Auteur Sujet: Le guide complet pour USG/USG PRO (Internet, TV, Livebox & IPV6) (Lu 306564 fois)

ybizeul · « **Réponse #300 le:** 15 septembre 2018 à 22:59:39 »

Sans doutes rien a voir, mais y'a quand même un probleme dans le fichier de conf du client dhcp :

#
# autogenerated by vyatta-interfaces.pl on Fri Sep 14 06:27:48 CEST 2018
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

option rfc3118-auth code 90 = string;

interface "eth0.832" {
	send host-name "USG";
	request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu;
	retry 60;
	send vendor-class-identifier "sagem";
	send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";
	send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
	request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;
}

/opt/vyatta/sbin/vyatta-interfaces.pl ne teste pas, et ajoute toujours son propre "request". Au final c'est lequel qui est effectif?

ybizeul · « **Réponse #301 le:** 16 septembre 2018 à 20:56:45 »

Bon, pas de surprises a la trace DHCP avant une coupure.

En résumé : coupure hier a 22:15, rétablie avec un

Code: [Sélectionner]

renew dhcp interface eth0.832 a 22:18

Puis coupure aujourd'hui à 20:34 avec une trace DHCP qui montre une activité DHCP toutes les 20 secondes grosso modo, voir screenshot, j'en suis même plus a masquer les IP a ce stade!

Je ne comprend pas cette séquence de Request / NAK, je ne pense pas qu'elle soit normale, surtout qu'il y a une requete qui part vers un serveur DHCP qui n'est pas le même

ybizeul · « **Réponse #302 le:** 16 septembre 2018 à 21:23:26 »

Il semble que c'est le client du vlan 838 qui générait ces request toutes les 20 secondes.

J'ai arrêté les clients DHCP, supprimé les lease file, relancé, suite au prochain épisode, a l'heure actuelle je n'ai plus de requetes DHCP en trop

jonlprd · « **Réponse #303 le:** 17 septembre 2018 à 16:29:39 »

Bonjour tout le monde

There's been a lot of discussion on this thread. I am curious if the tutorial still works? I am on the latest firmware for both my controller and USG.

Merci !

ybizeul · « **Réponse #304 le:** 17 septembre 2018 à 18:26:16 »

Yes it should be accurate. It has been tweaked recently to include some minor changes in the presentation but the files and core of the tutorial are the same.

jonlprd · « **Réponse #305 le:** 17 septembre 2018 à 19:50:56 »

Citation de: ybizeul le 17 septembre 2018 à 18:26:16

Yes it should be accurate. It has been tweaked recently to include some minor changes in the presentation but the files and core of the tutorial are the same.

Great, thanks for the reply

I noticed that a lot of the firewall rules that inside script_orange_ipv6.sh are already added in the GUI ( Routing & Firewall > Firewall > Rules IPv6 ). I took the script and added it to a github gist so I can reference line numbers. Here's the gist URL:

It may be possible to remove lines 6-32. Lines 34-64 can only be set via the command line. What do you think?

ybizeul · « **Réponse #306 le:** 17 septembre 2018 à 19:59:12 »

If I remember correctly, some rules don't exist by default :
IPv6 WAN IN for ICMP, and IPv6 WAN LOCAL for DHCPv6 and ICMPv6

What I did is adding them to the web UI from the controller, I'm trying to limit the config.json content.

So My thought is that line 18-20 doesn't exists by default and are needed, and lines 34-42 can be added in interface, the rest is CLI.

I actually don't understand why 47-47 wouldn't be available from the GUI if you set the WAN VLAN to 832, but I think that's indeed the case, you need to add them through CLI or config.json.

jonlprd · « **Réponse #307 le:** 17 septembre 2018 à 20:50:10 »

Yep, thats exactly what I am trying to do as well! I'm trying to reduce the amount of CLI usage. Reducing the config.json file is good since it reduces the chances of errors when updating.

I will try to do the same as you. Did you manage to get your TV working as well?

ybizeul · « **Réponse #308 le:** 17 septembre 2018 à 21:01:42 »

Yes, TV should work as well, it was quite a struggle, the key parameter for me was this : https://lafibre.info/remplacer-livebox/le-guide-complet-pour-usgusg-pro-internet-tv-livebox-ipv6/msg565909/#msg565909

disable source-validation globally for the firewall

jonlprd · « **Réponse #309 le:** 17 septembre 2018 à 21:08:31 »

Ok, good to know. I just managed to get my internet working. I will attempt to get the IPv6 and TV working later tonight.

Merci beaucoup for all useful information !

ybizeul · « **Réponse #310 le:** 18 septembre 2018 à 10:29:23 »

Bon, j'ai récupéré un dump de ce qui se passe avant de rétablir mon internet.

En gros, lorsque ca coupe, je fais un tcpdump, j'attend 2s, je lance le renew.

Ben ça m'apprend rien du tout mais peut etre que quelqu'un peut aider ?

Basiquement je vois bien mes ARP qui restent sans réponse, jusqu'au DHCP request ou la ca débloque tout.

Mon prochain test c'est de remettre la Livebox, autant vous dire que ça m'enchante pas!

la67 · « **Réponse #311 le:** 19 septembre 2018 à 11:54:43 »

J'ai jeté un oeil rapide à ton problème et mon diagnostique rapide (très rapide) est un problème d'authentification.
En effet en face, côté réseau Orange, il y a une infra Alcatel-Lucent de type 7750 (confirmé par la mac du routeur dans tes traces).

Or cette infra gère le control d'accès au réseau et ne réponds aux requètes ARP que si tu es authentifié et tu ne doit plus l'être.

Cela est confirmé par le fait que la requête DHCP, qui contient les informations d'authentification, relance cette authent et le service arp

Maintenant cela ne dit pas comment résoudre le problème...mais il faut creuser cette partie authent.
A suivre.