Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1529879 fois)

dda · « **Réponse #2904 le:** 17 octobre 2016 à 02:17:15 »

D'une nature légèrement feignante je me garde cette opportunité en dernier recours, n'étant pas familier avec Qemu je me suis fait une VM VirtualBox debian Wheezy et me prépare éventuellement à découvrir les joies de la cross-compilation... d'où ma question: si quelqu'un l'avait déjà fait (cette compilation) ça m'aurait éviter de me plonger dedans.

Je réalise en relisant mon message initial à quel point mon append a été sec et exclusivement factuel sans exprimer à quel point j'ai été impressionné par la technicité et le savoir-faire d'un grand nombre de participants à ce forum et je tenais à le dire.
Sec également au point de ne pas avoir remercié d'avance tout ceux, comme toi Nh3xus, vont ou ont passé du temps à m'aider à trouver des réponses.

Ça devait être dit et merci encore à tous ceux qui pourront m'aider

zoc · « **Réponse #2905 le:** 17 octobre 2016 à 07:25:21 »

Les tests de perf sont-ils effectués depuis l'ER-X ou une machine derrière ? Le routeur n'offload pas son propre traffic donc ça peut expliquer le débit en retrait.

Je@nb · « **Réponse #2906 le:** 17 octobre 2016 à 10:15:34 »

J'avais une VM Wheezy pour faire de la cross compil mipsel, je sais plus si je l'ai supprimée ou pas, je te dis ça quand je rentre chez moi.

topvad · « **Réponse #2907 le:** 19 octobre 2016 à 15:03:32 »

Hello,

Mon ERL3 avait ce matin quelques messages d'erreur ... après un reboot ce midi j'obtiens toujours la même chose.

Aurais-je oublié quelque chose ou est-ce uniquement un effet de bord d'IPV6 qui déboulerait chez moi ? Merci pour vos avis

eth1 (ONT), j'ai bien une IP v4 qui est récup.
eth2 (LAN), il n'y a aucun impact, le net marche parfaitement.
eth0 (LIVEBOX), pas de prb ... le tel et le net marche (je n'utilise pas la télé donc pas d'avis sur ce point) ... et IPV6 est marqué "en cours"

Des fois que cela soit utile ...

