Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1682505 fois)

mathew.lear.fr · « **Réponse #2388 le:** 16 mars 2016 à 21:14:38 »

Citation de: zoc le 16 mars 2016 à 20:18:22

Je conseille également fortement d'utiliser un bridge supplèmentaire rien que pour le VLAN 851. Quand j'utilisais encore la Livebox pour la téléphonie, ça fonctionnait également très mal avec un seul bridge TV+VOIP.

Salut ZOC, tu a garder cette config ou pas ? jaimerais esssaye... Merci

zoc · « **Réponse #2389 le:** 16 mars 2016 à 21:18:13 »

Non, je ne l'ai plus, désolé

MikeTheFreeman · « **Réponse #2390 le:** 16 mars 2016 à 21:30:39 »

Citation de: mathew.lear.fr le 16 mars 2016 à 21:14:38

Salut ZOC, tu a garder cette config ou pas ? jaimerais esssaye... Merci

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "Internet to the LAN"
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.1.254/24
	description HOME
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description INTERNET
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server none
                password secret
                user-id fti/user
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description tv
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description tv
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description voip
            egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
        }
    }
    ethernet eth2 {
        address 192.168.2.254/24
        description LIVEBOX
        duplex auto
        speed auto
        vif 835 {
	    description FTTH
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description tv
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description tv
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description voip
        }
    }
    loopback lo {
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name livebox.lan {
            authoritative enable
            description livebox.lan
            subnet 192.168.2.0/24 {
                default-router 192.168.2.254
                dns-server 192.168.2.254
                lease 86400
                start 192.168.2.1 {
                    stop 192.168.2.10
                }
            }
        }
        shared-network-name home.lan {
            authoritative disable
            description home.lan
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 192.168.1.254
                lease 86400
                start 192.168.1.1 {
                    stop 192.168.1.99
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on eth2
        }
    }
    gui {
        https-port 443
    }
    nat {
        rule 5010 {
            outbound-interface pppoe0
            type masquerade
        }
    }
    pppoe-server {
        authentication {
            local-users {
                username fti/login {
                    password pass
                }
            }
            mode local
        }
        client-ip-pool {
            start 192.168.2.11
            stop 192.168.2.20
        }
        dns-servers {
            server-1 80.10.246.2
            server-2 80.10.246.129
        }
        interface eth2.835
        mtu 1492
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.8.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    time-zone Europe/Paris
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */

Retire l'adresse sur eth2 ainsi que le dhcp server livebox et tu es bon.

kgersen · « **Réponse #2391 le:** 16 mars 2016 à 21:31:38 »

Citation de: mathew.lear.fr@gmail.com le 16 mars 2016 à 21:14:38

Salut ZOC, tu a garder cette config ou pas ? jaimerais esssaye... Merci

c'est simple de juste bridger eth1.851 vers eth2.851 a part:

on créer un bridge vide (br1 ou nom de son choix)

Code: [Sélectionner]

interfaces {
...
    bridge br1 {
	  
    }
...
}

puis on met les interfaces dedans :

Code: [Sélectionner]

...
interfaces {
     ethernet eth1 {
...
        vif 851 {
...
            bridge-group {
                bridge br1
            }
...
        }
...
     ethernet eth2 {
...
        vif 851 {
...
            bridge-group {
                bridge br1
            }
...
        }
...
}

dans la config type, il suffit donc juste d'ajouter br1 et de remplacer br0 par br1 a 2 endroits.

gegere · « **Réponse #2392 le:** 17 mars 2016 à 00:08:20 »

Bon je n'arrive toujours pas à récupérer une IP sur eth1.832 (j'ai bien un IP sur le br0 et la tv fonctionne, par contre pas de net) sur mon ERL 3 ports.

J'ai bien patché le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour l'option 90 pour info.

