbler-client, action "start" failed.
Unit dibbler-client.service could not be found.
dpkg: error processing package dibbler-client (--install):
subprocess installed post-installation script returned error exit status 5
Processing triggers for systemd (232-25+deb9u12) ...
Errors were encountered while processing:
dibbler-client
Bon bah ca ne fonctionne pas chez moi, je n'avais plus d'internet ce matin.
J'ai tenté d'installer l'ipv6 en telechargeant le paquet dibbler.deb venant de cette page https://lafibre.info/remplacer-livebox/tuto-remplacer-sa-livebox-par-routeur-ubiquiti-livebox-partie-2-ipv6/msg545031/#msg545031
Lors de l'install il y a une erreur:Code: [Sélectionner]vbash-4.1# dpkg -i ./dibbler.deb
Selecting previously unselected package dibbler-client.
(Reading database ... 37063 files and directories currently installed.)
Preparing to unpack ./dibbler (2).deb ...
Unpacking dibbler-client (1.0.1-1~bpo80+1) ...
Setting up dibbler-client (1.0.1-1~bpo80+1) ...
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 76.)
debconf: falling back to frontend: Readline
dibbler-client: DHCPv6 client
-----------------------------
The Dibbler client can be configured to be launched when the system is started. If you choose this option, this
host will have a correct IPv6 setup after booting. Please ensure that a DHCPv6 server is available on the
network.
Should the Dibbler client be launched when the system starts? [yes/no] yes
Dibbler can configure any or all of a computer's network interfaces.
More than one interface may be specified by separating the interface names with spaces.
Interfaces to be configured:
The Dibbler client can request that the DHCPv6 server supplies additional configuration parameters.
1. dns 2. domain 3. none of the above
(Enter the items you want to select, separated by spaces.)
Additional parameters to obtain:
Generating /etc/dibbler/client.conf-dpkg-new...
Failed to start dibbler-client.service: Unit dibbler-client.service not found.
invoke-rc.d: initscript dibbler-client, action "start" failed.
Unit dibbler-client.service could not be found.
dpkg: error processing package dibbler-client (--install):
subprocess installed post-installation script returned error exit status 5
Processing triggers for systemd (232-25+deb9u12) ...
Errors were encountered while processing:
dibbler-client
Derriere impossible de lancer dibbler forcement.
@oliv38100 comment as tu fais?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth ma;longue;cle;que;je;censure;evidemment"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description "mes rules dont on se fout"
forward-to {
address 192.168.1.3
}
original-port 1194
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping steamlink-6165 {
ip-address 192.168.1.105
mac-address e0:31:9e:4c:0d:be
}
}
}
shared-network-name LAN_ETH2_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
static-mapping Livebox {
ip-address 192.168.2.201
mac-address XX:XX:XX:XX:XX:XX
}
static-mapping ORANGE-TV {
ip-address 192.168.2.202
mac-address XX:XX:XX:XX:XX:XX
static-mapping-parameters "option domain-name-servers 80.10.246.3,81.253.149.10;"
static-mapping-parameters "option Vendor-specific longue:cle:encore:censuree;"
}
subnet-parameters "option Vendor-specific bla:bla:bla;"
subnet-parameters "option rfc3118-auth longue:cle:encore:censuree;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1.832 {
service custom-OVH {
host-name xxxx
login xxxx
password xxxx
protocol dyndns2
server xxxx
}
}
}
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password XXXXXXXXXXXX
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098915.180622.1355 */
Il semblerait que les requêtes NAK du serveur DHCP de orange ne sont pas authentifiées, ce que qui fait que certains client (comme dhcpcd) ignore ce NAK.
Du coup avec ma config, je perdais la connectivité au bout de ~24h. J'ai du ajouter noauthrequired, et maintenant ça a l'air de bien tenir. Si ça peut servir à d'autres...
