Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1682504 fois)

zoc · « **Réponse #2892 le:** 29 septembre 2016 à 07:28:51 »

Citation de: konki le 28 septembre 2016 à 21:45:56

Zoc, y a t-il une opportunité de simplifier la configuration DHCP sans Livebox avec du VLAN tagging via un switch ES-24-LITE?

Probablement, mais je n'ai toujours pas acheté le switch

D'autres personne sur le forum le font déjà avec d'autres switchs supportant diffserv. Après, le seul intérêt, c'est d'éviter de devoir patcher dhclient. Il faudra toujours modifier légèrement le script qui génère la configuration du client DHCP, et pour IPv6 il faudra toujours installer dibbler.

vache67 · « **Réponse #2893 le:** 29 septembre 2016 à 22:24:47 »

Salut à tous,

J'ai un erlite-3 depuis quelques mois je suis ravi du résultat

Cependant, je viens de faire un test par hazard, et je me suis rendu compte que les ports 21 25 554 1723 et surtout un proxy sur 8080 sont ouvert sans que je fasse quoi que ce soit.

Je suis en version 1.8.5

Dans la section port-forward, il n'y a que les ports que j'ai ouvert volontairement.
J'ai tenté d'ajouter des règles drop dans WAN_IN du firewall. mais c'est toujours ouvert.

Quelqu'un aurait une idée svp ?

Merci

Voici le début de mon fichier config pour ma tentative de fermeture du 8080 :

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 31 {
            action drop
            description "ferme port 8080"
            log disable
            protocol tcp_udp
            source {
                port 8080
            }
        }
    }

Hugues · « **Réponse #2894 le:** 30 septembre 2016 à 12:21:11 »

Décris comment tu as fait ton test pour détecter ces ports ?

vache67 · « **Réponse #2895 le:** 30 septembre 2016 à 22:08:48 »

avec nmap :

Code: [Sélectionner]

nmap -sT -p0-33000 X.X.X.X
PORT     STATE SERVICE
21/tcp   open  ftp
24/tcp   open  priv-mail
25/tcp   open  smtp
80/tcp   open  http
443/tcp  open  https
554/tcp open  rtsp
1723/tcp open  pptp
...

MikeTheFreeman · « **Réponse #2896 le:** 01 octobre 2016 à 16:34:17 »

Quel est ton protocole de test ? Tu te connectes directement sur le port "ONT" de l'ERL ?
Comment fais-tu pour tagger les trames dans les vlan correspondants ?
Car en effet il n'y a pas de règle firewall sur le port physique uniquement les virtual interfaces.

vache67 · « **Réponse #2897 le:** 01 octobre 2016 à 17:50:53 »

Je ne suis pas certain d'avoir compris ta première question. Mais pour faire mon test, je tente des connexions et utilise nmap depuis un serveur OVH, sur mon adresse ip publique.
L'entrée de l'ONT est sur eth1, eth0 est sur mon réseau local. Je n'utilise pas encore eth2.

Voici ma config, j'ai retiré ce qui en disait un peu trop sur mon installation mais qui ne concerne pas les ports :

Code: [Sélectionner]

cat config.boot
firewall {
    all-ping disable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 10 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.1.254/24
        description LAN1
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description Internet
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password xxxxxxxxxxxxx
                user-id fti/xxxxxxxxxx
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 851 {
            bridge-group {
                bridge br0
            }
            description VoIP
        }
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description LAN2
        duplex auto
        speed auto
        vif 835 {
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 851 {
            bridge-group {
                bridge br0
            }
            description VoIP
        }
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description HTTPS
        forward-to {
            address 192.168.1.100
            port 443
        }
        original-port 443
        protocol tcp
    }
    wan-interface pppoe0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 192.168.1.254
                dns-server 8.8.8.8
                lease 86400
                start 192.168.1.1 {
                    stop 192.168.1.50
                }
            }
        }
        shared-network-name LAN2 {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.21 {
                    stop 192.168.2.200
                }
            }
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            outbound-interface pppoe0
            type masquerade
        }
    }
    pppoe-server {
        authentication {
            local-users {
                username fti/xxxxxxxxxxxxx {
                    password xxxxxxxxxxxx
                }
            }
            mode local
        }
        interface eth2.835
        mtu 1492
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
}

MikeTheFreeman · « **Réponse #2898 le:** 01 octobre 2016 à 19:58:18 »

Tu as fais ça depuis un serveur à l'extérieur, le test est OK donc.

