Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1540229 fois)

kune · « **Réponse #2976 le:** 09 février 2017 à 16:52:37 »

Si ca marche sans firewall ce soir, je balance un default-action drop sur l'IPV6 et au lit !

kune · « **Réponse #2977 le:** 09 février 2017 à 18:52:34 »

Bon ca marche, plus ou moins, j'ai un 10/10 sur http://test-ipv6.com/ mais sur http://ipv6-test.com/ j'ai quelques warning.

ICMP = Filtered
Hostname = none

Donc il me conseil de revoir mon firewall et mon DNS record.

Encore merci Zoc.

zoc · « **Réponse #2978 le:** 09 février 2017 à 18:54:31 »

Pour le hostname tu ne peux rien y faire, c'est du ressort du FAI puisque c'est eux qui ont la délégation de la zone "reverse" de ta plage d'IPs.

irfasud · « **Réponse #2979 le:** 10 février 2017 à 14:22:24 »

Bonjour à vous tous et merci bien pour ce tuto.
Peut-être que l'un d'entre vous a eu ce problème, mais je ne me sens pas de parcourir les 249 pages

J'ai suivi le tuto pour la configuration en pppoe en retirant tout ce qui est téléphonie et TV dont je n'ai pas l'utilité en entreprise.
Nous avons 5 sites équipés de la FttH Orange + Edge Router Lite 3 en version 1.9.0 et tous ont le même problème : les téléchargements de fichiers de plus de quelques mégas (> à 5 Mo environ) plantent systématiquement. On a aussi des sessions TSE qui ont tendance à "freezer" obligeant à déconnecter/reconnecter la connexion bureau à distance, plusieurs fois par jour. Bref, une instabilité sur les flux continus.

Je vous colle mon fichier de conf (j'ai retiré les routes statiques et les VPN IPSec site-to-site), si quelqu'un a une solution...

Merci

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "Packets from Internet to LAN"
        rule 1 {
            action accept
            description "Allow Established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid states"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "Allow Packets from Internet to the router"
        rule 1 {
            action accept
            description "Allow established sessions to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            interface-type tun
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.60.254/24
        description LAN
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description INTERNET
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            mtu 1500
            pppoe 0 {
                default-route auto
                mtu 1492
                name-server auto
                password ****************
                user-id fti/***********
            }
        }
    }
    ethernet eth2 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name DHCP {
            authoritative disable
            subnet 192.168.60.0/24 {
                default-router 192.168.60.254
                dns-server 192.168.60.2
                dns-server 192.168.0.250
                lease 86400
                start 192.168.60.40 {
                    stop 192.168.60.220
                }
            }
        }
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5000 {
            description "Masquerading outgoing connexions"
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
}
system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
    host-name ubnt
    login {
        user admin {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name admin
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}

zoc · « **Réponse #2980 le:** 10 février 2017 à 14:49:13 »

Première remarque: Rester sur une configuration PPPoE est maintenant une très mauvaise idée puisque Orange considère ce mode de connexion comme un mode de secours. Tous les clients qui utilisent PPPoE "sortent" maintenant à Paris, ce qui fait par exemple que si vous avez 2 bureaux à Montpellier et un site-to-site entre eux, le traffic va passer par Paris...

Ensuite, les problèmes rencontrés concernent du traffic passant par un VPN ? Si oui, alors la raison du problème est probablement la taille de la MTU/MSS : En PPPoE, le MSS est de 1452, et par conséquent les VPN qui passent par le lien PPPoE doivent avoir un MSS encore plus bas (valeur à déterminer).

irfasud · « **Réponse #2981 le:** 10 février 2017 à 14:59:44 »

Merci pour ta réponse.

J'ai essayé ce matin de faire la config en DHCP mais je n'ai pas réussi à la faire fonctionner. Mais effectivement il faut que j'enlève le pppoe partout.

Concernant le problème rencontré, le trafic VPN est correct. J'arrive à transférer des fichiers de 10~20~100Mo sans problèmes et les connexions TSE sont stables. Je constate ça uniquement sur les IP et domaines publics.

zoc · « **Réponse #2982 le:** 10 février 2017 à 15:02:08 »

OK, étrange... J'ai eu un ERL en configuration PPPoE pendant pratiquement 1 an sans avoir de soucis particulier...

irfasud · « **Réponse #2983 le:** 10 février 2017 à 15:14:46 »

Après, peut-être qu'une conf en DHCP résoudrait le problème, je sais pas...
Ou alors ça n'a rien à voir avec l'ERL3...

kgersen · « **Réponse #2984 le:** 10 février 2017 à 16:39:51 »

c'est pas un probleme de routage ? genre certains sites passent par le vpn pour les IP publics (ou pire: ont 2 routes de sortie vers Internet).

irfasud · « **Réponse #2985 le:** 10 février 2017 à 16:44:12 »

Hmmm. A priori, non.
La plupart des sites n'ont pas de route statique et on simplement deux VPN IPSec Site-to-Site bien définis.
On avait la même conf avec des routeurs Netgear sur des lignes ADSL Free sans aucun problème.

kgersen · « **Réponse #2986 le:** 10 février 2017 à 17:02:54 »

curieux en effet. au pire teste en coupant le VPN pour voir si ca influe ou pas quand meme.

sinon ca peux etre les symptomes d'un "conntrack tiimout" au niveau de firewall. En principe par défaut on les change pas et les valeurs sont larges, tres larges.

pour voir les timeouts:

Code: [Sélectionner]

sudo sysctl -a | grep conntrack | grep timeout

irfasud · « **Réponse #2987 le:** 13 février 2017 à 08:37:14 »

Merci pour ton retour.

La commande me renvoie ça :

Code: [Sélectionner]

net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_generic_timeout = 600
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 7440
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 180

Je vais essayer de voir en désactivant les VPN, le problème c'est que je ne peux pas les couper comme ça...