firewall {
all-ping enable
broadcast-ping disable
group {
network-group LAN_Networks {
description ""
network 192.168.0.0/24
network 192.168.1.0/24
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action drop
description "Drop everything new"
destination {
}
log disable
protocol all
source {
}
state {
established disable
invalid disable
new enable
related disable
}
}
rule 20 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 40 {
action accept
description ike
destination {
port 500
}
log disable
protocol udp
}
rule 50 {
action accept
description esp
log disable
protocol esp
}
rule 60 {
action accept
description nat-t
destination {
port 4500
}
log disable
protocol udp
}
rule 70 {
action accept
description l2tp
destination {
port 1701
}
ipsec {
match-ipsec
}
log disable
protocol udp
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
address dhcp
description WAN
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 Internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search;"
client-option "send rfc3118-auth xxxCHAINELONGUExxx;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:<<MAC_Livebox>>;"
default-route update
default-route-distance 50
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth2 {
address 192.168.0.1/24
description LAN2
duplex auto
speed auto
}
loopback lo {
}
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox5";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send dhcp-client-identifier 01:XX:XX:XX:XX:XX:XX;"
client-option "send rfc3118-auth YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY; »
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
global-option "option vendor-class-identifier code 60 = string;"
global-option "option client-identifier code 61 = string;"
global-option "option user-class code 77 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
interfaces {
ethernet eth0 {
address 192.168.11.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox5";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send dhcp-client-identifier 01:<<mac eth1>>;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:<<chaine longue>>;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
global-option "option vendor-class-identifier code 60 = string;"
global-option "option client-identifier code 61 = string;"
global-option "option user-class code 77 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth2 {
address 192.168.10.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
Voilà la dernière config :
configure
set interfaces ethernet eth0 vif 832 address dhcp
set interfaces ethernet eth0 vif 832 description "eth0.832 Internet"
set interfaces ethernet eth0 vif 832 firewall in name WAN_IN
set interfaces ethernet eth0 vif 832 firewall local name WAN_LOCAL
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
#Info/config perso
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
#Info/config perso
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send dhcp-client-identifier 01:48:83:XX:XX:XX:XX;"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search;" #, SIP, V-I are not supported
set interfaces ethernet eth0 vif 832 dhcp-options default-route update
set interfaces ethernet eth0 vif 832 dhcp-options default-route-distance 210
set interfaces ethernet eth0 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
#Info/config perso
set interfaces ethernet eth0 vif 832 mac 48:83:XX:XX:XX:XX
commit;save
POur IPv6 # /etc/dhclient6_eth0_832.conf #
##################################################
# Réaliser à partir d'un dump de la LB #
##################################################
option dhcp6.auth code 11 = string;
option dhcp6.vendorclass code 16 = string;
option dhcp6.userclass code 15 = string;
#Replace eth0 with your external interface (VLAN must be 832 for Orange)
interface "eth0.832" {
#Orange France specific options
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34;
send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;
#Authentication to Orange France DHCP server (meme valeur pour ipv4)
