Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1568266 fois)

dda · « **Réponse #2916 le:** 21 octobre 2016 à 18:05:57 »

Grand merci pour ta réponse et ta rapidité.

Je vais tenter l'aventure de cette compilation sous une Wheezy (Virtualbox VM sur AMD...)

Hugues · « **Réponse #2917 le:** 21 octobre 2016 à 18:32:36 »

Citation de: zoc le 21 octobre 2016 à 17:49:07

Si c'est un package destiné à une Debian Jessy c'est sans doute normal d'avoir ces problèmes de dépendance. Et je déconseille fortement la mise à jour de la libc sur le routeur car ça va probablement tout casser.

C'est un des premiers trucs que j'ai appris sur l'adminsys debian. Si tu dois mettre à jour libc, c'est que tu fais une connerie et que tu vas tout planter.

dda · « **Réponse #2918 le:** 02 novembre 2016 à 00:24:25 »

Un résumé de mes dernières aventures relatives à la mise en œuvre d'un dibbler version 1.0.1
sur un ER-X (Processeur MIPSEL et non MIPS comme les ER's des grands...)

1) 1ère erreur: comme je disposais d'un ER-X spare, en secours, j'ai imaginé de l'utiliser pour
compiler dibbler, plus de problème de version de programme, de librairie, etc... L'utopie
complète mais faut pas rêver, sur un système ayant seulement 256MO d'espace disque
fallait être un doux rêveur pour imaginer une telle solution. Abandon de cette approche.

2) Je me suis donc lancé dans une tentative de découverte de ce qu'est la Cross-compilation,
le grand vaudoux des Toolchain ainsi que la subtile différence et la signification des différentes
appellations telles que Jessy, Wheezy, Sid et autres...
Après un grand nombre d'erreurs et de tâtonnements, le résultat est finalement là, après avoir
construit la Toolchain qui va bien j'ai finalement réussi à compiler un Dibbler 1.0.1 patché qui
tourne bien sur ER-X.
J'obtiens bien ma délégation de Préfixe/56, c'est le gros avantage par rapport à la Livebox qui
ne sait pas traiter autre chose que le /64. Je reviendrais par la suite sur Radvd et la config du
Serveur étant beaucoup plus intéressé par de l'adressage statique pour mes serveurs.

3) Je joins un zip contenant une copie du client et du serveur pour ceux qui aurait un ER-X et sont
intéressés à mettre en place de l'IP6

Je remercie tous ceux qui m'ont éclairé de leurs conseils et parmi eux je mentionne ZOC en particulier.

Parmi mes prochaines aventures je vais tenter de ré-activer la fonction téléphone de la Livebox en attendant mon prochain passage en France et le remplacement de ma Livebox par une qui s'allume...

DDA

Haribo_76 · « **Réponse #2919 le:** 02 novembre 2016 à 17:12:24 »

Bonjour

pour ceux qui ont livebox TV 4, avez vous rencontré des problèmes avec les images sur la navigation VOD en configuration dhcp sans livebox ?

j'ai résolu ce problème en faisant une réservation static dans le dhcp de l'erl avec les dns d'orange

shared-network-name User_Network {
authoritative disable
description "DHCP User"
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}

static-mapping LB4 {
ip-address 192.168.1.15
mac-address "mac addresse lan ou wifi"
static-mapping-parameters "option routers 192.168.1.1;"
static-mapping-parameters "option domain-name-servers 80.10.246.136;"
static-mapping-parameters "option domain-name-servers 81.253.149.6;"

En esperant que ca puisse aider certains

maisonverte · « **Réponse #2920 le:** 03 novembre 2016 à 16:16:32 »

Citation de: renaud07 le 10 avril 2016 à 00:30:20

@kgersen : C'est vrai que mettre net et TV sur eth0 n'est pas une mauvaise idée. Je me demandais justement quelle solution était la mieux étant intéressé par la chose également. Du coup dans mon cas je mettrais la box sur eth2 pour servir le tel uniquement, ça me parait pas mal

Pour le bridge c'est vrai qu'il n'est plus indispensable, mais étant donné que j'ai repris la config en vitesse j'ai pas fait la modif. Et puis ça évite que les flux remontent chez orange via le 838 il me semble, non ?

