Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1529790 fois)

Hugues · « **Réponse #3036 le:** 17 février 2017 à 09:04:29 »

Citation de: dim31 le 17 février 2017 à 07:36:52

Le SNMP c'est bien, mais pour avoir les flux en fonctions des IP ou des ports il aurait été intéressant d'avoir du netflow, dommage...

il y'a du netflow sur l'ERL

zoc · « **Réponse #3037 le:** 17 février 2017 à 09:06:05 »

Oui, mais ça désactive l'offload...

Hugues · « **Réponse #3038 le:** 17 février 2017 à 09:08:52 »

Faut savoir ce qu'on veut, c'est un routeur SoHo, tu peux pas router du Giga avec du Flow, de la QoS, du DPI, du loadbalancing, des règles de FW.... Pour 100€ ^_^

à une époque je voulais en chainer deux : un pour le GRE offload, un pour le reste (le GRE Offload faussait le monitoring), je suis passé sur du Cisco à la place.

zoc · « **Réponse #3039 le:** 17 février 2017 à 09:17:23 »

Citation de: Hugues le 17 février 2017 à 09:08:52

Faut savoir ce qu'on veut, c'est un routeur SoHo

J'ai jamais dit le contraire, c'était juste pour informer ceux qui seraient tentés de l'activer

kgersen · « **Réponse #3040 le:** 17 février 2017 à 11:32:20 »

Citation de: Hugues le 17 février 2017 à 09:08:52

Faut savoir ce qu'on veut, c'est un routeur SoHo, tu peux pas router du Giga avec du Flow, de la QoS, du DPI, du loadbalancing, des règles de FW.... Pour 100€ ^_^

bah si on est 2017... c'est juste que l'ERL commence a daté niveau hardware. S'ils actualisaient la puce avec un truc plus récent, pour 100€ on pourrait faire du netflow a 1Gbps :p
pour info: le CPU Octeon 5020 de l'ERL est sortie en 2006!! ca fait plus de 10 ans!

le problème c'est qu'il n'y a pas de compétition aiguë comme avec les smartphones et que le 'besoin' d'avoir du 1Gbits est pour le moment limité niveau grand publc (a "nous" quoi) et quasi inexistant en pro dans cette gamme de devices.

irfasud · « **Réponse #3041 le:** 17 février 2017 à 15:48:31 »

Citation de: irfasud le 10 février 2017 à 14:22:24

Bonjour à vous tous et merci bien pour ce tuto.
Peut-être que l'un d'entre vous a eu ce problème, mais je ne me sens pas de parcourir les 249 pages

J'ai suivi le tuto pour la configuration en pppoe en retirant tout ce qui est téléphonie et TV dont je n'ai pas l'utilité en entreprise.
Nous avons 5 sites équipés de la FttH Orange + Edge Router Lite 3 en version 1.9.0 et tous ont le même problème : les téléchargements de fichiers de plus de quelques mégas (> à 5 Mo environ) plantent systématiquement. On a aussi des sessions TSE qui ont tendance à "freezer" obligeant à déconnecter/reconnecter la connexion bureau à distance, plusieurs fois par jour. Bref, une instabilité sur les flux continus.

Je vous colle mon fichier de conf (j'ai retiré les routes statiques et les VPN IPSec site-to-site), si quelqu'un a une solution...

Merci

Code: [Sélectionner]
firewall { all-ping enable broadcast-ping disable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "Packets from Internet to LAN" rule 1 { action accept description "Allow Established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "Drop invalid states" log disable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "Allow Packets from Internet to the router" rule 1 { action accept description "Allow established sessions to the router" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "Drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } options { mss-clamp { interface-type pppoe interface-type pptp interface-type tun mss 1452 } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address 192.168.60.254/24 description LAN duplex auto speed auto } ethernet eth1 { description INTERNET duplex auto speed auto vif 835 { address dhcp description FTTH mtu 1500 pppoe 0 { default-route auto mtu 1492 name-server auto password **************** user-id fti/*********** } } } ethernet eth2 { duplex auto speed auto } loopback lo { } } service { dhcp-server { disabled false hostfile-update disable shared-network-name DHCP { authoritative disable subnet 192.168.60.0/24 { default-router 192.168.60.254 dns-server 192.168.60.2 dns-server 192.168.0.250 lease 86400 start 192.168.60.40 { stop 192.168.60.220 } } } use-dnsmasq disable } dns { forwarding { cache-size 1000 listen-on eth0 listen-on eth2 } } gui { http-port 80 https-port 443 older-ciphers enable } nat { rule 5000 { description "Masquerading outgoing connexions" log disable outbound-interface pppoe0 protocol all type masquerade } } ssh { port 22 protocol-version v2 } } system { config-management { commit-revisions 5 } conntrack { expect-table-size 4096 hash-size 4096 table-size 32768 tcp { half-open-connections 512 loose disable max-retrans 3 } } host-name ubnt login { user admin { authentication { encrypted-password **************** plaintext-password **************** } full-name admin level admin } } name-server 8.8.8.8 name-server 8.8.4.4 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { hwnat disable ipsec enable ipv4 { forwarding enable pppoe enable vlan enable } ipv6 { forwarding enable } } syslog { global { facility all { level notice } facility protocols { level warning } } } time-zone Europe/Paris traffic-analysis { dpi disable export disable } }

