Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1522624 fois)

damien92220 · « **Réponse #3612 le:** 20 avril 2018 à 11:03:42 »

Citation de: zoc le 20 avril 2018 à 10:53:24

Bon déjà avec un firmware 1.10.x, patcher vyatta-interfaces.pl ne fonctionne plus (et d'ailleurs tu n'en parles pas, donc on ne sait pas si tu l'as fait ou pas). Ce patch est remplacé par un paramètre dans le fichier de configuration que manifestement tu n'as pas (tout est expliqué dans mon message dont le lien se trouve sur la première page de ce sujet...).

Donc:
Code: [Sélectionner]
configure set interfaces ethernet eth1 vif 832 dhcp-options global-option 'option rfc3118-auth code 90 = string;' commit save exit
suivi d'un reboot devrait déjà régler pas mal de problèmes...

Edit: Je viens de relire, tu as bien exécuté la commande, mais évidemment après tu l'as écrasée après en remplaçant le fichier de config (la commande load)... Accessoirement tu n'as pas de bloc de configuration pour l'interface eth0: C'est obligatoire. Si tu ne veux pas utiliser eth0 il faut quand même laisser le bloc mais mettre l'interface disabled.

Hello,

merci pour la réponse rapide.
En effet j'ai oublié le ETH0 du coup je l'ai foutu comme ça:

interfaces {
ethernet eth0 {
description LAN_ETH0
address 192.168.1.1/24
duplex auto
speed auto
}
ethernet eth3 {
description LAN_ETH3
address 10.10.10.1/24
duplex auto
speed auto
}
......

pour la commande du coup je la fait à quel moment ?

j'ai suivis ça:

Etapes:
Remplacer /sbin/dhclient3 par la version liée à ce message, s'assurer que le propriétaire est root, groupe root, droits 755
Copier le fichier rfc3442-classless-routes.sh dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d (et supprimer l'extension .sh qui a été rajoutée par le forum lors de l'upload) , s'assurer que le propriétaire est root, groupe root, droits 755
Pour les firmwares antérieurs à 1.10, Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl: Il faut rechercher la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n"; et rajouter juste au dessous $output .= "option rfc3118-auth code 90 = string;\n\n";. Ca doit donner ca:
Code: [Sélectionner]
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";

A partir du firmware 1.10, cette étape 3 n'est plus nécessaire, et doit être remplacé par l'exécution de la commande de configuration ci-dessous (en mode configure donc. Cela doit être fait après avoir chargé le fichier de configuration définitif (donc après l'étape 3 à la fin de ce message):
Code: [Sélectionner]
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"

Avant d'aller plus loin, il est temps de rebooter pour s'assurer que le routeur démarre toujours bien. Ensuite, éditer le fichier config.orange.txt joint. Attention, sous Windows n'utilisez pas le Bloc-Notes (Notepad), mais un éditeur capable de préserver les caractères de fin de ligne Unix, comme Notepad++ (gratuit):
Remplacer les XX:XX... par votre identifiant "fti/xxxxxx" encodé en hexadécimal
Remplacer les YY:YY:YY... par l'adresse mac de votre Livebox (pas le décodeur, le modem)
Copier le fichier sur le routeur, remplacer la configuration existante à l'aide des commandes ci-dessous:
Code: [Sélectionner]
configure
load config.orange.txt

Le routeur devrait redémarrer et la connexion s'effectuer.

Mark5 · « **Réponse #3613 le:** 20 avril 2018 à 11:19:18 »

Le plus étrange dans tout ça, c'est que tu perdes la main sur le routeur.
Voilà qui est mystérieux...
T'as pas de câble console juste pour voir ce qui cloche ?

damien92220 · « **Réponse #3614 le:** 20 avril 2018 à 11:20:23 »

Citation de: Mark5 le 20 avril 2018 à 11:19:18

Le plus étrange dans tout ça, c'est que tu perdes la main sur le routeur.
Voilà qui est mystérieux...
T'as pas de câble console juste pour voir ce qui cloche ?

Ah non j'ai pas ça !

Mark5 · « **Réponse #3615 le:** 20 avril 2018 à 11:22:58 »

Alors il est temps d'investir (c'est un bien grand mot).

T'as toujours tes soucis quand tu fais le commit ?

zoc · « **Réponse #3616 le:** 20 avril 2018 à 11:45:28 »

Le soucis du commit est clairement du à eth0 manquant.

