Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1540165 fois)

stefauresi · « **Réponse #1308 le:** 31 mai 2015 à 20:29:56 »

                start 192.168.2.21 {
                    stop 192.168.2.200

la livebox peut attribuer de 192.168.2.21 à 192.168.2.200 = 179 adresse .... c'est pas suffisant ?

le fait que la livebox soit sur un autre réseau permet d’éviter d'avoir le trafic vlan 838-840-851 sur le réseau local et toutes les perturbations liées

lowfab · « **Réponse #1309 le:** 31 mai 2015 à 21:01:26 »

Merci de ta réponse ...

Ok mais comment peut-elle attribuer une adresse et donner accès à internet alors qu'elle est en 192.168.2.21 et que default-router et un dns-server sont en 192.168.2.1 sur son LAN ?

Pourquoi ne pas mettre la livebox en 192.168.2.1 ? Il y a une raison pour réserver la plage 192.168.2.1 à 192.168.2.20 ?

De quel ordre les perturbations ?

stefauresi · « **Réponse #1310 le:** 31 mai 2015 à 22:27:54 »

la livebox a les dns suivants

Code: [Sélectionner]

        dns-servers {
            server-1 80.10.246.2
            server-2 80.10.246.129

pour les perturbations , freeze TV , bug téléphonie

tu peux mettre la livebox en 192.168.2.1 et mettre le dhcp sur 192.168.2.1 à 192.168.2.255

j'ai seulement repris le tuto de base sans modifier cette partie

lepoulpe · « **Réponse #1311 le:** 31 mai 2015 à 22:45:06 »

Hello,

En fait le DHCP sur l'interface LAN2 de l'ERL n'est pas utilisé par la box. D'ailleurs j'ai aucun lease sur cette interface, je pense que je vais le supprimer.

La LB obtient son IP et ses serveurs DNS du serveur PPPoE lors de la connexion. Pour les machines qui sont derrière, c'est le serveur DHCP de la livebox qui attribue les IP et tout le trafic sortant est natté dans connexion PPPoE. Pas possible donc d'avoir les machines connectées à l'ERL et celles derrière la livebox sur le même réseau.

stefauresi · « **Réponse #1312 le:** 31 mai 2015 à 22:51:01 »

bon a savoir , car perso je n'utilise pas le reseau livebox pour le net , j'ai désactivé le WiFi
Je préfère et de loin mon RT-AC68U pour la partie WiFi .
Et le double nat $:-\$

flipper · « **Réponse #1313 le:** 31 mai 2015 à 23:16:27 »

Citation de: stefauresi le 31 mai 2015 à 22:51:01

bon a savoir , car perso je n'utilise pas le reseau livebox pour le net , j'ai désactivé le WiFi
Je préfère et de loin mon RT-AC68U pour la partie WiFi .
Et le double nat $:-\$

Tu as un ERL et du double NAT?

stefauresi · « **Réponse #1314 le:** 31 mai 2015 à 23:18:36 »

Si tu utilises l'internet de la livebox . Tu auras du double Nat
Nat erl + Nat livebox si je dis pas de bêtise

lowfab · « **Réponse #1315 le:** 01 juin 2015 à 14:07:04 »

En conclusion pour avoir du wifi sur le même réseau que LAN1, il faut un point d'accès wifi spécifique ... Airport, ou autre.

psm · « **Réponse #1316 le:** 01 juin 2015 à 15:01:26 »

Citation de: tivoli le 30 mai 2015 à 19:31:35

avec le protocole 50 ouvert ?

@tivoli: tu vas me dire si j'ai merdé ou pas.