Bonjour

Je reviens vers mon problème.
J'ai essayé plusieurs trucs :

Routeur Netgear derrière la livebox : c'est OK mais je ne peux monter qu'un seul VPN. Or il m'en faut 5.
Downgrade du ERL3 en version 1.8.0 au lieu de 1.9.1. Le problème reste le même

Cela permet de confirmer que le problème vient bien de la conf de l'ERL3...

Si quelqu'un a une autre idée, je prends

MikeTheFreeman · « **Réponse #3042 le:** 20 février 2017 à 10:09:49 »

Puisque ça parle d'Observium : il y a plusieurs mois déjà, j'ai installé un LibreNMS sur un RPI2 en Raspbian Jessie Lite.
Pour ne pas détruire la SD card avec les I/O en masse : j'ai acheté un HDD usb et j'ai monté la partition principale dessus (la SD ne sert que pour le boot).

Ça me fait serveur SNMP et serveur Syslog (serveur syslog à activer en à côté) et ça fait plutôt bien le job.
Je supervise l'ERL3, des switchs, un AP et des NAS avec et je n'ai pas trop à y toucher depuis l'install (CRON avec maj auto).
Plutôt satisfait.

kgersen · « **Réponse #3043 le:** 20 février 2017 à 15:12:10 »

Citation de: irfasud le 17 février 2017 à 15:48:31

Bonjour

Je reviens vers mon problème.
J'ai essayé plusieurs trucs :
Routeur Netgear derrière la livebox : c'est OK mais je ne peux monter qu'un seul VPN. Or il m'en faut 5.
Downgrade du ERL3 en version 1.8.0 au lieu de 1.9.1. Le problème reste le même

Cela permet de confirmer que le problème vient bien de la conf de l'ERL3...

Si quelqu'un a une autre idée, je prends

que donne un ERL derriere la livebox ?

si je résume ce qu'on sait a ce jour (plus questions:)

infrastructure:
- 5 sites équipés de la FttH Orange + Edge Router Lite 3 en version 1.9.0. (pourquoi pas 1.9.1?). Abo pro ou GP? ip fixe ?
- connexion VPN IPSec entre les sites (full mesh ou étoile avec un site central ou autre toplogie ? sur de l'UDP ou TCP ?)

symptômes:
- perte connexion sur les transferts qui 'durent': téléchargements longs, sessions TSE, etc ... sur tous les sites?
- mais que sur les IP publics. le trafic inter site via VPN n'a pas ce souci. as t'on le problème si y'a pas du tout de vpn dans un routeur ? (ie est-ce la config VPN qui introduirait le souci ou pas)

j'ai vu qu'il y a des lignes de configuration "conntrack" dans ta config : pourquoi ?

sinon tu peux débugger du coté de conntrack avec la commande:

Code: [Sélectionner]

show conntrack table ipv4 source 192.168.1.x:y(ajuste l'ip et le port ou ne met pas de port)
pendant un téléchargement ou une session TSE depuis 192.168.1.x

dmfr · « **Réponse #3044 le:** 23 février 2017 à 14:10:29 »

Je bloque sur un cas de figure qui n'a pas (encore) été évoqué ici.

Est-il possible de "bridger" ou "déléguer" en 1 pour 1 l'IP publique attribuée par le DHCP orange (ou plus généralement une IP WAN) ?
En gros c'est le comportement de la freebox en mode "bridge".
Il était également possible de le faire avec les routeurs SpeedTouch. (ST536 etc)

J'imagine qu'il faudrait sur l'ERL:
- placer une route de type (eth0 étant l'interface LAN)

Code: [Sélectionner]

route add <ip publique> dev eth0- placer une règle ARP pour que l'ERL simule l'IP de la passerelle orange

Quelqu'un a-t-il déjà réussi une manipulation de ce genre ?

kgersen · « **Réponse #3045 le:** 23 février 2017 à 17:03:22 »

Citation de: dmfr le 23 février 2017 à 14:10:29

Je bloque sur un cas de figure qui n'a pas (encore) été évoqué ici.

