Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1541542 fois)

zoc · « **Réponse #2460 le:** 07 avril 2016 à 20:57:06 »

Effectivement, sans firewall quelqu'un sur l'infrastructure privée d'Orange qui connait l'adressage interne de ton réseau peut y accéder par les VLAN 851 (en PPPoE) ~~et 838 (PPPoE et DHCP) car ils sont routés~~ (en fait non, 838 est NATté dans une configuration sans Livebox).

Personnellement j'ai mis en IN et LOCAL sur eth1.838 les mêmes règles de base que sur le 832 : On laisse tout sortir et on laisse entrer les connexions initiées depuis l'intérieur.

MikeTheFreeman · « **Réponse #2461 le:** 07 avril 2016 à 22:06:26 »

Je vais faire pareil alors si t'as testé et que ça fonctionne.

kiki92 · « **Réponse #2462 le:** 08 avril 2016 à 01:09:51 »

Bonsoir,
J'ai remarqué que j'étais passé en IPv6 (lafibre.info me le dit

), en rebranchant temporairement la livebox.
Je suis avec un ERL 3 ports en 1.7 et pppoE.

Pourrez vous m'aider sur les étapes à réaliser pour passer en 1.8 et dhcp (et IPv6) ?
(j'ai regardé les pages précédentes, j'ai récupéré le dibbler modifié de zoc mais je suis pas sur d'avoir tout compris

)

Est ce mieux de créer un deuxième bridge pour le téléphone ?

Merci pour votre aide.

zoc · « **Réponse #2463 le:** 08 avril 2016 à 06:41:53 »

Citation de: kiki92 le 08 avril 2016 à 01:09:51

Est ce mieux de créer un deuxième bridge pour le téléphone ?

Tu ne peux plus créer un second bridge pour le téléphone puisque sur la nouvelle architecture réseau d'Orange le téléphone passe dans le même VLAN que Internet.

kiki92 · « **Réponse #2464 le:** 09 avril 2016 à 11:15:49 »

OK, pour un seul bridge.
Quelles seraient les étapes à réaliser depuis une version pppoe en 1.7 ?
1) mettre en 1.8
2) remplacer le serveur dhcp par le dibbler fourni par zoc
3) configurer dibbler
4) modifier le fichier de config

C'est tout ? Avez vous un exemple de fichier de config complet pour l'ERL ?

Merci.

renaud07 · « **Réponse #2465 le:** 09 avril 2016 à 17:17:37 »

@kiki92 : Pour la config en full DHCP tu peux prendre exemple sur celle de b416, nettoyée des trucs perso par Mike ici Pour l'option 90 du serveur DHCP de l'ERL (pour la box), ce n'est pas précisé mais il faut apparemment envoyer ça alors qu'on pourrait penser que c'est l'identifiant de connexion comme pour le client. Ce qui n'est pas le cas.

Si je dis pas de bêtise, tu auras ton réseau local en 192.168.0.0/24, la TV et le Tel servi par la livebox, réseau en 192.168.2.0/24.

Bien penser à modifier la qos du VLAN 832 une fois le nouveau dhclient mis en place, rappel ici

Pour l'IPV6, zoc n'a pas fourni dibbler il me semble, seulement dhclient, donc pour le moment tu ne peux pas le mettre en place.

zoc · « **Réponse #2466 le:** 09 avril 2016 à 18:38:06 »

Pour dibbler, effectivement, je n'ai pas fourni de version autre que celle qui a été donnée sur un autre fil du forum par @Jeanb (et qui ne fonctionnera pas là où la CoS est obligatoire d'ailleurs), pour plusieurs raison:

Il faut le configurer à la main (@kgersen a donné un exemple de configuration qui fonctionne, sur lequel je me suis basé).
Il faut écrire un script spécifique à votre configuration réseau, ce qui demande certaines connaissances (par exemple chez moi j'ai 4 VLANs sur eth0, et donc mon script attribue un /64 à chaque VLAN).
Mon script ne configure pas radvd, et donc ne peux pas diffuser d'adresses de serveur DNS IPv6 (j'ai sur mon LAN un résolveur DNS et pour l'instant je ne supporte que les requêtes en IPv4).
Mon script ne supporte pas DHCP6 stateless non plus coté LAN.
Je n'ai malheureusement pas le temps d'écrire un tuto, donc je préfère ne rien poster plutôt que de ne pas avoir le temps de faire le support

Je vais tout de même fournir le paquet Debian de dibbler-client patché pour supporter la CoS (joint à ce message), mais vous allez devoir mettre les mains dedans pour le configurer selon vos besoins.

kiki92 · « **Réponse #2467 le:** 09 avril 2016 à 20:30:43 »

Donc si j'ai bien compris, le binaire fourni permet de passer à la livebox l'option 90 via le serveur DHCP sur l'ERL, sinon, ca ne fonctionnerait pas sans patch ?
Et si j'ai pas besoin d'IPV6 (pour l'instant), juste le DHCP en IPV4 (pour avoir une IP quasi fixe), y'aurais rien de bloquant ?

zoc · « **Réponse #2468 le:** 09 avril 2016 à 20:50:47 »

Le binaire fourni dans le message précédent concerne uniquement IPv6.

