La Fibre

Datacenter et équipements réseaux => Routeurs => Orange fibre Remplacer la LiveBox par un routeur => Discussion démarrée par: seb59 le 13 janvier 2017 à 16:17:05

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 13 janvier 2017 à 16:17:05
Bonjour à tous,

Suite à l’installation de la fibre Orange (offre Sosh) fin décembre, je vous propose ici un guide complet sur tout ce que j’ai appris et expérimenté autour de la fibre Orange et son exploitation sans Livebox.

Je vous propose tout d’abord un parcours initiatique autour de la fibre optique en tant que telle et sur l’architecture GPON utilisée par Orange avant de résumer les étapes de son installation à mon domicile illustrées en photo.

Je vous présenterai ensuite mon réseau avant la fibre (focus sur la partie FAI et non sur les serveurs/services mis en place chez moi) et sur celui une fois « pacher chez chosh ».

Nous verrons ensuite toutes les étapes d’une configuration complète « Net + TV + Tel » sans Livebox.

Pour chaque partie, je tenterai de fournir les explications les plus détaillées possibles. Les exemples sont donnés pour mes équipements, à savoir un Mikrotik RB3011 et un switch Netgear GS724T mais avec toutes ces informations vous pourrez facilement adapter cela à vos équipements.

Tartine spéciale sur l’IGMP qui parait simple de prime abord mais peut donner du fils à retordre lors de sa mise en place d’où la nécessité de bien comprendre le protocole au sens large (incluant l’IGMP Snooping et l’IGMP Querier).

On finira par la mise en place d’un serveur siproxd/Asterisk pour la partie téléphonie en lien avec l’IA de la maison (domotique) que je vous laisserai découvrir.

Bien sûr vous retrouverez beaucoup de chose déjà dites ici et là, l’idée étant de tout réunir à un seul endroit en expliquant avec le plus de détail possible tous les élèments et le pourquoi des choses et non juste balancer des scripts de configuration. J’ai trop vu/lu de chose sur ce forum où l’on applique bêtement des paramètres sans réellement comprendre ce que l’on fait !

Tout cela est basé sur mon retour d’expérience. Je voulais prendre le temps de vous raconter tout ce que j’ai appris et mis en place à la maison autour de cette fibre !

Avant tout un grand merci à tous les contributeurs de qualité que j’ai pu lire sur ce forum pour vos travaux de reverse engineering sur la livebox et/ou de documentation et partage d’expérience. Je n’ai pas tous les noms en tête mais je pense notamment à c0mm0n, zoc, grapplerbaki, akeix ou encore x0r.

Bonne lecture,



Sommaire
Titre: La fibre optique et le fonctionnement du GPON
Posté par: seb59 le 13 janvier 2017 à 16:17:18
La fibre optique et le fonctionnement du GPON

Bon avant de plonger tête baissé dans la configuration d’un réseau domestique basé sur la fibre d’Orange, il est intéressant voire indispensable de comprendre comment fonctionne la fibre optique et notamment celle mise en place par Orange avec son architecture GPON.

C’est ce que j’ai entrepris courant Novembre en voyant une équipe Sade poser un PBO sur ma façade ! En voyant la fibre arriver, j’ai cherché à comprendre son fonctionnement.

J’avais déjà quelques notions de base acquises il y a plusieurs années sur les bancs de l’école mais cela ne couvrait pas le GPON ou autre architecture dite « passive ». Je me suis alors questionné sur le fonctionnement d’un tel réseau, notamment sur l’orchestration des transmissions en uplink (car dire que ça utilise le « time division » est un peu vague ;)).

En guise de pense-bête personnel et/ou pour introduire et synthétiser tout cela j’ai écrit un 1er post que je vous invite à lire ici : https://lafibre.info/gpon/fonctionnement-du-gpon/ (https://lafibre.info/gpon/fonctionnement-du-gpon/).

Je survole rapidement les bases et la théorie de la fibre puis me focalise plus spécifiquement celle correspondant au GPON afin de comprendre à quoi sert d’ONT/ONU, l’OLT, les coupleurs ou comment fonctionne le downstream et surtout l’upstream avec le mécanisme d’allocation dynamique de la bande passante (DBA) sans oublier les acronymes de base que l’on voit partout, PTO, PBO, PMI, PMZ, & co …

Ainsi si les notions de GTC, GEM, DBA, T-CONT ne vous sont pas familières, n’hésitez pas à lire ou relire mon post ci-dessus.
Titre: L’installation de la fibre optique
Posté par: seb59 le 13 janvier 2017 à 16:17:26
L’installation de la fibre optique

C’est donc début novembre après avoir vu une équipe de Sade Telecom installer un PBO (Point de branchement optique) devant chez moi, je me suis empressé de me documenter sur l’architecture d’Orange. C’est ainsi que j’ai découvert ce forum.

En bon « geek » je me suis interrogé sur la date d’éligibilité ! Alors pour ceux comme moi désireux de connaitre les délais entre chaque étape l’équipe Sade a commencé à tirer la fibre sur les façades des maisons de mon quartier à partir du lundi 7 novembre sur toute la semaine. Le lundi suivant, le 14 novembre ils commençaient le câblage des FO dans les PBO installés sur les façades et le lendemain, le 15 c’était fini (pose des étiquettes vertes d’identification sur chaque fibre arrivant aux PBOs). Le 26 novembre, la cartographie du réseau Orange me passait à l’étape 3 « La fibre est en cours de raccordement » (picto jaune) et ce n’est que le 8 décembre que je passais à l’étape 4 « Vous êtes éligible » (picto orange).

Cependant sur le test d’éligibilité du site Orange ou Sosh, mon adresse était éligible dès la veille, le 7 décembre (petit retard de mise à jour de la carte). J’ai donc souscrit une offre Sosh + Livebox le 7/12 avec prise de RDV pour l’installation de la FO dans le logement pour le 22/12.

C’est donc un peu avant noël, le 22 décembre, qu’une équipe (comprendre les pères noël ;)) arrive à la maison pour tirer une fibre du PBO installé ma façade jusque dans la cave où j’ai installé ma baie réseau.

On commence par installer le PTO juste à côté de la baie dans ma cave :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/1-PTO_thumb.jpg)
 
Puis on remonte jusqu’à la façade extérieure en passant par le garage. Le travail est simplifié car j’ai installé des goulottes il y a plusieurs années pour passer l’ensemble de mes câbles RJ45/domotique/alarme de la maison.

(https://sebastien.warin.fr/wp-content/uploads/2017/01/2-PassageFibre_thumb.jpg)

Arrivé dehors il ne reste plus qu’à amener la fibre dans le PBO et la souder avec la première fibre disponible qui elle remonte jusqu’au PMZ (armoire de rue).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/3-BranchementPBO_thumb.jpg)
 
Pour rappel il deux paires de 6 fibres dans chaque PBO (6 logement par PBO + 6 fibres de libre en réserve).

Il y a un code couleur en fonction du numéro de la fibre. Dans mon cas, je suis le 1er à être connecté sur ce PBO, j’ai donc la fibre de couleur rouge (à gauche les fibres disponibles, à droite les fibres utilisées).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/4-PBO_thumb.jpg)
 
Dernière étape : se rendre au PMZ et vérifier l’atténuation de la fibre pour être sûr que le signal optique est OK de ma cave (PTO) jusqu’à l’armoire de rue (PMZ).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/5-TestAttenuationFibre_thumb.jpg)

Enfin on connecte ma FO (ici en H7 du 1er module) à l’arrivée la fibre Orange une fois éclatée par les coupleurs optiques.

(https://sebastien.warin.fr/wp-content/uploads/2017/01/6-PMZ_thumb.jpg)
 
Voilà, je suis connecté au réseau GPON d’Orange !

Le technicien termine son intervention par connecter la Livebox et le décodeur TV pour vérifier que les services sont OK avant de me faire signer le résumé de l’intervention.

L’intervention aura durée prêt de 4 heures (dont 1 heure 30 de perdu car ils ont cassé la fibre lors de la soudure dans le PBO nécessitant la pose d’un boitier de raccordement dans le garage pour éviter de repartir « from scratch » jusqu’à la cave).

Une fois partie, j’ai pris le temps d’installer proprement l’ONT sur le mur et de le connecter sur mon réseau filaire. L’alimentation de l’ONT, comme pour la baie réseau, est assurée par un onduleur APC ici en noir sur la droite de la photo.

On voit l’ONT Huawei en haut avec ses petites LED vertes et la PTO à gauche de la prise téléphonique plus bas. J’ai bien sûr pris soin d’enrouler (ou « lover » pour les intimes) la jarretière entre l’ONT et la PTO.

(https://sebastien.warin.fr/wp-content/uploads/2017/01/7-ONT_thumb.jpg)
 
Cet ONT est ensuite connecté sur mon switch Netgear (un GS724T), le cœur de réseau, lui-même connecté sur mon routeur Mikrotik (un RB3011) :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/8-MikrotikRB3011-NetgearGS724T_thumb.jpg)
 
Vue d’ensemble :
 
(https://sebastien.warin.fr/wp-content/uploads/2017/01/9-BaieReseau_thumb.jpg)
Titre: Avant la fibre : mon réseau avec Numéricâble
Posté par: seb59 le 13 janvier 2017 à 16:17:34
Avant la fibre : mon réseau avec Numéricâble

Comme dirait la célèbre maxime, « il faut savoir d'où l'on vient pour comprendre où l'on va » !

J‘étais chez Numéricâble depuis plus de 3 ans avec la « La Box » un boitier tout en un avec le décodeur TV, le modem/router et AP Wifi avec d’abord 30 méga de bande passante (et 1 méga en montée) puis début 2015, 200 méga et 20 en montée avec l’arrivée de la fibre dans l’armoire de rue (FTTLa). Bref très correct !

Comme toujours la « box » de l’opérateur n’est pas à la hauteur, partie routage/firewall très ou trop simple, des bugs dans le serveur DHCP, Wifi correct mais sans plus, bref, à peine installée et aussitôt désactivée à son maximum (wifi off et mode bridge activé).

Les services DNS/DHCP/VPN sont assurés par un contrôleur de domaine AD sous Win2012R2, l’AP Wifi par un Netgear R8000 sous DD-WRT, le routage/firewall par un Mikrotik RB3011UAS et un switch Netgear GS724T comme cœur de réseau. Toute la maison étant câblée en Cat6a S-FTP.

Le coaxial NC arrive dans le salon, connecté sur « LaBox » elle-même branchée en HDMI à la TV (pour être exact, tout est branché sur l’ampli home-cinéma lui-même relié à la TV). La partie « TV » de Numéricâble est donc simple à mettre en place car il n’y a qu’à brancher la box en HDMI pour profiter des services TV/VOD.

Pour la partie « Net », la box est configurée en « mode  bridge ». Elle est physiquement connectée sur un petit switch TP-Link 8 ports manageable (un TL-SG108E) dans le meuble TV sur le VLAN nommé « WAN » (PVID 20 dans mon cas). Sur ce switch, il y a aussi d’autre équipement comme la TV, l’ampli ou encore un Intel NUC (média-center) sauf que tous ces devices sont sur le VLAN « LAN » (PVID 10). Pour finir, le dernier port de ce switch est « taggé » (802.1q) et est connectée sur la prise RJ45 murale du salon qui descend jusque dans la cave, brassée sur le GS724T. On a donc un lien « Trunk » entre la cave et le salon pour faire passer les deux VLAN « WAN » et « LAN ».

Sur le GS724T j’ai un port est dédié au « WAN » (VLAN 20) qui sort « détagué » pour être connecté sur l’ « ether1 » (le 1er port) du RB3011 sur lequel est configuré un client DHCP pour la connexion Internet via le réseau NC. Une règle de NAT redistribue l’Internet sur le port 6 (ether6, soit le 1er port du 2ème switch du routeur) connecté sur le GS724 sur un port PVID10 qui représente le VLAN « LAN ».

De ce fait, même si « LaBox » est dans le salon, on a bien le routeur RB3011 en frontal pour la partie Internet, la Box étant complètement isolée du reste du LAN dans lequel on retrouve la TV, Ampli, Nuc, l’AP R8000 ainsi que mes différents serveurs, PC, laptops, smartphones, box domotique et autre objets connectés de la maison.

Pour résumer (le VLAN « LAN » en bleu, le VLAN « WAN » en vert et en violet le lien trunk) :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/10-ReseauNumericable.png)
 
Ps : le schéma se focalise sur les équipements autour de la box NC et non sur l’ensemble du réseau résumé par le picto « Réseau LAN ».
Titre: Avec la fibre : mon nouveau réseau avec Orange/Sosh
Posté par: seb59 le 13 janvier 2017 à 16:17:42
Avec la fibre : mon nouveau réseau avec Orange/Sosh

Avec l’installation de la fibre Orange l’idée est de garder la même architecture sauf que maintenant l’arrivée de la fibre est dans la cave (et non le salon), que la LiveBox n’a pas de mode « bridge » (et hors de question de faire du « double NAT») et que la partie TV est gérée par un autre boitier, le décodeur TV.

De ce fait, comme vous l’avez vu dans sur photos ci-dessus de ma cave, la fibre arrive sur l’ONT accroché au mur lui-même connecté en RJ45 sur le GS724T.

Sur ce GS724T j’ai dédié les deux premiers ports aux VLAN 832 (internet), 838 (VOD/Replay) et 840 (multicast pour la TV). Ces deux ports (g1 et g2) étant configurés en «VLAN Only » et « Ingress Filtering », c’est-à-dire qu’il ne peut y avoir que des trames taggées sur ces 3 VLANs là (et seulement ceux-là).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/11-PortsONT.png)
 
Sur le « g1 » on connecte l’ONT et sur le « g2 », l’ « ether2 » du routeur. Autrement dit l’interface « ether2 » du routeur est connecté à l’ONT avec le GS724T comme intermédiaire. A ce stade j’utilise « ether2 » pour le « WAN » Orange car « ether1 » est toujours utilisé provisoirement par la box NC.

Le fait d’avoir le switch comme intermédiaire entre l’ONT et le routeur est facultatif. Personnellement cela me sert pour le « port mirroring » à des fins d’inspection.

Cela peut servir aussi pour marquer les requêtes DHCP avec le CoS 6 comme expliqué sur ce forum à l’adresse : https://lafibre.info/remplacer-livebox/switch-gs108tv2-pour-prendre-en-charge-la-cos-devant-les-routeurs/ (https://lafibre.info/remplacer-livebox/switch-gs108tv2-pour-prendre-en-charge-la-cos-devant-les-routeurs/).

Ceci dit ce marquage « CoS 6 » des requêtes DHCP peut être fait directement par le Mikrotik avec une règle Mangle :

add action=set-priority chain=output comment="CoS 6 for DHCP packets" \
    dst-port=67 src-port=68 new-priority=6 out-interface=vlan832-internet \
    passthrough=no protocol=udp

Erratum du 16/01/2017 : pour changer la CoS des requêtes DHCP émises par le routeur, il faudra utiliser un filtre sur un bridge et non une règle Mangle. Je détaille cette procédure sur ce post : https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406738/#msg406738 (https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406738/#msg406738)

Pour ma part Orange m’attribue bien une IP quel que soit la priorité de ma requête. Il semble donc que je sois dans un zone où le marquage « CoS » du DHCP n’a pas d’importance.

Pour continuer la description de l’installation « physique », sur le RB3011 on a toujours l’ « ether6 » pour le LAN et j’utilise le 7ème port « ether7 » pour la TV. En fait, l’ancien VLAN « WAN » (PVID 20) est renommé en « TV ». J’ai donc un câble qui part de l’ « ether7 » du routeur et entre sur un port du switch pour être tagué « TV » (PVID 20) afin de pouvoir circuler dans le lien trunk jusqu’au salon et ressortir non tagué sur le décodeur TV qui a pris la place de la box NC.

Sur ce point on aurait pu se servir de l’interface « ether6 » qui relie déjà le routeur au switch pour le LAN ET la TV en associant sur cette interface les deux VLANs « LAN » (le 10) et « TV » (le 20).  Personnellement, avec le nombre de port sur le GS724 et sur le RB3011, je n’ai pas de besoin particulier à économiser du câble donc j’ai préféré séparer le deux VLANs physiquement. De plus cela présente un avantage car l’écran LCD en façade du routeur permettant d’afficher les stats des interfaces ne fonctionne qu’avec des interfaces physiques et non des VLANs.

Enfin pour finir j’ai, lors de mes tests/installation, utilisé le port 9 « ether9 » pour connecter la LiveBox par son port WAN. Cela m’a permis dans un 1er temps d’utiliser la TV ou encore le téléphone via cette LB avant de la supprimer complètement comme nous allons le découvrir.

Pour résumer, on a toujours le VLAN « LAN » en bleu, le VLAN « TV » en vert, en violet le lien trunk « LAN/TV » et l’arrivée Orange de l’ONT en « jaune » qui encapsule les VLAN 832/838/840 :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/12-ReseauOrange.png)
 
Ps : encore une fois, le schéma se focalise sur les équipements autour des équipements Orange et non sur l’ensemble du réseau résumé par le picto « Réseau LAN ».
Titre: Configuration des interfaces du routeur
Posté par: seb59 le 13 janvier 2017 à 16:17:57
Configuration des interfaces du routeur

Pour résumer la configuration des interfaces sur mon routeur :

Ce qui donne :

/interface ethernet
set [ find default-name=ether1 ] comment="Modem Numericable" disabled=yes \
    name=ether1-WAN
set [ find default-name=ether2 ] comment="ONT Orange" name=ether2-WAN
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] comment=LAN name=ether6-LAN
set [ find default-name=ether7 ] comment=TV name=ether7-TV
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] comment=Livebox name=ether9-LB
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes

Tous les autres ports sont désactivés et bien sûr aucune de ces interfaces n’a de « master port » (notion propre à Mikrotik, « sans master port » = chaque interface est indépendante).

Pour les VLANs on a :

Soit :

/interface vlan
add comment="Internet ONT" interface=ether2-WAN loop-protect-disable-time=0s \
    loop-protect-send-interval=0s name=vlan832-internet vlan-id=832
add comment="Internet LiveBox" interface=ether9-LB loop-protect-disable-time=\
    0s loop-protect-send-interval=0s name=vlan832-livebox vlan-id=832
add comment="VOD ONT" interface=ether2-WAN loop-protect-disable-time=0s \
    loop-protect-send-interval=0s name=vlan838-vod vlan-id=838
add comment="TV ONT" interface=ether2-WAN loop-protect-disable-time=0s \
    loop-protect-send-interval=0s name=vlan840-tv vlan-id=840
Titre: Configurer Internet sans la Livebox
Posté par: seb59 le 13 janvier 2017 à 16:18:05
Configurer Internet sans la Livebox

Comme vous l’avez compris j’utilise le VLAN 832 d’Orange pour me connecter sur Internet. Sur ce VLAN on doit se connecter au réseau via DHCP.

Il existe aussi une deuxième manière de se connecter sur Internet, en utilisant le PPPoE sur le VLAN 835.

Je n’ai pas trouvé de source « officielle » mais tout le monde sur ce forum s’accorde à dire que le PPPoE est amené à disparaitre ce qui parait d’ailleurs logique. En PPPoE on perd 8 octets dans chaque trame Ethernet (occupé par le protocole PPPoE) ce qui fait baisser le MTU à 1492. De plus en DHCP on n’a pas de mécanisme de déconnexion et en renouvelant le bail DHCP avant son expiration on obtient quasiment une IP « fixe ». Bref, autant partir sur le DHCP pour tous ces avantages.

De ce fait, pour se connecter sur Internet via le VLAN 832, il suffit juste d’utiliser un client DHCP en ajoutant deux options :

Sur Mikrotik vous pouvez définir les options soit en hexa en commençant par “0x” ou soit en ASCII en entourant votre valeur par des simple quotes « ’ ».

De ce fait plutôt qu’écrire des choses pas très lisibles en hexadécimal comme on le voit dans certain exemple, vous pouvez plutôt utiliser des quotes pour écrire vos valeurs directement en ASCII.

Ainsi au lieu d’écrire :

add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=60 name=vendor-class-identifier value=0x736167656d

On aura :

add code=77 name=userclass value="'+FSVDSL_livebox.Internet.softathome.Livebox3'"
add code=60 name=class-identifier value="'sagem'"

Cependant pour l’option 90, comme il y a 22 zéros devant vous êtes obligés d’utiliser la nomenclature en hexa.

De ce fait, vous prenez votre login Orange, par exemple « fti/demo » que vous convertissez en hexa (via http://www.asciitohex.com/ (http://www.asciitohex.com/) par exemple) ce qui vous donne « 66 74 69 2f 64 65 6d 6f » et vous ajoutez 22 zéros devant, ce qui revient à ajouter sur votre routeur l’option suivante :

add code=90 name=authsend value=0x00000000000000000000006674692f64656D6F
Donc pour résumer sur le Mikrotik on déclare les deux options indispensables pour Orange :

/ip dhcp-client option
add code=77 name=userclass value=\
    "'+FSVDSL_livebox.Internet.softathome.Livebox3'"
add code=90 name=authsend value=\
    0x00000000000000000000006674692f64656D6F

Puis il ne nous reste plus qu’à ajouter un client DHCP sur le vlan 832 de l’interface 2 où nous avons connecté notre ONT en ajoutant ces deux options :

/ip dhcp-client
add dhcp-options=authsend,clientid,hostname,userclass disabled=no interface=\
    vlan832-internet

J’envoie également dans la requête les options de base « clientId » et « hostname » de RouterOS.

Et voilà, votre routeur est connecté sur le réseau Internet d’Orange !

(https://sebastien.warin.fr/wp-content/uploads/2017/01/13-MikrotikDHCPOrange.png)
 
N’oubliez pas ensuite d’ajouter une règle de NAT pour distribuer l’internet sur le réseau LAN :

add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=\
    vlan832-internet

Et libre à vous de configurer votre firewall ou les queues comme bon vous sembles, le Mikrotik est très complet dans ce domaine (un vrai firewall quoi ;)).

A ce sujet, n’oubliez pas de configurer vos interfaces sur une queue de type FIFO comme la « ethernet-default » :

/queue interface
set ether1-WAN queue=ethernet-default
set ether2-WAN queue=ethernet-default
set ether6-LAN queue=ethernet-default
set ether7-TV queue=ethernet-default
set ether9-LB queue=ethernet-default

En effet par défaut les interfaces du Mikrotik sont configurées en « only-hardware-queue ». Les queues gérées en « hardware » sont seulement bénéfiques dans le cas où les paquets qui transitent par l’interface n’ont pas besoin de solliciter le CPU, par exemple dans le cas d’interfaces avec master port (où le routeur ne sert que de commutateur).

Par contre, si vous avez des règles Mangles, firewall ou NAT qui s’appliquent sur une interface, les paquets qui y transitent solliciteront nécessairement le CPU du routeur pour l’exécution de ces règles. Et dans ce cas-là, il faudra utiliser une queue « software », beaucoup plus performante.
Titre: Configurer les services TV sans la Livebox
Posté par: seb59 le 13 janvier 2017 à 16:18:13
Configurer les services TV sans la Livebox

La partie Internet était plutôt facile à mettre en place, pour la TV ça se complique un peu !