Est-il possible de "bridger" ou "déléguer" en 1 pour 1 l'IP publique attribuée par le DHCP orange (ou plus généralement une IP WAN) ?
En gros c'est le comportement de la freebox en mode "bridge".
Il était également possible de le faire avec les routeurs SpeedTouch. (ST536 etc)

J'imagine qu'il faudrait sur l'ERL:
- placer une route de type (eth0 étant l'interface LAN)
Code: [Sélectionner]
route add <ip publique> dev eth0- placer une règle ARP pour que l'ERL simule l'IP de la passerelle orange

Quelqu'un a-t-il déjà réussi une manipulation de ce genre ?

hum c'est quoi le but d'une telle configuration ? comment l’équipement derriere (coté LAN) va récupérer <ip publique> ? c'est pour mettre un firewall ?

la comme ca , je ne vois pas de solutions simple. Peut-être en jouant avec arp-proxy mais ca ne suffira pas je pense.

au pire peut-etre avec du double nat 1-1:

<ip public> --eth1.832--(NAT 1-1)-- 192.168.1.1 -- (NAT 1-1) --eth0-- <ip public+1ou-1>---<ip public>

mais c'est affreux ...(si ca marche j'ai meme pas testé

)

keshav26 · « **Réponse #3046 le:** 23 février 2017 à 17:19:35 »

Bonjour,

J'ai un étrange bug avec mon décodeur livebox tv qui est derrière un erl3.

Au fait, j'ai des problèmes pour accéder au replay ça fonctionne bien pendant 2 ou 3 jours et puis ça arrête de fonctionner! ( Impossible d’accéder au Replay )

Quand je sélectionne Replay dans le "Menu" de la livebox tv ça ne répond pas.

zoc croyait que c'était un problème de lease dhcp sur la vif 838 mais même en renouvelant le dhcp en CLI c'est pas mieux...

Est-ce quelqu'un aura une idée? Voici ma conf

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.77.254/24
        description LAN
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "DHCP Orange"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send dhcp-client-identifier 1:48:x:x:x:x:x;" ( Mac Livebox Modem )
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:x:x:x:x:x:x:x:x:x:x;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
                out {
                }
            }
        }
        vif 838 {
            address dhcp
            description "TV - VOD"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send dhcp-client-identifier 1:40:x:x:x:x:x;" ( Mac decodeur TV )
                client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
                client-option "request subnet-mask, rfc3442-classless-static-routes;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            address 192.168.255.254/24
            description "TV - Multicast"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description TV
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description "QNAP SSH"
        forward-to {
            address 192.168.77.18
            port 22
        }
        original-port 22
        protocol tcp_udp
    }
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.77.0/24 {
                default-router 192.168.77.254
                dns-server 192.168.77.254
                lease 86400
                start 192.168.77.10 {
                    stop 192.168.77.200
                }
                static-mapping Livebox {
                    ip-address 192.168.77.1
                    mac-address 48:x:x:x:x:x ( Mac Livebox  Modem )
                }
            }
        }
        shared-network-name TV {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.10 {
                    stop 192.168.2.10
                }
            }
        }
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface eth1.832 {
                service custom-noip {
                    host-name xxxxxx.ddns.net
                    login xxxxxxx@gmail.com
                    password xxxx
                    protocol noip
                }
                web dyndns
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "Masquerading outgoing connections"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "Masquerading TV"
            log disable
            outbound-interface eth1.838
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
    host-name ubnt
    login {
        user xxxxxx {
            authentication {
                encrypted-password $6$8DVANxxxxxxxxxxx
                plaintext-password ""
            }
            full-name xxxx
            level admin
        }
        user xxxx {
            authentication {
                encrypted-password $6$20xxxxxxxxxxxxxxxNDYDD3Z.L7xEdXk521RE0
                plaintext-password ""
            }
            full-name Admin
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 80.10.246.3
    name-server 81.253.149.10
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */

J'ai constaté qu'en redémarrant le décodeur ça refonctionne!

Merci par votre aide

kgersen · « **Réponse #3047 le:** 23 février 2017 à 17:38:24 »

@keshav26:

au vue de ta config, je présume que ton décodeur TV est branché sur eth2 ?

deja:

Code: [Sélectionner]

    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 80.10.246.3
    name-server 81.253.149.10

met plutot que les DNS de Google.

et dans le DHCP pour eth2, met que les DNS Orange:

Code: [Sélectionner]

        shared-network-name TV {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 80.10.246.3
                dns-server 81.253.149.10
                lease 86400
                start 192.168.2.10 {
                    stop 192.168.2.10
                }
            }

parce que en l'état ton décodeur TV a 2 chances sur 4 de tomber sur une résolution DNS par Google au lieu d'Orange ce qui peut perturber la VoD et les services interactifs.