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        port-group Guest_Allowed_TCP {
            description ""
            port ntp
            port http
            port https
            port 110
            port 995
            port 143
            port 993
            port 587
            port 53
        }
        port-group Guest_Allowed_UDP {
            description ""
            port ntp
            port 53
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name VLAN10_IN {
        default-action drop
        description VLAN10_IN
        rule 10 {
            action accept
            description "Allow Unifi Website"
            destination {
                address 192.168.1.105
                port 8880
            }
            log disable
            protocol tcp
        }
        rule 20 {
            action accept
            description "Allow Unifi Website"
            destination {
                address 192.168.1.105
                port 8843
            }
            log disable
            protocol tcp
        }
        rule 30 {
            action drop
            description "Block P2P"
            log disable
            p2p {
                all
            }
            protocol tcp_udp
        }
        rule 40 {
            action drop
            description "Drop access to 192.168.1.0"
            destination {
                address 192.168.1.0/24
            }
            log disable
            protocol all
        }
        rule 50 {
            action accept
            description "Authorized TCP on Guest LAN"
            destination {
                group {
                    port-group Guest_Allowed_TCP
                }
            }
            log enable
            protocol tcp
        }
        rule 60 {
            action accept
            description "Authorized UDP on Guest LAN"
            destination {
                group {
                    port-group Guest_Allowed_UDP
                }
            }
            log disable
            protocol udp
        }
    }
    name VLAN10_LOCAL {
        default-action drop
        description VLAN10_LOCAL
        rule 10 {
            action accept
            description "Allow DNS on VLAN10"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 20 {
            action drop
            description "Drop access to 192.168.10.1"
            destination {
                address 192.168.10.1
            }
            log disable
            protocol all
        }
        rule 30 {
            action accept
            description "Authorized TCP on Guest LAN"
            destination {
                group {
                    port-group Guest_Allowed_TCP
                }
            }
            log disable
            protocol tcp
        }
        rule 40 {
            action accept
            description "Authorized UDP on Guest LAN"
            destination {
                group {
                    port-group Guest_Allowed_UDP
                }
            }
            log disable
            protocol udp
        }
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            interface-type tun
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "bro -> eth0.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 VERS LIVEBOX"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.2.1/24
            description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth0.838 LIVEBOX (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth1 {
        description "eth1 ONT (FIBRE RJ45)"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            address dhcpv6
            description "eth1.832 (INTERNET + VOIP + CANAL 2)"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth xxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth1.838 (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.1.1/24
        description "LOCAL LAN"
        duplex auto
        speed auto
        vif 10 {
            address 192.168.10.1/24
            description GuestVLAN
            firewall {
                in {
                    name VLAN10_IN
                }
                local {
                    name VLAN10_LOCAL
                }
            }
            mtu 1500
        }
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth2
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface br1 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                domain-name xxxxxxxxxxxxxx
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.254
                }
            }
        }
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 81.253.149.9
                dns-server 80.10.246.1
                domain-name orange.fr
                lease 86400
                start 192.168.2.21 {
                    stop 192.168.2.200
                }
                subnet-parameters "option rfc3118-auth xxxxxxxxx"
                subnet-parameters "option SIP xxxxxxxxxxxx"
            }
        }
        shared-network-name VLAN10 {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                lease 86400
                start 192.168.10.2 {
                    stop 192.168.10.20
                }
            }
        }
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
            listen-on eth1
            listen-on eth2.10
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        port 522
        protocol-version v2
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ERL
    login {
        user root {
            authentication {
                encrypted-password xxxxx
                plaintext-password ""
            }
            full-name ""
            level admin
        }
        user ubnt {
            authentication {
                encrypted-password xxxxx
                plaintext-password ""
            }
            full-name ""
            level admin
        }
    }
    name-server 37.187.0.40
    name-server 95.85.9.86
    name-server 87.98.175.85
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding disable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
        host 192.168.1.105 {
            facility all {
                level err
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi enable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.0.4901118.160804.1131 */

zoc · « **Réponse #2908 le:** 19 octobre 2016 à 15:10:52 »

Rien de bien méchant, tu peux virer SIP ici:

Code: [Sélectionner]

client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
L'option n'est pas supportée par l'ERL. Accessoirement, virer également

Code: [Sélectionner]

address dhcpv6
Car d'une part chez Orange, l'interface WAN n'a pas d'IPv6 publique (uniquement Link-Local qui lui permet de joindre la route par défaut), d'autre part, le préfixe est obtenu par DHCP6-PD et pas DHCP6. A noter que le client DHCP6-PD de l'ERL (et donc les paramètres de configuration associés) n'est pas compatible avec Orange et donc en l'état il est impossible d'avoir IPv6 fonctionnel sans installer un autre client DHCP6-PD, comme Dibbler, et le configurer à la main.

topvad · « **Réponse #2909 le:** 19 octobre 2016 à 15:41:00 »

Thanks Zoc.

Indeed les messages dhclient ne ressortent plus avec tes propositions de modification.
Par contre j'ai encore celles liées à miniupnpd, dhcepd et igmpproxy.

Pour dibbler j'avais suivi tes messages ... je vais tranquillement attendre de voir ce que cela donne déjà chez ubnt pour l'implèmentation de dibbler avant d'essayer de faire joujou avec IPV6. Pour l'instant, je vis parfaitement bien sans !

ps : Très bon le coup de répondre en moins de 10 min

zoc · « **Réponse #2910 le:** 19 octobre 2016 à 15:49:55 »

C'est les notifications par mail qui font que je réponds vite (et aussi que je ne suis pas très chargé au taf aujourd'hui)

Pour igmpproxy, effectivement il est sans doute mal configuré (il faut une interface upstream et au moins une downstream), mais ça n'a pas d'impact si tu n'utilises pas la TV sans Livebox. Tu peux même virer entièrement la configuration d'igmpproxy, ce qui évitera de lancer le process pour rien.