Une première solution, la plus facile, est d’utiliser la Livebox pour connecter notre décodeur TV comme expliqué par Baki dans son tutoriel à l’adresse : https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg307232/#msg307232 (https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg307232/#msg307232)

Il suffit en effet de connecter la LiveBox derrière votre routeur pour lui « faire croire » qu’elle est connectée directement sur le réseau Orange (expliqué en annexe (https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406223/#msg406223)) puis créer un pont (bridge) pour le VLAN 838 (VOD/Replay) et le VLAN 840 (Multicast TV) entre l’ONT (ether2) et la LiveBox (ether9).

Vous pourrez ensuite connecter votre décodeur TV sur l’un des ports LAN de la Livebox afin de profiter des services TV/VoD.

Mais honnêtement c’est un peu l’usine à gaz et si comme moi vous souhaitez économiser la consommation électrique de la Livebox, nous allons configurer le nécessaire pour pouvoir la ranger définitivement dans son carton !

Connecter le décodeur TV au réseau
Comme expliqué ci-dessus, j’utilise l’interface « ether7 » du routeur pour les services TV.

Concrètement, il y a un câble réseau entre l’« ether7 » (nommée « ether7-TV » sur le routeur) et le port « g8 » de mon switch GS724T. Ce port est assigné au VLAN « TV » (PVID 20) car je ne souhaite pas connecter le décodeur TV sur mon réseau local, je préfère isoler mon réseau LAN du réseau TV Orange dans lequel on aura le décodeur.

Il y a ensuite un lien trunk du switch GS724T de la cave vers le switch du salon (le TP Link SG108E) pour pouvoir ressortir sur le port n° 2 détagué côté le salon où l’on connecte le décodeur TV.

Pour rappel :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/RESEAU-MAISON-Orange-Focus_thumb.png)

En clair, le décodeur TV est le seul device connecté sur l’interface « ether7 » du routeur avec les deux switches en intermédiaire.

La première étape consiste donc à donner une IP au décodeur dans un réseau propre au VLAN TV. Dans mon cas j’ai choisi le réseau 192.168.42.0/24.

Mon routeur Mikrotik, sur l’interface 7, aura l’adresse IP 192.168.42.254 et l’on ajoutera sur cette interface un serveur DHCP pour fournir une IP au décodeur TV avec les serveurs DNS d’Orange (obligatoire) et l’IP de notre routeur comme passerelle.

Pour configurer l’adresse IP pour l’interface TV (ether7) du routeur :

/ip address
add address=192.168.42.254/24 comment="Routeur TV local" interface=ether7-TV \
    network=192.168.42.0

Puis pour ajouter un serveur DHCP sur cette interface :

/ip pool
add name=pool-tv ranges=192.168.42.10-192.168.42.19

/ip dhcp-server
add address-pool=pool-tv authoritative=yes disabled=no interface=ether7-TV \
    lease-time=1w1d name=TV
   
ip dhcp-server network
add address=192.168.42.0/24 dns-server=\
    81.253.149.1,80.10.246.130 gateway=192.168.42.254 netmask=24

(https://sebastien.warin.fr/wp-content/uploads/2017/01/14-ConfigPoolTVOrange.png)

Et voilà, votre décodeur est maintenant connecté sur le réseau local 192.168.42.0/24 sur le VLAN local « TV ».

Configurer le firewall pour le décodeur TV

Avant d’aller plus loin configurons tout de suite le firewall pour n’accepter que le strict nécessaire pour consommer les services TV/VoD et autre (Deezer, radios, etc..) depuis le décodeur.

Pour simplifier les règles au niveau du firewall, j’ai créé une liste d’interface propre à la TV qui regroupe donc les vlan 838, 840 et l’interface locale « ether7 » sur laquelle on a connecté notre décodeur :

/interface list
add name=orange_tv

/interface list member
add interface=ether7-TV list=orange_tv
add interface=vlan838-vod list=orange_tv
add interface=vlan840-tv list=orange_tv

Pour les règles sur la chaine “input” il faut autoriser :

/ip firewall filter
add action=accept chain=input comment="Allow multicast TV Orange" dst-port=\
    8200,8202 in-interface=vlan840-tv protocol=udp
add action=accept chain=input comment="Service Orange TV" dst-port=5678 \
    in-interface-list=orange_tv protocol=udp
add action=accept chain=input comment="Allow IGMP for Orange TV" \
    in-interface-list=orange_tv protocol=igmp

Implicitement on autorise également le DHCP depuis l’« ether7 » pour que le décodeur puisse obtenir son IP mais comme c’est le routeur Mikrotik qui est lui-même le serveur DHCP sur cette interface il n’y a pas besoin de déclarer cette règle (= règle implicite).

En transit sur le routeur (chaine « forward »), on autorisera :

/ip firewall filter
add action=accept chain=forward comment="DNS/NTP pour le decodeur TV Orange" \
    dst-port=53,123 in-interface=ether7-TV out-interface=vlan832-internet \
    protocol=udp
add action=accept chain=forward comment="HTTP/S pour le decodeur TV Orange" \
    dst-port=80,443 in-interface=ether7-TV out-interface=vlan832-internet \
    protocol=tcp
add action=accept chain=forward comment="TV Orange" dst-port=8200,8202 \
    in-interface=vlan840-tv out-interface=ether7-TV protocol=udp
add action=accept chain=forward comment="VOD Orange (Video)" dst-port=5000 \
    in-interface=ether7-TV out-interface=vlan838-vod protocol=udp
add action=accept chain=forward comment="VOD Orange (Service)" dst-port=\
    443,8554 in-interface=ether7-TV out-interface=vlan838-vod protocol=tcp

Le reste du trafic est bloqué. On a bien sûr déjà configuré une règle de NAT pour sortir sur internet via le VLAN 832 précédemment, on ajoutera ici une nouvelle règle NAT pour sortir sur le VLAN 838 afin d’accéder à la VOD :

add action=masquerade chain=srcnat comment="NAT Orange VOD" out-interface=\
    vlan838-vod

A ce stade votre décodeur doit pouvoir se connecter sur votre réseau « TV », afficher l’heure (NTP) et se connecter sur des applications comme Deezer, la radio ou encore le programme TV.

Les services VOD et Replay
Tout comme l’internet, votre routeur doit se connecter sur le réseau VoD (VLAN 838) en DHCP. Et comme pour le VLAN 832, il faut spécifier certaines options dans la requête DHCP pour obtenir un bail.

Ces options obligatoires sont :

On ajoute l’option 61 en “hexa” en commençant par “0x01” suivit de l’adresse MAC de votre Livebox (sans les “:”). Vous trouverez votre adresse MAC sous la Livebox.

De ce fait pour ajouter ces options en considérant que la MAC de ma LB est “5E:FF:56:A2:AF:15”, on écrira :

add code=60 name=class-identifier value="'sagem'"
add code=77 name=vod_userclass value=\
    "'+FSVDSL_livebox.MLTV.softathome.Livebox3'"
add code=61 name=clienId_livebox value=0x015eff56a2af15

Notez que les noms (name) ne servent qu’à identifier les options sur votre routeur. Tout ce qui est transmis dans la requête DHCP c’est le « code » et la « value » de chaque option. Vous pouvez donc nommer vos options comme bon vous sembles.

Enfin on déclare le client DHCP sur le vlan 838 de l’ONT avec les options créées ci-dessus :

/ip dhcp-client
add dhcp-options=class-identifier,clientId_livebox,hostname,vod_userclass \
    disabled=no interface=vlan838-vod

(https://sebastien.warin.fr/wp-content/uploads/2017/01/15-ConfigVODOrange.png)

Et voilà, vous obtenez une adresse IP en 10.x.x.x/22 de la part d’Orange et vous pouvez maintenant profiter des services VOD/Replay sur votre décodeur.
 
Recevoir la TV
Il ne reste plus maintenant qu’à supporter la TV et pour cela il faut d’abord comprendre son fonctionnement.

Multicast et IGMP
Les chaines TV sont « multicastées », c’est-à-dire qu’Orange diffuse le flux de chaque chaine en temps réel (par le protocole RTP) sur des adresses multicast (224.0.0.0/4) distinctes.

Lorsque vous regardez une chaine, vous vous abonnez au groupe multicast de la chaine sélectionnée en utilisant le protocole IGMP (Internet Group Management Procotol). Ainsi les équipements réseaux jusqu’à votre décodeur vous achemineront le flux TV (groupe) pour lequel vous êtes abonnés (c’est-à-dire la chaine que vous regardez). Lorsque vous changez de chaine vous vous abonnez à un nouveau groupe et donc, par la même occasion, vous vous désabonnez du groupe de la chaine précédente.

Pour vous abonner à une chaine, c’est-à-dire à un groupe multicast, le décodeur Orange envoie une requête IGMP de type « Membership Report » au routeur multicast et quand vous quittez un groupe (la chaine précédente par exemple), le décodeur envoie à ce routeur multicast un message IGMP de type « Leave Group » (supporté depuis la version 2 du protocole IGMP).

En plus de cela, le routeur multicast envoie régulièrement des messages de type « Membership Queries » afin de savoir « qui » est dans le groupe. Chaque client/abonné doit répondre aux sollicitations du routeur qui envoi ces « Membership Queries » (que l’on nomme « requérant » ou « Querier ») par des « membership reports » afin de confirmer les abonnements en cours.

Le décodeur TV doit donc répondre à chaque interrogation du routeur pour confirmer sa présence dans le groupe afin de continuer à recevoir le flux vidéo (cela évite de rester abonné à un groupe si par exemple le décodeur n’a pas pu envoyer un message de type « leave » quelle que soit la raison, suite à une coupure réseau ou un arrêt brutal du décodeur par exemple).

Enfin, il faut savoir que le décodeur TV n’est pas directement connecté au routeur multicast d’Orange mais à la Livebox qui opère en tant que « proxy IGMP » sur le réseau local.

Sans Livebox c’est donc à notre routeur d’assurer ce rôle de « proxy IGMP ».

Installer l’IGMP Proxy sur RouterOS
Tout d’abord la fonctionnalité « IGMP Proxy » sur un routeur Mikrotik fait partie du package « multicast » qui n’est pas préinstallé par défaut. Il faudra donc télécharger les « Extra packages » sur la page http://www.mikrotik.com/download (http://www.mikrotik.com/download).

Comme mon routeur RB3011 est basé sur l’architecture ARM, je télécharge les « Extra packages » pour ARM. Une fois ce ZIP téléchargé vous pourrez retrouver dans son contenu le fichier «multicast-6.XX-arm.npk».

Pour installer le package, il suffit d’uploader le fichier dans la « File List » (fenêtre « Files » sur Winbox) de votre routeur puis le redémarrer. Au démarrage du routeur, les fichiers « npk » présent dans la File List seront automatiquement installés.

En vous reconnectant avec Winbox ou via l’interface Web, vous trouverez les fonctionnalités « IGMP Proxy » et « PIM » dans le menu « Routing ».

Configuration du routeur multicast
Nous allons ensuite définir une adresse IP statique pour l’interface VLAN840, par exemple 192.168.255.254 (vous pouvez utiliser n’importe quelle IP privée ça n’a pas d’importance) :

/ip address
add address=192.168.255.254 comment="TV Orange" interface=vlan840-tv \
    network=192.168.255.254

Enfin il ne reste plus qu’à activer le proxy IGMP avec le vlan840 en « upstream » et l’interface « ether7 » en « downstream » :

/routing igmp-proxy interface
add alternative-subnets=193.0.0.0/8,81.0.0.0/8,172.0.0.0/8,80.0.0.0/8 \
    interface=vlan840-tv upstream=yes
add interface=ether7-TV

(https://sebastien.warin.fr/wp-content/uploads/2017/01/16-ConfigMulticastTVOrange.png)
 
Et voilà, c’est tout ! Vous pouvez maintenant regarder les différentes chaines TV depuis votre décodeur Orange si et seulement si aucun switch entre le décodeur et votre routeur n’a activé l’IGMP Snooping (voir le chapitre suivant).

Optionnellement, on peut également ajouter une queue pour prioriser le trafic du flux TV sur le routeur. D’abord on marque les paquets en transit (forward) qui entrent sur le vlan 840 et qui sortent sur l’interface « ether7 » :

/ip firewall mangle
add action=mark-packet chain=forward comment="Mark TV packets" in-interface=\
    vlan840-tv new-packet-mark=tv out-interface=ether7-TV passthrough=no

Puis on crée une queue avec une plus haute priorité que la normale (> à 0) pour chaque paquet marqué « tv » :

/queue tree
add name=tv packet-mark=tv parent=ether7-TV priority=2 queue=default

En plus de cela, au niveau de mon switch Netgear, l’ « ether7 » est connectée sur le port « g8 » qui est encapsulée dans le VLAN « TV » (PVID 20) avec une priorité (802.1p) fixée à « 5 », soit plus que la normale. Sur le switch du salon, la QoS est également gérée par les entêtes 802.1p.

(https://sebastien.warin.fr/wp-content/uploads/2017/01/17-ConfigTVSwitch.png)
 
Ainsi tout le trafic du VLAN « TV » entre le routeur et le décodeur sera prioritaire sur tout le reste du réseau (à l’exception de la VoIP que j’ai configuré avec une priorité encore plus importante chez moi).
Titre: Pour aller plus loin et bien comprendre l’IGMP : Snooping & Querier
Posté par: seb59 le 13 janvier 2017 à 16:18:21
Pour aller plus loin et bien comprendre l’IGMP : Snooping & Querier

Comme nous l’avons vu plus haut, pour regarder une chaine on s’abonne à son groupe multicast en envoyant un message IGMP nommé « Membership Report » au routeur multicast, dans notre cas le routeur Mikrotik qui est un proxy vers le routeur multicast d’Orange. Une fois abonné on reçoit donc le flux de chaine en question.

Pourquoi l’IGMP Snooping ?

Les switches (commutateurs) de niveau 2 n’ont pas connaissance de cette notion d’abonnement multicast (l’IGMP est un protocole de niveau 3). Autrement dit, ils considéreront le trafic multicast comme des trames de diffusion (broadcast) et donc répliqueront le trafic sur tous les ports.

Cela peut poser de gros problème de performance car le ou les flux multicast pour lequel vous êtes abonné seront diffusés sur tous les ports de vos switches et donc reçu par tous les équipements connectés à votre réseau !

Pour optimiser ce comportement il existe un mécanisme nommé « IGMP Snooping » permettant à un switch de niveau 2 d’analyser le trafic IGMP afin d’apprendre « qui est abonné à quoi » (= quel port du switch à quel groupe multicast).

Ainsi en scrutant (snoop) les rapports IGMP qui le traverse, le switch peut apprendre et donc construire une table de mapping reliant un port à un groupe afin de répliquer le trafic multicast seulement sur les bons ports pour chaque groupe.

Dans mon architecture c’est optionnel car j’ai fait le choix d’isoler la partie TV dans un VLAN dédié. Dans ce VLAN il n’y a qu’un client : le décodeur TV. Ainsi sans l’« IGMP Snooping » mes deux switches répliqueront bêtement le flux TV multicast en broadcast mais seulement sur les ports du VLAN « TV » ! Et ce VLAN ne contient qu’un port : celui du décodeur TV ! De ce fait, avec ou sans l’IGMP Snooping le trafic sera toujours envoyé sur ce même port !

Par contre, si vous configurez votre proxy IGMP dans le même VLAN que votre réseau LAN ou bien si vous comptez brancher plusieurs décodeurs dans le VLAN « TV », il est important d’activer l’IGMP Snooping afin d’envoyer le bon flux TV au décodeur qui en fait la demande et non de l’envoyer sur tous les ports ! Autrement dit s’il y a plus d’un périphérique sur le réseau/VLAN sur lequel se trouve votre routeur multicast (IGMP proxy) vous devez activer l’IGMP Snooping !

Subtilités dans l’implèmentation de l’IGMP Snooping
Dans la réalité, l’« IGMP Snooping » est assez subtile à comprendre car ce n’est pas vraiment une norme. Chaque constructeur peut l’implèmenter avec plus ou de moins de liberté créant des différences de fonctionnement et de paramétrage entre les différentes marques voire même entre les différents modèles/versions d’une même marque.

En effet, l’IGMP Snooping est décrit dans la RFC4541 classée dans la catégorie « Informational ». Le document précise bien en entête :
Citer
This memo provides information for the Internet community.  It does not specify an Internet standard of any kind.

Dans les grandes lignes, tous les switches et équipements implèmentant l’IGMP Snooping fonctionnent de la même manière : ils analysent le trafic IGMP, c’est-à-dire les différents messages IGMP pour déterminer quel port est abonné à quel groupe multicast de façon à acheminer le flux multicast seulement aux ports abonnés et non à tout le monde (broadcast).

Il y a cependant des différences dans l’implèmentation de cette fonctionnalité, notamment en ce qui concerne le « report suppression ».

Certain font ce qu’on appelle de l’« IGMP Snooping passif », c’est-à-dire que le « snooping » n’intervient pas dans le trafic IGMP : le switch se contente d’analyser les messages IGMP qui le traverse pour apprendre tout en laissant passer ces messages (d’où le terme « passif »).

D’autre font de l’« IGMP Snooping proxy reporting » aussi nommé « reports suppression » qui en plus d’apprendre du trafic IGMP, filtre (= bloque) certain message IGMP pour réduire ce trafic et la charge du routeur multicast. De ce fait le switch ne se contente pas seulement d’analyser le trafic IGMP de façon passive, il devient « actif » en bloquant certain message !

Le report-suppression
L’idée est simple, si vous avez deux hôtes connectés sur un même switch (avec IGMP Snooping) lui-même connecté sur un routeur multicast. L’un des deux hôtes s’abonne à un groupe multicast en envoyant un « Membership report » au routeur multicast. Le switch analysant le trafic IGMP comprend que cet hôte s’est abonné à un groupe et donc met à jour sa table de mapping de façon à diriger le trafic multicast de ce groupe seulement pour lui. Le deuxième hôte ne recevra donc aucun trafic grâce à l’IGMP Snooping.

Maintenant, le deuxième hôte décide de s’abonner au même groupe multicast, il envoie donc un « Membership report » pour ce groupe au routeur multicast. Mais si notre switch implèmente l’IGMP Snooping avec « report suppression », la demande d’adhésion ne parviendra jamais au routeur.

En effet il y a « suppression du report ». Pourquoi ? Tout simplement parce que le switch considère que le routeur n’a pas à avoir connaissance de cette information. En effet, comme le switch reçoit déjà le flux multicast de ce groupe pour le 1er hôte, il peut tout simplement mettre à jour sa table de mapping pour envoyer ce flux également au 2ème hôte car il a compris en « snoopant » le message IGMP que ce 2ème  hôte souhaitait également se joindre à ce même groupe.

Le fait d’envoyer cette demande d’adhésion au routeur n’apporte rien car le flux transite déjà du routeur au switch. Ainsi dans l’idée de réduire le trafic et la charge du routeur, le switch « absorbe » ce report.
Il en va de même en cas de désabonnement d’un des deux hôtes. Si le 1er hôte décide de quitter le groupe, il enverra un message IGMP de type « Leave ». Comme le switch sait d’après sa table de mapping qu’il y a toujours le 2ème hôte sur ce groupe, il décidera de ne pas communiquer cette information au routeur mais ajustera sa table pour ne plus envoyer ce flux sur le port du 1er hôte. Ce n’est seulement lorsque le dernier quitte un groupe que le message IGMP « Leave » sera acheminé jusqu’au routeur multicast.

Les messages absorbés le sont sur une période de temps assez courte (une dizaine de seconde) car n’oubliez pas que le routeur multicast, élu « requérant », envoie périodiquement des requêtes de type « Membership Queries » pour savoir « qui est encore dans le groupe ». Les hôtes, pour confirmer leur présence dans le groupe, répondent par des « Membership report ». Or si le switch considère que nos hôtes sont déjà dans le groupe, il bloquera ces reports et donc sans réponse, le routeur multicast coupera le flux.

C’est pourquoi le « reports-suppression » opère donc sur des fenêtres de temps de quelques secondes. Lorsque le requérant envoie les  « Membership Queries », les hôtes répondent tous par « Membership report » avec un délai aléatoire de réponse de quelques secondes (pour éviter les pics de réponse simultanées). Le switch décide alors de laisser passer un des reports mais de supprimer les autres. Le routeur sait donc qu’il y a au moins un hôte dans ce groupe via le switch et le flux est maintenu.

L’IGMP Querier
S’il y a « IGMP Snooping » sur un réseau il est nécessaire d’avoir également un « IGMP Querier », c’est-à-dire un « requérant IGMP ».

Comme nous l’avons dit plus haut, le requérant (ou « IGMP Querier ») envoie régulièrement des messages de types « Membership Queries » afin de savoir « qui » est (toujours) là pour un groupe donné. Les clients, dans notre cas le décodeur TV, doivent répondre par un « Membership report » sous peine d’être exclus du groupe.

Ces « Queries » sont indispensable pour l’IGMP Snooping car les « Membership report » permettent au switch de maintenir la table de mapping à jour. En effet, lorsque le switch ajoute un port à un groupe il y a un timeout au-delà duquel, sans « report », le switch supprimera le port de sa table. Sur un switch Netgear GS724T il est possible de configurer ce temps d’expiration (paramètre « Host timeout ») par défaut défini à 260 secondes (4min 20s).

En d’autre terme, si pendant plus de 4 min 20 (par défaut avec le GS724T), un hôte n’a pas renvoyé de « Membership report », son ou ses flux multicast seront coupés au niveau du switch par l’IGMP Snooping.
Dans notre cas c’est le Mikrotik qui est le « Querier » sur notre interface locale (downstream) pour confirmer les abonnements en cours auprès du routeur multicast d’Orange via « upstream » sur le VLAN 840.
Pour être exact, c’est le routeur multicast d’Orange qui lance ces « Queries » toutes les 60 secondes pour s’assurer qu’il y a au moins un hôte par groupe multicast. Notre routeur Mikrotik étant un IGMP Proxy relaie les « queries » sur l’interface locale, il est donc le « Querier » local.

[admin@ROUTER-AJS] > /routing igmp-proxy interface print status
Flags: X - disabled, I - inactive, D - dynamic, U - upstream
 0  U interface=vlan840-tv threshold=1
      alternative-subnets=193.0.0.0/8,81.0.0.0/8,172.0.0.0/8,80.0.0.0/8
      upstream=yes source-ip-address=192.168.255.254 rx-bytes=2695867916
      rx-packets=5151365 tx-bytes=0 tx-packets=0

 1    interface=ether7-TV threshold=1 alternative-subnets="" upstream=no
      querier=yes source-ip-address=192.168.42.254 rx-bytes=0 rx-packets=0
      tx-bytes=2695867916 tx-packets=5151365

Seulement, avec l’IGMP Snooping activé sur un Netgear GS724T (ou modèle équivalent), si la fonctionnalité « IGMP Querier » n’est pas activé sur le switch, vous aurez toujours des coupures toutes les 4 minutes sur les chaines TV !

La complexité de l’IGMP Snooping d’un modèle à l’autre : attention à l’IGMP Querier sur un Netgear
C’est pourquoi l’IGMP Snooping est pour moi compliqué à mettre en place. Comme il ne s’agit pas d’un standard chaque marque, modèle ou version implèmente cette fonctionnalité sous le même nom « IGMP Snooping » mais pas rigoureusement avec le même fonctionnement. Et certain détail ont toute leur importance !