EDIT : suivant les recomentations, un fichier de conf qui devrait aller :

Cette configuration n'est valable qu'en fibre.

Code: [Sélectionner]
firewall { all-ping enable broadcast-ping disable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "packets from Internet to LAN" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" rule 1 { action accept description "allow established session to the router" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address 192.168.0.1/24 description LAN1 duplex auto speed auto } ethernet eth1 { description Internet_ONT duplex auto speed auto vif 832 { address dhcp description "Internet Orange DHCP" dhcp-options { client-option "send vendor-class-identifier "sagem";" client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;" client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";" client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;" client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;" default-route update default-route-distance 210 name-server update } egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7" firewall { in { name WAN_IN } local { name WAN_LOCAL } } } vif 838 { address dhcp description "TV - VOD" dhcp-options { client-option "send vendor-class-identifier "sagem";" client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;" client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";" client-option "request subnet-mask, rfc3442-classless-static-routes;" } egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4" } vif 840 { address 192.168.255.254/24 description "VLAN TV Canal 1 - Zap" egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5" } } ethernet eth2 { description LAN2_Livebox duplex auto speed auto vif 832 { address 192.168.2.254/24 description "Voip" } } loopback lo { } } protocols { igmp-proxy { disable-quickleave interface eth1.840 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth0 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } interface eth2 { role disabled threshold 1 } } } service { dhcp-server { disabled false hostfile-update disable global-parameters "option rfc3118-auth code 90 = string;" global-parameters "option SIP code 120 = string;" shared-network-name LOCAL_NETWORK { authoritative enable subnet 192.168.0.0/24 { default-router 192.168.0.1 dns-server 192.168.0.1 lease 86400 start 192.168.0.100 { stop 192.168.0.200 } } } shared-network-name Livebox { authoritative enable subnet 192.168.2.0/24 { default-router 192.168.2.254 dns-server 80.10.246.136 dns-server 81.253.149.6 lease 86400 start 192.168.2.21 { stop 192.168.2.200 } subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;" subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;" static-mapping Livebox { ip-address 192.168.2.1 mac-address 00:37:XX:XX:XX:XX } } } } dns { forwarding { cache-size 1000 listen-on eth2 listen-on eth0 } } gui { https-port 443 } nat { rule 5010 { description "Masquerading outgoing connections" log disable outbound-interface eth1.832 protocol all type masquerade } rule 5011 { description "Masquerading TV" log disable outbound-interface eth1.838 protocol all type masquerade } } ssh { port 22 protocol-version v2 } upnp2 { listen-on eth0 nat-pmp enable secure-mode disable wan eth1.832 } } system { config-management { commit-revisions 5 } conntrack { expect-table-size 4096 hash-size 4096 table-size 32768 tcp { half-open-connections 512 loose disable max-retrans 3 } } login { user xxxxxxxx { authentication { encrypted-password xxxxxxxxxxxxxxxx plaintext-password "" } full-name "administrator" level admin } } name-server 8.8.8.8 name-server 8.8.4.4 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { ipsec enable ipv4 { forwarding enable pppoe enable vlan enable } ipv6 { forwarding enable } } syslog { global { facility all { level notice } facility protocols { level warning } } } time-zone Europe/Paris traffic-analysis { dpi disable export disable } } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v1.7.0.4783374.150622.1534 */
Le bridge a été enlevé, DHCP et NAT uniquement sur eth1.838. J'ai rajouté en plus eth2 pour servir le téléphone via la box (vif 832 uniquement).

