Bonjour à tous
J'ai fait l'acquisition depuis peu d'un EdgeRouter Lite 3 et en s'appuyant sur le tuto de @zoc en page 264 et l'aide de @MasterFion et @Dmetre j'ai ma connexion opérationnelle.
Tuto :
Voici la configuration de base, sans Livebox (donc pas de téléphone), qui a les caractéristiques suivantes:
- Fonctionne en DHCP, IPv4 uniquement.
- ONT connecté à ETH1
- Réseau "DATA" connecté sur eth0
- Réseau dédié pour le(s) decodeur(s) TV sur eth2. Il est possible de les mettre sur eth0 également, dans ce cas il faut modifier la configuration d'igmp-proxy, en passant le role de eth2 à "disabled" et celui d'eth0 à "downstream"
- Adaptée au firmware 1.9.1. Ne fonctionnera pas sur les firmwares précédents.
Etapes:
- Remplacer /sbin/dhclient3 par la version liée à ce message, s'assurer que le propriétaire est root, groupe root, droits 755
- Copier le fichier rfc3442-classless-routes.sh dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d (et supprimer l'extension .sh qui a été rajoutée par le forum lors de l'upload) , s'assurer que le propriétaire est root, groupe root, droits 755
- Pour les firmwares antérieurs à 1.10, Modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl: Il faut rechercher la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n"; et rajouter juste au dessous $output .= "option rfc3118-auth code 90 = string;\n\n";. Ca doit donner ca:
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
A partir du firmware 1.10, cette étape 3 n'est plus nécessaire, et doit être remplacé par l'exécution de la commande de configuration ci-dessous (en mode configure donc. Cela doit être fait après avoir chargé le fichier de configuration définitif (donc après l'étape 3 à la fin de ce message):
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
Avant d'aller plus loin, il est temps de rebooter pour s'assurer que le routeur démarre toujours bien. Ensuite, éditer le fichier config.orange.txt joint. Attention, sous Windows n'utilisez pas le Bloc-Notes (Notepad), mais un éditeur capable de préserver les caractères de fin de ligne Unix, comme Notepad++ (gratuit):
- Remplacer les XX:XX... par votre identifiant "fti/xxxxxx" encodé en hexadécimal
- Remplacer les YY:YY:YY... par l'adresse mac de votre Livebox (pas le décodeur, le modem)
- Copier le fichier sur le routeur, remplacer la configuration existante à l'aide des commandes ci-dessous:
configure
load config.orange.txt
Le routeur devrait redémarrer et la connexion s'effectuer.
Par contre je rencontre un problème avec les ports forwarding.
J'ai un reverse proxy (DSM) qui me permet de publier plusieurs sites en ssl. Je ne rencontrait pas de problème avec mes anciènes configuration FreeBox et même avec la LiveBox.
Par contre avec ER3 je rencontre un soucis. Ayant supposé un problème d'interropérablité avec mon reverse, j'ai donc essayé sans passé par le reverse, même résultat (des erreur SSL) mais même en http (w/o s) pareil.
En scannant les ports externes, je constate que les ports 80 et 443 sont ouverts mêmes sans les règles de port forwarding. J'ai changer les ports d'écoute de la gui dans le doute (même si elle est en écoute que sur le lan théoriquement) => idem
J'ai donc essayé en utilisant les ports 81 => 80 et 8443 => 443 et là cela fonctionne.
Je penses donc que j'ai un conflit sur les ports 80 et 443 mais je ne trouve pas ou ?
Ma configuration
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians disable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.0.254/24
description LAN_ETH0
duplex auto
speed auto
}
ethernet eth1 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:xxxxxxx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:A4:xxxxx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 10.73.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 10.73.75.1/24
description LAN_ETH2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.838 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name IKEV2_DHCP_Server {
authoritative disable
subnet 10.73.74.1/24 {
default-router 10.73.74.1
dns-server 10.73.74.1
lease 86400
start 10.73.74.230 {
stop 10.73.74.243
}
}
}
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.254
lease 86400
ntp-server 192.168.0.254
start 192.168.0.2 {
stop 192.168.0.250
}
static-mapping srv1-int {
ip-address 192.168.0.251
mac-address 00:0c:29:5d:f4:cb
}
}
}
shared-network-name LAN_ETH1_DHCP {
authoritative enable
subnet 10.73.75.0/24 {
default-router 10.73.75.1
dns-server 10.73.75.1
lease 86400
ntp-server 10.73.75.1
start 10.73.75.100 {
stop 10.73.75.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
dynamic {
interface eth1.832 {
service custom-NoIP {
host-name mondns.ddns.net
login moi@gmail.com
password ****************
protocol noip
server dynupdate.no-ip.com
}
web dyndns
}
}
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 1080
https-port 1443
listen-address 192.168.0.254
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
domain-name mondomain.net
host-name erl
login {
user root {
authentication {
encrypted-password ****************
plaintext-password ****************
}
level admin
}
user ubnt {
authentication {
encrypted-password ****************
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding disable
vlan disable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ****************
url http://http.us.debian.org/debian/
username ""
}
}
static-host-mapping {
host-name srv1-int {
alias monadress.monsite.com
inet 192.168.0.251
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
task-scheduler {
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
Si je mets cette configuration, cela ne fonctionne pas :
port-forward {
auto-firewall enable
hairpin-nat disable
lan-interface eth0
rule 1 {
description https
forward-to {
address 192.168.0.251
port 443
}
original-port 443
protocol tcp
}
rule 2 {
description http
forward-to {
address 192.168.0.251
port 80
}
original-port 80
protocol tcp
}
Par contre avec cette configuration, cela fonctionne :
port-forward {
auto-firewall enable
hairpin-nat disable
lan-interface eth0
rule 1 {
description https
forward-to {
address 192.168.0.202
port 443
}
original-port 8443
protocol tcp
}
rule 2 {
description http
forward-to {
address 192.168.0.251
port 80
}
original-port 81
protocol tcp
}
Je suis preneur d'une piste, car là je sèche Firmware 1.10.5
Les interfaces :
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.0.254/24 u/u LAN_ETH0
eth1 - u/u ISP
eth1.832 81.249.xxx.xxx/21 u/u ISP_DATA
eth1.838 10.52.3.161/27 u/u ISP_TV_VOD
eth1.840 10.73.255.254/32 u/u ISP_TV_STREAM
eth2 10.73.75.1/24 u/D LAN_ETH2
lo 127.0.0.1/8 u/u
::1/128