En lisant les spécifications ou documentations techniques, on a beaucoup de mal à comprendre exactement comment cette fonctionnalité a été implèmenté. De plus en fonction du modèle, vous aurez plus ou moins de liberté quant au paramétrage.

Par exemple, sur le switch dans mon salon, un TP-Link SG108E (8 ports et manageable, série E = Easy Smart) on peut activer ou non l’IGMP Snooping et activer ou non le « Report Message Suppression » expliqué précédemment.

En clair on peut activer l’IGMP Snooping en mode passif ou actif au niveau global (et non sur un port ou VLAN particulier). Et rien à propos de l’IGMP Querier, les « Queries » sont forwardées à tous les ports du VLAN (et ce d’après mes expériences, car on ne trouve pas ce comportement décrit noir sur blanc).

Sur mon switch central, le Netgear GS724T c’est une autre histoire. Il faut d’abord activer la fonctionnalité au niveau global ce qui bloquera tout le trafic IGMP qui traverse le switch (là encore, ce n’est pas clairement expliqué, il faut le déduire).

Ensuite, il faudra activer le Snooping soit au niveau des ports ou soit au niveau des VLANs. Pour chaque port ou VLAN on pourra configurer les différents timeouts, le mode « fast-leave » (expliqué un peu plus bas), etc…
Les routeurs multicast sont détectés automatiquement par le switch lorsqu’il voit passer des « Queries IGMP ». Mon GS724T arrive bien à détecter (en moins de 60 secondes) le routeur multicast d’Orange sur le port « g1 » (où est connecté l’ONT) qui èmet une « Query » sur 224.0.0.1 toutes les 60 secondes mais par contre aucune détection de l’IGMP Proxy du routeur Mikrotik connecté sur le « g8 » (pourtant cette interface èmet bien une Query en 224.0.0.1). C’est assez obscure, la documentation precise seulement « If a multicast router is attached to the switch, its existence can be learned dynamically. You can also statically configure an interface as a multicast router interface, which is an interface that faces a multicast router or IGMP querier and receives multicast traffic ». Bon heureusement on peut définir explicitement les ports sur lesquels on a un routeur (ou proxy) multicast.

Bien qu’on puisse configurer beaucoup de paramètre en rapport avec l’IGMP sur le GS724T, rien à propos du mode actif/passif de l’IGMP Snooping. En clair il n’est possible d’activer ou non le « report suppression ». D’après mes tests (car encore une fois ce n’est pas explicitement décrit), ce mode est activé par défaut. En d’autre terme le GS724T réalise de l’IGMP Snooping en mode proxy reporting.

D’ailleurs en consultant des documentations techniques des autres modèles de la même gamme, on retrouve le GS108T (équivalent en 8 ports) qui propose les mêmes fonctionnalités mais qui dans sa 1ere version (de 2007) laissait la possibilité d’activer ou non ce mode « report suppression ».

Mais la « palme de l’ambiguïté » concerne l’IGMP Querier. Comme expliqué ci-dessus, sans IGMP Snooping, le visionnage des chaines TV depuis le décodeur Orange fonctionne parfaitement avec mon installation. Par contre avec l’IGMP Snooping activé sur mes deux switches (en configurant les VLANs « à snooper », en mode actif et routeur multicast proprement déclaré) on a une coupure du flux toutes les 4 minutes environ.
L’image se fige quelques secondes puis repart. Quatre minutes, ce qui correspond parfaitement au « Host timeout ». Il semble donc, qu’en l’absence de « Membership report » de la part du décodeur TV, le switch décide de couper la diffusion du flux « pensant qu’il n’y a plus personne ». Or si le décodeur n’èmet pas de « Membership report » c’est qu’il n’a pas reçu de « Query » laissant à supposer qu’il n’y a pas de requérant, rôle normalement assuré par le routeur Mikrotik.

Sans sortir un analyseur réseau type Wireshark pour analyser le trafic sur le port « ether7 » via un mirroring au niveau du switch, j’ai utilisé l’outil « Torch » intégré au routeur Mikrotik permettant d’avoir une idée du trafic réseau sur les interfaces du routeur.

Ainsi si on écoute le trafic sur le VLAN840 (en provenance d’Orange) et sur l’interface « ether7 » (interface locale) on retrouve toutes les 60 secondes un paquet IGMP envoyé depuis le réseau Orange (ici 172.28.99.118) sur l’adresse multicast 224.0.0.1 (qui correspond à « tout le monde ») et instantanèment dernière, on voit un package IGMP sur l’interface locale partir de notre routeur (192.168.42.254) vers tout le monde (224.0.0.1).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/18-TraceIGMP_thumb.png)
 
Je ne peux pas analyser le contenu du paquet directement depuis « Torch » mais tout laisse à penser qu’il s’agit là d’un « General Query ». D’après la RFC 2236 (le standard qui décrit l’IGMPv2) :
Citer
Routers periodically send a General Query on each attached network for which this router is the Querier, to solicit membership information.  [….]  A General Query is addressed to the all-systems multicast group (224.0.0.1) [….]

Avec cela j’en déduis donc qu’il y a bien un Querier sur le réseau local, notre Mikrotik assure ce rôle comme nous l’avons vu dans la partie précédente. Alors comment expliquer cette coupure dans le flux ? Si notre routeur, le Querier IGMP, envoie bien des « Membership Queries » sur 224.0.0.1, le décodeur TV devrait y répondre avec un « Membership Report » ce qui forcera le switch à mettre à jour sa table de mapping l’empêchant ainsi de le sortir du groupe après le délai d’expiration de 4 minutes !

Sur l’interface de configuration du Netgear GS724T on trouve bien une section dédiée à la configuration de l’ «IGMP Snooping Querier » et je répète IGMP Snooping Querier (et non d’IGMP Querier). Je ne sais pas si les deux sont identiques, la documentation n’est pas très claire. Le Querier ou requérant en français, est une notion propre à l’IGMP. Le Snooping en a besoin mais sans Snooping le Querier a aussi son importance pour savoir si des clients sont toujours abonnés à des groupes !

Alors comme vous allez le voir au chapitre suivant, pour que votre TV fonctionne sans aucune coupure, il faut activer « IGMP Snooping Querier » en spécifiant l’adresse IP de votre routeur multicast (ou plutôt le proxy IGMP, ici notre routeur Mikrotik).

Sur Wikipédia on peut lire à propos de l’IGMP Querier sur la page d’IGMP Snooping (https://en.wikipedia.org/wiki/IGMP_snooping#IGMP_querier)
Citer
Some IGMP snooping implementations include full querier capability. Others are able to proxy and retransmit queries from the multicast router

J’ai d’abord pensé que cette fonctionnalité sur le Netgear permettait d’activer un « IGMP Querier » complet (full) et je ne comprenais donc pas l’intérêt dans la mesure où mon routeur Mikrotik assurait déjà ce rôle ! Mais dans la documentation, une phrase m’a mis la puce à l’oreille :
Citer
Use this screen to enable or disable the IGMP snooping querier feature, specify the IP address of the router to perform the querying, and configure the related parameters

« Specify the IP address of the router to perform the querying » : pourquoi déclarer l’adresse IP du routeur multicast ? Mais surtout « to perform the querying », sous-entendu ce n’est pas le switch qui le fait ?

De ce fait en relisant la phrase sur Wikipedia, j’en ai donc déduit que le Netgear est un « proxy qui retransmet les queries du routeur multicast », d’où la nécessité de déclarer l’adresse du « Snooping Querier VLAN Address » bien que sa description n’est encore une fois pas très claire : « the snooping querier IP address to be used as the source address in periodic IGMP queries sent on the specified VLAN. ».

Bref après toutes ces déductions, recoupement d’information et de tests, les « Membership Queries » semblent bloquées par le GS274T ce qui nous oblige à activer explicitement l’«IGMP Snooping Querier » en spécifiant l’IP de notre routeur requérant pour que les queries se propagent bien dans le VLAN, forçant le décodeur TV et les autres abonnés à renvoyer des « reports » actualisant ainsi la table de mapping des switches ce qui empêchera les coupures de flux !

Cela parait logique en fin de compte, mais ça aurait été bien de pouvoir le lire noir sur blanc !

A noter que sur le TP Link SG108E, beaucoup plus simple, pas besoin de faire tout çà. Les Queries sont normalement propagées. Ainsi si j’active l’IGMP Snooping seulement sur ce switch et non pas sur le Netgear, tout marchait très bien sans aucun paramétrage !

C’est donc à voir au cas par cas, en fonction de chaque switch !
Titre: Exemple de configuration de l’IGMP Snooping & Querier sur mes switches
Posté par: seb59 le 13 janvier 2017 à 16:18:44
Exemple de configuration de l’IGMP Snooping & Querier sur Netgear GS724T et TP Link SG108E

Maintenant que la théorie est connue passons à la configuration de l’IGMP Snooping sur le GS724T de Netgear et le SG108E de TP-Link.

Sur l’interface du Netgear GS724 je vais tout d’abord activer l’IGMP Snopping sur le switch :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/19-ConfigIGMPNetgear.png)
 
Ensuite plutôt que définir les ports à « snooper », on va scruter le trafic IGMP au niveau des VLANs. Dans notre cas, l’IGMP Snooping sera actif sur les VLAN 20 (mon VLAN « TV ») et le VLAN 840 (car dans mon installation j’ai connecté l’ONT sur ce switch avant d’arriver sur le routeur) :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/20-ConfigIGMPSnoopingNetgear.png)
 
Pour les deux VLANs, j’ai activé le « Fast Leave », c’est-à-dire que le switch supprime le port de sa table de mapping dès qu’il voit passer un message IGMP de type « Leave » parce que je n’ai qu’un seul client pour un port donné : sur le VLAN840 le routeur et sur le VLAN20 le décodeur (option à désactiver sur le vlan 20 si vous avez plusieurs décodeurs, sinon si l’un d’entre eux déconnecterait les autres sur un même groupe).

De plus sur notre VLAN TV j’active également le « Query Mode » afin d’indiquer que nous avons un requérant sur ce VLAN que nous allons configurer plus bas (indispensable pour éviter les coupures du flux TV).
Enfin je déclare sur le port « g8 » du switch (le port où est connecté l’interface « ether7 » du routeur) notre routeur multicast pour le VLAN 20 :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/21-ConfigRouteurMulticastNetgear.png)
 
Cette action n’est pas obligatoire sur le 840, le switch découvrira automatiquement le routeur d’Orange en moins de 60 secondes (fréquence des queries IGMP envoyées côté Orange) mais vous pouvez aussi le déclarer explicitement : sur l’interface « g1 » le routeur multicast sur le vlan « 840 ».

Enfin sur la page « IGMP Snooping Querier » on active cette fonctionnalité.

(https://sebastien.warin.fr/wp-content/uploads/2017/01/22-ConfigIGMPQuerierNetgear.png)
 
Puis sur la 2ème page « Querier VLAN Configuration », on configure l’adresse de notre routeur/proxy IGMP (192.168.42.254 dans mon cas) pour le VLAN 20 de la TV :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/23-ConfigIGMPQuerierNetgear2.png)
 
Enfin vous pouvez ou non activer le mode d’élection du requérant. Si désactivé le switch sera requérant seulement s’il est le seul sur le VLAN. Si activé, il y a un mécanisme d’élection dans lequel c’est le switch qui a l’adresse la plus basse qui est élu requérant. Pour ma part je n’ai qu’un seul switch capable de gérer l’ « IGMP Snooping Querier » donc peu importe l’option, mon switch sera toujours le requérant.

Côté salon, sur le switch TP Link qui distribue le VLAN « TV » au décodeur, la configuration est beaucoup plus rudimentaire (gamme « Easy Smart »). On peut simplement activer l’IGMP Snooping ainsi que le « Report Message Suppression ».

(https://sebastien.warin.fr/wp-content/uploads/2017/01/24-ConfigIGMPSnoopingTPLink.png)
 
Maintenant on a une configuration fonctionnelle exploitant l’IGMP Snooping. On peut utiliser le décodeur TV Orange pour regarder la TV sans aucune latence ni coupure !

Vous pouvez d’ailleurs consulter la table de mapping du Netgear ou TP Link pour voir les abonnements en cours.

Dans mon cas on voit bien le flux TV arriver sur l’interface « g1 » et repartir sur « g2 » pour le VLAN 840 (ports entre l’ONT et mon routeur) et ce même flux (les MAC sont identiques) entre « g3 » (lien trunk vers le salon) et « g8 » (ether7 du routeur) sur mon VLAN TV (le 20) :
 
(https://sebastien.warin.fr/wp-content/uploads/2017/01/25-IGMPSnoopingTable.png)

L’adresse MAC « 01:00:5e:7f:ff:fa » correspond à l’adresse « 239.255.255.250 » et la « 01:00:5e:00:06:58 » à « 232.0.6.88 ». On retrouve ces deux adresses multicast dans la table de mapping du TP-Link entre les ports « 1 » et « 2 » (voir la screenshot plus haut).

Le « 239.255.255.250 » correspond à l’adresse multicast utilisée par SSDP pour la découverte (UPnP) et l’adresse multicast « 232.0.6.88 » correspond (chez Orange) à la chaine D17.
Vous pouvez convertir les IP et MAC multicast avec cet outil http://nettools.aqwnet.com/macipcalc/macipcalc.php (http://nettools.aqwnet.com/macipcalc/macipcalc.php). Le Netgear présente sa table de mapping avec des adresses MAC alors que le TP-Link affiche des IP.
Titre: Bonus : Recevoir la TV sur son ordinateur
Posté par: seb59 le 13 janvier 2017 à 16:18:54
Bonus : Recevoir la TV sur son ordinateur

Je considère que votre « ordinateur » est dans votre réseau (ou VLAN) « LAN » et non dans le VLAN « TV » (ce qui est mon cas). Dans le cas contraire ou dans le cas où votre proxy IGMP et donc votre décodeur TV sont déjà connectés dans votre réseau (ou VLAN) « LAN » vous pouvez sauter cette partie.

Dans mon cas nous allons ajouter une interface « downstream » sur le proxy IGMP et reconfigurer le switch pour multicaster la TV Orange également dans le réseau LAN.

Ajouter une interface downstream sur le proxy IGMP pour le réseau LAN

Pour rappel, j’ai deux interfaces du routeur connectées au switch : « ether6-LAN » pour le LAN et « ether7-TV » pour la TV.

Il suffit donc d’ajouter l’interface « ether6-LAN » en downstream sur le proxy IGMP :

/routing igmp-proxy interface
add interface=ether6-LAN

(https://sebastien.warin.fr/wp-content/uploads/2017/01/26-IGMPProxyMiktotik.png)

Il ne faut pas oublier de mettre à jour le firewall pour autoriser l’IGMP en « input » depuis « ether6-LAN » ainsi que le transite des flux RTP (port 8200 en UDP).

Ensuite sur le Netgear GS724T, j’ajoute le VLAN « 10 » (mon VLAN pour le réseau LAN) dans la liste de l’IGMP Snooping.

Attention, on désactive bien le « Fast Leave » sur le VLAN « LAN » car je pourrais avoir plusieurs clients dans même groupe IGMP (= regardant la même chaine) :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/27-IGMPSnoopingNetgear.png)
 
Aussi, on active le « Query Mode » et sur la page « Querier VLAN Configuration » on vient configurer l’adresse IP de notre routeur dans le « LAN » pour la configuration de l’IGMP Snooping Querier.

N’oubliez pas non plus de déclarer le port de votre routeur sur le switch pour le VLAN « LAN » sur la page « Multicast Router VLAN Configuration ».

Et voilà notre LAN est capable également de consommer des flux multicast d’Orange tout en étant dépendant du réseau du décodeur TV.

Regarder la TV avec VLC
La grande majorité des chaines sont malheureusement cryptées (protection DRM) c’est pourquoi on nous envoie une carte à puce à insérer dans le décodeur TV.

En effet ce système de contrôle d’accès nommé « Viaccess » est développé Viaccess Orca qui est ni plus ni moins qu’un filiale d’Orange. On le retrouve bien entendu dans les décodeurs TV d’Orange/Sosh mais aussi chez Canal+ / CanalSat et d’autres opérateurs étrangers.

Ce système permet de « désembrouiller les chaînes ». Le mécanisme se compose d’un protocole permettant de récupérer de façon sécurisé les clés pour déchiffrer un flux, un module d’accès conditionnel (en gros un lecture de carte) et la carte à puce contenant un jeu de clés propre à l’abonné vous permettant de faire valoir vos droits afin de récupérer la clé pour la chaine souhaitée.

Ainsi pour simplifier, quand vous sélectionnez une chaine, le module d’accès conditionnel (intégré dans le décodeur) « va lire » votre clé sur la carte à puce que vous avez insérée et via le protocole Viaccess (PC 5.0 depuis 2012) récupèrera la clé pour déchiffrer le flux TV demandé. Si vous n’avez pas accéder à cette chaine, vous n’obtiendrez pas la clé pour décoder le flux et on vous affichera un joli message pour vous inviter à contacter le service client afin d’ajouter des chaines à votre bouquet.

Viaccess ne s’occupe que de la partie « contrôle d'accès » (pour délivrer les clés de déchiffrement de façon sécurisé). Le chiffrement à proprement parler est basé sur l’algorithme CSA (pour Common Scrambling Algorithm) mixant de l’AES-128 et du XRC (eXtended emulation Resistant Cipher). Le CSA massivement utilisé pour le cryptage des chaines de télévision (standard du consortium DVB).

J’ai trouvé sur ce forum (http://www.dkoq.fr/la-tv-d-orange-sur-pc-f11/liste-m3u-des-chaines-tv-d-orange-t89-910.html) la liste des chaines diffusées par Orange sans DRM.

Par exemple pour visionner Arte en HD+ diffusé sans DRM, on utilisera le groupe multicast à l’adresse : 232.0.3.4. Depuis VLC, ouvrez un « flux réseau» en indiquant l’adresse « rtp://@232.0.3.4:8200 ».

(https://sebastien.warin.fr/wp-content/uploads/2017/01/28-VLC-TVOrange_thumb.png)
 
En plus du flux vidéo HD+ (1080p) vous obtiendrez également les différents flux audio, les sous-titres et même la description du programme en cours et à venir.

Un utilisateur du forum a compilé toutes les chaines dans une liste M3U. Ainsi pour les chaines sans DRM vous pouvez télécharger et ouvrir la liste à l’adresse : http://www.mediafire.com/file/ssj4xteaw3pxxiv/Orange+Free+%2809.10.16%29.m3u (http://www.mediafire.com/file/ssj4xteaw3pxxiv/Orange+Free+%2809.10.16%29.m3u)

Vous aurez dans votre interface VLC la liste de toutes les chaines disponibles (incluant C8, Arte, HD1, LCI, i-Télé, etc…).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/29-VLC-TVOrange2_thumb.png)
 
Titre: Configurer la téléphonie sans LiveBox
Posté par: seb59 le 13 janvier 2017 à 16:49:25
Configurer la téléphonie sans LiveBox
Pour finir notre installation nous allons mettre en place la téléphonie.

Pour cela, nous avons trois manières accéder à la téléphonie Orange :

Utiliser la LiveBox comme passerelle DECT ou CAT-iq

Si vous avez un téléphone DECT ou HD vous pouvez utiliser la LiveBox pour la téléphonie. Il suffira de connecter votre Livebox derrière votre routeur comme expliqué dans l’annexe en fin de document. Une fois connectée, vous pourrez brancher votre téléphone DECT sur la prise « verte » dédiée derrière la Livebox.

Avec des switches manageables et des VLANs vous pouvez également déplacer votre LiveBox dans votre logement pour la placer à l’endroit où vous souhaitez connecter votre téléphone.

Autre solution, apparier un ou plusieurs (4 max) téléphones HD (norme CAT-iq 1.0 ou 2.0) via WPS (https://assistance.orange.fr/telephone/telephone-par-internet/toutes-les-livebox/installer-et-utiliser/associer-le-telephone-a-la-livebox/telephone-hd-connecter-a-la-livebox-play_20401-20804 (https://assistance.orange.fr/telephone/telephone-par-internet/toutes-les-livebox/installer-et-utiliser/associer-le-telephone-a-la-livebox/telephone-hd-connecter-a-la-livebox-play_20401-20804)).

Contrairement à ce que j’ai pu lire, la Livebox n’est pas une base DECT, il faudra donc utiliser votre propre base DECT connectée via la prise verte de la Livebox. Par contre la Livebox intègre une base CAT-iq 2.0 vous permettant d’apparier des téléphones HD compatibles sans base supplèmentaire.

La solution fonctionne très bien mais nécessite de ressortir votre Livebox du carton et reste limitée en terme d’usage.

Utiliser l’application « LiveBox Phone »
Une autre solution qui n’en est pas vraiment une : utiliser l’application « Livebox Phone » sur votre mobile Android ou iOS (http://applications.orange.fr/application/Livebox%20Phone (http://applications.orange.fr/application/Livebox%20Phone)).

Le problème est que pour èmettre ou recevoir des appels il faut être connecté sur le réseau Wifi de sa Livebox or dans notre cas on a justement rangé la Livebox dans son carton !

Si l’application n’est pas connectée au Wifi de sa Livebox on peut juste consulter la messagerie vocale, recevoir des notifications lors des appels entrants (sans pouvoir répondre) et configurer le renvoi d’appel.
 
(https://sebastien.warin.fr/wp-content/uploads/2017/01/30-LiveboxPhone.gif)

Donc au final, l’application est assez limitée car elle ne peut fonctionner que lorsque vous êtes chez vous et en faisant de votre Livebox votre AP Wifi principal ce qui dans mon cas n’est pas envisageable.

Sur la partie renvoi d’appel vous pouvez aussi vous connecter sur votre espace client Orange/Sosh par Internet et configurer le renvoi des appels de votre téléphonie fixe Livebox vers votre mobile par exemple. Cela permettra de recevoir les appels de votre fixe où que vous soyez mais par contre vous ne pourrez pas èmettre ! Voir  https://assistance.orange.fr/telephone/telephone-par-internet/toutes-les-livebox/installer-et-utiliser/rester-joignable/renvoi-appels/telephone-par-internet-rediriger-les-appels_19032-19121#onglet2 (https://assistance.orange.fr/telephone/telephone-par-internet/toutes-les-livebox/installer-et-utiliser/rester-joignable/renvoi-appels/telephone-par-internet-rediriger-les-appels_19032-19121#onglet2)

Utiliser un proxy SIP
La véritable solution est d’accéder à votre la ligne téléphonique via le protocole SIP (Session Initiation Protocol), un des protocoles les plus courant pour la VoIP. Cela nous permettra de connecter soit une application soit un véritable serveur de téléphonie sur notre ligne tel Asterisk (ou dérivés), Lync (Skype for Business) et bien d‘autre.

Tout cela est possible grâce aux travaux d’un certain « x0r » qui sur son blog explique (https://x0r.fr/blog/36) comment fonctionne l’application « Livebox Phone » présentée plus haut. Il s’agit bien d’une ligne SIP mais avec quelques modifications propres à Orange concernant le mécanisme d’authentification non conforme au standard. De ce fait il n’est pas possible d’utiliser cette ligne directement via le protocole SIP comme c’est le cas chez Free.

Cependant ce même auteur a développé un plugin pour « siproxd » (un serveur proxy SIP) capable de gérer ce mécanisme d’authentification propre à Orange. Le code est publié sur Github (https://github.com/nsapa/siproxd_orange). Ainsi ce proxy permet d’exploiter votre ligne téléphonie en SIP standard ce qui nous permettra de brancher ce que l’on souhaite dessus.