Expurgé d'eth2 (j'ai laissé une adresse statique, sans dhcp) :
Code: [Sélectionner]
firewall { all-ping enable broadcast-ping disable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "packets from Internet to LAN" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" rule 1 { action accept description "allow established session to the router" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address 192.168.0.1/24 description LAN1 duplex auto speed auto } ethernet eth1 { description Internet_ONT duplex auto speed auto vif 832 { address dhcp description "Internet Orange DHCP" dhcp-options { client-option "send vendor-class-identifier "sagem";" client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;" client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";" client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:X:X:X:X:X:X:X:X;" client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;" default-route update default-route-distance 210 name-server update } egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7" firewall { in { name WAN_IN } local { name WAN_LOCAL } } } vif 838 { address dhcp description "TV - VOD" dhcp-options { client-option "send vendor-class-identifier "sagem";" client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;" client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";" client-option "request subnet-mask, rfc3442-classless-static-routes;" } description "VLAN TV VOD" egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4" } vif 840 { address 192.168.255.254/24 description "VLAN TV Canal 1 - Zap" egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5" } } ethernet eth2 { address 192.168.2.254/24 } loopback lo { } } protocols { igmp-proxy { disable-quickleave interface eth1.840 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth0 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } interface eth2 { role disabled threshold 1 } } } service { dhcp-server { disabled false hostfile-update disable shared-network-name LOCAL_NETWORK { authoritative enable subnet 192.168.0.0/24 { default-router 192.168.0.1 dns-server 192.168.0.1 lease 86400 start 192.168.0.100 { stop 192.168.0.200 } } } } dns { forwarding { cache-size 1000 listen-on eth2 listen-on eth0 } } gui { https-port 443 } nat { rule 5010 { description "Masquerading outgoing connections" log disable outbound-interface eth1.832 protocol all type masquerade } rule 5011 { description "Masquerading TV" log disable outbound-interface eth1.838 protocol all type masquerade } } ssh { port 22 protocol-version v2 } upnp2 { listen-on eth0 nat-pmp enable secure-mode disable wan eth1.832 } } system { config-management { commit-revisions 5 } conntrack { expect-table-size 4096 hash-size 4096 table-size 32768 tcp { half-open-connections 512 loose disable max-retrans 3 } } login { user xxxxxxxx { authentication { encrypted-password xxxxxxxxxxxxxxxx plaintext-password "" } full-name "administrator" level admin } } name-server 8.8.8.8 name-server 8.8.4.4 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { ipsec enable ipv4 { forwarding enable pppoe enable vlan enable } ipv6 { forwarding enable } } syslog { global { facility all { level notice } facility protocols { level warning } } } time-zone Europe/Paris traffic-analysis { dpi disable export disable } } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v1.7.0.4783374.150622.1534 */

Bonjour,

Je me suis inspiré de ton tuto et tout fonctionne dans mon cas avec TV et LAN sur Ethernet 0, ONT sur Ethernet 1 et Livebox sur Ethernet 2 juste pour le téléphone du coup.
Le téléphone ne fonctionne pas.
Dans ta config il n'y a pas de dhcp server pour le lan de livebox.
Faut il faire quelque chose de particulier avec la livebox pour que cela fonctionne.
auparavant son connecteur LAN rouge etait connecté a l'ONT et je l'ai connecté a l'eth0 de l'ERL.
Son ip était 192.168.1.240.
Pour faire la manip, j'ai demarrer d'abord l'ERL, puis l'ONT pour constater qu'on recuperait bien une ip@ publique sur eth1.
Puis j'ai allumé la livebox qui apres un demarrage clignote maintenant en rouge.
Merci pour votre avis,

Ma config pour eth2

ethernet eth2 {
address 192.168.2.254/24
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "Voip"
}

Puis j'ai rajouté une partie DHCP server

shared-network-name Livebox {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 80.10.246.136
        dns-server 80.10.246.130
        dns-server 81.253.149.6
        dns-server 81.253.149.1
        lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
   subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:70;"
      subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.240
mac-address 6C:XX:XX:XX:XX:76
}
}
}

Cordialement,

Jean.

thegibs · « **Réponse #2921 le:** 07 novembre 2016 à 16:19:39 »

Bonjour,

Citation de: vache67 le 29 septembre 2016 à 22:24:47

Cependant, je viens de faire un test par hazard, et je me suis rendu compte que les ports 21 25 554 1723 et surtout un proxy sur 8080 sont ouvert sans que je fasse quoi que ce soit.
(...)
Quelqu'un aurait une idée svp ?