Nmap dit quoi ? ouvert ouvert ou un autre truc ?
Essaie de désactiver upnp pour voir ?

vache67 · « **Réponse #2899 le:** 02 octobre 2016 à 12:12:01 »

J'ai donné la sortie de nmap plus haut.

l'upnp n'est pas actif sur le eth1, j'ai quand même fait le test de le désactivé, ça ne change rien

MikeTheFreeman · « **Réponse #2900 le:** 02 octobre 2016 à 13:54:47 »

C'est vraiment bizarre... si c'est ouvert c'est que côté ERL ça répond.

Essaie de rajouter ceci pour limiter le port en écoute sur une adresse privée côté webgui et ssh

Code: [Sélectionner]

gui {
        https-port 443
        listen-address ip-address

Code: [Sélectionner]


ssh {
        listen-address ip-address
        port 22
        protocol-version v2

Question con, du côté de ton LAN, il n'y a pas de socket ouvert avec les ports en question ?
Le serveur OVH ne te sert pas de relai smtp ou un truc du genre ?

lowfab · « **Réponse #2901 le:** 08 octobre 2016 à 07:03:07 »

Bonjour,

J'ai suivi ce sujet il y a plus d'un an pour configurer un ERL-3 (firmeware 1.6) couplé à une livebox 3 sur FO et tout fonctionne bien.

Je compte passer à la LB4 ... Pensez-vous que j'aurais une intervention à faire sur le routeur ?

dda · « **Réponse #2902 le:** 17 octobre 2016 à 00:52:51 »

Citation de: zoc le 09 avril 2016 à 18:38:06

Pour dibbler, effectivement, je n'ai pas fourni de version autre que celle qui a été donnée sur un autre fil du forum par @Jeanb (et qui ne fonctionnera pas là où la CoS est obligatoire d'ailleurs), pour plusieurs raison:
Il faut le configurer à la main (@kgersen a donné un exemple de configuration qui fonctionne, sur lequel je me suis basé).
Il faut écrire un script spécifique à votre configuration réseau, ce qui demande certaines connaissances (par exemple chez moi j'ai 4 VLANs sur eth0, et donc mon script attribue un /64 à chaque VLAN).
Mon script ne configure pas radvd, et donc ne peux pas diffuser d'adresses de serveur DNS IPv6 (j'ai sur mon LAN un résolveur DNS et pour l'instant je ne supporte que les requêtes en IPv4).
Mon script ne supporte pas DHCP6 stateless non plus coté LAN.
Je n'ai malheureusement pas le temps d'écrire un tuto, donc je préfère ne rien poster plutôt que de ne pas avoir le temps de faire le support

Je vais tout de même fournir le paquet Debian de dibbler-client patché pour supporter la CoS (joint à ce message), mais vous allez devoir mettre les mains dedans pour le configurer selon vos besoins.

Bonjour zoc,

Ma LB3 a explosé en vol et étant loin de ma base en France j'ai dû lui substituer d'urgence un ER-X avec lequel je suis familier ici aux US (bien sur j'ai d'autres accès Internet qu'Orange pour pouvoir faire ça à distance)

Le net de cette aventure après quelques jours: tout ce qui est réseau IPV4 fonctionne correctement sachant que la LB3 est complètement hors-jeu (pas de Tel ou de télé Orange), je réglerai cela à mon retour en France en Décembre.

J'ai 2 questions pour toi ou tout autre participant à ce forum qui pourrait m'aider:

1) J'ai besoin d'IP-V6 donc la seule solution avec Orange semble être dibbler. J'ai installé le package debian Wheezy sur mon ER+x mais résultat négatif: pas de réponse aux sollicitations donc mon seul recours est ta version patchée et la est mon problème: l'ER-x a besoin d'une version mipsel et non pas mips comme ERL ou autres. Ma question est donc: es-tu au courant, ou quelqu'un d'autre de l'existence d'une version patchée mipsel pour un ER-x ?

2) J'ai quand même un autre petit problème, qui n'est pas crucial (au moins pour l'instant), je m'attendais à avoir un débit de l'ordre de 500/200 Mbps avec l'ER-x (de ce coté de la marre je n'ai pas non plus Gbps juste 200/20 et donc pas de Pbs) mais les mesures avec iperf3 me donne du 250/200 Mbps et la question s'adresse peut-être plus à ceux qui pratiquent l'ER-x: est-ce que ce sont les figures qu'ils obtiennent ou ai-je foiré quelque chose dans ma configuration (l'offload est bien entendu activé, je suis en version 1.90 sur mon ER-x mais en version 1.85 les mesures étaient identiques)

Nh3xus · « **Réponse #2903 le:** 17 octobre 2016 à 01:15:28 »

Citer

Ma question est donc: es-tu au courant, ou quelqu'un d'autre de l'existence d'une version patchée mipsel pour un ER-x ?

Tu peux tenter la compilation croisée dans une VM Qemu.

Il me semble que zoc a procédé ainsi pour créer ces fameux binaires.