#Infos/config perso
send dhcp6.auth xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
#Replace xx:xx:xx:xx:xx:xx with the MAC address of your external interface
#Infos/config perso
send dhcp6.client-id 00:03:00:01:48:83:XX:XX:XX:XX;
request dhcp6.auth, dhcp6.vendor-opts, dhcp6.name-servers, dhcp6.domain-search;
}
##################################################
# /etc/dhcp3/dhclient-exit-hooks.d/dhclient6 #
##################################################
# faire un chmod 755 #
##################################################
#!/bin/bash
leasefile='/var/run/dhclient6_eth0_832.leases'
EXT_IFACE='eth0.832' #une seule interface autorisée
INT_IFACE=('eth5.40') #Plusieurs interfaces autorisées ex : INT_IFACE=('eth0' 'eth0.10')
INT_PREFIX=('01') #Plusieurs prefixes autorisés (chaque interface doit avoir un préfixe) ex : INT_PREFIX=('01' '02')
#Les logs sont consultables avec journalctl -t dhclient6
#Il faut configurer autoconf sur $INT_IFACE pour recevoir le prefix uniquement
#Il faut parfois attendre 20 minutes pour recevoir route par défaut+préfix de chez Orange
#Rendre ce fichier executable
ipv6_ifsetup(){
#Suppression des anciennes adresses/routes pour les interfaces internes/externes
#Recréation des adresses/routes internes
systemctl stop radvd >/dev/null 2>&1
for if in ${!INT_IFACE[@]} ; do
IFACE=${INT_IFACE[$if]}
IPREFIX=${INT_PREFIX[$if]}
iface_prefix=`echo $current_pdnet | cut -d: -f1-3`
iface_prefix+=:`echo $current_pdnet | awk -F':' '{print "000"$4}' | rev | cut -c3-4 | rev`
iface_prefix+=$IPREFIX
iface_prefix+="::/64"
#Suppression des adresses internes
ifip=($(ip -6 a s dev $IFACE scope global| grep inet6 | awk -F' ' '{print $2}'))
for i in ${!ifip[@]} ;do
iface_ip=${ifip[$i]}
ip -6 a d "$iface_ip" dev $IFACE
echo "Delete ipv6 address : $iface_ip on interface $IFACE" | systemd-cat -p info -t dhclient6
done
#Suppression des routes internes
ifrt=($(ip -6 r s dev $IFACE | grep -v -e "default via" -e "fe80::/64" | awk -F' ' '{print $1}'))
for i in ${!ifrt[@]} ;do
iface_rt=${ifrt[$i]}
ip -6 r d "$iface_ip" dev $IFACE
echo "Delete ipv6 route : $iface_ip on interface $IFACE" | systemd-cat -p info -t dhclient6
done
iface_ip=`echo $iface_prefix |sed 's|::/64|::1/64|g'`
echo "Create ipv6 address : $iface_ip on interface $IFACE" | systemd-cat -p info -t dhclient6
ip -6 a a "$iface_ip" dev $IFACE scope global
if [ "$(ip -6 r s $iface_prefix dev $IFACE)" = "" ] ; then
echo "Check ipv6 route failed : create route $iface_prefix on interface $IFACE" | systemd-cat -p info -t dhclient6
ip -6 r a "$iface_prefix" dev $IFACE proto kernel
fi
done
extifip=($(ip -6 a s dev $EXT_IFACE scope global| grep inet6 | awk -F' ' '{print $2}'))
for i in ${!extifip[@]} ; do
ip -6 a d "${extifip[$i]}" dev $IFACE
echo "Delete ipv6 address : ${extifip[$i]} on interface $EXT_IFACE" | systemd-cat -p info -t dhclient6
done
extifrt=($(ip -6 r s dev $EXT_IFACE | grep -v -e "default via" -e "fe80::/64" | awk -F' ' '{print $1}'))
for i in ${!extifrt[@]} ; do
ip -6 r d "${extifrt[$i]}" dev $IFACE
echo "Delete ipv6 address : ${extifrt[$i]} on interface $EXT_IFACE" | systemd-cat -p info -t dhclient6
done
systemctl restart radvd >/dev/null 2>&1
}
ipv6_radvd_reconf(){
#Suppression du fichier /etc/radvd.conf
echo > /etc/radvd.conf
for if in ${!INT_IFACE[@]}
do
IFACE=${INT_IFACE[$if]}
IPREFIX=${INT_PREFIX[$if]}
iface_prefix=`echo $current_pdnet | cut -d: -f1-3`
iface_prefix+=:`echo $current_pdnet | awk -F':' '{print "000"$4}' | rev | cut -c3-4 | rev`
iface_prefix+=$IPREFIX
iface_prefix+="::/64"
echo "# Generated automatically by dhclient6-script exit-hook on `date`" >> /etc/radvd.conf
echo "interface $IFACE {" >> /etc/radvd.conf
echo " IgnoreIfMissing on;" >> /etc/radvd.conf
echo " AdvCurHopLimit 64;" >> /etc/radvd.conf
echo " AdvLinkMTU 0;" >> /etc/radvd.conf
echo " AdvSendAdvert on;" >> /etc/radvd.conf
echo " MaxRtrAdvInterval 600;" >> /etc/radvd.conf
echo " AdvDefaultPreference medium;" >> /etc/radvd.conf
echo " AdvOtherConfigFlag off;" >> /etc/radvd.conf
echo " AdvReachableTime 0;" >> /etc/radvd.conf
