Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1540837 fois)

sylr · « **Réponse #2784 le:** 25 juin 2016 à 12:43:27 »

"ip6tables -L -v" sur ubnt

Tsunami2056 · « **Réponse #2785 le:** 25 juin 2016 à 12:45:30 »

Citation de: sylr le 25 juin 2016 à 12:43:27

"ip6tables -L -v" sur ubnt

root@ubnt:~# ip6tables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  116 17061 VYATTA_FW_LOCAL_HOOK  all      any    any     anywhere             anywhere
  116 17061 VYATTA_POST_FW_IN_HOOK  all      any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  415 40420 VYATTA_FW_IN_HOOK  all      any    any     anywhere             anywhere
  415 40420 VYATTA_FW_OUT_HOOK  all      any    any     anywhere             anywhere
  415 40420 VYATTA_POST_FW_FWD_HOOK  all      any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  178 22942 VYATTA_POST_FW_OUT_HOOK  all      any    any     anywhere             anywhere

Chain VYATTA_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain VYATTA_FW_LOCAL_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain VYATTA_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain VYATTA_POST_FW_FWD_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination
  415 40420 ACCEPT     all      any    any     anywhere             anywhere

Chain VYATTA_POST_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination
  116 17061 ACCEPT     all      any    any     anywhere             anywhere

Chain VYATTA_POST_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination
  178 22942 ACCEPT     all      any    any     anywhere             anywhere

Chain WAN6_LOCAL (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all      any    any     anywhere             anywhere             /* WAN6_LOCAL-1 */ state RELATED,ESTABLISHED
    0     0 DROP       all      any    any     anywhere             anywhere             /* WAN6_LOCAL-2 */ state INVALID
    0     0 RETURN     ipv6-icmp    any    any     anywhere             anywhere             /* WAN6_LOCAL-3 */
    0     0 RETURN     udp      any    any     anywhere             anywhere             /* WAN6_LOCAL-4 */ udp dpt:dhcpv6-client
    0     0 DROP       all      any    any     anywhere             anywhere             /* WAN6_LOCAL-10000 default-action drop */
root@ubnt:~#

EDIT: Attends je reboot, j'avais commencer a remettre les règles...
EDIT2: Pareil en ayant fait sauter tous le coté firewall sur vif 832 du eth1

sylr · « **Réponse #2786 le:** 25 juin 2016 à 12:47:23 »

Tu as toujours l'ipv6 sur l'eth0 du ubnt apres le reboot ?

Tsunami2056 · « **Réponse #2787 le:** 25 juin 2016 à 13:04:53 »

Citation de: sylr le 25 juin 2016 à 12:47:23

Tu as toujours l'ipv6 sur l'eth0 du ubnt apres le reboot ?

Oui :/

Citer

root@ubnt# sudo ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 2a01:cb19:886c:40::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::46d9:e7ff:fe9b:9dc2/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
6: eth1.840@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
7: eth1.838@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever
8: eth1.832@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
inet6 fe80::46d9:e7ff:fe9b:9dc3/64 scope link
valid_lft forever preferred_lft forever

Je vais repartir de 0, faire un backup de mes confs, migrer vers le 1.8.5 et refaire ton tuto et on va voir ce que ca donne a ce moment là. Y a peut être une saleté qui traine ailleurs...

Merci pour l'aide en tout cas

EDIT: Je suis reparti de 0 en flashant le FW 1.8.5 et je suis au même stade :/
Il doit y avoir un souci au niveau de mon fichier de conf.
Prochaine étape: Reprise de ton fichier de conf @sylr en le convertissant pour l'ERL. Je vais voir ce que ca donne. Mais pour ça il faut que je cerne un peu plus comment marche le zonage.