Préparer une machine sous Debian
Pour ma part j’ai déployé une petite machine virtuelle x64 sur un de mes hyperviseurs en lui allouant 512 Mo (pas besoin de plus). Sur cette machine j’ai installé un simple Debian 8 nu avec un serveur SSH.

Pour faciliter l’administration je vous conseille d’installer « sudo » en ajoutant votre utilisateur dans le groupe.

apt-get install sudo
adduser sebastien sudo
exit

Pour installer le proxy, commencez par les prérequis :
   
sudo apt-get install libssl1.0.0 libssl-dev
sudo apt-get install libcurl3 libcurl4-openssl-dev
sudo apt-get install pkg-config libxml2-dev libosip2-dev libltdl-dev make unzip

Installer « siproxd » et le plugin Orange
Téléchargez, compilez et installez la dernière version en date de « siproxd »  (voir http://siproxd.tuxworld.ch/ (http://siproxd.tuxworld.ch/)) :
 
wget http://siproxd.tuxworld.ch/siproxd-29Dec2016.tar.gz
tar zxvf siproxd-29Dec2016.tar.gz
cd siproxd-0.8.3dev
./configure --with-included-libtool
make
sudo make install
cd ..

Et faire de même pour le plugin Orange :
 
wget https://github.com/nsapa/siproxd_orange/archive/master.zip
unzip master.zip
cd siproxd_orange-master
ln -s ../siproxd-0.8.3dev siproxd
./configure
make
sudo make install
cd ..

Pour la configuration, copiez le fichier d’exemple “/usr/local/etc/siproxd.conf.example” dans “/usr/local/sbin/siproxd” et ouvrez le pour édition:

sudo cp /usr/local/etc/siproxd.conf.example /usr/local/sbin/siproxd/siproxd.conf
sudo nano /usr/local/sbin/siproxd/siproxd.conf

Ajoutez les lignes suivantes pour charger le plugin de x0r sans oublier de définir le login/password de votre compte Orange :

load_plugin=plugin_orange.la
plugin_orange_username = nom.prenom@orange.fr
plugin_orange_password = password_orange

Dans le fichier, il faut également configurer :

Pour ma part, les lignes ajoutées ou modifiées dans ce fichier :

load_plugin=plugin_orange.la
plugin_orange_username=prenom.nom@orange.fr
plugin_orange_password=password_orange
if_inbound  = eth0
if_outbound = eth0
host_outbound = voip.mondomaine.net
hosts_allow_reg = 127.0.0.1/8
sip_listen_port = 5070
daemonize = 1
rtp_port_low  = 7070
rtp_port_high = 7089
plugindir=/usr/local/lib/siproxd/

Utilisation des serveurs DNS Orange
Il faut absolument utiliser le serveur DNS d’Orange pour la résolution des noms de domaine. Si vous avez un adressage fixe et non via DHCP, vous pouvez simplement ajouter le serveur « 81.253.149.1 » (DNS d’Orange) dans le fichier « /etc/resolv.conf ».

Autrement, si votre serveur obtient son IP via un serveur DHCP comme dans mon cas (avec réservation bien évidement), les DNS sont délivrés dans la réponse DHCP ce qui modifiera automatiquement votre configuration « /etc/resolv.conf ».

De ce fait, si votre serveur DHCP utilise les serveurs DNS d’Orange pas de soucis, mais si comme moi vous avez vos propres serveurs DNS qui eux même n’utilisent pas les serveurs d’Orange (forwarders) cela ne marchera pas.

C’est pour cela que j’ai configuré le client DHCP pour le forcer à utiliser le serveur DNS d’Orange :

sudo nano /etc/dhcp/dhclient.conf
prepend domain-name-servers 81.253.149.1;
sudo dhclient -v eth0

N’oubliez pas de renouveler votre bail pour que ces options soient prises en compte :

sudo dhclient -v eth0
Configurer le routeur
Lorsque qu’un client SIP (dans notre cas le serveur « siproxd », qui est « client SIP » via à vis d’Orange) s’enregistre il communique son adresse, son port SIP (signalisation) et sa plage de port RTP (transport de la voix).

Cela permettra au serveur en face (Orange ici) d’établir la communication à son initiative (par exemple en cas d’appel entrant).

C’est pour cela qu’on a configuré un « host_outbound » dans la configuration du proxy qui doit pointer vers votre IP public.

Bien entendu, il faudra également rediriger les ports RTP et SIP vers votre serveur Debian interne.

Sur le Mikrotik, on commence par ajouter une règle NAT pour rediriger ces ports UDP vers notre serveur siproxd (dans mon cas sur 10.2.4.25) :

/ip firewall nat
add action=dst-nat chain=dstnat comment="NAT to SIP/RPT (Siproxd)" dst-port=\
    5070,7070-7089 in-interface=vlan832-internet protocol=udp src-address=\
    81.253.0.0/16 to-addresses=10.2.4.25

Puis on autorise le trafic en transite sur ces ports :

/ip firewall filter
add action=accept chain=services comment="Allow SIP from Orange (VoIP)" \
    dst-port=5070,7070-7089 protocol=udp src-address=81.253.0.0/16

Notez bien que la règle du firewall est sur la chaine « forward » et non « input » car ces ports sont redirigés avec la règle NAT vers la machine interne. Ainsi le trafic n’est pas entrant via à vis du routeur (input) il ne fait que transiter (forward).

Beaucoup font l’erreur, il faut juste se rappeler que dans le « Packet Flow » du Mikrotik le routage a lieu AVANT le firewall. Ainsi le « Destination NAT » est fait dans le « prerouting » qui précède les chaines « input » et « forward ». (Voir http://wiki.mikrotik.com/wiki/Manual:Packet_Flow (http://wiki.mikrotik.com/wiki/Manual:Packet_Flow))

Notez aussi que je restreins (de façon assez large) le trafic sur ces ports aux adresses du réseau Orange en 81.253.0.0/16 car ce proxy ne doit être accessible qu’aux serveurs Orange et non à tout le monde.

Pour finir on peut également optimiser le trafic VoIP sur notre réseau. Pour cela on ajoute une queue pour traiter ce trafic de façon prioritaire sur notre routeur et on élève la CoS de ce trafic pour que nos switches priorisent également ce trafic.

/ip firewall mangle
add action=mark-packet chain=forward comment="Mark VoIP packets" dst-port=\
    5060,5070,7070-7089,12100-12120 new-packet-mark=voip passthrough=no \
    protocol=udp
add action=set-priority chain=forward comment="CoS 6 for VoIP packets" \
    dst-port=5060,5070,7070-7089,12100-12120 new-priority=6 out-interface=\
    ether6-LAN passthrough=no protocol=udp

/queue tree
add name=voip packet-mark=voip parent=ether6-LAN priority=4 queue=default

Enregistrement du service et démarrage du proxy SIP
Sur une Debian Jessie, éditez simplement le fichier « /etc/rc.local » et ajoutez la ligne suivante :

/usr/local/sbin/siproxd –c /usr/local/etc/siproxd.conf &
Vous pouvez maintenant lancer le proxy :

sudo /etc/init.d/rc.local stop
sudo /etc/init.d/rc.local start

Et voilà la passerelle vers la « SIP made Orange » est prête, il ne reste plus qu’à se connecter dessus soit avec un client SIP ou soit avec un serveur sur lequel on pourra connecter plusieurs clients et faire beaucoup plus de chose.
Titre: Annexe : installer et configurer un serveur Asterisk (part 1)
Posté par: seb59 le 13 janvier 2017 à 16:55:30
Annexe : installer et configurer un serveur Asterisk pour la famille et la domotique (partie 1)

Pour ma part j’ai souvent utilisé le serveur Lync de Microsoft (maintenant renommé Skype for Business) mais ici j’ai décidé de découvrir Asterisk.

Vous avez beaucoup de solution basée sur Asterisk et apportant un lot de fonctionnalités supplèmentaires comme une interface Web d’administration, etc… Parmi eux on retrouve pour les plus connus : FreePBX, Incredible PBX, XiVO, PIAF, Trixbox, Elastix, AsteriskNow, etc..

Mes besoins sont simples : èmettre des appels puis les mobiles ou PC (pratique pour l’étranger), recevoir les appels sur le mobile ou PC en fonction de là où je suis connecté, pouvoir transférer les appels entrants à ma femme, un répondeur, enregistrement des conversations à la demande, interconnexion avec la domotique soit pour m’appeler en cas de problème (alarme, fuite d’eau ou autre) ou soit pouvoir appeler la maison pour piloter des équipements (chauffage, alarme, mise mode « vacance », etc..). Pour cela le plus simple est d’utiliser Asterisk seul sans surcouche.

Installation d’Asterisk
Pour installation, on commence par les prérequis :

sudo apt-get install build-essential
sudo apt-get install linux-headers-$(uname -r)
sudo apt-get install libxml2-dev libncurses5-dev libsqlite3-dev
sudo apt-get install uuid-dev libjansson-dev libssl-dev

Puis on télécharge la dernière version d’Asterisk 13 :
 
wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar zxvf asterisk-13-current.tar.gz
cd asterisk-13.X.0
./configure
make menuselect

Dans le menu, on sélectionne :

Ne reste plus qu’à compiler et installer le service :

make
sudo make install
sudo make samples
sudo make config

On peut maintenant lancer Asterisk :
 
/etc/init.d/asterisk start
Pour accéder à la console (plus il y a de « v » plus le niveau de log est important) :

asterisk -cvvvvvvvvvvr
Configuration de l’envoi de mail
Avant de continuer, nous allons installer le nécessaire pour l’envoi de mail que nous utiliserons pour l’envoi des messages vocaux laissés sur la messagerie ou encore l’envoi des conversations enregistrées.
Pour cela installer « ssmpt » :

sudo apt-get install ssmtp mailutils
Ensuite éditer le fichier « /etc/ssmtp/ssmpt.conf » :

# L’adresse email de « root »
root=sebastien@mondomaine.fr

# Le Serveur SMTP d’envoi (ici en TLS port 587 – Attention, port 25 bloqué par Orange)
mailhub=mail.mondomaine.net:587

# Si authentification :
AuthUser=monuser
AuthPass=monpassword
# Dans mon cas, mon serveur support le STARTTLS (crypté)
UseSTARTTLS=YES

# Where will the mail seem to come from?
rewriteDomain=monserveur.net

# Nom DNS du serveur
hostname=voip.monserveur.net

# On désactive l’override du « From » (on se basera exclusivement sur les alias, voir ci-dessous)
FromLineOverride=NO

Ensuite on configurer les « alias » (correspondance entre les utilisateurs du système et les adresses) pour l’envoi de mail.

root:monuser@mondomaine.net:mail.mondomaine.net:587
Ici je défini que l’utilisateur « root » envoie des mails depuis l’adresse « monuser@mondomaine.net » en utilisateur le serveur STMP mail.mondomaine.net sur le port 587.

Pour tester :

sebastien@voip-server:~$ sudo ssmtp sebastien@mondomaine.net
Subject : Demo

Ceci est un test

Pour envoyer le mail « Ctrl + D » ou pour annuler « Ctrl + Z ». Pour les logs, voir « /var/log/mail.log ».

Configuration de base d’Asterisk avec la ligne Orange
Passons maintenant à l’enregistrement de votre ligne Orange accessible via le proxy SIP local sur Asterisk.

Sauvegardez le fichier original et repartons d’un fichier vide :

sudo mv /etc/asterisk/sip.conf /etc/asterisk/sip.conf.original
sudo nano /etc/asterisk/sip.conf

Le contenu du fichier sera :

[general]
context=default
language=fr
allowoverlap=no
bindport=5060
bindaddr=0.0.0.0
srvlookup=no
qualify=yes
defaultexpiry=1800
maxexpiry=1800
keepalive=120
alwaysauthreject=yes
allowguest=no
disallow=all
allow=gsm,ulaw,alaw,adpcm,speex,g729,g723
domain=voip.mondomaine.net
canreinvite=no

useragent=PBX
sdpsession=Talk
sdpowner=+33xxxxxxxxx

register => +33xxxxxxxxx @trunk_orange/+33xxxxxxxxx

[trunk_orange]
type=peer
nat=force_rport,comedia
context=incoming_orange
defaultuser=+33xxxxxxxxx
fromuser=+33xxxxxxxxx
remotesecret=orange
host=orange-multimedia.fr
port=5070
insecure=port,invite
fromdomain=orange-multimedia.fr
outboundproxy=localhost:5070,force
canreinvite=no
sendrpid=no
dtmfmode=auto
call-limit=1
allowguest=yes

On a ici un serveur SIP qui écoute sur le port standard 5060. Mon serveur SIP est exposé sur Internet pour permettre de se connecter depuis son mobile via la 3G/4G. Il faut donc le sécuriser un maximum le serveur, notamment en spécifiant le « alwaysauthreject » et le « allowguest ».

J’enregistre le lien « peer » avec Orange en spécifiant l’adresse de notre proxy SIP local sur le port 5070. Notez que le mot de passe n’a pas d’importance puisque le plugin Orange sur « siproxd » ne prend pas en compte l’authentification derrière le proxy.

Le domaine « orange-multimedia.fr » doit être résolu localement. Pour cela éditer le fichier « /etc/hosts » et ajoutez la ligne :

127.0.0.1       orange-multimedia.fr
On va également modifier le fichier « /etc/asterisk/rtp.conf » pour reconfigurer la plage des ports RTP :

rtpstart=12100
rtpend=12120

Côté routeur, je vais rediriger le trafic du port 5060 (SIP) et des ports RTP d’Asterisk vers mon serveur local (10.2.4.25).

J’ajoute également cette règle en « Hairpin NAT », de ce fait sur chaque client SIP je configurerai mon serveur via son DNS externe (ex. voip.mondomain.net) et cela doit marcher aussi depuis l’extérieur (NAT classique) qu’à l’intérieur (Harpin NAT) :

/ip firewall nat
add action=dst-nat chain=dstnat comment="NAT to SIP/RTP (Asterisk)" dst-port=\
    5060,12100-12120 in-interface=vlan832-internet protocol=udp to-addresses=\
    10.2.4.25
add action=dst-nat chain=dstnat comment="Hairpin NAT SIP/RTP" \
    dst-address-type=local dst-port=5060,12100-12120 protocol=udp \
    src-addresses=10.2.4.0/24 to-addresses=10.2.4.25

Côté firewall, on autorise ces ports en « forward » (voir l’explication ci-dessus).

/ip firewall filter
add action=accept chain=services comment="Allow SIP (VoIP)" dst-port=\
    5060,12100-12120 protocol=udp

On peut également ajouter une protection sur la tentative de connexion un peu trop rapprochée (même si la plupart des bots laissent la connexion ouverte pour tester différents credentials) :

add action=drop chain=protection comment="Drop SIP hackers" in-interface=\
    vlan832-internet src-address-list=SIP_Hackers
add action=add-src-to-address-list address-list=SIP_Hackers \
    address-list-timeout=1d chain=protection comment=\
    "Add to SIP Hackers list for 1 day" connection-state=new dst-port=5060 \
    in-interface=vlan832-internet log=yes log-prefix="SIP Hacker:" protocol=\
    udp src-address-list=SIP_Attempt
add action=add-src-to-address-list address-list=SIP_Attempt \
    address-list-timeout=15s chain=protection comment=\
    "SIP Attempt (15 seconds)" connection-state=new dst-port=5060 \
    in-interface=vlan832-internet protocol=udp

Pour plus de sécurité, je vous invite à mettre en place « fail2ban », ou encore le TLS.

Configuration des utilisateurs
 
Passons à la configuration de nos utilisateurs. Pour cela sauvegardez le fichier original « /etc/asterisk/users.conf » et partez d’un fichier vide avec le contenu :

[general]
hasvoicemail = yes
hassip = yes
hasiax = yes
callwaiting = yes
threewaycalling = yes
callwaitingcallerid = yes
transfer = yes
canpark = yes
cancallforward = yes
callreturn = yes
callgroup = 1
pickupgroup = 1
nat = auto_force_rport,auto_comedia

Comme vous le constatez dans la section général je déclare que chaque utilisateur aura une messagerie vocale, une adresse SIP et pourront entre autre « parker » les appels ou les transférer.
Chaque utilisateur sera dernière un NAT (même ceux en interne via l’Hairpin NAT).

Ensuite on va déclarer un template que j’ai nommé « Chikawa » pour spécifier des paramètres communs dont le nom du contexte local nommé la aussi « chikawa » :

; Template
[chikawa](!)
type = friend
host = dynamic
disallow = all
allow = alaw
context = chikawa
Pour finir je déclare 5 utilisateurs (trois pour moi, un pour ma femme et un pour la maison/domotique).

A l’inverse des configurations qu’on trouve souvent, j’identifie mes utilisateurs avec un nom et non un chiffre. Je trouve cela plus simple et c’est en plus sécurisé car les bots tenteront de s’identifier avec des noms d’utilisateur numérique.
De ce fait je spécifie via l’option « cid_option », son n° (local Caller ID). Je spécifie également le n° de la boite vocal associée à l’utilisateur.

Enfin, n’étant pas adepte des mots de passe en clair, j’utilise l’option « md5secret » et non « secret » pour spécifier le mot de passe de l’utilisateur.
La valeur de ce paramètre est le hash MD5 de « user:asterisk:password ». Ainsi pour l’utilisateur « sebastien » avec le mot de passe « demo », la valeur de « md5secret » sera « af96d5785e002afcc870ae692d7426d3 » (soit le hash de « sebastien:asterisk:demo »).

[sebastien](chikawa)
fullname = Sebastien Warin
mailbox = 100
cid_number = 100
md5secret= af96d5785e002afcc870ae692d7426d3

[sebastien_po](chikawa)
fullname = Sebastien Warin (Portable)
mailbox = 101
cid_number = 101
md5secret= f2804f41da51fa6f6aa81d06ef64e269

[sebastien_pc](chikawa)
fullname = Sebastien Warin (PC)
mailbox = 102
md5secret= bb4fd1d16ad61e9f13cb6c8a7a3a7bef
cid_number = 102

[lili](chikawa)
fullname = Olivia
md5secret = 1644d2fdb71b7a830563bdbc51df1169
mailbox = 110
cid_number = 110

[constellation](chikawa)
fullname = Constellation
md5secret = d59df7a52c07fac0f73fcee775b3b18a
mailbox = 120
cid_number = 120

J’utilise Zoiper sur Android et Xlite sur Windows. On peut donc maintenant configurer chaque compte avec le login/password de l’utilisateur et l’adresse DNS/IP de votre connexion externe. Chaque client doit pouvoir s’enregistrer que l’on soit sur le réseau interne ou non.

N’oubliez pas d’activer le service STUN (Simple Traversal of UDP through NATs, service permettant de connaitre son IP externe) sur vos clients dans les paramètres réseau des clients SIP.
 
(https://sebastien.warin.fr/wp-content/uploads/2017/01/31-ZoiperAndroid_thumb.png)

Maintenant que toutes nos machines ou smartphones sont connectés que l’on soit en interne ou non, il ne reste plus qu’à définir un « plan d ‘appel », le dial plan.

Configuration un Dial Plan
Une fois n’est pas coutume, sauvegarder le fichier original « /etc/asterisk/extensions.conf » et partez d’un fichier vide !

Dans la section « general » on garde les options suivantes :

[general]
static=yes
writeprotect=no
clearglobalvars=yes

Ensuite dans le contexte « local » que j’ai nommé « chikawa » on configure les plans d’appel pour chaque utilisateur :

[chikawa]

; Dial 1xx = Poste intérieur
exten => 100,1,GoSub(call-user,s,1(SIP/sebastien,${EXTEN}))
exten => 101,1,GoSub(call-user,s,1(SIP/sebastien_po,${EXTEN}))
exten => 102,1,GoSub(call-user,s,1(SIP/sebastien_pc,${EXTEN}))
exten => 110,1,GoSub(call-user,s,1(SIP/lili,${EXTEN}))
exten => 120,1,GoSub(call-user,s,1(SIP/constellation,${EXTEN}))

Comme vous le voyez pour chaque n°, 100, 101,… on appelle l’utilisateur par son nom avec la routine « call-user » défini en bas de fichier de la façon suivante :

[call-user]
exten => s,1,Verbose("Calling ${ARG1}")
    same => n,Dial(${ARG1},15,tTxXkK)
    same => n,VoiceMail(${ARG2}@chikawa)
    same => n,Hangup()

On appelle l’utilisateur (argument 1) pendant 15 secondes max avec les options t/T (transfert), x/X (enregistrement) et k/K (park). Si l’utilisateur n’a pas répondu, on renvoie l’appel sur la messagerie (n° spécifié par le deuxième argument).

Vous pouvez recharger votre dial plan (dialplan reload) sur la console Asterisk et désormais vos utilisateurs peuvent s’appeler entre eux.

Pour sortir en utilisant la ligne Orange, voici le plan :

; Réécriture des appels au format int.
exten => _00.,1,Goto(+${EXTEN:2},1)
exten => _0XXXXXXXXX,1,Goto(+33${EXTEN:1},1)

; Appel vers la france (fixe et mobile)
exten => _+33[1-79]XXXXXXXX,1,Macro(outgoing-call,${EXTEN})

; N° sépciaux (gratuit seulement)
exten => _1X,1,Macro(outgoing-call,${EXTEN})
exten => _11X,1,Macro(outgoing-call,${EXTEN})
exten => _116XXX,1,Macro(outgoing-call,${EXTEN})
exten => _+3380[0-5]XXXXXX,1,Macro(outgoing-call,${EXTEN})

; Refus des autres numéros
exten => _.,1,Playback(pbx-invalid)
   same => n,Hangup()

Les numéros commençant par 0 sont d’abord réécrits au format international. Ensuite sont autorisées à sortir, les numéros de fixes et mobiles français ainsi que les numéros spéciaux gratuits.

Pour le reste on indique à l’utilisateur que le n° n’est pas valide (son « pbc-invalid ») et on raccroche l’appel.

La macro « outgoing-call » de zoc permet de passer l’appel sur le « trunk orange » et gère le cas d’une erreur de type « channel unavailable » en rechargement les peers SIP avant de rejouer l’appel.

[macro-outgoing-call];
exten => s,1,Log(NOTICE, Outgoing call to ${ARG1})
exten => s,n,Set(NUMBER=${ARG1})
exten => s,n,Dial(SIP/${NUMBER}@trunk_orange,,KXT)
exten => s,n,Log(NOTICE, Outgoing failed with error ${DIALSTATUS})
exten => s,n,Goto(s-${DIALSTATUS},1)
exten => s-NOANSWER,1,Hangup()
exten => s-CONGESTION,1,Congestion()
exten => s-CANCEL,1,Hangup()
exten => s-BUSY,1,Busy()
exten => s-CHANUNAVAIL,1,Log(NOTICE, Outgoing trunk unavailable - restarting)
exten => s-CHANUNAVAIL,n,Wait(1)
exten => s-CHANUNAVAIL,n,System(sudo asterisk -rx "sip reload")
exten => s-CHANUNAVAIL,n,Wait(1)
exten => s-CHANUNAVAIL,n,Log(NOTICE, Second attempt at calling ${NUMBER})
exten => s-CHANUNAVAIL,n,Dial(SIP/${NUMBER}@trunk_orange,,TXK)
exten => s-CHANUNAVAIL,n,Hangup()

Dans la mesure du possible utilisez les routines et non les macros désormais dépréciées.