Voici ma conf, si quelqu'un a une idée :

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            interface-type tun
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        address dhcp
        aging 300
        bridged-conntrack disable
		description "TV - VOD"
        dhcp-options {
            client-option "send vendor-class-identifier &quot;sagem&quot;;"
            client-option "send dhcp-client-identifier 1:*:*:*:*:*:*;"
            client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
            client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
            default-route update
            default-route-distance 210
            name-server update
        }
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.1.1/24
        description LAN1
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "Internet Orange DHCP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;+FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;"
                client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-authentication;"
                default-route update
                default-route-distance 210
                name-server update
            }
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
		}
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "VLAN VOD"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description "VLAN TV"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description "Décodeur TV"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3389
        }
        original-port 3389
        protocol tcp
    }
    rule 2 {
        description ""
        forward-to {
            address 192.168.1.*
            port 21
        }
        original-port 21
        protocol tcp
    }
    rule 3 {
        description ""
        forward-to {
            address 192.168.1.*
            port 27618
        }
        original-port 27618
        protocol tcp_udp
    }
    rule 4 {
        description ""
        forward-to {
            address 192.168.1.*
            port 88
        }
        original-port 88
        protocol udp
    }
    rule 5 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3074
        }
        original-port 3074
        protocol tcp_udp
    }
    rule 6 {
        description ""
        forward-to {
            address 192.168.1.*
            port 53
        }
        original-port 53
        protocol tcp_udp
    }
    rule 7 {
        description ""
        forward-to {
            address 192.168.1.*
            port 500
        }
        original-port 500
        protocol udp
    }
    rule 8 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3544
        }
        original-port 3544
        protocol udp
    }
    rule 9 {
        description ""
        forward-to {
            address 192.168.1.*
            port 4500
        }
        original-port 4500
        protocol udp
    }
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface br0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.200
                }
            }
        }
        shared-network-name LiveboxTV {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.21 {
                    stop 192.168.2.200
                }
            }
        }
    }
    dns {
        dynamic {
            interface eth1.832 {
                service dyndns {
                    host-name *.*.*
                    login ******
                    password ************
                    server dynupdate.no-ip.com
                }
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {
        https-port 443
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            log disable
            outbound-interface br0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password *******************
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
        host 192.168.1.* {
            facility all {
                level notice
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */

zoc · « **Réponse #2393 le:** 17 mars 2016 à 08:50:30 »

Peut-être un problème de CoS...

Manifestement elle serait nécessaire à certains endroits mais pas partout. Et dans ce cas on n'a pas vraiment de solution pour l'ERL pour l'instant.

Personnellement j'ai compilé un dhclient qui est sensé pouvoir envoyer des requêtes en priorité 6 (associé à une configuration "egress-qos 0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"). Mais je ne l'ai pas encore testé et j'espère que ce ne sera pas nécessaire chez moi (toujours pas de DHCP, enfin peut-être que si car la migration est sensée avoir débuté le 15 mars ici mais je n'ai pas encore rebranché la LB pour voir).

tankou · « **Réponse #2394 le:** 17 mars 2016 à 11:02:53 »

Bien le bonjour messieurs,

Petite question : je souhaite me débarasser de la LB, j'ai besoin de la TV mais pas du téléphone, par contre j'ai surtout besoin d'avoir un client VPN L2TP (sans ipsec) en amont de tout les périphs (excepté les boitiers TV bien sur, d'ailleurs je n'ai pas lu les 200 pages, mais est-ce que quelqu'un a tenté avec les 2 boitiers tv ?). Pensez-vous que ce Edgemax pourrais répondre aussi à ce critère sans trop de difficulté ?

Merci par avance

Rks · « **Réponse #2395 le:** 17 mars 2016 à 11:17:33 »

Salut à tous,

Citation de: zoc le 16 mars 2016 à 20:18:22

Je conseille également fortement d'utiliser un bridge supplèmentaire rien que pour le VLAN 851. Quand j'utilisais encore la Livebox pour la téléphonie, ça fonctionnait également très mal avec un seul bridge TV+VOIP.

