Hello

la voici

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        network-group NetworkSIPOVH {
            description "Network SIP OVH"
            network 91.121.129.0/24
        }
        port-group SIP {
            description PortsSIP
            port 5060
            port 2427
            port 5962
            port 2424
            port 30000-40000
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 21 {
            action accept
            description "Ping "
            destination {
                group {
                }
            }
            log disable
            protocol icmp
        }
        rule 22 {
            action accept
            description SIP
            destination {
                group {
                    port-group SIP
                }
            }
            log enable
            protocol udp
            source {
                group {
                    network-group NetworkSIPOVH
                }
            }
        }
        rule 23 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth2
                }
            }
            log enable
            protocol icmp
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
        rule 4 {
            action accept
            description "Ping outside"
            destination {
                group {
                    address-group ADDRv4_eth1.832
                }
            }
            log disable
            protocol icmp
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "bro -> eth0.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 VERS LIVEBOX"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.2.1/24
            description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth0.838 LIVEBOX (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth1 {
        description "eth1 ONT (FIBRE RJ45)"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 (INTERNET + VOIP + CANAL 2)"
            dhcp-options {
                client-option "send vendor-class-identifier "sagem";"
                client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
                client-option "send rfc3118-auth <Replaced>;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth1.838 (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.10.1/24
        description "eth2 LOCAL LAN SWITCH"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
protocols {
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 80.10.246.2
                dns-server 212.99.2.8
                dns-server 81.253.149.1
                domain-name FD-HOME
                lease 86400
                start 192.168.10.3 {
                    stop 192.168.10.254
                }
            }
        }
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 81.253.149.9
                dns-server 80.10.246.1
                domain-name orange.fr
                lease 86400
                start 192.168.2.30 {
                    stop 192.168.2.50
                }
                subnet-parameters "option rfc3118-auth <Replaced>;"
                subnet-parameters "option SIP <Replaced>;"
            }
        }
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface eth1 {
                service custom-OVH {
                    host-name <Replaced>
                    login <Replaced>
                    password <Replaced>
                    protocol <Replaced>
                    server www.ovh.com
                }
                web dnspark
            }
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        port 22
        protocol-version v2
    }
    upnp {
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    conntrack {
        expect-table-size 2048
        hash-size 32768
        modules {
            sip {
                disable
                enable-indirect-media
            }
        }
        table-size 262144
    }
    domain-name FD-HOME
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password <Replaced>
            }
            full-name Ubiquity
            level admin
        }
    }
    name-server 80.10.246.2
    name-server 212.99.2.8
    name-server 81.253.149.1
    ntp {
        server fr.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding disable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}
traffic-control {
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */

Merci

Une idée ? Besoin de la conf j'imagine ?

Merci aux ames charitables

J'ai repris la conf "officielle", amendé la mienne (viré le offload hwnat disable, mis le mss clamp, rajouté le igmp proxy et supprimé les sections traffic control & traffic-analysis).

Bref, a part les identifiants, je ne vois pas en quoi ma conf differe d'une qui marche   

Bonjour à tous,

Comme beaucoup ici, je me lance... acquisition d'un ERL-3 : ok 
Depuis quelques jours je m'imprègne du sujet, je fais le tour du routeur... je reviens ici, je retourne sur mon routeur... je n'ai pas encore mis l'ERL en prod mais je m'y prépare psychologiquement !

Je pars sur une configuration de base sur le modèle de @zoc / page 264 (ZOC que je vénère déjà puisqu'il est un proche voisin et son niveau technique semble excellent !!) donc LAN en eth0 et ONT en eth1.
J'ai modifié la configuration d'igmp-proxy (role de eth2 à "disabled" et role de eth0 à "downstream") puisque j'ai 2 décodeurs.

Avant de "dévier" mon ONT, j'ai quelques questions... toutes par rapport au fichier épuré config.orange.txt de ZOC.

- Est-ce que le vif 840 doit impérativement utiliser l'IP 192.168.255.254 (lignes 106 à 110) ?
interfaces {
    ...
    ...
    ethernet eth1 {
        vif 840 {
            address 192.168.255.254/32
            description ISP_TV_STREAM
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ...
    ...
}


- Si je n'utilise pas ETH2 et que je fais passer TV/VOD sur ETH0 :
> est-ce que je peux modifier ceci
protocols {
    igmp-proxy {
        ...
        ...
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}


> comme ceci (ou est-ce que je dois laisser le "alt-subnet 0.0.0.0/0")
protocols {
    igmp-proxy {
        ...
        ...
        interface eth0 {
            role downstream
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }
    }
}

- Dans ce fichier de config, ETH2 utilise l'IP 192.168.2.1
interfaces {
    ...
    ...
    ethernet eth2 {
        address 192.168.2.1/24
        description LAN_ETH2
        duplex auto
        speed auto
    }
    ...
    ...
}

mais si je comprends bien, le DHCP est activé sur cette interface ETH2. Vous confirmez qu'il y a bien "coquille" dans le "shared-network-name" et que ce service DHCP n'a rien à voir avec ETH1 ?
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        ...
        ...
        shared-network-name LAN_ETH1_DHCP {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                ntp-server 192.168.2.1
                start 192.168.2.100 {
                    stop 192.168.2.200
                }
            }
        }
        use-dnsmasq disable
    }
    ...
    ...
}


Merci beaucoup pour votre aide.
Bonne journée à tous.

Merci pour tes réponses zoc

Dernière chose, le script que tu as développé pour faire le "DHCP Renew" automatique (et que tu partage page 267) doit simplement être appelé par un cron sur l'ERL ?
Je ne suis pas très très spécialisé Linux même si je l'exploite beaucoup

J'ai repris la conf "officielle", amendé la mienne (viré le offload hwnat disable, mis le mss clamp, rajouté le igmp proxy et supprimé les sections traffic control & traffic-analysis).

Bref, a part les identifiants, je ne vois pas en quoi ma conf differe d'une qui marche   

Si orange fibre fournit une ip fixe, est ce que l'on ne peut pas mettre cette ip en dure sur la patte wan du edge router pour s'affranchir des contraintes du dhcp?

Nold

Merci pour ce retour
Du coup  quel est le plus simple, utiliser un switch qui gère le cos dhcp ou bien utiliser le package dhcp patché?