Pour la réception des appels, voici une première version :

[incoming_orange]
exten => +33xxxxxxxxx,1,Log(NOTICE, Incoming call from ${CALLERID(num)})
   same => n,Dial(SIP/sebastien, 15, txk)
   same => n,Dial(SIP/lili, 15, txk)
   same => n,Voicemail(120@chikawa)
   same => n,Hangup()

On fait sonner l’utilisateur « sebastien » 15 secondes, puis « lili » et si personne n’a répondu, on envoie l’appel sur la messagerie « 120 » puis on raccroche.

Configuration de la messagerie
Tout d’abord on va installer un petit programme pour gérer l’envoi des messages vocaux en MP3 :

cd /usr/sbin
sudo wget http://pbxinaflash.com/sendmailmp3.tar.gz
sudo tar zxvf sendmailmp3.tar.gz
sudo rm sendmailmp3.tar.gz
sudo chmod 0755 sendmailmp3

sudo apt-get -y install lam
sudo apt-get -y install lame
sudo apt-get -y install dos2unix
sudo apt-get -y install unix2dos
sudo sed -i -e 's/echo -e/echo/g' sendmailmp3

Ensuite on édite le fichier « /etc/asterisk/voicemail.conf » pour configurer chaque boite et l’envoi automatique des messages par mail :

[general]
format=wav
serveremail=voip@mondomain.net
attach=yes
maxsilence=10
silencethreshold=128
maxlogins=3
sendvoicemail=yes

; En MP3 :
mailcmd=/usr/sbin/sendmailmp3

;Corps du mail
emaildateformat=%A, %d %B %Y a %H:%M:%S
emailsubject=[Telephone] Nouveau message dans la boite ${VM_MAILBOX}
emailbody=Bonjour ${VM_NAME},\n\n\tLe numero ${VM_CALLERID} a tente de vous joindre sans succes le ${VM_DATE}.\nCette personne vous a laisse un message de ${VM_DUR} se$
pagerfromstring=[Asterix]
pagersubject=Nouveau message vocal
pagerbody=Nouveau message de ${VM_DUR} secondes dans la boite ${VM_MAILBOX} laisse le ${VM_DATE} par ${VM_CALLERID}.

[chikawa]
; extension => modedepasse, designation, mail
100 => 1234, Sebastien, sebastien@mondomain.fr
110 => 5678, Olivia, olivia@mondomain.fr
120 => 7890, Chikawa, sebastien@mondomain.fr

De retour sur le fichier extension on ajoute le numéro « 700 » pour accéder à sa boite perso. Le n° de la boite est identifié avec la variable « ${CALLERID(num)} » qui retourne le CallerID :

; Dial 700 = Numéro de la boite vocale perso
exten => 700,1,Answer
   same => n,Wait(1)
   same => n,VoiceMailMain(${CALLERID(num)}@chikawa,s)
   same => n,Hangup()

Seulement chez nous, les appels entrant sont redirigés (en cas de non réponse) sur la boite commune « 120 ».
De ce fait, j’ajoute le numéro 800 pour accéder à cette boite « commune »:

; Dial  800 = boite vocale commune
exten => 800,1,Answer
   same => n,Wait(1)
   same => n,VoiceMailMain(120@chikawa,s)
   same => n,Hangup()

Remarquez l’option « s » passée à l’application « VoiceMailMain » qui permet de ne pas demander le mot de passe pour accéder à la boite.

On peut également enrichir l’appel entrant en ajoutant dans le contexte « incoming_orange »:

; Acces distant a la messagerie vocale par appui de la touche * lors de l’annonce
exten => a,1,VoiceMailMain(120@chikawa)
   same => n,Hangup()

Ainsi lorsque l’on passe un appel vers notre n° orange, on peut accéder à la messagerie commune (120) en appuyant sur « * ». Par contre dans ce cas on ne met pas l’option « s », autrement dit l’interlocuteur sera invité à taper le code PIN de la messagerie.
Titre: Annexe : installer et configurer un serveur Asterisk (part 2)
Posté par: seb59 le 13 janvier 2017 à 17:13:19
Synthèse vocale
Il y a plusieurs applications permettant de jouer des sons préenregistrés comme « Playback » ou « Background ».

Par exemple, pour faire une « horloge parlante » qui répondra au n° « 500 » :

; Dial 500 = Horloge
exten => 500,1,Answer()
    same => n,Set(CHANNEL(language)=fr)
    same => n,Playback(welcome)
    same => n,SayUnixTime(,Europe/Paris,AdBY kM)
    same => n,Playback(vm-goodbye)
    same => n,Hangup()

On peut également ajouter le script AGI pour faire du TTS avec le service de Google :

sudo apt-get install perl libwww-perl sox mpg123
cd /var/lib/asterisk/agi-bin
sudo wget https://raw.github.com/zaf/asterisk-googletts/master/googletts.agi
sudo chmod 755 googletts.agi

Maintenant pour faire un test, appelez le « 8000 » avec ce code :

exten => 8000,1,Answer()
    same => n,agi(googletts.agi,"Bienvenue sur le serveur vocal Chikawa !",fr)
    same => n,agi(googletts.agi,"Qui souhaitez-vous joindre?",fr,any)
    same => n,agi(googletts.agi,"Pour Sebastien tapez 1",fr,any)
    same => n,agi(googletts.agi,"Pour Olivia tapez 2",fr,any)
    same => n,agi(googletts.agi,"Appuyez sur dièse si vous souhaitez réécouter ce  message",fr,any)
    same => n,Hangup()

Transfert d’appel
Editez le fichier « /etc/asterisk/features.conf » et configurez :

blindxfer => #1
atxfer => #2

Ainsi pendant un appel, appuyez sur « #1 » pour transférer l’appel vers un autre poste en mode aveugle (transfert direct) ou « #2 » en mode supervisé (on appelle la personne avant de transférer l’appel).

Parcage d’appel
Vous décrochez l’appel sur votre PC mais vous devez y aller et vous souhaitez le reprendre sur votre smartphone. Vous pouvez soit faire un transfert vers votre smartphone en gardant l’appel ou soit « parker » l’appel et le reprendre plus tard.

Car si vous devez y aller, vous avez besoin de quelques secondes/minutes pour fermer votre poste, ranger vos affaires, prendre vos clés et mettre votre manteau. Pas pratique avec un appel en cours !

En « parkant » l’appel, vous le rangez dans un parking à une position donnée et votre interlocuteur aura une belle musique d’attente. Quand vous êtes disposé vous appelez cette place de parking (depuis n’importe quel poste) pour reprendre votre appel.

Pour cela éditez le fichier « « /etc/asterisk/res_parking.conf ». Pour ma part le parking est en 6xx, je change donc les deux paramètres suivants dans le fichier :

parkext => 600
parkpos => 601-620

Plutôt que transférer l’appel au « 600 » pour « parker »  l’appel on va configurer la touche directe « #3 ». Editez le fichier « /etc/asterisk/features.conf » et configurez :

parkcall => #3
Enfin adaptons notre dialplan :

; Dial 600 = Parking
include => parkedcalls
exten => 600,1,Park()
exten => _6XX,1,ParkedCall(default,${EXTEN})

Et voilà, lors d’un appel j’appuie sur les touches « #3 » et le serveur Asterisk me donne le numéro de la place de parking de cet appel, un nombre compris entre 601 et 620.

L’appel est mis en attente et des que je souhaite, sur un des postes de mon contexte local « chikawa » je compose le numéro de la place que l’on m’a attribué et je reprends mon appel.

Enregistrement vocal
Pratique après un échange un peu houleux avec un SAV. Pour garder trace de l’échange, j’enregistre l’appel. Pour cela deux touches « *1 » et hop l’appel est enregistré puis envoyé au format MP3 par mail à la fin de la conversation !

Pour configurez cela, éditez le fichier « /etc/asterisk/features.conf » avec :

automixmon => *1
J’utilise le « Mix Monitor » et non « Monitor ».  Le « Mix » monitor enregistre le canal de l’appelé et de l’appelant dans le même fichier WAV alors que le « Monitor » simple entre les deux canaux dans deux fichiers séparés. De ce fait je n’ai pas activé de touches pour le « automon » car cela ne m’intéresse pas !

Les fichiers WAV sont sauvegardés dans « /var/spool/asterisk/monitor/ ». De ce fait j’ai bricolé un petit script pour compresser l’enregistrement en MP3 et l’envoyer par mail.

sudo nano /usr/sbin/sendrecord.sh
Le script se base sur ssmtp déjà installé avec la messagerie vocale :

#!/bin/bash

MAIL_TO="sebastien@mondomaine.fr"

for f in /var/spool/asterisk/monitor/*.wav
do
  [[ -f "$f" ]] || continue
  if [ "${f}" != "${f%.wav}" ];then

    FULLDATE=`date -r $f`
    DATE=`date '+%Y-%m-%d %H-%M-%S' -r $f`
    FROM=`echo ${f##*/} | cut -d'-' -f3`
    TO=`echo ${f##*/} | cut -d'.' -f1  | cut -d'-' -f4`
    DIR=`dirname $f`
    MP3FILE="record-$FROM-$TO-$DATE.mp3"

    echo "Processing $f"

    lame $f "$DIR/$MP3FILE";

    echo "Subject: Enregistrement du $FULLDATE

    Bonjour,

    Veuillez retrouver ci-joint l'enregistrement de votre conversation avec le numero $TO du $FULLDATE

    Cordialement," | (cat - && uuencode "$DIR/$MP3FILE"  "$MP3FILE") | /usr/sbin/ssmtp $MAIL_TO

    rm $f

  fi
done

Ce script est ensuite exécuté toutes les minutes. Pour cela éditer le cron de root :

su
crontab –e

Et ajoutez la ligne :

* * * * * /usr/sbin/sendrecord.sh >/dev/null 2>&1
Idéalement il faudrait pouvoir envoyer l’enregistrement à la personne ayant déclenchée l’appel mais cela supposerait de récupérer l’adresse email pour une extension donnée qu’on a déjà défini dans la configuration de la messagerie (voicemail.conf).

Intégration dans la « domotique » de la maison

L’ensemble de ma maison est domotisée grâce à la plateforme d’interconnexion d’objets connectés, applications et services que je développe nommée Constellation (http://www.myconstellation.io). Vous trouverez différent article sur le sujet sur mon blog : http://sebastien.warin.fr  (http://sebastien.warin.fr)

De ce fait, grâce à Asterisk on peut donner les capacités aux autres objets, applications et services de la maison de passer ou recevoir des appels.

Par exemple, faire clignoter des LED d’un Arduino ou d’un Raspberry en cas d’appel, m’appeler encas d’alarme, de fuite, de fenêtre laissée ouverte en cas de pluie ou même avoir la possibilité d’appeler la maison pour piloter le chauffage Nest, couper ou allumer des machines à distance, ouvrir la porte du garage, ou simplement piloter un Arduino…

Pour cela on peut interagir de deux manières avec Asterisk : via l’AMI et l’AGI.

L’AMI : Asterisk Manager Interface
L’AMI est une interface basée sur TCP permettant de se connecter en tant que « Manager » sur le serveur pour le piloter.

Il suffit de créer un compte Manager avec différents droits dans le fichier « /etc/asterisk/manager.conf » :

[general]
enabled = yes
port = 5038
bindaddr = 0.0.0.0

[sebastien]
secret=demo
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
permit=10.2.4.0/255.255.255.0
read = system,call,log,verbose,agent,user,config,dtmf,reporting,cdr,dialplan,cc
write = system,call,agent,user,config,command,reporting,originate,message

Ensuite un programme peut se connecter sur l’AMI avec le compte « sebastien ».

J’ai donc développé un package (= un connecteur dans la terminologie Constellation) permettant d’exposer les fonctionnalités de l’AMI dans Constellation pour qu’une page Web, un programme .NET ou Python, un Arduino, un ESP8266, du nodeJS, un programme Bash ou Powershell, etc.. etc.. Puisse de façon transparente dialoguer avec le serveur Asterisk.

Sur l’AMI on peut par exemple initier un appel (le serveur appelle les deux correspondants et les mets en relation), transférer des appels, suivre tous les évènements (qui appel qui, qui raccroche, etc..).

Par exemple, lors d’une alarme la maison initie un appel sur mon compte utilisateur et celui de ma femme. Sans réponse elle utilise le trunk Orange pour appeler nos proches sur les GSM. Lorsque quelqu’un répond, Asterisk met l’interlocuteur avec une extension qui par exemple vient diffuser un message vocal avec le TTS de Google comme vu plus haut, ou comme dans mon cas, passe l’appel au package « My Brain » où réside l’IA de la maison qui ni plus ni moins qu’un AGI comme nous allons le découvrir ci-après.

L’AGI : Asterisk Gateway Interface
Cette interface permet d’ajouter des fonctionnalités dans Asterisk. Toutes les applications que vous utilisez pour faire du TTS, jouer un son, avoir un service de messagerie sont des AGI.

Ce qui est intéressant c’est qu’on peut exposer des AGI à distance. Par exemple :

exten => 200,1,agi(agi://monserveur/ia)
   same => n,Hangup()

Ici en composant le numéro 200 je suis mis en relation avec un AGI hébergé sur agi://monserveur/ia.

C’est ainsi que l’IA de la maison peut prendre un appel. Elle peut parler en utilisant l’AGI de Google ou les sons prédéfinies d’Asterisk, elle peut également écouter les touches DTMF saisies par l’utilisateur comme input.

On peut donc mettre à jour la gestion des appels entrants avec le plan suivant :

[incoming_orange]

exten => +33xxxxxxx,1,Log(NOTICE, Incoming call from ${CALLERID(num)})
   same => n,GotoIf($["${CALLERID(num)}" = "${GSM_SEB}"]?call_from_seb)
   same => n,Dial(SIP/sebastien, 15, txk)
   same => n,Dial(SIP/lili, 15, txk)
   same => n,Voicemail(${GLOBAL_VOICEMAIL}@chikawa)
   same => n,Hangup()

   same => n(call_from_seb),Answer
   same => n,agi(googletts.agi,"Bienvenue boss, je te mets en relation avec la maison",fr)
   same => n,agi(agi://monserveur/ia)
   same => n,Hangup()

; Acces distant a la messagerie vocale par appui de la touche * lors de l’annonce
exten => a,1,VoiceMailMain(${GLOBAL_VOICEMAIL}@chikawa)
   same => n,Hangup()

Avec en entête du fichier :

[globals]
GSM_SEB = 0612345678

On a juste rajouté un test (GotoIf) qui permet, si je suis l’appelant (mon n° GSM étant configuré dans les variables globales) de me mettre en relation directement avec le package Constellation qui expose l’AGI sur « monserveur » me permettant ensuite de gérer la « domotique » (au sens large).

Je reviendrais sur mon blog sur les interactions entre Constellation et Asterisk car il s’agit en soit d’un sujet à part entière. L’idée ici était juste d’attirer votre attention sur ce qui est possible de mettre en place une fois le serveur Asterisk déployé.
Titre: Annexe : connecter la LiveBox derrière un routeur
Posté par: seb59 le 13 janvier 2017 à 17:13:26
Annexe : connecter la LiveBox derrière un routeur

Pour ceux qui désire tout de même connecter leur Livebox derrière le routeur (un Mikrotik pour ma part) afin d’utiliser soit le Wifi, le proxy IGMP ou encore la base CAT-iq ou encore le port tel, voici la marche à suivre.

J’ai choisi l’interface « ether9 » que j’ai renommé « ether9-LB » pour connecter le port WAN de la LiveBox.

On commence par créer le VLAN « 832 » sur cette interface (car la LiveBox cherchera à se connecter sur internet par ce VLAN):
/interface vlan
add comment="Internet LiveBox" interface=ether9-LB loop-protect-disable-time=\
    0s loop-protect-send-interval=0s name=vlan832-livebox vlan-id=832

On assigne ensuite une IP fixe à votre routeur sur cette interface (192.168.100.254 pour ma part) :

/ip address
add address=192.168.100.254/24 comment="LAN Livebox" interface=\
    vlan832-livebox network=192.168.100.0

Puis on ajoute un serveur DHCP pour délivrer une IP à notre LiveBox avec notre routeur comme passerelle et les serveurs DNS d’Orange:

/ip pool
add name=pool-livebox ranges=192.168.100.1-192.168.100.10

/ip dhcp-server
add address-pool=pool-livebox authoritative=yes disabled=no interface=\
    vlan832-livebox lease-time=1w1d name=Livebox

/ip dhcp-server network
add address=192.168.100.0/24 dhcp-option=authsend,SIP dns-server=\
    81.253.149.1,80.10.246.130 gateway=192.168.100.254 netmask=24

Sans oublier d’ajouter les options DHCP suivantes pour que la LiveBox approuve la connexion :

/ip dhcp-server option
add code=90 name=authsend value=\
    0x0000000000000000000000646863706c697665626f786672323530
add code=120 name=SIP value="0x00067362637433670341554206616363657373116f72616\
    e67652d6d756c74696d65646961036e657400"

Enfin n’oubliez pas d’autoriser le trafic entre la LiveBox et le VLAN Internet :

add action=accept chain=forward comment="Forward Livebox to WAN" \
    in-interface=vlan832-livebox out-interface=vlan832-internet

Ainsi votre LiveBox fonctionnera comme si elle était connectée directement sur l’ONT. Il y aura juste votre routeur en amont pour le VLAN internet (832).

Vous pourrez ensuite connecter un téléphone sur le port « tel » ou en sans fil via CAT-iq, profiter du réseau Wifi de cette Livebox (en double NAT donc) ou encore connecter décodeur TV sur les ports LAN de la Livebox en créant un pont (bridge) pour « renvoyer » les VLANs 838 et 840 à la Livebox.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: JuJuBoSc le 14 janvier 2017 à 01:24:31
Chapeau ! Je me suis régaler de tout lire !

Post it post it !
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Slothy le 14 janvier 2017 à 20:17:40
Magnifique. J'ai tout lu, on voit que tu sais de quoi tu parles. Je tourne également en partie sur du Mikrotik.

Une petite remarque cependant. Tu indiques la manière de marquer les requêtes en CoS 6 via une règle Mangle, mais il me semble que cela a été testé et ne fonctionne pas car il faut que le paquet soit marqué avant qu'il arrive au routeur. Vu que tu es dans une zone qui n'a pas besoin de la CoS, tu ne peux pas tester, c'est dommage. Il y a eu une discussion à propos de ça par ici : https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/276/
Titre: Avec la fibre : mon nouveau réseau avec Orange/Sosh
Posté par: kgersen le 14 janvier 2017 à 22:37:00
oui l'info sur la QoS avec une règle n'est pas bonne et peut induire en erreur quelqu'un qui voudrait répliquer ta config sans trop s'y connaitre et aurait la malchance d’être dans une zone ou la QoS 6 est nécessaire: il risque d'investir et se retrouver bloquer...

Sous Linux (et donc RouterOS) , DHCP en IPv4 utilise des 'raw sockets' qui sortent directement du routeur sans passer par iptables et donc sans passer par la règle indiquée.

Reste la solution d'utiliser son switch (s'il peut faire cela) ou de modifier le client DHCP (chose peu probable sur un Mikrotik a moins qu'on puisse avoir un accès root pour changer des binaires -> a vérifier ?)

Sinon très bon guide merci de ta contribution.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 15 janvier 2017 à 16:03:29
Bonjour à tous,

Tout d’abord merci pour vos retours positifs, ça fait toujours plaisir à lire :)

Slothy ta remarque ça m’a donné l’occasion de creuser un peu plus en détail cette histoire de CoS et j’ai une bonne nouvelle pour les processeurs d’un Mikrotik / RouterOS, pas besoin de bidouiller des binaires ou d’installer un switch en amont, vous pouvez bien changer la CoS de vos requêtes DHCP directement depuis RouterOS.

Comme à mon habitude, explication :)

Protocole de test
Tu indiques la manière de marquer les requêtes en CoS 6 via une règle Mangle, mais il me semble que cela a été testé et ne fonctionne pas car il faut que le paquet soit marqué avant qu'il arrive au routeur. Vu que tu es dans une zone qui n'a pas besoin de la CoS, tu ne peux pas tester, c'est dommage

En effet de chez moi, pas besoin de définir une CoS spécifique sur les requêtes DHCP pour obtenir une IP. Je ne peux donc « tester » directement.

La « CoS » pour « Class of service » va définir la priorité d’une trame Ethernet (couche 2). Cette notion a été introduite par ce que l’on appelle le « 802.1p » bien que ce ne soit pas un standard à part entière, cette notion est incorporée dans le standard 802.1D. L’idée du « 802.1p » étant d’implèmenter un mécanisme de « QoS » au niveau de la couche 2 (MAC).

Cependant la « CoS » bien que définie par le « 802.D » ne peut pas fonctionner sans les « VLAN » définis eux par un autre standard, le « 802.1Q », car cette information est stockée dans un champ nommé « PCP » (Priority code point) contenu dans l’entête d’une trame Ethernet au format 802.1Q au côté du « VID » (Vlan identifier).

En effet, une trame « taguée » (802.1Q) contient un surplus de 32 bits dans l’entête de la trame Ethernet pour contenir entre autre le numéro du VLAN (VID) mais aussi la priorité de la trame (PCP).
C’est donc seulement les trames Ethernet 802.1Q « taguées » qui peuvent contenir cette information, une trame Ethernet classique (802.3) ne peut pas contenir d’information quant à la priorité (on utilisera alors le ToS/DSCP au niveau 3, pour ajouter l’indice de priorité dans l’entête d’un paquet IP).

Le champ PCP occupe 3 bits (soit 8 valeurs possibles) ce qui permet de définir la priorité de la trame avec une valeur comprise entre 0 (priorité minimale) et 7 (priorité maximale).

Dans notre cas, les requêtes DHCP envoyées à Orange sont contenues dans des trames 802.1Q étant donné que l’on discute avec Orange en utilisant différents VLANs, celui qui nous intéresse ici étant le VLAN 832 pour Internet et doivent être marquées avec un CoS à « 6 » (classe Internetwork Control) soit une priorité très haute.

De ce fait même si je ne peux pas réellement tester le fonctionnement, on peut vérifier en analysant le trafic entre le routeur et Orange au moyen d’un « sniffer réseau » que les requêtes DHCP sont envoyées avec la bonne priorité.

Le but du jeu étant de voir partir nos requêtes DHCP avec le champ « PCP » (CoS) à 6.

Aussi pour votre information, j’ai réalisé toutes mes tests (et les captures d’écran ci-dessous) sur le VLAN 838 (celui de la VoD) dans lequel on s’identifie également en DHCP car je ne pouvais pas tester directement sur 832 afin d’éviter la pagaille sur mon réseau (pas mal de connexions actives vers Internet, je ne voulais pas tout chambouler lors de mes tests alors que des coupures du réseau VOD ne dérangera personne ;)).

Quoi qu’il en soit, le principe est le même, que l’on soit sur le VLAN 832 ou 838, l’idée étant de rajouter la CoS dans la trame Ethernet pour les requêtes DHCP.

Ne soyez donc pas surpris de voir le VLAN 838 dans les captures. Et aussi pour éviter la confusion, ce VLAN n’a absolument pas besoin d’une « CoS » particulière, je l’ai utilisé à des fins de test uniquement.