L'autre binaire, "dhclient3", n'est indispensable que si la CoS est nécessaire (dans le cas contraire, celui d'origine du firmware convient très bien). Pour l'option 90, c'est encore un autre patch pour que le client DHCP accepte l'option, qu'il faut faire à la main et qui est décrit ici: https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg277838/#msg277838

louis54000 · « **Réponse #2469 le:** 09 avril 2016 à 21:16:26 »

Hello !
kgersen m'a envoyé sur ce sujet

et j'ai donc lu assez rapidement les ~500 derniers posts.
J'aimerai acheter un ERL3 et faire la configuration suivante :
EdgeRouter Lite derrière l'ONT avec la livebox derrière pour utiliser son WiFi (pas besoin de la téléphonie, donc juste connectée a un port LAN) et j'aimerai garder tous les services TV. J'ai commandé un switch manageable qui permettra IGMP Snooping pour connecter le STB sans problème de multicast. Je n'ai spécialement pas besoin de l'IVP6.
En partant de ce message de Gnubyte https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg228041/#msg228041 j'ai compris (à peu près) ce qu'il se passait dans le fichier de config, je pourrais donc remplacer avec les VLANs que j'ai sur l'interface de la livebox qui sont différents, l'adapter au ERL3, mais je ne sais pas si ce sera suffisant. (je suis un peu perdu)
Est-ce que vous pouvez me guider sur les étapes à faire, choses a modifier pour ma config ? En particulier pour le passage en DHCP et à la version 1.8.
Par exemple Kgersen m'a dit

Citation de: kgersen le 09 avril 2016 à 18:27:13

si t'es pret a sacrifier 2 ports [du switch manageable] tu peux les utiliser entre l'ONT et l'ERL pour faire le marquage QoS. Ca simplifiera un peu la config de l'ERL.

Or je ne sais pas où cela intervient dans le processus, ni ce que ça change.
Et puis avec un peu de chance ça aidera un nouvel arrivant comme moi un peu perdu dans tous les messages !
Si j'arrive a comprendre et à le faire je peux même faire un tuto au propre avec des screens et tout.
Voilà, merci d'avance

Ce n'est pas pressé, je ne l'ai pas encore acheté, mais j'aimerai comprendre et être sur de savoir dans quoi je me lance avant

renaud07 · « **Réponse #2470 le:** 09 avril 2016 à 21:46:14 »

@louis : La QoS est indispensable dans certaines régions sinon tu n'a pas d'IP. Concernant le switch, c'est lui qui va marquer les paquets DHCP de l'ERL. Dans ce cas là tu n'a pas besoin de remplacer le client dhcp par celui modifié de zoc (c'est donc plus simple et ça évite les problèmes lors des mises à jour). Le switch se place entre l'ERL et l'ONT, pour la config se reporter à ce topic

Pour la config de l'ERL, tu peux reprendre celle de b416 que j'ai cité un peu plus haut, bien sûr tu n'a pas besoin de tout ce qu'il y'a dedans, beaucoup de trucs peuvent être enlevés. Il faudra aussi renseigner la partie TV, vu que la box sera connectée seulement au LAN. Je vais essayer de te refaire un fichier.

EDIT : voici le fichier, j'espère que je ne me suis pas trompé, si quelqu'un veut bien cheker

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        address dhcp
        aging 300
        bridged-conntrack disable
        description "TV - VOD"
        dhcp-options {
            client-option "send vendor-class-identifier &quot;sagem&quot;;"
            client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
            client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
            client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
        }
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.0.254/24
        description LAN1
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description Internet_ONT
        duplex auto
        speed auto
        vif 832 {
	    address dhcp
            description "Internet Orange DHCP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
  		client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
                client-option "send user-class &quot;+FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
 
		default-route update
                default-route-distance 210
                name-server update				
				
            }
            egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }           
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "VLAN TV VOD"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description "VLAN TV Canal 1 - Zap"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
   ethernet eth2 {
        address 192.168.2.1/24
        description "Livebox Network"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}

protocols {
    igmp-proxy {
        disable-quickleave
        interface br0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LOCAL_NETWORK {
            authoritative enable
            subnet 192.168.0.0/24 {
                default-router 192.168.0.1
                dns-server 192.168.0.1
                lease 86400
                start 192.168.0.100 {
                    stop 192.168.0.200
                }
            }
        }
        shared-network-name Livebox {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.21 {
                    stop 192.168.2.200
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {
        https-port 443
    }
    nat {
        rule 5010 {
            description "Masquerading outgoing connections"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "Masquerading Livebox network"
            log disable
            outbound-interface br0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
    login {
        user xxxxxxxx {
            authentication {
                encrypted-password xxxxxxxxxxxxxxxx
                plaintext-password ""
            }
            full-name "administrator"
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */

Avec cette config tu as :

eth0 : LAN 192.168.0.0/24
eth1 : switch/ONT
eth2 : TV 192.168.2.0/24

Remplacer les X de dhcp-client-identifier par l'adresse MAC de ta livebox
Remplacer les X de rfc3118-auth par ton identifant internet sans le fti/ transformé en hexadécimal pour ce faire voir ici

Patcher le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour l'option 90 voir ici en bas de page

Ajouter le patch rfc3442-classless-routes pour la TV en bas de page.

Une fois tout ça fait et le switch ajouté en amont, théoriquement ça devrait le faire.

louis54000 · « **Réponse #2471 le:** 09 avril 2016 à 23:00:50 »

Génial, merci

!!!
Par contre je croyais que le STB se branchait directement sur le switch donc derrière eth0 avec le reste comme ça (sans le tel) :
cf:

Citation de: kgersen le 09 avril 2016 à 18:03:33

oui c'est en archi DHCP la, y'a le vlan 832.

oui la TV marche. tu perds que le Tel en mode 'inerte' (Tel que peux gérer toi meme avec Asterix par exemple).

voila un schema qui détail un peu plus ce qui se passe 'dans la livebox':

son WAN sert uniquement pour le Tel en fait.

D'ailleurs si la TV n'est pas sur le même subnet elle ne peut pas accéder au reste du réseau, si ? Parce que à priori il n'y a pas de problème pour mettre le STB sur le switch grace au IGMP Snooping d'après ce que j'ai compris (plus de pb de multicast).