Je confirme que tout à l'air de mieux marcher avec deux bridges

.
En mettant le VLAN 851 pour la VoIP sur un bridge séparé (br1), je n'ai plus eu de désynchronisation du téléphone hier soir et tout était opérationnel encore ce matin (TV, Téléphone et Internet OK).
Je continue de surveiller la Livebox de temps en temps, mais tout à l'air bon

.

Au cas ou, si ça peut en aider certains, voici ma configuration:

ERLite3 en version 1.8, ONT sur le eth1 et Livebox Play sur le eth2 pour la TV et le Téléphone
PPPOE
Lan sur le eth0, IPs dans la plage 192.168.1.0/24 avec serveur DHCP
La Livebox est atteignable via son interface de gestion distante (son IP coté WAN devrait être dans la plage 192.168.2.210 à 192.168.2.220, fournie par le serveur PPPOE de l'ERLite)
Deux bridges: br0 pour la TV, br1 pour la VoIP

J'ai laissé un exemple de static-mapping et port forwarding (80 et 443) si ça peut en aider certains.
J'ai également laissé le service SNMP dans ma configuration, que j'utilise pour interroger et générer des graphes de l'activité du routeur et des interfaces (avec Munin).

Configuration de la Livebox (préconisations de Gnubyte):

La configuration du routeur:

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
    }
    bridge br1 {
    }
    ethernet eth0 {
        address 192.168.1.1/24
        description LAN
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description Internet
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password XXXXXXXX
                user-id fti/XXXXXXXX
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "TV Services"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description "TV Stream"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description VoIP
            egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
        }
    }
    ethernet eth2 {
        description Livebox
        duplex auto
        speed auto
        vif 835 {
            description FTTH
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "TV Services"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description "TV Stream"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description VoIP
            egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
        }
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description "HTTP to Tali"
        forward-to {
            address 192.168.1.100
        }
        original-port 80
        protocol tcp
    }
    rule 2 {
        description "HTTPS to Tali"
        forward-to {
            address 192.168.1.100
        }
        original-port 443
        protocol tcp
    }
    wan-interface pppoe0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.10 {
                    stop 192.168.1.200
                }
                static-mapping Tali {
                    ip-address 192.168.1.100
                    mac-address XX:XX:XX:XX:XX:XX
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {
        https-port 443
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            outbound-interface pppoe0
            type masquerade
        }
    }
    pppoe-server {
        authentication {
            local-users {
                username fti/XXXXXXXX {
                    password XXXXXXXX
                }
            }
            mode local
        }
        client-ip-pool {
            start 192.168.2.210
            stop 192.168.2.220
        }
        dns-servers {
            server-1 80.10.246.2
            server-2 80.10.246.129
        }
        interface eth2.835
        mtu 1492
    }
    snmp {
        community public {
            authorization ro
        }
        contact Me
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user XXXXXXXX {
            authentication {
                encrypted-password XXXXXXXX
                plaintext-password ""
            }
            full-name Me
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */

A ne pas oublier:

Mettre ses identifiants fti/ à deux endroits dans la configuration (pppoe-server & eth1/vif 835)
Ne pas oublier d’exécuter le script de c0mm0n pour le serveur PPPOE (https://github.com/c0mm0n/edgemax4orange/blob/master/pppoe_server_mod.sh) via SSH, en étant root
Mettre ses identifiants pour se connecter à l'interface de gestion dans la partie system/login

Je remet également le schema de kgersen, vraiment top pour tout visualiser

Merci encore pour l'aide

.

mathew.lear.fr · « **Réponse #2396 le:** 19 mars 2016 à 10:48:05 »

Merci Rks,

Exactement le config j'ai cherche. Merci

Parcontre, avec votre config sur ETH0 j'arrive pas a récupère un adresse IP, je dois configure le IP manuellement sur tous mes machines.. ?