Sniffer le trafic réseau
Beaucoup d’entre vous ont l’habitude de ces opérations mais pour mettre tout le monde d’accord, notamment sur les possibilités propres à Mikrotik/RouterOS, voici quelques mots à ce sujet ….

Sniffer et streamer le trafic réseau depuis RouterOS
Dans mon post sur la partie TV, je vous parlais de « Torch » un outil intégré à RouterOS ultra-light permettant d’afficher le trafic réseau de façon macro (adresses dst/src, port, protocole, n° du vlan, …) avec la possibilité de mettre quelques filtres.
Pratique mais assez limité car on n’a pas possible d’analyser le contenu des paquets !

Un autre outil intégré à RouterOS que j’aime beaucoup est « Packet Sniffer. Il est plus complet avec la possibilité de visualiser les hosts, les connections, les paquets, etc... Mais ce qui est génial c’est le « Streaming » TZSP (TaZmen Sniffer Protocol).

En clair, le trafic capturé sur RouterOS peut être « streamé » sur une machine de votre choix :

/tool sniffer set streaming-enabled=yes streaming-server=<mon_ip>
/tool sniffer start

Sur votre machine, vous démarrez une capture Wireshark en filtrant tout ce qui arrive sur le port UDP 37008.
Vous obtiendrez alors les trames Ethernet du routeur à votre machine of course, et dans les paquets IP vous trouverez des enveloppes TZSP qui elles, contiennent le trafic de couche 2 capturé par le routeur (trames Ethernet, paquets IP, etc..).

Bon attention, dans les lignes ci-dessus il n’y a aucun filtre, donc vous allez capturer et streamer sur votre machine tout le trafic de votre routeur ! Il sera préférable de mettre en place des filtres pour le capturer et donc streamer que les trames qui vous intéresse (déjà définir la ou les interfaces à capturées, le protocole, port(s), etc…).

Par exemple ici on capture le trafic du VLAN838 attaché à l’ONT (vlan838-vod) pour les paquets UDP sur les ports 67 et 68 (DHCP) et on stream ce trafic vers « 10.2.4.114 » (mon IP) :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/PacketSnifferFull_thumb.png)
 
Sur mon PC j’ai lancé la capture Wireshark sur le port UDP 37008 et je vois bien apparaitre les requêtes DHCP sur le VLAN 838 de mon routeur (en rose, la trame Ethernet entre mon routeur et ma machine contenant l’enveloppe TZSP qui renferme la trame Ethernet de la requête DHCP capturée sur le VLAN 838 du routeur).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/PacketSnifferWireShark_thumb.png)
 
La trame ci-dessus est reçue quand je sniffe l’interface du VLAN directement or ce qui nous intéresse c’est de contrôler la « CoS » c’est-à-dire la priorité de la trame, information contenue dans les headers VLAN 802.1Q.
Autrement dit pour analyser l’entête 802.1Q liée au VLAN pour pouvoir connaitre la priorité associée et donc la CoS, il faut sniffer le trafic au niveau de l’interface Ethernet (« ether2-WAN » dans mon cas).

Seulement si je change les filtres sur « Packet Sniffer » en prenant tout le trafic sur « ether2 » (comme on le voit dans la capture ci-dessus), impossible de lire correctement les entêtes des trames Ethernet dans Wireshark :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/PacketSnifferTrameError_thumb.png)
 
De ce fait, impossible de lire l’entête 802.1Q et donc de connaitre la priorité (CoS) de la trame.

Je n’ai pas plus creusé que cela ! En résumé on arrive bien à récupérer via streaming TZSP les trames Ethernet classique (803.2) mais jamais celle au format VLAN (802.1Q).

Ainsi cette feature est parfaite pour une analyse rapide sans avoir besoin de se brancher en filaire (pratique sur un laptop en Wifi), mais sera réservée sur de petit volume de trafic car le streaming crée des pertes et de la latence, et pour des analyses au-dessus de la couche 2 (couche IP ou protocoles TCP/UDP). Autrement j’utilise le bon vieux « port mirroring » !

Sniffer le trafic réseau depuis un switch avec le « port mirroring »
En principe tous les switches manageable proposent cette fonctionnalité même sur l’entrée de gamme comme par exemple sur mon petit switch du salon, un SG108E (Easy Smart) de chez TP-Link (environ 30 euros).

Le principe est simple on indique au switch quels sont les ports pour lesquels on souhaite dupliquer le trafic reçu et/ou émis et quel est le port du switch sur lequel on va envoyer cette copie de trafic.

Dans mon cas, j’ai connecté mon laptop au réseau filaire avec une carte réseau USB, (Realtek USB Giga ethernet) et j’active le mirroring du trafic entrant et sortant du port « g1 » (celui où est connecté l’ONT Orange) sur le port où j’ai connecté mon laptop (ici en « g13 »).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/port-mirroring_thumb.png)
 
Encore une fois nous ce que l’on veut, ce sont les informations propres aux VLANs ce qui est pas toujours possible en fonction de la carte réseau utilisée. Par chance, pas de soucis avec les Realteks d’après différentes sources d’information.

Il faudra cependant  « Désactiver » la propriété « Propriété & VLAN dans les options avancées de la carte réseau USB (car le driver Windows supprime les entête 802.1Q).

(https://sebastien.warin.fr/wp-content/uploads/2017/01/realtek-vlan_thumb.png)
 
Maintenant nous pouvons lancer une capture avec Wireshark sur la carte réseau USB branchée sur le switch en « g13 » sur lequel nous avons une copie du trafic vers/de l’ONT Orange branché en « g1 ».

Vu mais pas pris : les règles « Mangle » sur le client DHCP
Quand j’ai écrit mon post où j’indiquais la règle Mangle pour marquer la CoS des requêtes DHCP, je n’ai pu réellement la valider car je n’ai pas besoin de cela pour avoir une réponse d’Orange.

Ceci dit pour moi elle marchait car le compteur de la règle s’incrèmentait bien !

Je fus donc étonné de lire la remarque de Slothy et surtout la réponse kgersen :

oui l'info sur la QoS avec une règle n'est pas bonne et peut induire en erreur quelqu'un qui voudrait répliquer ta config sans trop s'y connaitre et aurait la malchance d’être dans une zone ou la QoS 6 est nécessaire: il risque d'investir et se retrouver bloquer...
Sous Linux (et donc RouterOS) , DHCP en IPv4 utilise des 'raw sockets' qui sortent directement du routeur sans passer par iptables et donc sans passer par la règle indiquée.

C'est ce qui m’a donné envie de pousser l’analyser pour réellement comprendre car même si il est vrai que RouterOS est basé sur le noyau Linux, on n’a pas vraiment d’information sur ce qui a était réutilisé, réécrit ou modifié par Mikrotik. On ne sait pas vraiment si le code du client dhcp se base sur celui de linux ou même si le firewall se base sur iptable. On sait juste que ça tourne sur une base Linux après pour le reste, pas d’idée et ça ne m’étonnerai pas qu’ils aient réécrit tout à un tas de chose à leur sauce. Bon je sais que certain, pour ces raisons, prôneront l’open-source, mais là n’est pas le débat ;)

Pour en revenir aux faits, si on utilise cette fameuse règle comme indiqué dans mon  post :

add action=set-priority chain=output comment="CoS 6 for DHCP packets" \
    dst-port=67 src-port=68 new-priority=6 out-interface=vlan832-internet \
    passthrough=no protocol=udp

On peut constater qu'elle est bien exécutée sur chaque requête DHCP. J’ai ajouté l’option « Log » à cette règle et comme le montre la capture ci-dessous, on voit bien le compteur de la règle s’incrèmenter à chaque requête DHCP accompagné de logs :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/cos-dhcp-vlan-dircect_thumb.png)
 
Donc contrairement à l’explication généralement admise que l’on retrouve sur les forums et autres sites consistant à dire que n’ayant pas d’IP, le client DHCP ne peut invoquer la stack réseau du kernel, l’obligeant à ré-implèmenter le protocole UDP pour èmettre des requêtes DHCP avec utilisant ce que l’on appelle des « raw sockets » qui bypass complétement le firewall et autre règle mangle, n’est pas tout à fait vrai dans le cas du Mikrotik car force de constater que les règles sont bien invoquées.

Ceci dit dans l’analyseur réseau :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/dhcp-cos-6-fail_thumb.png)
 
Cette règle est sensée changer la CoS (set-priority) de la trame or le champ reste à « 0 ». Elle n’a pas l’air de fonctionner bien qu’elle soit correctement exécutée à en croire le compteur et les logs produits.

J’ai fait plusieurs tests, c’est assez étrange mais en résumé tout ce qui ne modifie pas le paquet marche parfaitement, le compteur s’incrèmente, on peut loger, on peut « jumper » vers d’autres règles qui elles même s’incrèmentent, etc…

On peut même créer un règle « firewall » (et non Mangle) pour « dropper » le paquet par exemple. Le firewall fonctionne également très bien sur les paquets émis par le client DHCP. Dans ce cas aucune trace sur l’analyseur réseau et bien évidement pas de réponse d’Orange, le client DHCP restant en « Searching … » car notre firewall aura bloqué la trame en question.

Par contre, si je teste des actions qui modifient la requête, tel le « set priority », le « change TTL » ou encore le « Change DSCP » rien à faire, la trame reste tel qu’elle bien que le compteur s’incrèmente.

Donc en résumé les règles firewall/mangle fonctionnent bien même pour les requêtes DHCP produit par le client DHCP du routeur mais impossible de modifier les trames (priorité, DSCP ou TTL). En gros, ça marche en « read only » seulement : « Vu mais pas pris » :)

Modifier les trames avec un bridge
Ceci dit il y a une deuxième technique, qui elle fonctionne : utiliser un bridge !

Pour cela commencez par créer un bridge qu’on peut par exemple nommer « br-wan » :
/interface bridge
add name=br-wan

Dans ce bridge ajoutons l’interface du VLAN 832 sur lequel nous voulons modifier la CoS des trames DHCP :
/interface bridge port
add bridge=br-wan interface=vlan832-internet

Vous allez ensuite modifier votre client DHCP pour ne plus être directement lié à l’interface du VLAN832 mais au bridge qui lui-même est connecté sur ce VLAN :
/ip dhcp-client
add dhcp-options=authsend,clientid,hostname,userclass \
    disabled=no interface=br-wan

Enfin, le plus important, ajouter une règle de filtrage du bridge pour changer la priorité à « 6 » sur ce qui sort sur le VLAN832 à destination du port UDP 67 (requêtes DHCP) en ajoutant du log :
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
    log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 \
    out-interface=vlan838-vod passthrough=yes

(https://sebastien.warin.fr/wp-content/uploads/2017/01/set-cos-on-bridge_thumb.png)
 
Comme pour la règle « Mangle », ce filtre est bien exécuté à chaque requête DHCP émise par le client DHCP du Mikrotik : le compteur s’incrèmente et des logs sont produits !

Sur l’analyse du trafic vers l’ONT on peut cette fois-ci constater que la priorité de nos trames est modifiée :

(https://sebastien.warin.fr/wp-content/uploads/2017/01/dhcp-cos-6-done_thumb.png)
 
J’ai fait quelques tests en testant différentes priorités, chaque requête DHCP que l’on èmet part bien avec la priorité que vous lui aurez spécifiée dans votre filtre.

Ainsi vous pourrez bien utiliser votre Mikrotik/RouterOS sans bidouille ni switch supplèmentaire pour modifier la CoS de votre requête DHCP si cela est nécessaire. Du moins c’est ce que prouve l’expérience ci-dessus, à voir avec ceux qui sont dans une zone où ce marquage CoS est obligatoire pour valider cette procédure.

Ps : tests réalisés sous RouterOS 6.38, la dernière version « stable » à ce jour
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Slothy le 15 janvier 2017 à 22:36:26
Tiens, aussi, envisages-tu de trouver comment récupérer l'IPv6 pour finir le bypass à 100% ? :)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: djo le 16 janvier 2017 à 09:26:22
Super les indications.

Enfin un poste clair pour supprimer la Livebox.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 16 janvier 2017 à 12:13:20
Tiens, aussi, envisages-tu de trouver comment récupérer l'IPv6 pour finir le bypass à 100% ? :)

Héhé, oui en effet, j'ai nommé ce thread "Guide complet" mais en fait il y a un grand absent : l'IPv6  :P

Malheureusement, il n'est pas encore possible d'utiliser les options DHCP avec le client v6 de RouterOS telles que décrit dans la RFC3315 section 22.
J'ai fais une "Feature Request" sur le forum de Mikrotik, çà arrive bien un jour :)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 16 janvier 2017 à 20:56:08
Pour la CoS 6 qui ne sort pas y' a peut-être une explication: le marquage '6' du mangle est interne a la stack tcp/ip du routeur. Il y a en principe un maping quelque part qui permet de "passer" le marquage interne dans le champ CoS d'un VLAN. Sous Linux ca se faisant anciennement avec la commande 'vconfig' et plus récemment avec la commande 'ip' (via 'ip link'). Il doit y avoir l’équivalent dans RouteurOS et c'est peut-être réglé a un 'mapping tout vers 0' dans ton cas, ce qui expliquerait ton "Vu mais pas pris" (la prio est bien mise a 6 en interne mais ne sort a pas a 6 car il n'y a pas de mapping "6 -> 6" mais un mapping "6 -> 0"). C'est a creuser en tout cas.

Pour le bridge ok mais on l’évitait sur l'ERL3 (et d'autres routeurs) car on perd l'accélération matérielle donc le débit max est pourri sur une ligne fibre (1 GBps). Si ton routeur fait tout en CPU et qu'un bridge logiciel tient le débit alors c'est une bonne solution.

Sinon, de ce que j'avais compris mais ca date, les raw sockets sortent directement mais ils sont aussi "clonés" et envoyer a netfilter. Ca expliquera que ton compteur augmente dans les logs mais que les paquets sortent sans CoS. Ce clonage est utile pour le statefull firewall par exemple, ca permet d'avoir une règle qui autorise du trafic en retour d'un paquet emis en raw. Il curieux toutefois que tu arrives a les bloquer dans le firewall. C'est peut-etre propre a l'archi de ton routeur ou de son client dhcp. Mais c'est curieux quand meme car RouterOS est bien basé sur un noyau Linux ils l'indiquent eux-même.

donc 2 explications pour le CoS 6 qui ne sort pas:
 - ca 'mangle' bien mais y'a pas le bon mapping prio interne -> prio externe (équivalent du vconfig)
 - c'est cloné et de toute facon pas marqué en sortie mais ca n'explique pas que tu puisses bloquer avec le fw le DHCP sortant...

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: PacOrly le 17 janvier 2017 à 11:30:56
Je vais avoir de la lecture pendant mes longues soirées d'hivers !!!
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Aerendil le 17 janvier 2017 à 13:16:11
Depuis le temps que je vois des configurations comme ça je me pose une question bête (oui je suis comptable avant tout !)

Vous utilisez des matériels en plus des Box (internet + TV). Ces matériels ont un coût (en dehors des histoires de garantie) qui me paraît élevé
Par exemple, les matériels présentés ici reviennent à 300 euros, en matériel neuf. Ce qui représente 100 mois de location, soit près de 8 ans (avec les garanties qui vont avec)

Quels sont donc les avantages que vous en tirez par rapport aux Livebox ?
Stabilité ?
Prix (si récup ou occasion) ?
Vitesse ?
Autant, toutes les infos sont pertinentes (ou semblent l'être mais je ne suis pas qualifié pour le démontrer/démonter :) ), mais c'est surtout l'intérêt par rapport aux matériels fournis (sachant que, de toute façon, on est obligé de le payer si j'ai bien compris) qui me fait défaut :)

@+

Ps : je suis admiratif pour le travail fourni néanmoins ! Comme je l'ai dit, je ne dénigre pas le travail, mais je cherche l'intérêt :)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: vtimd le 17 janvier 2017 à 13:35:18
L'intérêt pour un utilisateur lambda comme toi et moi est nul. Puisqu'avec les box opérateurs tu as ton réseau gigabit, wifi, TV, téléphone,...

L'intérêt est pour des usages plus poussés comme l'auto hébergement, l'installation d'un système domotique perso, alarme,...
Un autre intérêt peut être aussi le simple fait de vouloir/pouvoir le faire  ;D ; bref c'est selon l'usage, les envies de chacun sachant qu'il faut un minimum de connaissances/compétences.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Aerendil le 17 janvier 2017 à 14:01:19
sachant qu'il faut un minimum de connaissances/compétences.

Oui, enfin minimum est un mot assez faible ! loll

Merci pour la réponse ;)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 17 janvier 2017 à 14:48:01
Bonne question Aerendil ;)

En général quand on se demande si on en a besoin, la réponse est souvent négative autrement on ne se poserait pas la question ;) Comme l'indique vtimd, oui en effet, je n'inviterai jamais un proche à remplacer son modem/router fourni par son opérateur car ils fournissent tout ce que le gd public à besoin "all-in-one" (routeur, switch, wifi, TV ...).

Le principal intérêt est avant tout la maîtrise de son réseau et de pouvoir faire ses propres choix en terme de matériel et de configuration. On y gagne forcement en stabilité et performance.

Pour rappel, je disposais déjà de ce matériel avant la fibre Sosh. Je n'ai pas acheté tout cela pour (ou du moins "contre") la Livebox :)

Par exemple, ayant tout câblé en RJ45 dans la maison, il me fallait bien un switch et ce n'est pas les 4 ports de la Livebox qui aurait suffit ! D'autant plus que mon GS724T est optionnel, pas besoin de çà pour se passer de la LB.

Le seul équipement indispensable pour "virer la livebox" est le routeur. Pour ma part j'ai choisi un RB3011 pour ses perfs et le fait qu'il soit rackable. Mais pour un de mes amis, je lui ai conseillé un hEX (également sous router OS) qui marche super bien et surtout bcp moins cher : 55 euros!

Donc "virer la livebox" ne représente pas nécessairement 100 mois de location, d'autant plus que chez Sosh (et chez un gd nombre d'opérateur hormis Orange) il n'y a pas de frais de location de matériel.

On peut aussi citer des besoins qui ne sont pas ceux du gd public c'est vrai (domotique, serveurs à la maison & co ...) ou encore le fait de ne pas être lié à du matos d'un opérateur (j'ai pu migrer de NC à Sosh sans aucune coupure, pratique quant on a des serveurs et un tas d'objets connectés, autrement bonjour la reconfiguration de tous les équipements :)).

Autrement je travaille dans l'informatique et même si je suis plus focus sur le développement, cela me permet de garder un pied dans le monde des réseaux et d'en apprendre toujours un peu plus chaque jour !

Et pour finir je dirais que c'est aussi et surtout une passion (geek in da house :p) ! Certain préféreront dépenser 300/400 euros pour un abonnement au stade de foot, dans des bouquets TV Canal+, Bein ou autre, dans des consoles de jeu, ou contracter un prêt pour acheter une grosse voiture , etc... Moi c'est dans le matériel domotique, réseau, serveur et autre bébête électronique avec des petites lumières qui clignotent :) A chacun sa passion ;)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Aerendil le 17 janvier 2017 à 14:55:40
ok ok :)

Je suis un geek radin et fainéant.... (comment ça contradictoire ?! )

Mais oui, j'ai bien vu que j'avais affaire à des passionnés et je comprends mieux les choix :)

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 17 janvier 2017 à 18:09:02
Personnellement au début je l'ai fait principalement pour la stabilité, ma LB3 de l'époque plantant fréquemment. Pour comparer, là maintenant mon ERL n'a pas été redémarré depuis... 169 jours...  (et encore c'était pour une mise à jour firmware).

Ensuite petit à petit je me suis mis à auto-héberger de plus en plus de trucs (et mon prochain todo c'est l'installation d'un NextCloud pour virer Dropbox).
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: jeremy64 le 17 janvier 2017 à 18:46:16
Salut, super tuto, je compte m'en inspirer dans peu de temps.
Aujourd'hui mon gros besoin est la telephonie, mon serveur Xivo qui fonctionné avec SFR ne fonctionne plus depuis que je suis passé chez Orange.

En partant sur la solution Siproxd + asterisk a t on toujours la restrition d'appel? c'est a dire 1 appel max? ( si deja en ligne le prochain appel est redirigé vers la messagerie) ou  le fait de passer par asterisk permet au minimum 2 appels simultanés?
Cela permet il aussi d'allongé le temps de sonnerie, par defaut orange bloque a 35s il me semble et apres renvoi vers le rep?
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 17 janvier 2017 à 18:56:49
Passer par asterisk ne change rien à la limitation du nombre d'appels.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: renaud07 le 22 janvier 2017 à 19:25:25
Quel tuto, super boulot !

La partie sur asterisk va m'être très utile pour ajouter des fonctionnalités que je voulais depuis un bon moment, mais je ne savais jamais comment écrire les dialplan.

Sinon petite question : as-tu des problèmes de NAT avec le réseau 3G/4G ? Genre impossible  d'être appelé au bout de 5 secondes une fois connecté ?  Chez moi je suis obligé de configurer les smartphones avec un qualifyfreq de 5 sec pour maintenir la connexion, sinon ça passe en unreachable et me renvoie sur messagerie. Par contre, les appels sortants fonctionnent correctement, même sans.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 05 février 2017 à 21:27:14
Merci pour ce tuto seb59, superbe et bien écrit (j'ai réussi à comprendre ;) )

Aerendil, concernant le coût il est possible de remplacer une livebox par un seul équipement comme un htpc qui coûte dans les ~200€ + 1 carte ethernet ~30€ (avec tous les avantages d'un HTPC)
**STABILITE** est la raison principale pour ma part :), j'ai un usage pro de ma fibre, ça motive
J'ai deux LB à la maison ;), il m'est arrivé dans une même semaine d'aller 3 fois en boutique pour changer de LB, je me suis rendu compte sur le tard que ce qui les fatigue c'est un manque de courant sur le switch intégré. Et je n'ai pas payé les 6 premiers mois d'abonnement car ma 1ère LB redémarrait 4 ou 5 fois par jour (un gag à rendre fou) par contre les techniciens qui venaient étaient super sympa.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 06 février 2017 à 21:48:53
Pour apporter ma toute petite pierre à l'édifice je joins un début de filtre fail2ban pour asterisk avec le fichier logger.conf pour asterisk qui va avec.
J'oubliais, un script pour générer des ACCEPT pour les ranges d'IP des 4 ISPs:
#!/bin/bash
PROGNAME=${0##*/}
PROGRELDIR=${0%$PROGNAME}
PROGDIR=$(cd -P -- "$PROGRELDIR" && pwd -P)
URL=http://www.nirsoft.net/countryip/fr.csv
portSip=5060
rtpStart=12345
rtpEnd=67890
format='-A INPUT -i vlan832 -s %s -p udp -m multiport --dports '"$portSip,$rtpStart:$rtpEnd"' -j ACCEPT\n'

wget -qO $PROGDIR/fr.csv "$URL" && \
for plage in $(grep -iE '(orange|free|sfr$|bouygue)' $PROGDIR/fr.csv | cut -d ',' -f 1,2 | sed 's@,@:@'); do
  range=$(netmask "$plage")
  printf -- "$format" "${range// /}"
done

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Nh3xus le 06 février 2017 à 21:59:17
Donc, si je souhaite t'appeler depuis ma connexion K-Net, tu vas me bouder ?
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 06 février 2017 à 22:19:30
Y'a des chances ;) tout du moins au début. J'ai filtré en fonction des AP que je fréquente le plus souvent. J'aurais pu mettre un openvpn aussi tu me diras.
Le filtrage iptables va me permettre d'affiner les regexp pour fail2ban. (je débute avec asterisk, je vais tenter le tls)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: ethan2b le 17 février 2017 à 23:07:50
Sur le Cul !!! :o

merci pour les infos / recherche
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 18 février 2017 à 15:22:37
Je voudrais rebondir sur cette histoire d'IGMP dont l'implèmentation est, comme indiquée dans ce guide, très dépendante du matériel. J'ai une configuration similaire à cette de @sub59, mais avec du matériel différent:

l'ERL est configuré évidemment en proxy IGMP. Chez moi tout le trafic "TV" est également dans un VLAN dédié (J'ai d'autres VLANs pour d'autres usage, dont un pour la VOIP).