L'ajout de la "global-option" doit être faite apres le load (et avant le commit), comme je le dis dans mon message:
A partir du firmware 1.10, cette étape 3 n'est plus nécessaire, et doit être remplacé par l'exécution de la commande de configuration ci-dessous (en mode configure donc. Cela doit être fait après avoir chargé le fichier de configuration définitif (donc après l'étape 3 à la fin de ce message)

damien92220 · « **Réponse #3617 le:** 20 avril 2018 à 12:08:45 »

Ok

- j'ai le net
- le commit fonctionne

par contre toujours pas accès à l'interface en https://10.10.10.1 mais fonctionne depuis l'eth0 en 192.168.1.1 ou depuis mon réseau en 10.10.10.0/24 mais avec l'dresse en 192.

je n'ai plus l'accès ssh qui fonctionne

Y a du mieux

Mise à jour de 17h35:

- La TV fonctionne
- je n'ai toujours pas réussi à remettre le SSH
- Accès GUI du routeur sur https://10.10.10.1 = toujours KO

konki · « **Réponse #3618 le:** 20 avril 2018 à 18:06:24 »

Bonjour à tous,

j'ai également mis en place la solution de zoc et j’envoie les logs sur un Syno:

Citation de: zoc le 29 mars 2018 à 08:39:50

Code: [Sélectionner]
system { syslog { global { archive { files 2 size 1024 } facility all { level err } facility protocols { level warning } } host IP.du.sy.no { facility all { level warning } } } }

mon serveur de log explose aussi pour une camera dont j'ai bloqué l'accès à internet dans le firewall par son adresse MAC:

Code: [Sélectionner]

    name PROTEC_LAN {
        default-action accept
        description "Restrict Internet access for IP/MAC"
        enable-default-log
        rule 1 {
            action drop
            description "Bloc packets from MAC"
            log disable
            source {
                mac-address xx:xx:xx:xx:xx:xx
            }
            state {
                new enable
            }
        }
    }

@ Nexius2 et all, comment avez-vous coupé "les logs pour cette règle et passé le niveau sur warning pour ce host"?

konki

clean31 · « **Réponse #3619 le:** 21 avril 2018 à 03:50:27 »

Bonjour,

Je viens tout juste de prendre une ligne FTTH Orange, et j'essai du coup d'adapter la configuration de mon ERL à cette nouvelle situation.

Voici mon infra :

ETH0 -> ONT OFR
ETH1 -> ONT SFR
ETH2 -> LAN

Mon décodeur Orange est branché en RJ45 via ETH2 et 2 switch soit :

ERL ETH2 -> SWITCH 1 Gigabit -> Switch 2 Gigabit -> Décodeur TV 4

Pour la mise en place de cette nouvelle configuration j'ai suivi essentiellement les travaux de Zoc (merci à lui) j'ai donc :

Mon ERL est en firmware : v1.9.7+hotfix.4

- remplacer le /sbin/dhclient3 en verifiant les permissions a 755
- copier le fichier rfc3442-classless-routes (sans le sh) dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d en vérifiant les droits root:root
- modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl en ajoutant l'option 90 via "$output .= "option rfc3118-auth code 90 = string;\n\n";"
- Converti mon fti en Hexa pour mettre dans le config.boot
- Récupéré et mis dans le config.boot l'adresse mac d'origine de ma livebox 4

En l'état :

Sur ETH0 les Vlan 832/838 récupèrent correctement une @IP par DHCP auprès d'OFR
Sur ETH1, celle-ci récupère bien son IP auprès d'SFR
Le load-balance est bien active sur ETH0 et ETH1 en fail-over

Je peux surfer sans problème depuis le lan.

Lorsque j'allume le décodeur TV, celui-ci démarre mais la TV est pixélisé et très vite l'image est figée ou noire.
Les ports de l'ERL ETH0 et ETH2 sont au taquets, l'ERL devient difficilement joignable (> 1000ms) et je n'ai quasiment plus internet sur mon LAN.
Sur mon décodeur TV, la VOD et le replay fonctionnent normalement, ainsi que les pubs.

Une chose que j'ai testée, si je change la source des chaines par exemple SD ou HD au lieu de HD+, le live TV est OK et mon LAN pas plus que l'ERL ne saturent ...
En fait il n'y a que lorsque le live TV est en HD+ que tout tombe ...

Avez-vous une idée ? Merci d'avance pour votre aide.

