Auteur Sujet: TUTO - OPNsense remplacer livebox (INTERNET + TV) (Lu 239553 fois)

nonobzh · « **Réponse #660 le:** 24 novembre 2021 à 23:07:57 »

Ca ressemble à des paquets IGMP qui sont bloqués par un firewall.
En fonctionnement normal, ton OPNsense devrait envoyer à intervalles régulières un paquet IGMP "report" sur le vlan 840 en réponse à un IGMP "query" des équipements Orange pour signaler qu'il consomme toujours le multicast.
Hors là, il semble les bloquer (puisqu'on les voit côté LAN, mais pas côté 840).

kaktuss77 · « **Réponse #661 le:** 25 novembre 2021 à 01:25:12 »

Merci pour l'information.

J'ai tester avec une autre appliance (mikrotik chr) j'ai le même comportement.

Très probablement un truc qui a sauté dans ma conf de mon switch. J'ai l'igmp snooping activé

Je creuse et je posterai mes résultats

Merci encore

kaktuss77 · « **Réponse #662 le:** 25 novembre 2021 à 08:50:15 »

J'ai un peu avancé

Les report n'étais pas visiblent sur la capture car filtré par mon filtre.

Les reports sont bien transmis coté WAN 840 mais bien moins souvant que ceux reçu sur le LAN.

je dump directement sur la VM donc on peut mettre de coté la conf du switch.

Coté WAN 840

Code: [Sélectionner]

root@OPNsense:~ # tcpdump -ni vmx2_vlan840 not '(port 8202 or port 8200)'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmx2_vlan840, link-type EN10MB (Ethernet), capture size 262144 bytes
08:44:56.141172 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:26.993511 IP 0.0.0.0 > 224.0.0.1: igmp query v2
08:45:30.263450 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:33.274503 IP 192.168.255.254 > 224.0.0.2: igmp leave 232.0.32.15
08:45:37.174691 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:54.716030 IP 0.0.0.0 > 224.0.0.1: igmp query v2
08:46:00.664085 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15

Coté lan :

Code: [Sélectionner]

root@OPNsense:~ # tcpdump -ni vmx1 igmp and not port '(8200 or 8202)'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmx1, link-type EN10MB (Ethernet), capture size 262144 bytes

08:44:55.555406 IP 192.168.10.25 > 224.0.0.2: igmp leave 232.0.32.15
08:44:56.140326 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:01.524185 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:05.771928 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:08.774724 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:09.264248 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:15.864340 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:18.874352 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:24.863626 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:26.463868 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:30.004508 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:36.286086 IP 192.168.10.25 > 224.0.0.2: igmp leave 232.0.32.15
08:45:36.663386 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:37.069694 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:37.174014 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:43.194051 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:45.463728 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:45.980574 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:51.063618 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:52.668321 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:57.743781 IP 192.168.10.6 > 224.0.0.1: igmp query v2

nonobzh · « **Réponse #663 le:** 25 novembre 2021 à 09:14:05 »

La fréquence des query et report dépend de la config des équipements réseau côté Orange.
Du coup là, je sèche

TL91700 · « **Réponse #664 le:** 19 janvier 2022 à 19:52:06 »

Hello,

Je rencontre des difficultés avec mon opérateur (KNET), je souhaite changer pour passer chez Orange en 2Gb.
J'utilise un parefeu pfsense installer sur un serveur Dell R230, il est équipé d'une carte PCI Chelsio T540-CR (4x Connecteur LC Duplex).

J'aimerai pouvoir souscrire un forfait 2Gb chez Orange, je comprends qu'il faut souscrire un forfait pour Livebox 5 (offre Livebox Up Fibre) ?!
Qu'apporte OPNsense par rapport à pfsense ? quels sont les différences, est-ce un plus pour utiliser une connexion Orange ?
Est-ce que la migration est simplifié ? Sauvegarde pfsense, restauration sur OPNsense ?

Je comprends qu'il faut prendre un module SFP NOKIA G-010S-A idéalement, et faire une soudure, pas évident... cette soudure est obligatoire ? elle sert à quoi ? il n'y pas de module plus simple et aussi performant c'est çà ?
Concernant le paramétrage du module, il faut entrer des informations, mais j'ai pas compris la manipulation à faire...
Est-ce que ma carte Chelsio T540 pourrait fonctionner avec ce module ? ou il faut absolument que j'achète également une carte PCI avec un chipset Broadcom BCM57810S ?
Pour la reconnaissance par pfsense ou OPNsense, dois-je installer des drivers spécifique ? si oui, lesquels ?