IGMP snooping est activé sur les 2 cisco, ainsi que sur l'ES-24-LITE. Sur les 3 switchs, l'interface (et non le VLAN, car ça casse IPv6 sur l'EdgeSwitch) où joindre le routeur multicast est configurée explicitement (pas confiance dans la fonction d'auto discovery). Les cisco ne supportent pas le "report suppression" (mais de toute façon il n'y a qu'un client IGMP par switch) et il est pour l'instant désactivé sur l'EdgeSwitch (faudrait que je teste en l'activant).

Dans cette configuration, je n'ai pas remarqué de coupure TV se répétant à intervalle régulier. Je n'ai donc pas eu besoin d'activer la fonction IGMP Querier du switch.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: cnicolas le 08 mars 2017 à 16:47:24
Bonjour,

Et 1000 bravos pour cette présentation plus que complète.
J'envisage de franchir le pas pour me passer de ma Livebox, donc j'ai commencé à lire avec attention.
N'étant pas expert dans les réseaux, bien qu'informaticien chevronné, je n'ai pas encore capté tous les détails.
Et j'ai principalement une question : Je m'y perd un peu entre les différents routeurs /switchs / passerelles utilisés dans votre configuration. Pourquoi tant d'élèments ? A mon sens un seul élèment de type routeur/switch devrait être capable de remplacer la livebox (à part le Wifi) pour gérer LAN + TV.

Merci de votre éclairage
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: vtimd le 08 mars 2017 à 16:55:11
Bonjour,

Et 1000 bravos pour cette présentation plus que complète.
J'envisage de franchir le pas pour me passer de ma Livebox, donc j'ai commencé à lire avec attention.
N'étant pas expert dans les réseaux, bien qu'informaticien chevronné, je n'ai pas encore capté tous les détails.
Et j'ai principalement une question : Je m'y perd un peu entre les différents routeurs /switchs / passerelles utilisés dans votre configuration. Pourquoi tant d'élèments ? A mon sens un seul élèment de type routeur/switch devrait être capable de remplacer la livebox (à part le Wifi) pour gérer LAN + TV.

Merci de votre éclairage

Il a un routeur (ERL) et un switch "principal" (ERL switch), ensuite les deux switchs cisco c'est seulement des "multi prises réseaux" pour relier plusieurs équipements sur une seule arrivée éthernet murale. Donc oui tu peux remplacer la livebox par un seul équipement (qui fait routeur et switch)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 08 mars 2017 à 17:34:07
Il a un routeur (ERL) et un switch "principal" (ERL switch), ensuite les deux switchs cisco c'est seulement des "multi prises réseaux" pour relier plusieurs équipements sur une seule arrivée éthernet murale. Donc oui tu peux remplacer la livebox par un seul équipement (qui fait routeur et switch)

Ca c'est la configuration de @zoc ;) Pour ma part, ce que je décris dans ce guide c'est un routeur Mikrotik RB3011 comme routeur principal, un AP R8000 sous dd-wrt, un switch principal NetGear GS724 et un secondaire pour le coin TV TP-link SG108T.

Et j'ai principalement une question : Je m'y perd un peu entre les différents routeurs /switchs / passerelles utilisés dans votre configuration. Pourquoi tant d'élèments ? A mon sens un seul élèment de type routeur/switch devrait être capable de remplacer la livebox (à part le Wifi) pour gérer LAN + TV.

Oui bien sûr, mon guide décrit mon installation, spécifique à mes besoins. Mes deux switchs manageables sont optionnels :

Le fait d’avoir le switch comme intermédiaire entre l’ONT et le routeur est facultatif. Personnellement cela me sert pour le « port mirroring » à des fins d’inspection.

Cela peut servir aussi pour marquer les requêtes DHCP avec le CoS 6 comme expliqué sur ce forum à l’adresse : https://lafibre.info/remplacer-livebox/switch-gs108tv2-pour-prendre-en-charge-la-cos-devant-les-routeurs/ (https://lafibre.info/remplacer-livebox/switch-gs108tv2-pour-prendre-en-charge-la-cos-devant-les-routeurs/).

Ceci dit ce marquage « CoS 6 » des requêtes DHCP peut être fait directement par le Mikrotik ....

Autrement dit vous pouvez directement brancher l'ONT au routeur sans switch.

Pour le 2ème switch, le TP-link, il me sert à dissocier les VLAN "TV" et "LAN". Après on n'est pas obligé, le décodeur TV peut être dans le même VLAN que le "LAN" ou bien si le décodeur TV est à proximité du routeur ou encore si il n'y a pas de décodeur TV, il est facultatif.

Bref, pour remplacer votre Livebox par un routeur, nul besoin de switch spécifique :)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 08 mars 2017 à 18:33:46
Pourquoi tant d'élèments ?
En ce qui me concerne, c'est l'architecture de mon appartement qui m'oblige à une telle configuration:

J'ai donc 3 points qui nécessitent des connexions multiples.[/list]
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: cnicolas le 09 mars 2017 à 08:59:22
Bonjour, et merci pour toutes ces explications.

Donc en résumé, dans votre cas vous pourriez n'avoir que le  routeur Mikrotik RB3011 + des  switchs non configurables pour un résultat similaire.

Cela me rassure. Dans mon cas j'en suis au chois du routeur et la j'avoue que c'est un peu la jungle et je n'ai pas trouvé de comparatif clair sur ce forum...
Mon idée initiale était une solution sous Linux car j'ai déjà une VM avec dnsmasq pour le DNS/DHCP (attribution d'ips fixe selon la mac adress)  et Asterisk+siproxd pour la téléphonie et je trouverais logique de migrer tout ça sur le routeur.
Mais il semble que les routeurs avec soft propriétaires (comme le Mikrotik ) soient plus stables et performants. Si quelqu'un à un avis là dessus...

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 09 mars 2017 à 10:12:50
Donc en résumé, dans votre cas vous pourriez n'avoir que le  routeur Mikrotik RB3011 + des  switchs non configurables pour un résultat similaire.

Oui tout à fait ! D’ailleurs dans mes explications je n’énumère que mes switches manageables. Les switches non manageables n'ont pas d'influence sur le réseau. Personnellement j'en ai 6 chez moi, des 5 ports pour la plupart car je n'ai qu'une à deux prises RJ45 par pièce mais parfois, comme dans un bureau, il y a bcp d'équipement à connecter.

Mon idée initiale était une solution sous Linux car j'ai déjà une VM avec dnsmasq pour le DNS/DHCP (attribution d'ips fixe selon la mac adress)  et Asterisk+siproxd pour la téléphonie et je trouverais logique de migrer tout ça sur le routeur.

A la maison, mon hyperviseur (sous HyperV) principal fait tourner (entre autre) la VM "DC-SERVER" avec les services "infrastructure" (DNS, DHCP, AD, AC et VPN). Par contre la partie "routeur et firewall" est dédiée sur un routeur physique à part !

Mais il semble que les routeurs avec soft propriétaires (comme le Mikrotik ) soient plus stables et performants. Si quelqu'un à un avis là dessus...

Difficile à dire, c'est comme choisir entre Mac & PC, Windows ou Linux, HyperV ou ESX, .NET ou Java ;) Les ERL sont très réputés, assez user-friendly (pour un routeur) et très bon en perf mais personnellement j'aime bcp Mikrotik. A la fois l'OS (RouterOS) et leur matériel (Routerboard).Très satisfait de mon RB3011 qui s'insère parfaitement dans ma baie, très stable et performant même si je n'ai qu'une connexion Sosh (280/110 mbps, donc pas de quoi atteindre les limites).
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 09 mars 2017 à 10:17:47
des  switchs non configurables pour un résultat similaire.
Attention avec les switchs non configurables. Généralement ils ne supportent pas non plus l'IGMP Snooping, et du coup le multicast pour la TV va "baver" sur tous les ports du switchs au lieu de ne passer que par les ports pour joindre le décodeur TV...
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Hugues le 09 mars 2017 à 10:20:09
Mais il semble que les routeurs avec soft propriétaires (comme le Mikrotik ) soient plus stables et performants. Si quelqu'un à un avis là dessus...

Pas vraiment, ils sont plus simples à configurer et moins chers à performances égales. Mais le matos Ubuquiti est basé sur Debian par exemple, et ça marche parfaitement !

Pour faire tourner pas mal de machines qui routent sous Linux, ça marche au poil !
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 09 mars 2017 à 10:31:37
Attention avec les switchs non configurables. Généralement ils ne supportent pas non plus l'IGMP Snooping, et du coup le multicast pour la TV va "baver" sur tous les ports du switchs au lieu de ne passer que par les ports pour joindre le décodeur TV...

Oui il faut prendre garde à la partie IGMP comme expliqué dans le guide. Personnellement, pour les switchs classiques, j'ai essentiellement du TP-Link (TL-SG108 ou 105) ou du Netgear (GS105GE ou 108). Les TP-Link supportent l'IGMP Snopping mais pas les Netgear.
Ceci dit dans mon cas, le flux TV n'est "envoyée" qu'au switch GS108T du coin TV dans un VLAN dédié. Donc les switches classiques n'ont jamais à intervenir dans le trafic multicast.

Pas vraiment, ils sont plus simples à configurer et moins chers à performances égales. Mais le matos Ubuquiti est basé sur Debian par exemple, et ça marche parfaitement ! Pour faire tourner pas mal de machines qui routent sous Linux, ça marche au poil !

Je ne connais pas EdgeRouter, mais d'après les différents articles sur internet il est réputé simple à configurer là où le RouterOS est souvent critiqué pour son côté non user-friendly. Après avec Winbox, c'est quand même super prorpe même si c'est vrai qu'il faut quelques heures pour bien comprendre.

Sinon RouterOS c'est aussi un Linux derrière, comme bcp de device, même si on a pas accès au système directement.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: doctorrock le 09 mars 2017 à 11:02:14
Je ne connais pas EdgeRouter, mais d'après les différents articles sur internet il est réputé simple à configurer là où le RouterOS est souvent critiqué pour son côté non user-friendly. Après avec Winbox, c'est quand même super prorpe même si c'est vrai qu'il faut quelques heures pour bien comprendre.

Sinon RouterOS c'est aussi un Linux derrière, comme bcp de device, même si on a pas accès au système directement.

Idem ; je n'ai pas encore vu EdgeRouter (ça va pas tarder), mais RouterOS avec Winbox (ou l'interface Web) ... on a vu pire non ?
RouterOS c'est clair, et surtout hyper complet (mais fermé).

Bon après c'est sûr, c'est à destination des pros. Si tu ne sais pas faire la différence entre le lvl 2 et le lvl3 , il vaut mieux prendre quelques cours de réseau avant, sinon tu t'en sortiras pas  :-*
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: doctorrock le 09 mars 2017 à 11:45:37
Donc en résumé, dans votre cas vous pourriez n'avoir que le  routeur Mikrotik RB3011 + des  switchs non configurables pour un résultat similaire.

Oui là encore attention. Un switch non manageable , ça veut dire pas de VLAN, pas d'auth 802.1X (hyper pratique niveau sécurité) , pas d'aggrégat éventuels (sur les uplink 1Gb qui peuvent être limites, il faut souvent les aggréger sinon ça bouchonne) ...

Tout dépend de ce que l'on veut faire, et de la taille du réseau.
J'ai tendance à toujours prendre des switchs manageables pour ne pas me retrouver bloqué à un moment donné ^^
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Hugues le 09 mars 2017 à 12:02:52
Disons que pour de la distribution ou du SoHo, il y'a très rarement besoin de switchs manageables
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: doctorrock le 09 mars 2017 à 12:38:11
Disons que pour de la distribution ou du SoHo, il y'a très rarement besoin de switchs manageables


Je plussois
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: cnicolas le 09 mars 2017 à 13:37:17
Merci pour toutes ces précisions.
Je passe sur le débat switch manageable ou non, pour revenir au choix du routeur, je pense partir plutôt sur de l'Ubiquiti, car linux ouvert.


Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: doctorrock le 09 mars 2017 à 15:00:01
Il faut se faire sa propre expérience, et ne pas hésiter à partager avec les autres ^^
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Hugues le 09 mars 2017 à 19:06:33
Merci pour toutes ces précisions.
Je passe sur le débat switch manageable ou non, pour revenir au choix du routeur, je pense partir plutôt sur de l'Ubiquiti, car linux ouvert.

Après Linux c'est pas non plus le truc ultime pour du routage ! Moi je préfère Cisco, la syntaxe est super claire, pourtant j'ai fait mes armes sur du Linux
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 09 mars 2017 à 20:35:17
Le routage 'pur' c'est simple et pas compliqué, Linux suffit amplement pour ca. La ou ca se complique c'est quand on veut faire du NAT et du firewalling. Fonctions pas vraiment censées être faites par un routeur (en théorie du moins).

Cisco c'est bien et cher pour faire des trucs simples. Mais ca n'est pas open et modifiable.

Il manque un vrai OS de router open source. y'a bien VyOs mais c'est basé sur Linux.

Car si c'est pour être basé sur un OS tradi  , il vaut mieux choisir OpenBSD ou FreeBSD que Linux ... pf > iptables.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Nh3xus le 09 mars 2017 à 21:02:02
Après Linux c'est pas non plus le truc ultime pour du routage ! Moi je préfère Cisco, la syntaxe est super claire, pourtant j'ai fait mes armes sur du Linux

Et JunOS c'est encore mieux  8)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: doctorrock le 09 mars 2017 à 23:03:20
Cisco c'est quand même tourné vers du pur pro. Ya des possibilités hyper avancées, avec du matos hyper pro, hyper puissant, et hyper couteux.
Evidemment, ils ont des gammes plus basses, mais leur coeur de métier reste quand même la très grosse plateforme.

Tu peux même t'entrainer, sous émulateurs comme GNS3, la syntaxe Cisco est la référence dans le réseau, et leurs docs/communautés sont extrêmement riches. Ca déboite bien mais les politiques business et tarifaires de Cisco sont sans commune mesure avec nos besoins ;-)

Linux "suffit" pour nos besoins, mais si on pousse un peu on trouvera des limites notamment en terme de firewalling et de perfs (dès qu'on passe la barre symbolique du Gigabit, ça commence à cogner sévère niveau implèmentation bas niveau, tous les détails comptent et on trouve beaucoup plus poussé que Linux).

Dans tous les cas, les racines communes de tout ça c'est bien Unix, modifié, adapté et travaillé pour chaque business, chaque besoin et chaque gamme ^^
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Hugues le 09 mars 2017 à 23:32:23
Très bien résumé, rien à rajouter :)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pierrickr le 12 mars 2017 à 15:40:14
Merci pour ce guide complet. Il ma motivé à remplacer ma livebox par du matériel plus performant. Après un mois de recherche et après avoir lu ce guide, je me suis laissé tenté par du matériel Mikrotik pour compléter le réseaux de chez moi.

Voici mon matériel:
Routeur: Mikrotik RB3011, RouterOS 6.38.5
Switch principal: Mikrotik CRS125-24G-1S-RM, RouterOS 6.38.5
Switch secondaire (TV, ampli, Livebox TV...): TL-SG108E
AP: wAP AC, RouterOS 6.38.5

La partie Salon correspond à ta configuration et je souhaite utiliser ta configuration ONT/routeur/switch.

J'ai donc suivi ton guide afin d'essayer de me débarrasser complètement de ma Livebox. J'ai réussi à obtenir une connexion internet en faisant un marquage CoS car sans cela impossible d'obtenir une connexion.

En ce qui concerne la TV, le décodeur se met bien à l'heure et j'ai accès à deezer et au programme TV mais impossible d'accéder à la VOD/Replay et TV. Est-ce que tu penses que le marquage CoS me bloque? J'ai tenté de le faire pour la vod comme cela est fait pour internet mais sans succès.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 12 mars 2017 à 15:53:40
la livebox marque tout le traffic sur le VLAN 838 en priorité 4 et personnellement je fais la même chose sur mon ERL. Je ne sais pas si en pratique c'est obligatoire pour que la VOD fonctionne.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: cnicolas le 12 mars 2017 à 21:44:57
En ce qui concerne la TV, le décodeur se met bien à l'heure et j'ai accès à deezer et au programme TV mais impossible d'accéder à la VOD/Replay et TV. Est-ce que tu penses que le marquage CoS me bloque? J'ai tenté de le faire pour la vod comme cela est fait pour internet mais sans succès.
Bonjour,
Vérifier si le flux TV passe avec un PC à la place du décodeur en utilisant VLC sur un des (rares) canaux en accès encore libre, par exemple Sky News rtp://@232.0.10.65:8200
Si c'est ok le problème vient des paramètres DHCP du décodeur, sinon problème au niveau de l'acheminement des flux...
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: doctorrock le 12 mars 2017 à 23:10:31
Sinon avec ce beau matériel tu peux faire de l'interception de trafic pour "renifler" les liens qui te plaisent.

Tu fais du port mirroring, et tu regardes ce qu'il se passe sur les ports qui t’intéressent.
Tu verras rapidement où passent les flux, et où ça coince.
Si c'est juste pour prober, n'importe quelle carte réseau suffira, après pour du deep analysis (pas ce que tu veux faire), du matos de pro existe. Evite juste du matos trop vieux.

Tu désactives tous les services de la carte pour qu'elle ne fasse que regarder, et pas injecter, et tu la passes bien sur en promiscuous.
Dans le mirroring, je te conseille de ne mirror qu'un sens (un canal de transmission tx ou rx) , celui du sens qui t’intéresse, ça limitera le traffic reçu par ta carte et la charge de ton switch.

Tu utiliseras Wireshark  (https://www.wireshark.org/)évidemment :-)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pierrickr le 14 mars 2017 à 12:47:20
Merci pour votre aide, je vais tester vos solutions.

J'ai également fait l'essais de brancher la livebox sur le port 9 du Mikrotik puis la livebox TV sur la livebox comme indiquer sur le guide mais la pareil, pas de TV. Cependant, ma clé TV orange HDMI connectée sur le wifi de la livebox fonctionne. Je ne comprend pas pourquoi.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 14 mars 2017 à 14:02:16
Je ne comprend pas pourquoi.
La "clé" n'utilise pas le flux TV multicast utilisé par les décodeurs.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: EC le 20 mars 2017 à 13:15:03
Bonjour,

   Est ce que l'un d'entre vous saurait comment avoir le téléphone ? j'ai cherché partout mais n'ai trouvé aucune réponse. Le branchement serait donc : ONT -> Pfsense -> livebox -> tel

Merci
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 20 mars 2017 à 19:56:42
Bonjour,

   Est ce que l'un d'entre vous saurait comment avoir le téléphone ? j'ai cherché partout mais n'ai trouvé aucune réponse. Le branchement serait donc : ONT -> Pfsense -> livebox -> tel

Merci

il faut 'émuler' le réseau d'Orange coté LAN PfSense pour faire croire a la livebox qu'elle est connectée normalement.
Tout dépend si tu as plusieurs port Ethernet coté LAN ou pas. C'est plus ou compliqué suivant les cas (un switch peut aider pour VLANiser et ca devient tres simple).

1. établir un vlan 832 coté lan (directement dans PfSense ou via un switch externe).
2. mettre en place un serveur dhcp sur ce vlan (ou adapter le dhcp existant) qui va passer les bonnes options a la livebox mais au lieu de lui donner une IP public , ca va lui donner une IP privée qui sera NATer sur l'ip public gérér par PfSense. Le serveur DHCP doit envoyé cela:
                dns-server 80.10.246.136
        dns-server 81.253.149.6
                option rfc3118-auth "00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;" (= "dhcpliveboxfr250" paddé avec des 0 devant)
option SIP  "sbct3g.PUT.access.orange-multimedia.net" (ca varie peut-etre d'une région a l'autre, a vérifier).
tu peux t'inspirer de la conf ERL et du schéma: https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/ (2eme solution: solution DHCP avec ERL + TV (via ERL) + Livebox routeur pour Tel et Wifi)


Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 20 mars 2017 à 21:16:27
Bonjour,

   Est ce que l'un d'entre vous saurait comment avoir le téléphone ? j'ai cherché partout mais n'ai trouvé aucune réponse. Le branchement serait donc : ONT -> Pfsense -> livebox -> tel

Merci

C'est expliqué en détail dans ce guide : https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406223/#msg406223
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: EC le 20 mars 2017 à 23:11:01
Oui mais je ne sais pas comment mettre ces options dans un pfsense :-(
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: EC le 20 mars 2017 à 23:12:31
En fait j'ai déjà tout ca mais ca ne fonctionne pas car je ne sais pas où mettre ces 2 options :-( Le truc c'est que j'ai ma livebox qui est connectée derrière mon routeur, elle a accès au web et le wifi marche mais pour le tel ... :-(
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: EC le 20 mars 2017 à 23:17:03
En tous les cas, il ne faut pas mettre ces 2 options côté wan ? C'est uniquement sur le vlan où la livebox est branchée c'est bien ca ?
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: EC le 21 mars 2017 à 01:50:00
Bonsoir,

   J'ai réussi à trouver l'endroit où mettre ces options. Donc le téléphone marche desormais, merci pour le coup de main ! Il ne me reste plus qu'à avoir la TV sur la livebox et tout est ok :D Je repasserai si je suis coincé. Merci à tous !
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Labure le 03 avril 2017 à 14:49:52
Bonjours a tous

Orange m'installera la fibre le 13 avril prochain

Ma config pour l'instant est une freebox v5 en adsl en mode bridge, mon routeur est un pc sous debian 8, deux cartes reseau une pour la freebox est une autre pour le lan. deux switch manageable dlink.

Je vais rajouter une carte reseau pour la fibre  car je garde la freebox en connexion de secours.

Qui peut me donner des lien sur des tutos recent en linux debian ou ubuntu ? (j'ai lu deja pas mal mais c souvent avec le mode ppoe)

 Car je peux convertir les config de seb mais ca va etre long. surtout pour la tv.
Le but c'est de virer la livebox et de garder que le boitier télé et de connecter le sip a mon serveur asterix.

Merci et bravo a tous pour ce travail de reverse ;-)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: petrus le 03 avril 2017 à 15:24:46
https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/

Il est trop visible le topic parce qu'il est épinglé ?