echo " AdvDefaultLifetime 1800;" >> /etc/radvd.conf
echo " MinRtrAdvInterval 198;" >> /etc/radvd.conf
echo " AdvRetransTimer 0;" >> /etc/radvd.conf
echo " AdvManagedFlag off;" >> /etc/radvd.conf
echo " prefix $iface_prefix {" >> /etc/radvd.conf
echo " AdvPreferredLifetime 604800;" >> /etc/radvd.conf
echo " AdvOnLink on;" >> /etc/radvd.conf
echo " AdvValidLifetime 2592000;" >> /etc/radvd.conf
echo " AdvAutonomous on;" >> /etc/radvd.conf
echo " };" >> /etc/radvd.conf
echo "};" >> /etc/radvd.conf
echo " " >> /etc/radvd.conf
done
}
ipv6_checkdefaultroute() {
#Contrôle de la route par défaut et ajout ou modification (ne pas créer via set protocols)
default_iface=`ip -6 route | grep fe80::ba0:bab | awk -F ' ' '{print $5}'`
echo "Current default ipv6 route interface :" $default_iface | systemd-cat -p info -t dhclient6
if [ "$default_iface" != "$EXT_IFACE" ] ; then
if [ "$default_iface" = "" ] ; then
ip -6 route add default via fe80::ba0:bab proto kernel dev $EXT_IFACE
echo "Default ipv6 route is missing --> Add a new one" | systemd-cat -p warning -t dhclient6
else
ip -6 route change default via fe80::ba0:bab proto kernel dev $EXT_IFACE
echo "Default ipv6 route incorrectly set to $default_iface --> Remapping to $EXT_IFACE" | systemd-cat -p warning -t dhclient6
fi
fi
}
echo "Starting dhclient-ipv6 for $reason at `date`" | systemd-cat -p info -t dhclient6
current_pd=`cat $leasefile | grep prefix | awk -F ' ' '{print $2}'`
current_pdnet=`echo $current_pd | rev | cut -c6- | rev`
current_basenet=`echo $current_pdnet | cut -d: -f1-3`:`echo $current_pdnet | awk -F':' '{print "000"$4}' | rev | cut -c3-4 | rev`
ipv6_checkdefaultroute
case "$reason" in
BOUND6|REBIND6)
if [ ! -z "$new_ip6_prefix" ] ; then
echo "Received prefix : " $new_ip6_prefix | systemd-cat -p info -t dhclient6
ipv6_radvd_reconf
ipv6_ifsetup
fi
;;
REBOOT|PREINIT6)
if [ "$current_pd" != "" ] ; then
echo "IPv6 lease seems OK. Current prefix is $current_pd -> Start ipv6 config" | systemd-cat -p info -t dhclient6
ipv6_ifsetup
fi
;;
esac
##################################################
# /etc/systemd/system/dhclient6.service #
##################################################
[Unit]
Description=dhclient for sending DUID IPv6
After=network.target auditd.service vyatta-router.service netplug.service
[Service]
Type=forking
ExecStart=/sbin/dhclient -6 -P -nw -v -cf /etc/dhclient6_eth0_832.conf -pf /var/run/dhclient6_eth0_832.pid -lf /var/run/dhclient6_eth0_832.leases eth0.832
NonBlocking=yes
Restart=always
RestartSec=60
[Install]
WantedBy=multi-user.target
Hello,Bonjour,
Voilà la dernière config :Code: [Sélectionner]interfaces {
ethernet eth0 {
address 192.168.11.1/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox5";"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send dhcp-client-identifier 01:<<mac eth1>>;"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:<<chaine longue>>;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
global-option "option vendor-class-identifier code 60 = string;"
global-option "option client-identifier code 61 = string;"
global-option "option user-class code 77 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
ethernet eth2 {
address 192.168.10.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
show interfaces ethernet eth1 vif 832 ?
L'option log n'est disponible que sur l'interface pppoe show interfaces pppoe pppoe0 log | match time
interfaces {
ethernet eth0 {
address dhcp
description Internet
duplex auto
speed auto
mac xx:xx:xx:xx:xx:xx (mac de la livebox même si a priori pas utile ici)
speed auto
vif 832 {
address dhcp
description eth0.832
dhcp-options {
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox5";"
client-option "send dhcp-client-identifier 01:xx:xx:xx:xx:xx:xx;" (Mac de la livebox, ou une autre, mais à ne pas changer si non nécessaire)
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx....;" (clé sniffé depuis le wan de la livebox avec Wireshark au bout d'une dizaine de minute, ne semble pas toujours fonctionner avec le générateur ; il fallait repéré...)