Merci pour votre aide.

nscheffer · « **Réponse #665 le:** 19 janvier 2022 à 20:25:59 »

Citation de: TL91700 le 19 janvier 2022 à 19:52:06

Hello,

Je rencontre des difficultés avec mon opérateur (KNET), je souhaite changer pour passer chez Orange en 2Gb.
J'utilise un parefeu pfsense installer sur un serveur Dell R230, il est équipé d'une carte PCI Chelsio T540-CR (4x Connecteur LC Duplex).

J'aimerai pouvoir souscrire un forfait 2Gb chez Orange, je comprends qu'il faut souscrire un forfait pour Livebox 5 (offre Livebox Up Fibre) ?!
Qu'apporte OPNsense par rapport à pfsense ? quels sont les différences, est-ce un plus pour utiliser une connexion Orange ?
Est-ce que la migration est simplifié ? Sauvegarde pfsense, restauration sur OPNsense ?

Je comprends qu'il faut prendre un module SFP NOKIA G-010S-A idéalement, et faire une soudure, pas évident... cette soudure est obligatoire ? elle sert à quoi ? il n'y pas de module plus simple et aussi performant c'est çà ?
Concernant le paramétrage du module, il faut entrer des informations, mais j'ai pas compris la manipulation à faire...
Est-ce que ma carte Chelsio T540 pourrait fonctionner avec ce module ? ou il faut absolument que j'achète également une carte PCI avec un chipset Broadcom BCM57810S ?
Pour la reconnaissance par pfsense ou OPNsense, dois-je installer des drivers spécifique ? si oui, lesquels ?

Merci pour votre aide.

Bonsoir,

Pour 1Gbps tu prends un ONT LEOX (pas besoin de soudure et port ethernet Giga, pas de SFP à gérer) qui va te couter ~20€ et prendre 2min à le configurer et ensuite n'importe quel routeur/firewall qui doit absolument :
- envoyer une CoS 6 (DSCP 48) sur toutes les requêtes DHCPv4 Request et DHCPv6 Solicit avec les Renew
- faire une requête DHCPv4 sur le Vlan 832 en envoyant les options 60,61,77 et 90 avec les bonnes valeurs
- faire une requête DHCPv6 sur le Vlan 832 en envoyant les options 11,15,16 et 17 avec les bonnes valeurs

Pour récupérer les valeurs facilement, petit outil sous Windows :
https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg917135/#msg917135

Le plus dur est de choisir ton routeur/firewall.

Si tu souhaites exploiter les 2Gbps alors tu rentres dans un club mené par @Gnubyte ou peu sont arrivés au bout...
Le Fabricant du boitier LEOX doit sortir bientôt une nouvelle version avec un port ethernet Giga à 2,5Gbps ce qui devrait simplifier la quête du 2Gbps !

Dans mon cas j'ai deux Fibre Orange et Orange Pro avec deux ONT LEOX sur deux Livebox 5 avec derrière un Firewall Fortinet, dans une prochaine mise à jour du Firewall je pourrais faire toutes les options ci-dessus et virer mes Livebox 5 en branchant les deux LEOX directement sur le Firewall Fortinet.

TL91700 · « **Réponse #666 le:** 20 janvier 2022 à 19:26:12 »

Merci pour ta réponse.

CoS 6, cela veut dire quoi ? je suppose que pfsense c'est faire çà ?
En 2Gbps, a part l'ONT LEOX qui doit sortir point de salut dans ma configuration ?

nscheffer · « **Réponse #667 le:** 21 janvier 2022 à 19:02:27 »

Citation de: TL91700 le 20 janvier 2022 à 19:26:12

Merci pour ta réponse.

CoS 6, cela veut dire quoi ? je suppose que pfsense c'est faire çà ?
En 2Gbps, a part l'ONT LEOX qui doit sortir point de salut dans ma configuration ?

CoS 6 cela veut dire que les requêtes DHCP doivent être marquées avec une Qualité de service différente de celle par défaut qui est CoS 0. C'est l'implémentation d'Orange qui demande cela.