Pour dhcpd, je les ai aussi, dhcpd indique uniquement qu'il ne servira pas de requêtes sur eth1.832 puisqu'aucune plage d'ip n'est configurée. C'est normal vu que eth1.832 est l'interface WAN.

L'erreur miniupnpd est sans doute normale après un reboot (/var/log est un ramdisk, donc au reboot le fichier n'existe effectivement pas). Je ne l'ai jamais remarquée personnellement, mais mon ERL approche les 80 jours d'uptime, je ne reboote sans doute pas assez souvent

topvad · « **Réponse #2911 le:** 19 octobre 2016 à 16:19:22 »

Rmarque, si je n'avais pas commencé à regarder les logs pour comprendre pourquoi mon vlan déconnait je serais passé à côté de tout cela ... et comme la première étape c'est le reboot forcèment je ne pouvais que le voir

En tout cas merci pour tes réponses ... c'est instructif !

dda · « **Réponse #2912 le:** 20 octobre 2016 à 21:15:31 »

Citation de: zoc le 17 octobre 2016 à 07:25:21

Les tests de perf sont-ils effectués depuis l'ER-X ou une machine derrière ? Le routeur n'offload pas son propre traffic donc ça peut expliquer le débit en retrait.

1) Les débits mentionnés (environ 250/200 Mbps) sont mesurés avec iperf3 directement sur l'ER-X, donc
pas d'effet de NAT offload.
Si j'effectue ces mêmes mesures avec iperf3 depuis mon gateway sécurisé directement derrière
l'ER-X (VM/Virtualbox Slackware linux) mes mesures paraissent un peu plus sympa: 350/220 Mbps
Mais là ou ça tourne au délire complet: Ookla sur un portable (pas une VM cette fois) sous Windows
derrière le gateway sécurisé et finalement à travers l'ER-X, me donne 870/220 sous
Firefox et 600/200 sous Google ainsi qu'avec le plugin Google
Va comprendre charles... Mesures de perf et mensonges.

2) Petite question subsidiaire relative à dibbler: je me suis replongé sur les essais que j'avais
effectué avec le serveur et le client installés à partir du package debian (version 0.8.2.1) et mon
problème a été que après avoir utilisé la conf recommandée les options 16, 15 et 11 hex n'ont jamais
été acceptées par le parser.
Ma question est donc: est-ce en relation avec l'absence de patches sur cette version ou l'ancienneté
de cette version ?

Merci

zoc · « **Réponse #2913 le:** 21 octobre 2016 à 07:21:09 »

Il faut effectivement une version plus récente de dibbler (1.0.1 ou 1.1.0, ma mémoire est défaillante). Après il faudra peut être en plus la patcher pour le support de la CoS.

dda · « **Réponse #2914 le:** 21 octobre 2016 à 17:45:05 »

Je voulais tester, au moins au niveau parsing, la dernière version (1.0.1.1) de dibbler utilisée pour la version patchée mais le package debian refuse d'être installé car les versions de libc6 et libstdc++6 (>= 2.15 et >= 5.2 respectivement) installées dans l'ER-X sont plus anciennes (2.13-38+deb7u11 et 4.7.2-5) que celles demandées.
D'où ma 1ère question: avez-vous upgradé ces 2 librairies ? (libc6 et libstdc++6)
Et finalement est-il possible d'obtenir le/les patches du client dibbler si je veux tenter de me lancer dans une compilation pour l'ER-X ?

Merci d'avance
DDA

zoc · « **Réponse #2915 le:** 21 octobre 2016 à 17:49:07 »

Si c'est un package destiné à une Debian Jessy c'est sans doute normal d'avoir ces problèmes de dépendance. Et je déconseille fortement la mise à jour de la libc sur le routeur car ça va probablement tout casser.

La seule solution c'est vraiment de compiler une version récente soi-même depuis une debian wheezy.

~~Pour le patch, je vais essayer de préparer ça rapidement~~
Le patch est attaché à ce message