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
}
J'ai remarqué qu'avec rfc3118-authentication et rfc3118-auth ça changeait pas grand chose visiblement.C’est juste un nom qu’on donne à l’option 90 pour que ce soit lisible dans la conf. Tu peux l’appeler Toto ça marchera aussi.
Moi j'ai fini par m'en sortir avec la configuration suivante (je rappelle que j'ai un ERX v 1.0.11 avec un dhclient3 modifié pour tenir compte de la COS6) :Code: [Sélectionner]interfaces {
ethernet eth0 {
address dhcp
description Internet
duplex auto
speed auto
mac xx:xx:xx:xx:xx:xx (mac de la livebox même si a priori pas utile ici)
speed auto
vif 832 {
address dhcp
description eth0.832
dhcp-options {
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox5";"
client-option "send dhcp-client-identifier 01:xx:xx:xx:xx:xx:xx;" (Mac de la livebox, ou une autre, mais à ne pas changer si non nécessaire)
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx....;" (clé sniffé depuis le wan de la livebox avec Wireshark au bout d'une dizaine de minute, ne semble pas toujours fonctionner avec le générateur ; il fallait repéré...)
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
}
Pour moi, ça tourne depuis 6 jours !
Mon problème venait de l'authentification (alors que j'utilisais le générateur). Pour m'en sortir, j'ai sniffé avec Wireshark le port WAN de la livebox pendant une dizaine de minutes environ, et j'ai récup la clé hashé par la livebox.
Plus précisément, certains"DHCP Discover" (pas tous), contenant dans la partie DHCP l'option 90 (Authentication). On repère ainsi dans le volet de droite du hexa avec 11 "00" qui est le début de la clé à renseigner. ça fini par FF, ça doit être les caractères de coupure, j'ai arrêté avant la chaîne FF qui est la dernière de l'option 90 (authentication). Au total ça fait 70 xx.
Je compte tester en IPV6 prochainement, et bientôt à nouveau en V2.0.9 pour voir si ça fonctionne bien. Là je fais une pause car j'ai fait une overdose de soirée geekage !
J'ai remarqué qu'avec rfc3118-authentication et rfc3118-auth ça changeait pas grand chose visiblement.
Merci de ton retour, je vais regarder comment on sniffe ça avec wireshark ...Exactement !
J'imagine : brancher un ordi avec wireshark qui tourne sur le port WAN et démarrer la LB ?
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "eth0.832 Orange internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "send dhcp-client-identifier 01:yy:yy:yy:yy:yy:yy;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
}
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description Local
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 1.1.1.1
dns-server 1.0.0.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface eth0.832
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
analytics-handler {
send-analytics-report false
}
crash-handler {
send-crash-report false
}
host-name EdgeRouter-X-5-Port
ipv6 {
}
login {
user aaa {
authentication {
encrypted-password bbb
}
level admin
}
}
name-server 1.1.1.1
name-server 1.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat enable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.6.5574651.221230.1015 */
J'ai re-sniffé ma LB pour vérifier les paramètres et ils sont correctes, j'ai un peu de mal à savoir ou chercher :-\Voici un dhclient patché pour la version 2.0.8 hotfix 1 (compilé pour un EdgeRouter 6P et compatible avec les dernières versions d'EdgeOS d'après les derniers posts que j'ai lu) :
Voici un dhclient patché pour la version 2.0.8 hotfix 1 (compilé pour un EdgeRouter 6P)T'es sur que c'est le même CPU qu'un ER-X ?
T'es sur que c'est le même CPU qu'un ER-X ?Je viens de re-vérifier, effectivement c'est un MIPS1004K, ça ne risque pas de fonctionner ... J'ai du prendre la mauvaise DataSheet...
- J'ai un EDGEROUTEUR PRO firmware 2.0.9 fix 2 je reste avec ce firmware ou il faut le remplacer ?- Pas besoin de changer de firmware
- Est ce qu'il y a un nouveau fichier DHCLIENT ?
- Je n'utilisais plus ma livebox depuis longtemps (j'avais internet + TV full) avec mon EDGEROUTEUR c'est toujours d'actualité ou il faut remettre la LIVEBOX pour avoir la TV
- Je passe par un ONT, c'est encore fonctionnel ou il me faut un module SFP pour mon EDGEROUTEUR ?
Pas besoin d'IPv6.Salut zoc,
Très prochainement va commencer le déploiement d'un changement dans le réseau Orange.