Code: [Sélectionner]

name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "Allow L2TP #2"
            log disable
            protocol 50
        }
        rule 4 {
            action accept
            description "Allow L2TP #1"
            destination {
                port 500,1701,4500
            }
            log disable
            protocol udp
        }
    }

Et pour la partie VPN/L2TP:

Code: [Sélectionner]

vpn {
    ipsec {
        auto-firewall-nat-exclude disable
        ipsec-interfaces {
            interface eth1.835
        }
        nat-networks {
            allowed-network 0.0.0.0/0 {
            }
        }
        nat-traversal enable
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username toto {
                        password mdptoto
                    }
                }
                mode local
            }
            client-ip-pool {
                start 192.168.100.100
                stop 192.168.100.200
            }
            dns-servers {
                server-1 8.8.8.8
                server-2 8.8.4.4
            }
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret UnSecretSuperDur
                }
                ike-lifetime 3600
            }
            outside-address 80.80.80.80
            outside-nexthop 10.58.8.1
        }
    }
}

tivoli · « **Réponse #1317 le:** 01 juin 2015 à 15:35:25 »

Mon ERL est plante donc pas d'acces pour verifier mais les lignes de commande :
(ne pas oublier de changer ton IP publique et l'ip de l'erl)

# pour ouvrir pour le protocol 50
set firewall name WAN_LOCAL rule 70 description "L2TP ESP"
set firewall name WAN_LOCAL rule 70 action accept
set firewall name WAN_LOCAL rule 70 protocol 50

#Configurer le VPN L2TP : IP Publique : 80.80.80.80 , IP ERL : 192.168.1.1 , Interface WAN : eth1.200
set vpn ipsec ipsec-interfaces interface eth1.200
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username toto password Unmotdepassedur
set vpn l2tp remote-access client-ip-pool start 192.168.99.6
set vpn l2tp remote-access client-ip-pool stop 192.168.99.8
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret Unsecretdur
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
set vpn l2tp remote-access outside-address 80.80.80.80
set vpn l2tp remote-access outside-nexthop 192.168.1.1
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access dns-servers server-2 8.8.8.8

psm · « **Réponse #1318 le:** 02 juin 2015 à 11:23:39 »

@tivoli

Merci pour l'update et pas cool ton histoire avec ton ERL !

J'ai appliqué les modifs mais toujours pas mieux, j'ai ça dans /var/log/messages

Code: [Sélectionner]

Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: received Vendor ID payload [RFC 3947]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: received Vendor ID payload [Dead Peer Detection]
Jun  2 11:19:09 edgerouter pluto[9937]: packet from mon_ip_ext:500: initial Main Mode message received on ip_de_mon_erl:500 but no connection has been authorized with policy=PSK

Une idée ?

tivoli · « **Réponse #1319 le:** 02 juin 2015 à 11:50:03 »

Citation de: psm le 01 juin 2015 à 15:01:26

@tivoli: tu vas me dire si j'ai merdé ou pas.

Code: [Sélectionner]
name WAN_LOCAL { default-action drop description "packets from Internet to the router" rule 1 { action accept description "allow established session to the router" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } rule 3 { action accept description "Allow L2TP #2" log disable protocol 50 } rule 4 { action accept description "Allow L2TP #1" destination { port 500,1701,4500 } log disable protocol udp } }
Et pour la partie VPN/L2TP:

Code: [Sélectionner]
vpn { ipsec { auto-firewall-nat-exclude disable ipsec-interfaces { interface eth1.835 } nat-networks { allowed-network 0.0.0.0/0 { } } nat-traversal enable } l2tp { remote-access { authentication { local-users { username toto { password mdptoto } } mode local } client-ip-pool { start 192.168.100.100 stop 192.168.100.200 } dns-servers { server-1 8.8.8.8 server-2 8.8.4.4 } ipsec-settings { authentication { mode pre-shared-secret pre-shared-secret UnSecretSuperDur } ike-lifetime 3600 } outside-address 80.80.80.80 outside-nexthop 10.58.8.1 } } }

Voila les differences avec ma config :
password mdptoto => password "mdptoto"
en dns j'ai mis l'erl en premier et 8.8.8.8 en deuxieme (je ne sais pas si ca joue)
outside-address 80.80.80.80 => la j'ai mon ip publique,je ne sais pas comment tu fais avec une ip dynamique ...
outside-nexthop 10.58.8.1 => la j'ai 192.168.1.1 l'ip de mon routeur je viens de le mettre en place donc ca marche ;-)