Attention pour dépasser le Gbps je n'ai jamais dit qu'il fallait absolument un LEOX :
- Gnubyte a initié et trouvé le moyen de le faire avec une carte dual SFP+ précise insérée dans un PC adapté afin de pouvoir satisfaire le coté assez propriétaire des rares SFP/ONT compatible pour cela
- cette année le fabricant du LEOX devrait sortir une nouvelle version qui aura un port ethernet en 2,5 Gbps ce qui va énormément simplifier la solution

Mais à aujourd'hui si tu veux passer le Gbps seul l'approche de Gnubyte fonctionne...

TL91700 · « **Réponse #668 le:** 21 janvier 2022 à 19:16:36 »

Merci... je vais tenter l'approche carte SFP + Module, il est probable que j'achète un ONT 2.5Gb par la suite, cela pourrait aider en cas de problème de connexion pour analyser l'origine de la panne, deux solutions valent mieux qu'une

Dernière question sur les différents modules, de ce que je comprends, celui-ci https://www.fs.com/fr/products/133619.html est bien adapté pour une utilisation 2Gb ?

Merci.

mishmash- · « **Réponse #669 le:** 22 janvier 2022 à 12:20:46 »

Module ONT : utilisez FS.com, pas le G-010S-A. Pas de soudure, facile à configurer.

Carte SFP+ : pour le moment, il semble que seule la BCM57810S puisse activer le mode 2.5 (ou 5 !) Gbps selon dslreports. J'ai lu ailleurs qu'une des cartes Intel peut le faire, mais le coût de la carte était de ~600eur, donc je n'ai pas investigué plus.

OPNsense vs. pfSense : J'ai aussi eu ce problème, mes recherches il y a 2 ans indiquaient que pfSense ne pouvait pas fournir les paquets DHCP en CoS=6. Peut-être que cela a changé...

Drivers OPNsense : vous devrez patcher le driver BSD pour 2.5Gbps et Broadcom. @epalzeolithe les a reconstruits en se basant sur dslreports. Vous pouvez les télécharger ici: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897949/#msg897949. Notez que vous aurez besoin d'un nouveau patch à chaque mise à jour du kernel.

TL91700 · « **Réponse #670 le:** 24 janvier 2022 à 13:45:58 »

Citation de: mishmash- le 22 janvier 2022 à 12:20:46

Module ONT : utilisez FS.com, pas le G-010S-A. Pas de soudure, facile à configurer.

Carte SFP+ : pour le moment, il semble que seule la BCM57810S puisse activer le mode 2.5 (ou 5 !) Gbps selon dslreports. J'ai lu ailleurs qu'une des cartes Intel peut le faire, mais le coût de la carte était de ~600eur, donc je n'ai pas investigué plus.

OPNsense vs. pfSense : J'ai aussi eu ce problème, mes recherches il y a 2 ans indiquaient que pfSense ne pouvait pas fournir les paquets DHCP en CoS=6. Peut-être que cela a changé...

Drivers OPNsense : vous devrez patcher le driver BSD pour 2.5Gbps et Broadcom. @epalzeolithe les a reconstruits en se basant sur dslreports. Vous pouvez les télécharger ici: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897949/#msg897949. Notez que vous aurez besoin d'un nouveau patch à chaque mise à jour du kernel.

Ah, je note la question pour le CoS=6, c'est donc obligatoire, sinon pas possible d'avoir une connexion Internet ? ca concerne tous les vlans je présume ?
Si ca fonctionne sous pfSense, pas besoin de patcher pfsense ou d'installer des pilotes spécifique ?

Concernant le module SFP chez FS.com, il faut communiquer les infos de la box avant de l'acheter c'est çà ? sinon pas moyen de l'acheter et de configurer soit même ?
Si c'est possible, comment accède t-on à l'interface pour le paramétrer ?
J'ai pas encore basculer vers l'opérateur Orange mais je voudrais pouvoir anticiper en ayant le matériel avant.

Merci.

zoc · « **Réponse #671 le:** 24 janvier 2022 à 13:51:50 »

Il n'y a plus que 2 VLAN utilisés (832 pour Internet + VOD + Telephone, 840 pour le multicast de la TV en direct).

Pas de DHCP du tout pour le VLAN 840 : une IP privée inutilisée statique + un proxy IGMP suffisent + tout le trafic en CoS 5 (même si je ne suis pas certain que ce soit nécessaire, en tout cas la box le fait).

CoS 6 pour DHCP (et DHCP6-PD) obligatoire ou pas (selon région) sur le VLAN 832.