...
- contrôle de la cohérence entre les demandes entre DHCPv4 et DHCPv6 => il faut donc bien mettre une trame valide en DHCPv4 mais aussi en DHCPv6
...
Il est à noter que en cas de non respect de la cohérence (soit entre les deux protocoles, soit au sein d'un même protocole) la ligne sera déconnectée.
La ligne => les 2 stacks v4 et v6
Les modes supportés :
IPv4 Only est supporté
le résultat ne correspond pas a l'option 90 généré avec le soft "orange générateur option 90" trouvé sur le forum.Il y a une partie de l'option 90 qui est aléatoire (ce qu'on appelle un sel), qui sert hasher le mot de passe afin qu'il ne puisse pas être retrouvé. Si tu utilises Livebox info demain, le résultat sera différent de celui que tu as vu aujourd'hui, car la livebox change cette partie aléatoire à chaque renouvellement du bail DHCP.
J'integre c'est info ou ?Nulle part. Tout est à supprimer.
protocols {
igmp-proxy {
interface eth0.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
les numéros de ports à ajuster pour ton cas.zoc, je crois que tu as aussi un VLAN pour connecter les decodeurs ?Oui, enfin depuis un certain temps je n'utilise plus mes décodeurs, je suis passé à myCanal en OTT sur 2 Apple TV.
c'est le lien que j'avais donc on est bon sur ce côté làOui, tu peux.
faut il laisser les paramètre par défault pour ? :
voici ce que j'ai dans mon fichier de conf
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth0.832 {
role disabled
threshold 1
}
interface eth0.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth4 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
J'ai supprimer le vlan 838 ainsi que le fichier rfc3442-classless-routes de ma config comme conseillé par ZOC.Du coup tu as encore des bridges ou pas ?
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN1 {
................................
................................
}
shared-network-name VLAN_TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:62:72:65;"
}
}
En tête de déclaration les globales dhcp-server :cat /var/run/dhclient_eth0_832.leases
altnet 80.0.0.0/8
altnet 81.0.0.0/8
altnet 172.0.0.0/8
altnet 193.0.0.0/8
$ ip -6 neigh show dev eth1.832
fe80::ba0:bab router FAILED
J'ai flushé et tout et ça revient pareil.cat /var/run/dhclient6_eth1_832.leases
starts 1687760621;
renew 84672;
rebind 483840;
iaprefix 2a01:cb10:xxxx:xx00::/56 {
starts 1687760621;
preferred-life 604800;
max-life 604800;
essayer de voir si l'arrêt de la co IPv6 correspond à quelque chose.option dhcp6.vendor-specific-info 0:0:5:58:0:1:0:c:0:1:0:0:0:0:0:0:0:0;
option dhcp6.client-id 0:3:0:1:a4:ce:xx:xx:xx:xx;
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:37:61:66:37:77:72:6b:3c:12:75:35:65:34:35:7a:75:2a:27:30:75:4d:6d:5e:32:43:03:13:44:cd:c3:15:72:ba:18:46:ad:6e:c2:01:cc:da:95:87:08;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
ip {
enable-proxy-arp
}
mtu 1500
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth2
rule 1 {
description PLEX
forward-to {
address 192.168.10.2
port 32400
}
original-port 32400
protocol tcp
}
rule 2 {
description gitlab-SSH
forward-to {
address 192.168.10.2
port 2222
}
original-port 2222
protocol tcp_udp
}
rule 3 {
description Wireguard
forward-to {
address 192.168.10.2
port 51820
}
original-port 51820
protocol udp
}
wan-interface eth1.832
}
protocols {
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.204
domain-name Appart2ouf
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping HarmonyHub {
ip-address 192.168.10.28
mac-address c8:db:26:0c:ef:89
}
static-mapping Iphone11 {
ip-address 192.168.10.54
mac-address 96:e1:f5:49:be:dc
}
static-mapping Remora {
ip-address 192.168.10.9
mac-address 5c:cf:7f:00:d9:1f
}
static-mapping iPhonedeOksana {
ip-address 192.168.10.55
mac-address 26:91:a8:38:6c:49
}
static-mapping jeedom {
ip-address 192.168.10.3
mac-address 70:f1:1c:15:d1:9c
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface eth1 {
service dyndns {
host-name www.appart2ouf.fr
login appart2ouf.fr-ddclient
password ****************
protocol dyndns2
server www.ovh.com
}
web dyndns
}
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 1 {
description HTTP
destination {
address 192.168.10.2
port 80
}
inbound-interface eth1
inside-address {
port 80
}
log disable
protocol tcp
type destination
}
rule 2 {
description HTTPS
destination {
}
inbound-interface eth2
inside-address {
address 192.168.10.2
port 443
}
log disable
protocol tcp
source {
group {
address-group ADDRv4_eth1
}
}
type destination
}
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name FD-HOME
host-name ubnt
login {
user nico {
authentication {
encrypted-password ****************
plaintext-password ****************
}
level operator
}
user root {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name ""
level admin
}
user ubnt {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name ""
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat enable
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ****************
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ****************
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
Plus exactement :
-virer le VLAN 838 : devenu inutile (ancienne archi)
-revérifier l'option 90 (chaine longue à l'aide du générateur de kgersen : https://jsfiddle.net/kgersen/3mnsc6wy/)
-sans doute ce qu'il te manque : option 61 (IPv4 client Identifier) et option 1 (IPv6) Bien vérifier la cohérence entre ceux ci et l'@MAC de vif 832, ils doivent être identiques.