Tsunami2056 · « **Réponse #2788 le:** 27 juin 2016 à 09:26:23 »

Citation de: Tsunami2056 le 25 juin 2016 à 12:27:26

Depuis l'ubnt ca passe pas:

Sur mon ubuntu non plus. Pareil si je tente avec ping6 2a00:1450:400c:c04::65

Bon j'ai flashé en 1.8.5 et j'ai resuivi ton tuto @sylr mais en restant avec ma config. Et il y a du progrès:

Citer

root@ubnt:~# ping6 2a00:1450:400c:c04::65
PING 2a00:1450:400c:c04::65(2a00:1450:400c:c04::65) 56 data bytes
64 bytes from 2a00:1450:400c:c04::65: icmp_seq=1 ttl=47 time=37.6 ms
64 bytes from 2a00:1450:400c:c04::65: icmp_seq=2 ttl=47 time=49.7 ms

Maintenant il faut que ma machine LAN réussisse à faire de même! Ce qui n'est pas encore le cas. Voila le résultat d'ip -6 addr sur ma box ubuntu.

Citer

rtorrent@coloq:~$ sudo ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2a01:cb19:886c:40:49f9:ac31:648c:118f/64 scope global temporary dynamic
valid_lft 521085sec preferred_lft 2085sec
inet6 2a01:cb19:886c:40:1913:c44d:2c30:42a2/64 scope global temporary deprecated dynamic
valid_lft 435287sec preferred_lft 0sec
inet6 2a01:cb19:886c:40:225:22ff:fec6:861a/64 scope global dynamic
valid_lft 2591822sec preferred_lft 604622sec
inet6 fe80::225:22ff:fec6:861a/64 scope link
valid_lft forever preferred_lft forever

N'hésitez pas si vous avez des idées

sylr · « **Réponse #2789 le:** 27 juin 2016 à 10:53:24 »

tu ping 2a01:cb19:886c:40::1 depuis ton ubuntu ?

vache67 · « **Réponse #2790 le:** 27 juin 2016 à 12:10:40 »

Salut à tous,

Je vais recevoir mon ERL-3 mercredi au plus tard, ce qui précipite un peu la réflexion de mon réseau. Afin de m'y préparer j'aimerais poser quelques questions supplèmentaires :

J'aimerais que mon réseau ait cette forme ci :

port 1 : l'ONT
port 2 : Mon réseau adressé en 10.0.0.X.

(10.0.0.100 à 110, ip fixées par le DHCP)
- 10.0.0.100 : un serveur (DHCP +) PXE
- 10.0.0.101 : un NAS ouvert en FTP
- 10.0.0.102 : un RPI avec un serveur web

- 10.0.0.1 à 10.0.0.10 -> ip dynamique
port 3 : Vide pour le moment

- Si j'ai bien compris, en mode DHCP, l'ERL3 se connectera au FAI en mode DHCP (en passant par l'ONT) Et le port 1 de l'ERL se retrouve avec l'IP publique.

- Il faut alors configurer un DHCP pour mon réseau sur le port 2 (10.0.0.X), sur lequel je connecterais mon switch :
* J'aimerai pouvoir déclarer les adresses MAC des appareils autorisés à se connecter, est-ce possible ?
* Sur mon réseau actuel, j'ai un serveur debian qui sert de DHCP-PXE. J'avais dû installer ces 2 services sur le même machine et désactiver le DHCP de la livebox : est ce qu'il est possible que l'ERL soit DHCP du réseau, et qu'il puisse relayer la connexion TFTP du PXE sur une autre machine ?

- Lorsque je recevrais l'ERL3, j'aurai sans doute un grand nombre de questions, faudra t-il poster ici ? ou ne vaudrait il pas mieu que je crée un nouveau topic ?

Pfiouuu, ça va être le gros b****l le temps que tout ça fonctionne, ça me fais un peu peur...