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Labure le 03 avril 2017 à 16:46:44
J'ai lu ce topic et pour le dhcp pas de soucis, c'est pour la télé que j'aimerais trouver un tuto sur linux debian ou unbuntu ;-)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 15 mai 2017 à 22:20:10
Salut Tous,
alors voilà je bloque un peu sur la partie TV. Le décodeur me dit "Chaîne indisponible", mais je vois le programme TV.
Je penche pour un pb routing multicast.
Concernant mon environnement, j'ai un boitier linux avec 3 interfaces réseau filaire
eth0->ONT
em1->LAN
eth1->decodeur TV

J'ai fait un petit bridge "br1":
bridge name bridge id STP enabled interfaces
br1 8000.0023563c9234 no eth1
vlan838
vlan840


Ma conf igmpproxy:
##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave

##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint vlan840 upstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint eth1 downstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

##------------------------------------------------------
## Configuration for Nic (Disabled Interface)
##------------------------------------------------------
phyint wlan0 disabled
phyint wlan1 disabled
phyint eth0 disabled
phyint lo disabled
phyint docker0 disabled
phyint vlan838 disabled

Les traces imgpproxy:
buildIfVc: Interface br1 Addr: 192.168.3.1, Flags: 0x1043, Network: 192.168.3/24
Found config for wlan0
Found config for wlan1
Found config for docker0
Found config for vlan838
Found config for vlan840
adding VIF, Ix 0 Fl 0x0 IP 0xfeffa8c0 vlan840, Threshold: 1, Ratelimit: 0
        Network for [vlan840] : 192.168.255/24
        Network for [vlan840] : default
Got 262144 byte buffer size in 0 iterations
Created timeout 1 (#0) - delay 10 secs
(Id:1, Time:10)
Created timeout 2 (#1) - delay 21 secs
(Id:1, Time:10)
(Id:2, Time:21)
RECV Membership query   from 0.0.0.0         to 224.0.0.1
About to call timeout 1 (#0)
Aging routes in table.

Current routing table (Age active routes):
-----------------------------------------------------
No routes in table...
-----------------------------------------------------
About to call timeout 2 (#0)
Created timeout 3 (#0) - delay 10 secs
(Id:3, Time:10)
Created timeout 4 (#1) - delay 21 secs
(Id:3, Time:10)
(Id:4, Time:21)
About to call timeout 3 (#0)
Aging routes in table.

Current routing table (Age active routes):
-----------------------------------------------------
No routes in table...
-----------------------------------------------------

Les prios des vlan:
vlan838
vlan838  VID: 838 REORDER_HDR: 1  dev->priv_flags: 1201
         total frames received            2
          total bytes received          972
      Broadcast/Multicast Rcvd            0

      total frames transmitted          161
       total bytes transmitted        41096
Device: eth0
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4

le vlan840
vlan840  VID: 840 REORDER_HDR: 1  dev->priv_flags: 1201
         total frames received           16
          total bytes received          736
      Broadcast/Multicast Rcvd           16

      total frames transmitted          147
       total bytes transmitted        40463
Device: eth0
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:5 1:5 2:5 3:5 4:5 5:5 6:6 7:5

Et ce qui sort de mon décodeur sans jamais recevoir le moindre retour:
=>tcpdump -nni vlan840
22:13:36.963626 IP 192.168.3.20.51013 > 239.255.255.250.1900: UDP, length 340
22:13:37.083556 IP 192.168.3.20.51013 > 239.255.255.250.1900: UDP, length 322
22:13:37.123674 IP 192.168.3.20.51013 > 239.255.255.250.1900: UDP, length 330
22:13:37.359649 IP 192.168.3.20.51013 > 239.255.255.250.1900: UDP, length 332
22:13:37.416273 IP 192.168.3.20.51013 > 239.255.255.250.1900: UDP, length 285
22:13:52.312688 IP 0.0.0.0 > 224.0.0.1: igmp query v2
22:13:57.630968 IP 192.168.3.20 > 239.255.255.250: igmp v2 report 239.255.255.250
22:14:31.687897 IP 192.168.3.20.51011 > 239.255.255.250.1900: UDP, length 137
22:14:31.956606 IP 0.0.0.0 > 224.0.0.1: igmp query v2
22:14:40.798241 IP 192.168.3.20 > 239.255.255.250: igmp v2 report 239.255.255.250
22:15:11.560628 IP 0.0.0.0 > 224.0.0.1: igmp query v2
22:15:18.493351 IP 192.168.3.20 > 239.255.255.250: igmp v2 report 239.255.255.250

Si quelqu'un a une idée elle sera super bien venu :-)
Merci

ps: j'ai oublié de préciser que mon firewall est en ACCEPT ALL ;)












Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 15 mai 2017 à 22:31:52
c'est direct en eth1 et le décodeur TV ou y'a un switch entre ?

la config firewall (iptables) ne bloque pas les flux TV?
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 16 mai 2017 à 00:53:17
Salut kgersen,
c'est en direct, ton message m'a fait réfléchir au côté "direct" et en relisant le doc de seb59 j'ai vu qu'il me manquait un masquerading vers le 840 et le 838.

J'ai la télé :)

Je mettrais tout ça à l'ombre du ba0bab ;-)

Merci (et à tous pour vos contributions)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Labure le 16 mai 2017 à 19:34:51
pas sure qu'un masquerade sur le 840 soit nécessaire, a voir .
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 16 mai 2017 à 20:18:50
pas sure qu'un masquerade sur le 840 soit nécessaire, a voir .

non mais faut que la requête igmp remonte avec une IP par la quand meme. En général il suffit de mettre une IP quelconque sur le port wan 840. Pour le 838 il faut un masquerade.

par contre je vois un erreur dans le conf pour vlan840 (sur: https://github.com/pci06/ba0bab/blob/master/original/etc/network/interfaces.d/orange )

up /bin/ip link set dev vlan838 ...

ca ne met pas les bonnes CoS pour 840.

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 16 mai 2017 à 21:05:32
Salut,
je l'ai vu hier soir la cougnette du vlan838 :)
je l'ai corrigé mais pas encore pushé.
Je mettrais aussi la conf iptables "orange"

Pour le masquerade du 840 je vais refaire un test car ça me trouble un peu (il porte bien une ip la fameuse 192.168.255.254/24 des tutos)

En ce moment y'a que le replay qui veut pas.

++
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 17 mai 2017 à 20:17:24
Accessoirement, si tu

Alors tu n'as pas besoin de bridger les 2 VLAN et le NAT n'est nécessaire que sur le VLAN 838.

Pour le replay, il faut utiliser l'option DHCP 120 sur le VLAN 838 pour obtenir les routes, et s'assurer que la table de routage est bien modifiée en conséquence

Édit: et aussi s'assurer que le décodeur utilisé bien les DNS d'Orange...

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 17 mai 2017 à 21:24:17
Salut,
Accessoirement, si tu
  • Assigne une IP quelconque à eth0.840
  • Obtiens une IP par DHCP sur eth0.838

ça j'ai

Alors tu n'as pas besoin de bridger les 2 VLAN et le NAT n'est nécessaire que sur le VLAN 838.

Pour le replay, il faut utiliser l'option DHCP 120 sur le VLAN 838 pour obtenir les routes, et s'assurer que la table de routage est bien modifiée en conséquence
et ça c'est bon à savoir :)

Merci :)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 17 mai 2017 à 21:28:40
 Je me suis planté, c'est l'option 90 pour les routes (classless static routes), pas 120 (120 c'est SIP  ::) ).
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 17 mai 2017 à 22:04:19
Je me suis planté, c'est l'option 90 pour les routes (classless static routes), pas 120 (120 c'est SIP  ::) ).


T'es sûr de ton coup pour le 90 ?
Car j'ai mis 90 pour l'authent:
https://github.com/pci06/ba0bab/blob/master/original/etc/dhcp/orange/840.conf (https://github.com/pci06/ba0bab/blob/master/original/etc/dhcp/orange/840.conf)

Je crois qu'en fait tu voulais dire 121 non ?
https://tools.ietf.org/html/rfc3442 (https://tools.ietf.org/html/rfc3442)


Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 17 mai 2017 à 22:27:21
Houlà, oui, tu as raison, je suis fatigué moi (je suis cloué au lit avec une sciatique, ça aide pas  :-\ ).
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 20 mai 2017 à 01:10:59
Salut,
le replay est là en gérant l'option 121 (avec un script [classless-static-routes] qui parse l'option 121) ;)
par contre je ne comprends pas pourquoi je suis obligé d'avoir le bridge entre ethDecodeur et le vlan840. Si je ne bridge pas, pas de TV.

Peut-être mettre à la place du bridge des routes multicast pour indiquer le chemin vers le vlan840 ? Mais je me disais que normalement c'est le taf d'igmpproxy.

Quand je ne bridge pas, igmp continue de faire son taf ou de faire semblant.

Conf igmp proxy.
quickleave
phyint vlan840 upstream ratelimit 0 threshold 1 altnet 193.0.0.0/8 altnet 81.0.0.0/8 altnet 172.0.0.0/8 altnet 80.0.0.0/8
phyint eth1 downstream ratelimit 0 threshold 1
phyint eth2 disabled
phyint wlan0 disabled
phyint wlan1 disabled
phyint lo disabled
phyint docker0 disabled


Quelqu'un à une idée ?

++
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 20 mai 2017 à 07:53:40
Pas de bridge chez moi... Ni de route spécifique (car effectivement c'est le role d'igmpproxy de faire en sorte que les tables de routage multicast soient mises à jour en fonction des abonnements des décodeurs).

J'ai pas les altnet dans le config de mon igmpproxy mais je ne pense pas que ça change la donne. Par contre il est possible qu'il y ait des paramères "sysctl" spécifiques à mettre en place, mais de mon coté je ne peux pas facilement le savoir (EdgeOS fait sa sauce et c'est difficile de tout voir).

Il y a quoi dans la MFC de ton kernel quand le décodeur est allumé sur une chaine (cat /proc/net/ip_mr_cache) ? Normalement tu dois avoir au moins une ligne correspondant au groupe multicast de la chaine regardée. Exemple chez moi en regardant France 3 HD+:
Group    Origin   Iif     Pkts    Bytes    Wrong Oifs
E8000316 C1FD9BF9 0         49    66828        0  1:1 

E8000316 correspond à 232.0.3.22.

Tu peux également lister les interfaces qui participent au routage multicast: cat /proc/net/ip_mr_vif. Chez moi:
Interface      BytesIn  PktsIn  BytesOut PktsOut Flags Local    Remote
 0 eth1.840   2434633420 1790752         0       0 00000 C0A8FFFE 00000000
 1 eth0.68           0       0  2434628028 1790745 00000 C0A84401 00000000

Edit: Chez moi j'ai aussi /proc/sys/net/ipv4/conf/all/mc_forwarding à 1...
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 20 mai 2017 à 20:22:14
Salut zoc et merci de creuser avec moi,

Alors dans mr_cache
=>cat /proc/net/ip_mr_cache
Group    Origin   Iif     Pkts    Bytes    Wrong Oifs
FAFFFFEF 0103A8C0 -1         0        0        0

Le pkts à -1 ne me dit rien qui vaille.
FAFFFFEF == 239.255.255.250


=>cat /proc/net/ip_mr_vif
Interface      BytesIn  PktsIn  BytesOut PktsOut Flags Local    Remote
 0 eth1              0       0         0       0 00000 0103A8C0 00000000
 1 vlan840           0       0         0       0 00000 FEFFA8C0 00000000

Et là tous ces zéros m'affolent :)

Pourtant on dirait que igmpproxy fait presque qq chose:
The IGMP message was local multicast. Ignoring.
RECV V2 member report   from 192.168.3.1     to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 192.168.3.1     to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV Membership query   from 192.168.3.1     to 224.0.0.1
RECV V2 member report   from 192.168.3.1     to 224.0.0.2
The IGMP message was from myself. Ignoring.
The IGMP message was local multicast. Ignoring.
RECV V2 member report   from 192.168.3.1     to 224.0.0.22


ps: et la sciatique comment va-t-elle ?

Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 20 mai 2017 à 20:32:30
Pour la sciatique ça va mieux, le vrai test ce sera lundi pour le retour au bureau (je doute pouvoir rester vraiment longtemps assis...)

Sinon, manifestement ton Linux ne route pas le multicast (mais ça tu as du t'en rendre compte  ;D )

Tu as vérifié qu'il était bien activé (globalement ou par interface) dans /proc comme je l'indique dans mon message précédent ?

Si ce n'est pas ça alors j'avoue que je n'ai plus trop de pistes (et je ne maîtrise pas plus que ça le routage multicast dans Linux, je l'avoue)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: pci le 20 mai 2017 à 20:34:57
Pas grave déjà le bridge fait l'affaire.
Je lui mettrais un petit coup de tcpdump pour voir un peu ce qui se passe.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: nikopop le 07 juin 2017 à 19:10:29
Bonjour,

Merci beaucoup pour ce superbe tuto ! 
J'ai pris un  HEX 750Gr3 pour remplacer cette livebox qui me sortait par les yeux.
Pour le moment, j'ai accès à internet et le SIP fonctionne.
J'aurais sûrement des questions pour la partie TV car je n'ai pas de ports dédiés pour cette dernière. Je m'y mets dès que j'ai 5 minutes  ;D
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: nikopop le 10 juin 2017 à 16:00:58
Re,
Je patauge complètement sur la partie TV/VOD
Ma Livebox Play est à l'heure et Deezer fonctionne, mais c'est tout.
Niveau confguration j'ai plusieurs switches entre le routeur et le decodeur TV mais je dois faire passer les 3 vlans sur un seul port.
Le client DHCP du vlan838 n'accroche pas non plus, faut-il mettre une priorité comme pour le 832 ?
Merci d'avance.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 10 juin 2017 à 16:37:28
"0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4" pour les priorités sur le VLAN 838.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: nikopop le 10 juin 2017 à 17:56:52
Merci pour l'information mais je ne vois pas comment la mettre sous cette forme dans routerOS ? :(
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 10 juin 2017 à 20:03:10
Je pense que mettre la priorité à 4 ça devrait le faire...
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: nikopop le 10 juin 2017 à 22:47:37
ça j'ai testé et ça passe pas :(
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: john_matrix le 28 juin 2017 à 13:03:43
Un grand grand merci pour ton super tuto de ouf seb59 !
J'aurais juste une question à propos de la partie Téléphonie.
En effet, j'aurais bien voulu l'implèmenter dans un Linksys PAP2T que j'ai en ma possession, est-ce que tu crois que c'est possible ?
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 28 juin 2017 à 15:03:17
Attention, pour la téléphonie sans Livebox, ça ne fonctionne plus du tout depuis quelques jours, Orange ayant encore modifié la méthode d'authentification. Il n'est donc plus possible d'utiliser un Proxy SIP couplé ou non à Asterisk.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: john_matrix le 28 juin 2017 à 15:13:27
Aïe ! Ça c'est dommage ! :-[
Merci de l'info ;)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Meneldor le 12 juillet 2017 à 18:18:31
Bonjour,

Je viens de lire ce topic pour configurer mon routeur Mikrotik, c'est très intéressant et bien expliqué, j'ai quand même pas tout compris, mais j'ai réussi à configurer mon routeur Mikrotik pour avoir internet.
Vu que je n'utilise ni la TV, ni le téléphone, je suis resté simple sur la configuration, j'ai par contre dû faire la manip du CoS 6 sinon pas de DHCP.

Il me reste juste une question, je suis client Sosh, donc j'ai un ONT Huawei, mon routeur Mikrotik (HAP ac) disposant d'un connecteur SFP, est-il possible d'y connecter directement la fibre avec un mini gbic ? Cela me ferait un équipement de moins qui traîne.
Dommage qu'on ne puisse pas profiter de l'IP v6 par contre.

En tout cas, merci pour ce guide très complet.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: seb59 le 12 juillet 2017 à 21:37:26
j'ai par contre dû faire la manip du CoS 6 sinon pas de DHCP.
Tiens par curiosité tu l'as fait à quel niveau ? Du routeur ou de ton switch ?

Il me reste juste une question, je suis client Sosh, donc j'ai un ONT Huawei, mon routeur Mikrotik (HAP ac) disposant d'un connecteur SFP, est-il possible d'y connecter directement la fibre avec un mini gbic ? Cela me ferait un équipement de moins qui traîne.
Sosh ou Orange c'est du GPON, il faut donc nécessairement un ONT qui peut soit être externe (comme le Huawei que tu as) ou soit au format SFP comme fournie par Orange avec la LB4 (mais pas les clients Sosh). Mikrotik propose un ONT SFP mais pas compatible (pas possible d'y configuration le SLID & password). Pour le SFP fourni par Orange pour la LB4, un ami recoit son RB3011 prochainement sur mes conseils et tentera de le connecter directement sur le port du routeur ! Je vous tiendrais au courant !

En tout cas, merci pour ce guide très complet.
Merci ;)

Attention, pour la téléphonie sans Livebox, ça ne fonctionne plus du tout depuis quelques jours, Orange ayant encore modifié la méthode d'authentification. Il n'est donc plus possible d'utiliser un Proxy SIP couplé ou non à Asterisk.

Aujourd'hui encore ma ligne Orange (siproxd + asterik) marche parfaitement dans les deux sens! Petite précision je n'ai pas redémarré ce serveur depuis des mois, donc je ne sais pas dans quelle mesure mon "jeton d'authentification" est toujours valide mais je confirme bien qu'au 12 juillet je peux toujours passer et recevoir des appels ;)
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 12 juillet 2017 à 21:40:49
Aujourd'hui encore ma ligne Orange (siproxd + asterik) marche parfaitement dans les deux sens! Petite précision je n'ai pas redémarré ce serveur depuis des mois, donc je ne sais pas dans quelle mesure mon "jeton d'authentification" est toujours valide mais je confirme bien qu'au 12 juillet je peux toujours passer et recevoir des appels ;)
Ne l'arrête pas alors, moi le problème et apparu après avoir rebooté la machine qui fait tourner asterisk suite à une mise à jour du noyau....
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Meneldor le 13 juillet 2017 à 09:36:18
Tiens par curiosité tu l'as fait à quel niveau ? Du routeur ou de ton switch ?

Directement dans le routeur avec le bridge comme décrit plus haut, je n'ai pas de switch, juste le Mikrotik HAP ac qui fait tout le travail.
Je peu déjà dire que le wifi du Mikrotik fonctionne mieux que celui de la livebox, je n'ai plus de soucis de déconnexion avec mon smartphone, reste à voir si ma chromecast se comporte mieux ou pas.
Pour le reste, comme je n'utilise pas le téléphone ni la TV, aucun problème  ;D
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: Fabien0683 le 16 juillet 2017 à 18:52:22
Bonjour a tous,
Utilisateur depuis peu de siproxd pour se passer la box, j'ai voulu remettre les mains dans le cambouis.

Au moment de relancé siproxd voila que l'on a une erreur

18:10:37 INFO:src/plugin_orange.c:132 logging in
auth_step2: The requested URL returned error: 443 Obsolete Version
18:10:37 ERROR:src/plugin_orange.c:232 auth_step2 failed, aborting
18:10:37 ERROR:src/plugin_orange.c:136 plugin_orange: could not login to account
18:10:37 INFO:plugins.c:116 Plugin 'plugin_orange' [SIP plugin for Orange Livephone, version 0.2.1] loaded with failure, exemask=0x165
18:10:37 ERROR:plugins.c:121 Plugin 'plugin_orange' did fail to load.
18:10:37 INFO:src/plugin_orange.c:183 plugin_orange ends here

Ca sent la fin! Il y a t'il un mini x0r dans le coin qui peut nous remettre ça d’aplomb ! ^^

Existe-t-il une autre solution?

Cordialement
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: renaud07 le 17 juillet 2017 à 16:18:27
Existe-t-il une autre solution?

La seule solution actuellement est de remettre la box pour le tel. Ou se passer définitivement d'Orange et prendre un vrai fournisseur SIP.

Il faut se replonger dans le code pour savoir ce qui a changé mais vu que les infos d'auth sont bien cachées ça va être difficile... cf zoc :
Moi aussi, mais toute la partie authentification se situe dans les lib compilées nativement pour arm. Ca va être beaucoup plus difficile à interpréter (pour le code Java ça va).
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: EtienneDeneuve le 20 août 2017 à 18:03:20
[...] Il me reste juste une question, je suis client Sosh, donc j'ai un ONT Huawei, mon routeur Mikrotik (HAP ac) disposant d'un connecteur SFP, est-il possible d'y connecter directement la fibre avec un mini gbic ? [...]

[...] Pour le SFP fourni par Orange pour la LB4, un ami recoit son RB3011 prochainement [...]
Hello All,

C'est moi l'ami [(qui) recoit son RB3011 prochainement], je te confirme, si le SLID est renseigner dans le SFP, ça fonctionne ;-). J'ai tout fait sauf le Téléphone, on s'en sert jamais.

Pour ma part, il me reste qu'a adapter la conf de Seb à mes besoins. Je posterais ma config quand j'aurais réussi faire ce que je veux ;)

Etienne


Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: dts1 le 18 septembre 2017 à 10:00:57
Bonjour,
sur le Mikrotik RB3011, est ce que l'on peut brancher l'arrivée fibre SFP (ce que j'ai eu, pas de PON) directement sur le SFP du routeur et suivre le tutoriel ?

Merci !
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: zoc le 18 septembre 2017 à 12:31:44
Mais si c’est du PON...

Le SFP fourni par orange est un ONT GPON.
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: dts1 le 18 septembre 2017 à 12:33:27
Ok super, mais on peut le mettre direct sur le SFP du Mikrotik ? Car j'ai vu que si on utilise le port SFP on perd un CPU du routeur, est-ce que ce la à un impact ?

Merci

Dts1 
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: dts1 le 18 septembre 2017 à 13:54:19
Je met répond à moi même, c'est compatible !

Je commande !!

Dts1
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: eldorne le 18 septembre 2017 à 21:38:14
Bonjour a tous et merci @seb59 pour le super tuto,
J'ai une question, est ce que je peux savoir a l'avance si ma connexion a besoin de faire du COS , car j'ai pas envie d'acheter un mikrotik RB3011UiAS-RM pour qu'il servent de presse papier

merci de ta réponse
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 19 septembre 2017 à 16:39:30
Bonjour a tous et merci @seb59 pour le super tuto,
J'ai une question, est ce que je peux savoir a l'avance si ma connexion a besoin de faire du COS , car j'ai pas envie d'acheter un v RB3011UiAS-RM pour qu'il servent de presse papier

merci de ta réponse

Tu peux tester avec un ordi sous Linux par exemple en suivant ce guide: https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/

Sinon y'a pas que le mikrotik, loin de la d'ailleurs. Le plus utilisé est l'ERL (edge router lite d'Ubiquiti), tu aura bien plus de support & aide avec (l'ERL fonctionne si y'a besoin de la CoS moyennant une modification du software).

et certains site d'e-commerce comme Amazon permettent de retourner un produit gratuitement s'il ne convient pas ...
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: eldorne le 20 septembre 2017 à 09:50:05
Merci pour vos réponse,
@kgersen le problème avec ubiquiti c'est qu'il ne supporte pas en natif le SFP orange c'est pour ca que ça m'arrange pas trop en fait
Titre: Le guide complet : Internet, TV et Téléphone sans Livebox (et bien plus encore)
Posté par: kgersen le 20 septembre 2017 à 20:30:35
Merci pour vos réponse,
@kgersen le problème avec ubiquiti c'est qu'il ne supporte pas en natif le SFP orange c'est pour ca que ça m'arrange pas trop en fait

c'est pas possible de demander a Orange un ONT ?

sinon y'a le TP-Link MC220

et ca été validé par quelqu'un qui en a un que le RB3011 fonctionne avec le SFP d'Orange ?