J'ai redémarrez le dhcp, et sa marche toujours pas..

Idées ?

Citation de: Rks le 17 mars 2016 à 11:17:33

Salut à tous,

Je confirme que tout à l'air de mieux marcher avec deux bridges .
En mettant le VLAN 851 pour la VoIP sur un bridge séparé (br1), je n'ai plus eu de désynchronisation du téléphone hier soir et tout était opérationnel encore ce matin (TV, Téléphone et Internet OK).
Je continue de surveiller la Livebox de temps en temps, mais tout à l'air bon .

Au cas ou, si ça peut en aider certains, voici ma configuration:
ERLite3 en version 1.8, ONT sur le eth1 et Livebox Play sur le eth2 pour la TV et le Téléphone
PPPOE
Lan sur le eth0, IPs dans la plage 192.168.1.0/24 avec serveur DHCP
La Livebox est atteignable via son interface de gestion distante (son IP coté WAN devrait être dans la plage 192.168.2.210 à 192.168.2.220, fournie par le serveur PPPOE de l'ERLite)
Deux bridges: br0 pour la TV, br1 pour la VoIP
J'ai laissé un exemple de static-mapping et port forwarding (80 et 443) si ça peut en aider certains.
J'ai également laissé le service SNMP dans ma configuration, que j'utilise pour interroger et générer des graphes de l'activité du routeur et des interfaces (avec Munin).

Configuration de la Livebox (préconisations de Gnubyte):

La configuration du routeur:
Code: [Sélectionner]
firewall { all-ping enable broadcast-ping disable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "packets from Internet to LAN" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" rule 1 { action accept description "allow established session to the router" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } options { mss-clamp { mss 1452 } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { bridge br0 { } bridge br1 { } ethernet eth0 { address 192.168.1.1/24 description LAN duplex auto speed auto } ethernet eth1 { description Internet duplex auto speed auto vif 835 { address dhcp description FTTH pppoe 0 { default-route auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } mtu 1492 name-server auto password XXXXXXXX user-id fti/XXXXXXXX } } vif 838 { bridge-group { bridge br0 } description "TV Services" egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4" } vif 840 { bridge-group { bridge br0 } description "TV Stream" egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5" } vif 851 { bridge-group { bridge br1 } description VoIP egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6" } } ethernet eth2 { description Livebox duplex auto speed auto vif 835 { description FTTH } vif 838 { bridge-group { bridge br0 } description "TV Services" egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4" } vif 840 { bridge-group { bridge br0 } description "TV Stream" egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5" } vif 851 { bridge-group { bridge br1 } description VoIP egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6" } } loopback lo { } } port-forward { auto-firewall enable hairpin-nat enable lan-interface eth0 rule 1 { description "HTTP to Tali" forward-to { address 192.168.1.100 } original-port 80 protocol tcp } rule 2 { description "HTTPS to Tali" forward-to { address 192.168.1.100 } original-port 443 protocol tcp } wan-interface pppoe0 } service { dhcp-server { disabled false hostfile-update disable shared-network-name LAN { authoritative disable subnet 192.168.1.0/24 { default-router 192.168.1.1 dns-server 192.168.1.1 lease 86400 start 192.168.1.10 { stop 192.168.1.200 } static-mapping Tali { ip-address 192.168.1.100 mac-address XX:XX:XX:XX:XX:XX } } } } dns { forwarding { cache-size 1000 listen-on eth2 listen-on eth0 } } gui { https-port 443 } mdns { reflector } nat { rule 5010 { outbound-interface pppoe0 type masquerade } } pppoe-server { authentication { local-users { username fti/XXXXXXXX { password XXXXXXXX } } mode local } client-ip-pool { start 192.168.2.210 stop 192.168.2.220 } dns-servers { server-1 80.10.246.2 server-2 80.10.246.129 } interface eth2.835 mtu 1492 } snmp { community public { authorization ro } contact Me } ssh { port 22 protocol-version v2 } upnp2 { listen-on eth0 listen-on eth2 nat-pmp enable secure-mode disable wan pppoe0 } } system { config-management { commit-revisions 50 } host-name ubnt login { user XXXXXXXX { authentication { encrypted-password XXXXXXXX plaintext-password "" } full-name Me level admin } } name-server 8.8.8.8 name-server 8.8.4.4 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { ipv4 { forwarding enable pppoe enable vlan enable } } package { repository wheezy { components "main contrib non-free" distribution wheezy password "" url http://http.us.debian.org/debian username "" } repository wheezy-security { components main distribution wheezy/updates password "" url http://security.debian.org username "" } } syslog { global { facility all { level notice } facility protocols { level warning } } } time-zone Europe/Paris traffic-analysis { dpi disable export enable } } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v1.8.0.4853089.160219.1607 */
A ne pas oublier:
Mettre ses identifiants fti/ à deux endroits dans la configuration (pppoe-server & eth1/vif 835)
Ne pas oublier d’exécuter le script de c0mm0n pour le serveur PPPOE (https://github.com/c0mm0n/edgemax4orange/blob/master/pppoe_server_mod.sh) via SSH, en étant root
Mettre ses identifiants pour se connecter à l'interface de gestion dans la partie system/login