Je pense, au moins en partie, à une webcam IP en UPnP (554 RTSP), peut-être accompagnée d'un NAS type Synology ou équivalent (VPN PPTP 1723, SMTP 25, FTP 21, peut-être ton port 8080 selon ta config web/reverse-proxy). Le Synology sait piloter l'ERL grace à l'UPnP.
J'ai le problème avec une webcam D-Link DCS-933L, qui malgré ma consigne de désactiver l'UPnP, s'obstine à ouvrir les ports (avec succès sur 554, 80 et 443), en outrepassant mes translations statiques. Bug déjà mentionné dans quelques rares forums anglophones, jamais corrigé. Etonnamment il ne se produit pas avec les box opérateurs (je n'ai pas cherché pourquoi).

Le plus simple c'est encore de se connecter sur l'un des ports avec le client approprié (FTP sur port 21, ou telnet sur port 25 et taper EHLO coucou, etc.). Ca devrait te donner des indications.
Encore plus déterministe: il y a moyen d'énumérer les associations UPnP gateway en se connectant en console à l'ERL (mais je n'ai pas la commande par coeur sous la main). Ainsi tu sauras quelle IP interne a demandé le port.

A+

zoc · « **Réponse #2922 le:** 08 novembre 2016 à 16:31:34 »

Citation de: thegibs le 07 novembre 2016 à 16:19:39

il y a moyen d'énumérer les associations UPnP gateway en se connectant en console à l'ERL (mais je n'ai pas la commande par coeur sous la main). Ainsi tu sauras quelle IP interne a demandé le port.

Code: [Sélectionner]

show upnp2 rules

vache67 · « **Réponse #2923 le:** 10 novembre 2016 à 11:28:25 »

Salut à tous,

J'ai une petite question concernant la mise à jour de l'ER-LITE3.
Je viens de voir que la v1.9 était sortie. je suis en 1.8.5. Est ce que vous pouvez me confirmez que si je vais la maj depuis l'interface web 'Upgrade System Image', je ne perdrais pas ma config au reboot et que tout fonctionnera encore ?

J'espère que ça corrigera les problème de ports que j'avais. En attendant, j'ai du user de iptables sur mon serveur pour tout bloquer.

Merci :$

PS : je trouve bizzare que plus rien ne bouge sur le graphique du dashboard. Comme si plus rien ne passait... (alors qu'internet fonctionne)
D'ailleurs dans la liste des interfaces j'ai la ligne :

Code: [Sélectionner]

pppoe0 pppoe0 pppoe 1492 disconnectedOu alors, je ne l'avais jamais remarquée.
Aussi, le shémas avec les interfaces physiques en haut de cette même page n'indiquent plus rien... Et là, je suis certain que j'avais quelque chose avant...

MikeTheFreeman · « **Réponse #2924 le:** 10 novembre 2016 à 20:53:29 »

La 1.9 ne changera rien, j'ai également scanné l'ip publique de mon erl et les même ports tcp sont déclarés ouvert (sauf le 8080).
Je me demande quand même dans quelle mesure c'est ouvert vu qu'une requête web sur le port 80 ou 443 ne donnent rien.

Hugues · « **Réponse #2925 le:** 10 novembre 2016 à 21:57:29 »

Et si tu teste (temporairement) avec une config vierge ?

MikeTheFreeman · « **Réponse #2926 le:** 10 novembre 2016 à 22:35:42 »

J'ai googleulé et les ports ouverts sur 21, et 554 sont assez courant sur plusieurs machines suite à un scan nmap.
Je pense que la raison est assez complexe, ça ne veut pas forcèment dire que c'est une faille de sécurité même si j'aimerai bien avoir la raison.

Et non, pas envie tester avec une config vierge, mon équipement est en prod et je peux pas faire ce que je veux à n'importe quel moment et je n'ai pas vraiment le temps pour ça en ce moment.

zoc · « **Réponse #2927 le:** 11 novembre 2016 à 07:15:04 »

Citation de: MikeTheFreeman le 10 novembre 2016 à 20:53:29

La 1.9 ne changera rien, j'ai également scanné l'ip publique de mon erl et les même ports tcp sont déclarés ouvert (sauf le 8080).

Testé à l'instant, ce n'est pas le cas chez moi, hormis pour 80 et 443, mais c'est normal j'héberge des sites web et j'ai donc une redirection de ports pour ces deux là, et quelques autres (j'héberge aussi un serveur mail/imap et donc les ports correspondants sont aussi ouverts).

En tout cas pas de 21 ni 554 chez moi.