Merci d'avance :$

kgersen · « **Réponse #2791 le:** 27 juin 2016 à 14:00:21 »

Citation de: vache67 le 27 juin 2016 à 12:10:40

- Si j'ai bien compris, en mode DHCP, l'ERL3 se connectera au FAI en mode DHCP (en passant par l'ONT) Et le port 1 de l'ERL se retrouve avec l'IP publique.

oui. pour être plus précis ca sera le port eth1.832 (donc le VLAN 832 sur le port eth1)

Citation de: vache67 le 27 juin 2016 à 12:10:40

- Il faut alors configurer un DHCP pour mon réseau sur le port 2 (10.0.0.X), sur lequel je connecterais mon switch :
* J'aimerai pouvoir déclarer les adresses MAC des appareils autorisés à se connecter, est-ce possible ?
* Sur mon réseau actuel, j'ai un serveur debian qui sert de DHCP-PXE. J'avais dû installer ces 2 services sur le même machine et désactiver le DHCP de la livebox : est ce qu'il est possible que l'ERL soit DHCP du réseau, et qu'il puisse relayer la connexion TFTP du PXE sur une autre machine ?

le serveur DHCP n'a pas forcement besoin d'être dans l'ERL, il peut rester dans ton serveur debian si ca marche deja bien comme cela.
Il peut toutefois être dans l'ERL en gardant le PXE sur le debian.
En fait PXE depend de DHCP mais n'a pas besoin d'être sur la meme machine. Il faut juste configurer le serveur DHCP pour qu'il envoie les bonnes options PXE. Donc l'ERL peut être serveur DHCP et le debian serveur PXE.
Le serveur DHCP de l'ERL permet de limiter en fonction des adresses MAC ou attribuer des IP spécifiques en fonctions des adresses MAC.

Citation de: vache67 le 27 juin 2016 à 12:10:40

- Lorsque je recevrais l'ERL3, j'aurai sans doute un grand nombre de questions, faudra t-il poster ici ? ou ne vaudrait il pas mieu que je crée un nouveau topic ?

oui si t'as question est très spécifique a ton cas (PXE par exemple).

Tsunami2056 · « **Réponse #2792 le:** 27 juin 2016 à 14:02:05 »

Citation de: sylr le 27 juin 2016 à 10:53:24

tu ping 2a01:cb19:886c:40::1 depuis ton ubuntu ?

Oui.

Citer

rtorrent@coloq:~$ ping6 2a01:cb19:886c:40::1
PING 2a01:cb19:886c:40::1(2a01:cb19:886c:40::1) 56 data bytes
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=1 ttl=64 time=1.11 ms
64 bytes from 2a01:cb19:886c:40::1: icmp_seq=2 ttl=64 time=0.266 ms

sylr · « **Réponse #2793 le:** 27 juin 2016 à 15:27:59 »

Si tu trust mon ip (5.39.76.201) et mes clés ssh sur ton ubnt je peux essayer de regarder:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA5116X/asxo0VEEU502njmCesRh1f1r2rfTVQjdQN49gXm9M6Ap//neIdDudIJZMFS5LZGV7xyTIkLS7BvJp8JwN06nUS4fED5fAUWrhTVCOqDdKlA2XYP/FcuiS5fRNsYAzDcUmdWMlFb5BHBnA2TBsOlOYFecntpSXbUZDPGt9uql4GNhWoCh/0rM1XmFD54hxuZchlM59pJFD8FD28vLFpJ/DnnqPSyHLM+PrRlCgXowyj6lVYqPS4cRPBJFFJ3qnzzn8+X1GPj051YJGNngdOcXKdUMOjQggwNDIxxrD5pohr2zP7lp/PW6y4HWxIGSCtT3feXbqtSddl/9jzfw== sylvain@isis
ssh-rsa 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 sylvain@sethi.local

Tsunami2056 · « **Réponse #2794 le:** 27 juin 2016 à 19:01:11 »

Salut @sylr,

Je vais creuser un peu de mon côté d'abord avant que tu me le corriges. J'ai le temps devant moi !

Merci pour la proposition de coup de main

sylr · « **Réponse #2795 le:** 27 juin 2016 à 19:36:33 »

Juste une idée comme ca t'as activé le offload du forwarding ?

Code: [Sélectionner]

    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }

ca donne quoi ca ?

Code: [Sélectionner]

sysctl -a | grep "net.ipv6.*\.forwarding"