Je remet également le schema de kgersen, vraiment top pour tout visualiser

Merci encore pour l'aide .

Rks · « **Réponse #2397 le:** 19 mars 2016 à 11:32:38 »

@mathew.lear.fr

Normalement le DHCP de la configuration que j'ai posté doit fournir des adresses pour le eth0 (192.168.1.1/24).

Dans ma configuration j'ai laissé un exemple de mapping statique (en masquant l'adresse MAP réelle) et de port forwarding.
Essaye peut être de le retirer, l'adresse MAC étant volontairement fausse:

Code: [Sélectionner]

                static-mapping Tali {
                    ip-address 192.168.1.100
                    mac-address XX:XX:XX:XX:XX:XX
                }

Code: [Sélectionner]

port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description "HTTP to Tali"
        forward-to {
            address 192.168.1.100
        }
        original-port 80
        protocol tcp
    }
    rule 2 {
        description "HTTPS to Tali"
        forward-to {
            address 192.168.1.100
        }
        original-port 443
        protocol tcp
    }
    wan-interface pppoe0
}

mathew.lear.fr · « **Réponse #2398 le:** 19 mars 2016 à 20:34:41 »

ca marche

Citation de: Rks le 19 mars 2016 à 11:32:38

@mathew.lear.fr

Normalement le DHCP de la configuration que j'ai posté doit fournir des adresses pour le eth0 (192.168.1.1/24).

Dans ma configuration j'ai laissé un exemple de mapping statique (en masquant l'adresse MAP réelle) et de port forwarding.
Essaye peut être de le retirer, l'adresse MAC étant volontairement fausse:

Dam64 · « **Réponse #2399 le:** 22 mars 2016 à 01:15:12 »

Citation de: zoc le 17 mars 2016 à 08:50:30

Peut-être un problème de CoS...

Manifestement elle serait nécessaire à certains endroits mais pas partout. Et dans ce cas on n'a pas vraiment de solution pour l'ERL pour l'instant.

Personnellement j'ai compilé un dhclient qui est sensé pouvoir envoyer des requêtes en priorité 6 (associé à une configuration "egress-qos 0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"). Mais je ne l'ai pas encore testé et j'espère que ce ne sera pas nécessaire chez moi (toujours pas de DHCP, enfin peut-être que si car la migration est sensée avoir débuté le 15 mars ici mais je n'ai pas encore rebranché la LB pour voir).

Si tu veux je peux tester ton dhclient. Chez moi la Cos est obligatoire... Mon ERPOE doit trainer dans un carton