Voici ma configuration

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    modify WAN_POLICY {
        rule 10 {
            action modify
            modify {
                lb-group WAN_FAILOVER
            }
        }
    }
    name WAN_IN {
        default-action drop
        description "packets from internet to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "allow established sessions"
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 25 {
            action accept
            description "Allow ICMP"
            protocol icmp
            state {
                established enable
                related enable
            }
        }
        rule 100 {
            action drop
            description "drop invalid state"
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from internet to the router"
        enable-default-log
        rule 10 {
            action accept
            description "allow established sessions"
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action accept
            description "Allow ICMP"
            log disable
            protocol icmp
        }
        rule 30 {
            action drop
            description "drop invalid state"
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description OFR
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description OFR_NET
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
        }
        vif 838 {
            address dhcp
            description OFR_TV_VOD
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox4&quot;;"
                client-option "send dhcp-client-identifier 1:00:00:00:00:00:00;"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            address 192.168.255.254/32
            description OFR_TV_STREAM
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
    }
    ethernet eth1 {
        address dhcp
        description SFR
        dhcp-options {
            client-option "send vendor-class-identifier &quot;neufbox_NB6V-FXC-r0_NB6V-MAIN-R3.5.8_NB6V-XDSL-A2pv6F038m&quot;;"
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth2 {
        address 192.168.2.253/24
        description LAN
        duplex auto
        firewall {
            in {
                modify WAN_POLICY
            }
        }
        speed auto
    }
    loopback lo {
    }
}
load-balance {
    group WAN_FAILOVER {
        interface eth0.832 {
            route-test {
                initial-delay 60
                interval 10
                type {
                    ping {
                        target 8.8.8.8
                    }
                }
            }
        }
        interface eth1 {
            failover-only
            route-test {
                initial-delay 60
                interval 10
                type {
                    ping {
                        target 8.8.8.8
                    }
                }
            }
        }
        lb-local disable
        lb-local-metric-change enable
    }
}
protocols {
    igmp-proxy {
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth0.832 {
            role disabled
            threshold 1
        }
        interface eth0.838 {
            role disabled
            threshold 1
        }
        interface eth0.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth1 {
            role disabled
            threshold 1
        }
        interface eth2 {
       	    alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name dhcp_lan {
            authoritative enable
            subnet 192.168.2.0/24 {
                bootfile-server 192.168.2.100
                default-router 192.168.2.253
                dns-server 192.168.2.253
                lease 86400
                ntp-server 192.168.2.253
                start 192.168.2.10 {
                    stop 192.168.2.30
                }
             }
        }
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 1024
            listen-on eth2
            name-server 81.253.149.2
            name-server 80.10.246.132
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5000 {
            description "Masquerade LAN to OFR NET"
            log disable
            outbound-interface eth0.832
            protocol all
            type masquerade
        }
        rule 5001 {
            description "Masquerade LAN to OFR VOD"
            log disable
            outbound-interface eth0.838
            protocol all
            type masquerade
        }
        rule 5002 {
            description "Masquerade LAN to SFR"
            log disable
            outbound-interface eth1
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
}
system {
    name-server 127.0.0.1
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}

clean31 · « **Réponse #3620 le:** 21 avril 2018 à 15:13:19 »

Bon je suis confus on va mettre ça sur le compte de l'heure avancée

mais du coup je me répond à moi-même.

Donc après avoir installé un switch "IGMP Snooping compatible" entre l'erl et le décodeur TV ça marche forcèment beaucoup mieux.
Les trames TV multicast ne flood pas l'ensemble du réseau pour rien, ce qui était supporté jusqu'à un débit HD compatible mais au délà HD+ (11/12 Mbps) le réseau gigabit était down.

On a donc :

ERL ETH2 -> SWITCH IGMP Snooping -> Décodeur TV

Le switch fait le tri et concentre les trames multicast sur le port du décodeur, le reste du LAN est préservé.

Tout marche à présent à merveille, surement encore quelques petits tweak mais l'ensemble des services sont ok.

Merci à tous pour vos témoignages et partages, et merci à Zoc et à ses prédécesseurs.

kune · « **Réponse #3621 le:** 25 avril 2018 à 07:30:44 »

Ça faisait longtemps que je n'étais pas passé par là, j'ai remis mon ERL3 en service aujourd'hui avec la config de Zoc + Ipv6, LAN+TV derrière eth1 (il me reste à acheter un switch IGMP compatible). Tout marche nickel, merci encore aux contributeurs ici !

Comme je veux mettre en service mon serveur mail perso j'aimerai une IP la plus fixe possible, dans quel cas l'ERL3 fera un release de l'IP attribué par le DHCP Orange ?

Mark5 · « **Réponse #3622 le:** 25 avril 2018 à 10:01:53 »

Houla !
Je te déconseille plus que vivement d'essayer de présumer des changement d'ip lorsqu'on est client DHCP.
En effet, si tu sais (à peu près) quand et comment ton client va demander un renouvellement, tu n'as AUCUN contrôle sur ce que fait le serveur.

A mon sens, la bonne méthode, c'est d'utiliser un truc genre DynHost (chez OVH par exemple) pour "suivre" les changement d'IP de ton WAN.

kune · « **Réponse #3623 le:** 25 avril 2018 à 11:57:22 »

Citation de: Mark5 le 25 avril 2018 à 10:01:53

Houla !
Je te déconseille plus que vivement d'essayer de présumé des changement d'ip lorsqu'on est client DHCP.
En effet, si tu sais (à peu près) quand et comment ton client va demander un renouvellement, tu n'as AUCUN contrôle sur ce que fait le serveur.

A mon sens, la bonne méthode, c'est d'utiliser un truc genre DynHost (chez OVH par exemple) pour "suivre" les changement d'IP de ton WAN.

Je ne comprends pas du tout la première partie de ton message. Pour la deuxième, c'est ce que j'ai fait depuis la mise en place de la fibre avec la livebox.