Tu peux mettre n'importe laquelle, mais évite d'en changer à la volée.
Le post de levieuxatorange où tout est expliqué en détail : https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140
Résultats extraits avec tkPyDLB version 0.19d le 11/07/2023 à 19:55:07
WAN Status
LinkType : ethernet
LinkState : up
MACAddress : B8:26:6C:XX:XX:XX
Protocol : dhcp
ConnectionState : Bound
LastConnectionError : None
IPAddress : 86.195.xxx.xxx
RemoteGateway : 86.195.96.1
DNSServers
DNS 1 : 81.253.149.6
DNS 2 : 80.10.246.136
IPv6Address : 2a01:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
IPv6DelegatedPrefix : 2a01:cb00:1280:bc00::/56
VLAN ID : 832
MTU : 1500
WAN DHCP infos
SubnetMask : 255.255.248.0
DHCPServer : 80.10.255.25
LeaseTime : 604800
LeaseTimeRemaining : 559828
DHCP_Uptime : 478801
WAN_Uptime (jhms) : 5j 13h 0mn 1s
DSCPMark : 48
PriorityMark : 6
CheckAuthentication : True
AuthenticationInformation : dhcpliveboxfr250
ResetOnPhysDownTimeout : 20
RetransmissionStrategy : 4000 8000 16000 32000 64000 128000 -1 0
RetransmissionRenewTimeout : -1
SentOption : 60,61,77,90
ReqOption : 1,3,6,15,28,51,58,59,90,119,120,125
Infos du compte WAN
Nom : fti/xxxxxxxx
Password : Non trouvé
#!/bin/vbash
run=/opt/vyatta/bin/vyatta-op-cmd-wrapper
NEW_IP=`/sbin/ifconfig eth1.832 | grep -Eo 'inet ([0-9]*\.){3}[0-9]*' | grep -Eo '([0-9]*\.){3}[0-9]*' | grep -v '127.0.0.1'`
if [ -z "$NEW_IP" ]; then
logger -t watchdog -p err "Interface eth1.832 down"
exit 0
fi
# The list of hosts to ping
PING_HOSTS="www.orange.fr www.google.com"
# Reading the default gateway
read _ _ GATEWAY _ < <(/sbin/ip -4 route list match 0/0)
# Pinging hosts, stopping at the first answer
for HOST in $PING_HOSTS; do
logger -t watchdog -p info "Pinging $HOST"
/bin/ping -c4 $HOST > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p warn "Failed pinging $HOST"
else
exit 0
fi
done
# If we are here, then nothing is pinging. Try
# the default gateway
/bin/ping -c4 $GATEWAY > /dev/null 2>&1
if [ $? -ne 0 ]; then
logger -t watchdog -p err "Internet connection is broken"
$run renew dhcp interface eth1.832
fi
Il faisait un renew lorsqu'on arrivait pas a pinger google ou orange...
Est-ce que quelqu'un en a un qui fonctionne ?
Le release + DORA SSARR c’est pas seulement pour l’IPv6?